張 沖 王 凱 王宇恒

（國網(wǎng)哈密供電公司）

0 引言

如今在這高速發(fā)展的時代，物聯(lián)化、互聯(lián)化以及智能化這三個時代標(biāo)簽越發(fā)顯著，其中物聯(lián)網(wǎng)技術(shù)在多個領(lǐng)域得到了大力推廣及應(yīng)用［1－2］。就電力行業(yè)而言，配網(wǎng)自動化系統(tǒng)已融入到電力監(jiān)控系統(tǒng)中，成為了電力系統(tǒng)的一部分，不管是在應(yīng)用場景還是技術(shù)架構(gòu)上基本都與物聯(lián)網(wǎng)相同，故在發(fā)展中同樣會存在安全漏洞［3－4］。電力行業(yè)在國家發(fā)展的布局中扮演著一個不可或缺的角色，是商場、工廠、企業(yè)日常運(yùn)轉(zhuǎn)的保障，因此應(yīng)提高電力配網(wǎng)自動化系統(tǒng)網(wǎng)絡(luò)的安全性，減少或抑制網(wǎng)絡(luò)安全事故的發(fā)生，強(qiáng)化電力配網(wǎng)自動化系統(tǒng)的應(yīng)用指標(biāo)，為電力系統(tǒng)提供一個良好的供電環(huán)境，保障各行業(yè)的用電需求。

1 物聯(lián)網(wǎng)技術(shù)架構(gòu)

物聯(lián)網(wǎng)技術(shù)結(jié)構(gòu)框架可分為三個階層：第一，物聯(lián)網(wǎng)應(yīng)用層；第二，物聯(lián)網(wǎng)網(wǎng)絡(luò)業(yè)務(wù)層；第三，物聯(lián)網(wǎng)感知延伸層，可簡化為應(yīng)用層、網(wǎng)絡(luò)層以及感知層［5］。這種階層模式也被國內(nèi)外部分學(xué)者和專家稱之為 “云－管－端”模式，其中，感知層由感知層網(wǎng)關(guān)和二維碼、智能裝置以及RFID等感知設(shè)備組成，能夠完成數(shù)據(jù)的收集和處理工作；應(yīng)用層具備行業(yè)應(yīng)用、公眾應(yīng)用、數(shù)據(jù)存儲、數(shù)據(jù)管理以及標(biāo)識解析等多種功能，能夠?qū)Ω兄獢?shù)據(jù)進(jìn)行綜合處理和應(yīng)用的工作；而網(wǎng)絡(luò)層正好是嫁接應(yīng)用層和感知層的橋梁，為兩個階層提供了專用網(wǎng)、異構(gòu)網(wǎng)以及移動互聯(lián)網(wǎng)等數(shù)據(jù)傳輸路線，實(shí)現(xiàn)了兩個階層數(shù)據(jù)信息實(shí)時互通的工作，具體的技術(shù)構(gòu)架模型由圖1可知。

圖1 物聯(lián)網(wǎng)技術(shù)構(gòu)架模型

2 配網(wǎng)自動系統(tǒng)基本的應(yīng)用和存在的安全漏洞

配網(wǎng)自動化系統(tǒng) （DAS）以C／S結(jié)構(gòu)的數(shù)據(jù)傳輸模式為數(shù)據(jù)傳輸?shù)幕鶞?zhǔn)，技術(shù)結(jié)構(gòu)劃分為三個階層，分別是應(yīng)用層、網(wǎng)絡(luò)層以及感知層［6］。其中，應(yīng)用層由電力配網(wǎng)自動化系統(tǒng)主站構(gòu)成，主要用來完成數(shù)據(jù)的收集、分析以及監(jiān)控等工作；感知層由配電終端構(gòu)成，主要用來收集遙測和遙信等配電數(shù)據(jù)，并通過無線公網(wǎng)、有線光纖網(wǎng)絡(luò)以及無線專網(wǎng)這三種傳輸方式將配電數(shù)據(jù)傳輸至網(wǎng)絡(luò)層進(jìn)行加工處理，最終將處理好的配電數(shù)據(jù)傳輸至應(yīng)用層進(jìn)行審核處理，具體內(nèi)容如圖2所示。

圖2 配網(wǎng)自動化系統(tǒng)架構(gòu)模型

從圖2可知，網(wǎng)絡(luò)層具備多種通信方式，例如：載波、光纖以及無線網(wǎng)絡(luò)等，雖然為數(shù)據(jù)傳輸提供了多種傳輸渠道，但是也給配網(wǎng)自動化系統(tǒng)中的應(yīng)用層埋下了多種威脅，例如數(shù)據(jù)被盜取、數(shù)據(jù)被捏造等，成為電力系統(tǒng)運(yùn)行中的 “定時炸彈”，隨時都會破壞電力系統(tǒng)的正常運(yùn)行。

3 制定配網(wǎng)自動化系統(tǒng)安全防護(hù)目標(biāo)

網(wǎng)絡(luò)安全威脅突出、點(diǎn)多面廣等問題在配網(wǎng)自動化系統(tǒng)發(fā)展階段逐漸被暴露出來，成為了亟待解決的問題?；诖?，本文將以配網(wǎng)終端、配網(wǎng)自動化系統(tǒng)主站以及通信鏈路作為安全防護(hù)目標(biāo)，解決它們自身存在的安全弊端，為電力系統(tǒng)營造出良好的供電環(huán)境。

4 提出配網(wǎng)自動化系統(tǒng)網(wǎng)絡(luò)安全保護(hù)的基本措施

配電網(wǎng)自動化系統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施應(yīng)嚴(yán)格依照《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》和 《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》中的標(biāo)準(zhǔn)來進(jìn)行，打造安全良好的電力配網(wǎng)自動化系統(tǒng)。具體防護(hù)措施可細(xì)化為以下七點(diǎn)：第一，創(chuàng)建安全接入?yún)^(qū)，通過這道安檢關(guān)卡攔截識別不良數(shù)據(jù)和參數(shù)，并提高感知層終端設(shè)備的鑒別能力和應(yīng)用層系統(tǒng)報(bào)文內(nèi)容的安全性。借助數(shù)據(jù)交換系統(tǒng)完成安全接入?yún)^(qū)與電力配網(wǎng)自動化系統(tǒng)之間的主站與公網(wǎng)的隔離工作，在安全接入平臺的基礎(chǔ)上實(shí)現(xiàn)運(yùn)營商與電力行業(yè)數(shù)據(jù)的傳輸工作，保證調(diào)度數(shù)據(jù)網(wǎng)與公網(wǎng)始終處于錯開狀態(tài)；第二，安置可信安全接入網(wǎng)關(guān)，由于可信安全接入網(wǎng)關(guān)能夠?qū)ε渚W(wǎng)主站前置機(jī)起到保護(hù)作用，因此，當(dāng)防火墻被攻破或偷襲時，可信安全接入網(wǎng)關(guān)可形成第二道防御網(wǎng)，抑制并解決入侵的對象，確保配網(wǎng)主站前置機(jī)的安全，此外，還能喚醒感知層終端的多種功能，如加密、訪問以及認(rèn)證等。同時提出了高速Hash查表方法和加密卡的多核平衡調(diào)度方法，這兩種方法分別能提高數(shù)據(jù)隔離擺渡效率和加解密性能；第三，借助訪問控制技術(shù)和加密認(rèn)證為感知測和應(yīng)用層的數(shù)據(jù)傳輸提供有效的保障，應(yīng)用這兩種功能來確保數(shù)據(jù)傳輸?shù)陌踩孕枰?jīng)過四道程序來實(shí)現(xiàn)，如鑒權(quán)和密鑰的協(xié)商、激活安全性能、加密信令和數(shù)據(jù)以及檢驗(yàn)信令和數(shù)據(jù)的完整性；第四，將加密認(rèn)證功能應(yīng)用到感知層終端軟件中，不但能使感知層終端具備對數(shù)據(jù)和信息的加密處理功效，而且還能對惡意篡改、非法破譯和拷貝等起到一定的遏制作用，提高了終端和系統(tǒng)的安全性；第五，加設(shè)串聯(lián)模式的終端加密認(rèn)證設(shè)備，使配電終端存在的多種問題得以解決，如擴(kuò)容性較弱、通信方式較多以及廠家和型號較多等；第六，通過硬件的方式將加密認(rèn)證芯片安置在配電網(wǎng)終端中，使終端的數(shù)據(jù)得到相應(yīng)的審核認(rèn)證；第七，構(gòu)建安全的管理平臺，使配網(wǎng)自動化系統(tǒng)高效完成數(shù)據(jù)的各種處理工作，如匯集、分析以及存儲等。

5 深入確保配網(wǎng)自動化系統(tǒng)網(wǎng)絡(luò)的安全性

由以下七種專項(xiàng)技術(shù)服務(wù)工作來維持配網(wǎng)自動化系統(tǒng)網(wǎng)絡(luò)的安全性：第一，漏洞掃描，在漏洞數(shù)據(jù)庫的基礎(chǔ)上，通過一系列掃描手段完成配網(wǎng)自動化系統(tǒng)信息資產(chǎn)的檢驗(yàn)，實(shí)時反饋其中存在的漏洞和風(fēng)險，并對風(fēng)險等級進(jìn)行客觀性的評價；第二，滲透測試，這是一種模仿黑客惡意攻擊來探測配網(wǎng)自動系統(tǒng)安全性的一種評估方法，能夠有效檢驗(yàn)出電力配網(wǎng)自動化系統(tǒng)中存在的安全問題；第三，風(fēng)險評估 （RiskAssessment），配網(wǎng)自動化系統(tǒng)應(yīng)用和資產(chǎn)的完整性、可用性以及機(jī)密性可依照 《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》（國能36號文）和 《中華人民共和國網(wǎng)絡(luò)安全法》的標(biāo)準(zhǔn)來劃分安全等級，同時通過常用的評價方法來評估技術(shù)安全事故發(fā)生的概率及帶來的影響程度；第四，代碼審計(jì)，借助人工或智能的檢測方式來完成源代碼中安全缺陷的檢測，并能夠提供相應(yīng)的建議和改善方案；第五，基線核查服務(wù)，核查的對象是各種信息資產(chǎn)，如主機(jī)、數(shù)據(jù)庫以及配網(wǎng)自動化系統(tǒng)設(shè)備等，通過腳本工具來核查這類信息資產(chǎn)最低的安全指標(biāo)；第六，系統(tǒng)加固，主要通過修改安全配置、強(qiáng)化安全機(jī)制以及填充補(bǔ)丁等方式來提高系統(tǒng)的安全性，旨在抑制安全風(fēng)險的發(fā)生；第七，業(yè)務(wù)安全測試服務(wù)，主要通過模擬的方式來完成業(yè)務(wù)安全測試，并根據(jù)攻擊力度和侵入的嚴(yán)重性提出相應(yīng)的解決方案。

6 結(jié)束語

本文抓住了配網(wǎng)自動化系統(tǒng)和傳統(tǒng)物聯(lián)網(wǎng)的共通性，對電力配網(wǎng)自動化系統(tǒng)的運(yùn)行監(jiān)控安全保護(hù)進(jìn)行了一番探討。首先從物聯(lián)網(wǎng)技術(shù)架構(gòu)切入，對其結(jié)構(gòu)模型進(jìn)行陳述；其次，分析了配網(wǎng)自動化系統(tǒng)的應(yīng)用和存在的安全漏洞，并制定了相應(yīng)的安全防護(hù)目標(biāo)；最后，針對性地提出了配網(wǎng)自動化系統(tǒng)網(wǎng)絡(luò)安全保護(hù)的基本措施，如構(gòu)建安全接入?yún)^(qū)、安置可信安全接入網(wǎng)關(guān)以及加設(shè)串聯(lián)加密認(rèn)證設(shè)備等。此外，為了進(jìn)一步穩(wěn)固配網(wǎng)自動化系統(tǒng)網(wǎng)絡(luò)的安全性，施加了多種專項(xiàng)技術(shù)服務(wù)工作，例如風(fēng)險評估、滲透測試以及漏洞掃描等?；诖?，本文提出只有在強(qiáng)化配網(wǎng)自動化系統(tǒng)網(wǎng)絡(luò)的安全性后才能促進(jìn)電力行業(yè)的發(fā)展，才能確保電力系統(tǒng)的正常運(yùn)行，才能成為國家發(fā)展的助力的觀點(diǎn)。