張劍峰

[摘? ? 要]智慧配電房監(jiān)控系統(tǒng)目標(biāo)在于監(jiān)控、防護(hù)配電網(wǎng)的穩(wěn)定運(yùn)行，需具備抵御各種攻擊、滲透、非法篡改等各類惡意破壞與攻擊的能力，確保電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全受控，并有效避免電網(wǎng)整個(gè)系統(tǒng)的安全遭受非法控制。智慧配電房監(jiān)控系統(tǒng)將前端邊緣感知數(shù)據(jù)、信息系統(tǒng)、智能終端設(shè)備等實(shí)現(xiàn)互聯(lián)，由于配電房的覆蓋范圍廣，在整體物聯(lián)網(wǎng)中組成一個(gè)巨大的信息網(wǎng)絡(luò)空間?，F(xiàn)階段智慧配電房監(jiān)控系統(tǒng)在逐步鋪開建設(shè)，其所涉及的網(wǎng)絡(luò)空間安全防護(hù)仍需進(jìn)一步完善、強(qiáng)化，如網(wǎng)絡(luò)傳輸通道、各安全區(qū)域的安全防護(hù)等，文章就智慧配電房網(wǎng)絡(luò)空間的防護(hù)問題進(jìn)一步探討。

[關(guān)鍵詞]智慧配電房;網(wǎng)絡(luò)空間;安全防護(hù);安全分區(qū)

[中圖分類號]TM63 [文獻(xiàn)標(biāo)志碼]A [文章編號]2095–6487（2021）01–0–03

Cyberspace Security Protection of Smart Power Distribution

Room Based on Internet of Things Technology

Zhang Jian-feng

[Abstract]The goal of the intelligent power distribution room monitoring system is to monitor and protect the stable operation of the distribution network. It needs to be able to resist various attacks， infiltrations， illegal tampering and other malicious damage and attacks， and to ensure that the power monitoring system network is securely controlled. And effectively avoid illegal control of the security of the entire system of the power grid. The smart power distribution room monitoring system interconnects front-end edge sensing data， information systems， and smart terminal equipment. Due to the wide coverage of the power distribution room， a huge information network space is formed in the overall Internet of Things. At this stage， the intelligent power distribution room monitoring system is gradually being rolled out， and the cyberspace security protection it involves still needs to be further improved and strengthened， such as network transmission channels and security protection in various safe areas.

[Keywords]smart power distribution room; cyberspace; security protection; security zoning

智慧配電房監(jiān)控系統(tǒng)目標(biāo)在于監(jiān)控、防護(hù)配電網(wǎng)的穩(wěn)定運(yùn)行，需具備抵御各種攻擊、滲透、非法篡改等各類惡意破壞與攻擊的能力，有效避免電網(wǎng)整個(gè)系統(tǒng)的安全遭受非法控制，并杜絕出現(xiàn)的大面積停電。智慧配電房監(jiān)控系統(tǒng)作為智能配電網(wǎng)建設(shè)的支撐平臺(tái)，強(qiáng)化智慧配電房數(shù)據(jù)傳輸?shù)倪吔绶雷o(hù)，在提升整體網(wǎng)絡(luò)空間安全管控，確保智能配電網(wǎng)系統(tǒng)的穩(wěn)定運(yùn)行顯得尤為重要。

根據(jù)智慧配電房監(jiān)控系統(tǒng)的需求與邏輯設(shè)計(jì)，該系統(tǒng)可涉及網(wǎng)絡(luò)空間安全防護(hù)范圍主要包括：安全區(qū)內(nèi)部防護(hù)、傳輸通道、電子數(shù)據(jù)證書技術(shù)、入侵檢測、操作系統(tǒng)、物理安全等等。本文將結(jié)合該系統(tǒng)在生產(chǎn)控制大區(qū)及管理信息大區(qū)等重點(diǎn)安全防護(hù)環(huán)節(jié)進(jìn)行論述。

1 智慧配電房監(jiān)控系統(tǒng)組成架構(gòu)

智慧配電房監(jiān)控系統(tǒng)主要由邊緣處理層的感知系統(tǒng)（圖1）、網(wǎng)絡(luò)傳輸專用通道、系統(tǒng)應(yīng)用平臺(tái)層以及前端應(yīng)用層等組成。其中，感知層主要涵蓋了數(shù)據(jù)采集模塊、傳感器、站房內(nèi)視頻監(jiān)控等各項(xiàng)數(shù)據(jù);網(wǎng)絡(luò)層包括智能網(wǎng)關(guān)設(shè)備、無線接入設(shè)備、專用傳輸通道等;平臺(tái)層則主要是配電房數(shù)據(jù)可視化平臺(tái)，用于統(tǒng)計(jì)、分析以及監(jiān)控所采集數(shù)據(jù)，應(yīng)用層主要為PC端前側(cè)用于實(shí)時(shí)展示監(jiān)控?cái)?shù)據(jù)以及接收報(bào)警信息。

2 智慧配電房數(shù)據(jù)傳輸面臨的安全風(fēng)險(xiǎn)

智慧配電房監(jiān)控系統(tǒng)將前端邊緣感知數(shù)據(jù)、信息系統(tǒng)、智能終端設(shè)備等實(shí)現(xiàn)互聯(lián)。區(qū)域內(nèi)各配電房覆蓋范圍廣、分布點(diǎn)多，在整體物聯(lián)網(wǎng)中組成一個(gè)巨大的信息網(wǎng)絡(luò)空間。同時(shí)，因配電網(wǎng)建初期在專用網(wǎng)絡(luò)、安全防護(hù)等方面仍存在需進(jìn)一步完善，為確保該系統(tǒng)的穩(wěn)定、可靠運(yùn)行以及保障其所關(guān)聯(lián)的配電網(wǎng)運(yùn)行不受影響，結(jié)合《電力二次系統(tǒng)安全防護(hù)規(guī)定》《中國南方電網(wǎng)電力監(jiān)控系統(tǒng)安全防護(hù)技術(shù)規(guī)范》，需對該系統(tǒng)采取相應(yīng)的安全防護(hù)技術(shù)措施及管理手段，確保前端所回流至安全生產(chǎn)大區(qū)、信息管理大區(qū)的相關(guān)數(shù)據(jù)信息不受到外界篡改和攻擊，保持其完整性及可用性。

綜合上述分析，為有效保障該系統(tǒng)傳輸數(shù)據(jù)的有效性，避免對電力系統(tǒng)的運(yùn)行造成影響，結(jié)合主網(wǎng)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的管理經(jīng)驗(yàn)，在技術(shù)上需劃分安全區(qū)域（圖2），設(shè)定專用網(wǎng)絡(luò)傳輸通道、路由防護(hù)、網(wǎng)絡(luò)邊界防護(hù)、橫向及縱向隔離裝置等。

2.1 安全分區(qū)方面

智慧配電房監(jiān)控系統(tǒng)在其網(wǎng)絡(luò)空間安全防護(hù)中，將重點(diǎn)加強(qiáng)分區(qū)邊界安全防護(hù)，提升自身的安全保護(hù)能力，并確保與其關(guān)聯(lián)的其他系統(tǒng)不受到影響。根據(jù)《中國南方電網(wǎng)電力監(jiān)控系統(tǒng)安全防護(hù)技術(shù)規(guī)范》的相關(guān)要求以及結(jié)合主網(wǎng)電力監(jiān)控系統(tǒng)的技術(shù)經(jīng)驗(yàn)，安全區(qū)主要?jiǎng)澐譃樾畔⒐芾泶髤^(qū)、生產(chǎn)控制大區(qū)。同時(shí)，為實(shí)現(xiàn)生產(chǎn)控制大區(qū)與管理信息大區(qū)在安全防護(hù)上得到有效的隔離，需在所劃分的2個(gè)區(qū)域之間設(shè)定、部署經(jīng)行業(yè)檢測及認(rèn)證（如：國網(wǎng)實(shí)驗(yàn)驗(yàn)證中心）的橫向單向安全隔離裝置進(jìn)行隔離，確保其防護(hù)措施達(dá)到或接近物理隔離效果，并分別部署防病毒管理中心。

2.1.1 安全生產(chǎn)控制大區(qū)

安全生產(chǎn)控制大區(qū)既是主網(wǎng)電力也是配電網(wǎng)等網(wǎng)絡(luò)監(jiān)控系統(tǒng)的重要管控環(huán)節(jié)，通過縱向認(rèn)證、橫向加密實(shí)現(xiàn)數(shù)據(jù)的傳遞。同時(shí)，生產(chǎn)控制大區(qū)所使用的縱向網(wǎng)絡(luò)需為獨(dú)立的網(wǎng)絡(luò)通道，并作為整個(gè)安全防護(hù)的核心重點(diǎn)。

智慧配電房監(jiān)控系統(tǒng)所采集數(shù)據(jù)需經(jīng)安全生產(chǎn)控制大區(qū)回流至管理信息大區(qū)后臺(tái)數(shù)據(jù)處理中心，其所涉及的業(yè)務(wù)子數(shù)據(jù)來源包括：配電房電力數(shù)據(jù)采集和監(jiān)控、智能感知用戶數(shù)據(jù)、環(huán)境監(jiān)測、視頻流數(shù)據(jù)等，數(shù)據(jù)的傳輸及通信則主要使用配網(wǎng)專用通信光纜或?qū)Ｓ肁PN進(jìn)行實(shí)時(shí)傳輸。

安全技術(shù)防護(hù)方面，由于智慧配電房監(jiān)控系統(tǒng)涉及開關(guān)狀態(tài)、用戶電量數(shù)據(jù)等電力一次、二次系統(tǒng)操作數(shù)據(jù)，因此數(shù)據(jù)在傳輸過程中需通過生產(chǎn)控制大區(qū)進(jìn)行加密處理，并實(shí)現(xiàn)橫向隔離、縱向認(rèn)證。同時(shí)，通過電子數(shù)字認(rèn)證技術(shù)實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證，確保數(shù)據(jù)安全傳輸。

（1）橫向隔離。橫向隔離是必不可少的安全防線之一，所采用的技術(shù)與主網(wǎng)電力相似，生產(chǎn)控制大區(qū)與管理信息大區(qū)之間所需的邊界防護(hù)主要通過部署專用的橫向單向安全隔離裝置實(shí)現(xiàn)。同時(shí)，為有效提高生產(chǎn)控制大區(qū)內(nèi)的安全防護(hù)能力，該區(qū)域內(nèi)部需部署具有訪問控制功能的防火墻、核心交換機(jī)、防病毒管理中心、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）等防護(hù)設(shè)備，實(shí)現(xiàn)邏輯隔離。

結(jié)合系統(tǒng)設(shè)計(jì)以及所采集數(shù)據(jù)傳輸?shù)姆较?，所部署的橫向安全隔離裝置需采用正向隔離及反向隔離等2種類型。反向安全隔離裝置主要應(yīng)用于兩大安全分區(qū)數(shù)據(jù)的單向傳輸，并且作為2個(gè)大區(qū)之間唯一的傳輸通道。根據(jù)設(shè)計(jì)，反向安全隔離裝置主要用于接收管理信息大區(qū)各類數(shù)據(jù)，并對所接收數(shù)據(jù)進(jìn)行簽名驗(yàn)證、過濾，同時(shí)對其有效性進(jìn)行檢查、處理后，傳遞至生產(chǎn)控制大區(qū)內(nèi)部的數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)。

（2）縱向認(rèn)證。縱向加密認(rèn)證作為配電網(wǎng)中的縱向防線，技術(shù)上主要采取專用密碼算法及認(rèn)證、加密技術(shù)實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)端傳輸以及實(shí)現(xiàn)縱向邊界的安全防護(hù)。智慧配電房監(jiān)控系統(tǒng)需進(jìn)行一、二次數(shù)據(jù)以及站房環(huán)境數(shù)據(jù)的實(shí)時(shí)傳輸，數(shù)據(jù)需經(jīng)生產(chǎn)控制大區(qū)回流至管理信息大區(qū)，為確保所傳輸數(shù)據(jù)的有效性以及完整性，數(shù)據(jù)傳輸過程中需進(jìn)行加密及認(rèn)證。由此，需在生產(chǎn)控制大區(qū)與傳輸網(wǎng)之間的縱向連接處安裝縱向加密認(rèn)證設(shè)備或部署認(rèn)證網(wǎng)關(guān)等相關(guān)的硬件防護(hù)設(shè)備，實(shí)現(xiàn)數(shù)據(jù)傳輸過程中的雙向認(rèn)證、加密及訪問控制。

2.1.2 管理信息大區(qū)

管理信息大區(qū)主要用于支撐生產(chǎn)管理及辦公自動(dòng)化等系統(tǒng)的運(yùn)行支撐，是生產(chǎn)控制大區(qū)以外用于支撐各類信息系統(tǒng)穩(wěn)定運(yùn)行的綜合基礎(chǔ)集成平臺(tái)，使用對象主要為本單位內(nèi)部辦公人員。管理信息大區(qū)網(wǎng)絡(luò)縱向采用電力系統(tǒng)內(nèi)部數(shù)據(jù)網(wǎng)，其中用于后臺(tái)數(shù)據(jù)處理及數(shù)據(jù)存儲(chǔ)的主要為IDC機(jī)房專屬局域網(wǎng)，用于前端數(shù)據(jù)展示及發(fā)送故障信息的主要為綜合數(shù)據(jù)網(wǎng)。同時(shí)，管理信息大區(qū)內(nèi)需部署對應(yīng)的區(qū)域邊界防火墻以及用于數(shù)據(jù)處理與展示的各類服務(wù)器、核心交換機(jī)等。

智慧配電房監(jiān)控系統(tǒng)所采集的站房內(nèi)環(huán)境數(shù)據(jù)雖為實(shí)時(shí)數(shù)據(jù)，但根據(jù)其實(shí)時(shí)性、使用對象、主要功能、系統(tǒng)監(jiān)控場所以及對電力系統(tǒng)的影響程度，該系統(tǒng)部署以管理信息大區(qū)為主。技術(shù)方面，根據(jù)網(wǎng)絡(luò)布防要求，智慧配電房監(jiān)控系統(tǒng)部署所在IDC機(jī)房需統(tǒng)一部署主備邊界防火墻、入侵防御系統(tǒng)（IPS）、入侵檢測系統(tǒng)（IDS）、漏洞掃描等安全防護(hù)設(shè)備。

2.2 網(wǎng)絡(luò)通道方面

電力配網(wǎng)通信數(shù)據(jù)網(wǎng)作為智慧配電房所架設(shè)的專用數(shù)據(jù)網(wǎng)絡(luò)，是實(shí)現(xiàn)配網(wǎng)自動(dòng)化的必要前提條件，并且承載在線監(jiān)控、在線運(yùn)維等業(yè)務(wù)功能。電力配網(wǎng)通信數(shù)據(jù)網(wǎng)需通過專用通道并使用區(qū)別于調(diào)度數(shù)據(jù)網(wǎng)、綜合數(shù)據(jù)網(wǎng)等網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)獨(dú)立組網(wǎng)，技術(shù)上需采用MPLS-VPN、安全隧道、PVC、靜態(tài)路由等技術(shù)搭建。另外，由于前期各區(qū)域配電房所涉及面廣、分布點(diǎn)多，建設(shè)期并未實(shí)現(xiàn)組網(wǎng)，由此在未實(shí)現(xiàn)網(wǎng)絡(luò)全覆蓋的情況下，需通過第三方運(yùn)營商的專用光纜通道、5GAPN通道實(shí)現(xiàn)數(shù)據(jù)的傳輸，但需對其設(shè)定安全接入?yún)^(qū)，并部署相應(yīng)的公網(wǎng)安全防護(hù)設(shè)備。

技術(shù)方面，鑒于智慧配電房所采集數(shù)據(jù)的重要性，對于網(wǎng)絡(luò)中的核心設(shè)備以及關(guān)鍵節(jié)點(diǎn)上的核心設(shè)備，需采用雙機(jī)主備，按照《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》制定相關(guān)安全策略，如：禁止使用默認(rèn)的路由策略、關(guān)閉網(wǎng)絡(luò)邊界的OSPF路由功能、關(guān)閉路由器的源路由功能、設(shè)置受信的網(wǎng)絡(luò)地址范圍、開啟訪問控制列表、記錄設(shè)備日志、封閉空閑的網(wǎng)絡(luò)端口等，確保網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。

同時(shí)，智慧配電房所用網(wǎng)絡(luò)與其邊界需采用特定的訪問控制策略，邊界網(wǎng)絡(luò)和安全防護(hù)設(shè)備的策略是否按最小權(quán)限開放，封堵135、137、138、139、445、3389等高危端口，禁用Telnet、FTP、遠(yuǎn)程桌面等高危服務(wù)。對于涉及實(shí)時(shí)控制等重要業(yè)務(wù)，需通過縱向加密認(rèn)證裝置或加密認(rèn)證網(wǎng)實(shí)現(xiàn)生產(chǎn)控制大區(qū)與管理信息大區(qū)的通信。

3 結(jié)語

融合“云大物移智”等新一代技術(shù)的數(shù)字電網(wǎng)建設(shè)，是電網(wǎng)發(fā)展的必然趨勢，但在網(wǎng)絡(luò)信息安全方面同時(shí)面臨著極大的考驗(yàn)。由此，在建設(shè)智慧配電房監(jiān)控系統(tǒng)的過程中，實(shí)現(xiàn)電力系統(tǒng)的數(shù)字化、信息化運(yùn)行，其網(wǎng)絡(luò)空間安全防護(hù)將成為必不可少的一道防線。

參考文獻(xiàn)

[1] 國家電力監(jiān)管委員會(huì).電力二次系統(tǒng)安全防護(hù)規(guī)定[J].安全，2005（28）：59.

[2] 中國南方電網(wǎng)電力監(jiān)控系統(tǒng)安全防護(hù)技術(shù)規(guī)范：Q/CSG1204009-2015[S].