一种配电自动化信息安全防护系统设计

张文哲，赖宇阳，孙宏棣，陈海倩，孔 磊

(1.中国南方电网系统运行部网络安全处，广东 广州 510623)(2.中国南方电网数字电网研究院有限公司，广东 广州 510623)

配电自动化系统在城乡电网的建设中发挥着越来越重要的作用。一般情况下，配电自动化系统主要由配电自动化终端设备、网络通信传输设备和配电自动化系统控制主站等组成[1～4]，其中网络通信系统是配电自动化系统的核心组成部分。文献[5]提出了一种使用“纵横”策略的配电自动化系统，在横向的设备管理上，配电自动化系统控制主站与多个维度的系统进行交互，监控电力系统和设备的良性运转；在纵向的网络通信过程中，其单一通讯方式无法满足其数据采集的需求。配电自动化系统的发展趋势是需要灵活整合有线、无线等多种通信方式，以弥补配电设备数据采集方式不一的弊端，增强系统数据采集能力。

文献[5]未能完美解决安全通信问题和电力设备有线、无线通信的应用弊端。具体来说，即对于通信发达的地区采用有线通信方式、对于偏远的山区采用无线通信的方式，以对不同地区的电力设备数据进行采集。本文提出了一种新型的配电自动化系统(以下简称配电自动化系统)，对其中电力设备的有线和无线通信进行整合，采用安全策略保证数据安全传输，充分保证了系统的安全性、稳定性和可靠性。

1 配电自动化系统信息安全防护要求

《南方电网配电自动化系统安全防护技术规范》规定了配电自动化系统防护目标及要求，其中包括“安全分区，横向隔离，纵向认证，安全监测”的要求。

为满足上述要求，需提供配电加密认证网关、配电应用层认证装置、配电终端安全模块、专用安全芯片、配电手持终端等模块，为配电自动化系统提供全方位、一体化、高可靠性的安全防护。

此外，配电自动化信息系统需满足以下标准：

1)标准性。采用和遵循符合国家电力行业的各种标准和规范，可以对当前配网数据(101规约、104规约等)进行加密。

2)经济性。建设方案应在保证基本业务功能和性能的前提下，尽量降低业主的建设或改造费用。

3)适用性。配电自动化系统的数据传输有以下几种方案：串口数据通过网口发送、串口数据通过4G发送、网口数据通过网口发送、网口数据通过4G发送。方案的设计需要满足各类数据传输环境，适应各种网络环境。

4)安全性。满足配电自动化安全防护要求，做到可双向认证、可密钥协商。

5)可靠性。设备可靠性高，运行稳定，故障率低。

6)可扩展性。通过升级、改造即可满足实际业务扩展对系统功能的需要，满足未来发展的需要。

2 整合有线和无线的配电自动化系统信息安全防护设计

2.1 系统组成

在第1节中论述了配电自动化系统的防护要求，根据这些要求设计系统的安全配置框架[6]，可以得到整合有线和无线的配电自动化安全防护系统组成，如图1所示。

系统在安全防护过程中，终端设备和配电主站之间采用了有线和无线两种不同的通信方式，针对这两种通信方式，采用不同的安全防护措施，保证信息传输的安全性。

对于系统有线通信安全防护策略，配电终端和配电主站之间采用纵向加密认证技术，加密网络传输报文，使得报文无法被窃取和破解，充分保证了报文传输的安全性。配电加密认证网关部署在配电主站与通信网络边界之间，通过与配电终端安全模块建立VPN(virtual private network，虚拟专用网络)隧道，保障系统连接的合法性和数据传输的机密性、完整性和可靠性。

图1 整合有线和无线的配电自动化安全防护系统组成

在采用无线通信方式时[7]，配电自动化安全防护系统最上端采用专用正反向隔离装置，主要作用是识别并屏蔽来自无线网络的非法请求，充分保证数据传输的权限，增强监控系统对无线通信网络中存在的非法攻击、泄密、篡改等威胁电网安全事件的防御，对无线通信网络中的安全隐患做到提前监测、及时处理；在配电终端和专用正反向隔离装置中安置安全接入区，它由无线通讯机和配电认证加密网关组成，配电认证加密网关采用高安全性的通信策略，具有防御网络攻击的能力，保证了无线通信的实时安全。

在无线通信过程中，配电主站应针对无线专网/无线公网的通信方式部署无线通信代理机，并将无线通信代理机置于安全接入区内。无线通信代理机仅具有通信数据采集、转发功能，以及禁止遥控指令的功能。

为了实现无线通信网络中通讯设备的物理隔离，保证数据的单向传输，需要在配电主站的安全接入区和安全前置机之间安装电力工程上专用的正反向隔离装置，保证数据传输的安全性，过滤无效的通信信息。

配电主站的配电应用层认证装置应与前置机同步部署。前置机通过调用配电应用层认证装置的签名协议，可以对下行的参数设置指令和其他系统控制命令进行单向签名操作，实现数据的完整性保护。配电终端安全模块对带有系统控制命令和参数设置指令的下行数据包进行识别，并对配电应用层认证装置的签名进行验签，仅允许验签成功者通过。

在有线和无线网络结构上，通用的通信设备安装部署方式如下：

1)配电应用层认证装置采用旁路模式部署，通过网口连接核心交换机，配电自动化系统通过前置机调用配电应用层认证装置对数据报文进行签名后发送。

2)配电加密认证网关采用桥接模式部署，有线接入区通过网口分别连接在核心交换机和路由器之间，无线接入区连接在无线通信机和电力专用正反向隔离装置之间，与配电终端安全模块建立安全通道，保护传输数据。

3)配电终端安全模块通过桥接模式部署，内嵌板卡通过网口/串口/USB接口连接终端通信模块和业务模块，外接原有通信模块(有线或无线)。

4)配电终端有线安全模块通过网口/串口连接配电终端和路由器，配电终端无线安全模块通过网口/串口与配电终端连接，通信由无线通信模块完成。

5)在无线接入区使用的配电加密认证网关和配电终端安全模块或终端需要分配固定的IP地址。

2.2 安全防护流程

配电自动化系统安全防护包括数据传输安全和业务应用安全两个部分，具体配电自动化系统组成如图2所示。

图2 配电自动化系统组成

2.2.1数据传输安全

系统的配电主站在有线配电数据网、无线公网/无线专网边界处部署配电加密认证网关，为主站系统提供安全服务。配电终端与安全终端组成终端安全子系统，与配电终端安全模块或终端建立VPN隧道，使得配电主站与配电终端之间数据传输在专用的通道中进行，能够快速实现通信的双向认证加密，保证通信报文的加密性和安全性，有效抵御网络攻击等潜在风险。

通信网络中原始数据报文格式如图3所示。

图3 原始数据报文格式图

数据报文通过安全认证网关与配网安全模块之间的安全隧道进行加密传输，在单向的身份认证过程中，采用加密安全性较好的非对称加密算法，密报文格式如图4所示。

图4 密报文格式图

密报文到达加密认证网关或者配电安全模块后，进行报文的重放性检查，确认报文是否完整，对通过检验的密报文进行解密和解封装，恢复原始报文，分别发送给配电终端和配电自动化系统的主站。加密报文格式如图5所示。

图5 加密报文格式图

配电自动化系统的主站使用非对称加密算法对控制报文进行加密，加盖时间戳，使用标准的通信协议对报文和时间戳进行组装，最终组成机密性更好的报文进行发送。配电终端设备在接收到相关的报文后，使用非对称加密的密钥对进行验证，验证报文和时间戳的有效性[8]。这种加密方式既可以应用于有线通信过程中，也可以用于无线通信过程中，能有效对无线通信报文进行上行报文加密。加密过程中可以使用加密技术。报文的加密通信方式见表1。

表1 上下行报文加密通信方式

2.2.2业务应用安全

配电自动化系统向配电终端传递指令，首先调用配电应用层认证装置，对传送过来的报文进行验证，只允许合法的报文通过，丢弃破损的报文，减少通信信息的计算量，提高通信效率。

配电终端安全模块或终端为配电终端提供纵向加密和身份认证服务，与配电主站的配电应用层认证装置、配电加密认证网关配对使用。原始数据报文图如图3所示，实现流程如下：

1)配电自动化系统通过tcp报文向应用层认证装置发起报文认证申请，完成对通信双方身份的鉴定，使用数据签名保证报文完整。

2)应用层认证装置收到请求后，根据调用指令完成指定算法的调用，并将算法调用结果返回至配电自动化系统。

3)配电自动化系统完成控制指令和参数设置指令报文构造后，发送至配电终端。

4)报文通过安全认证网关与配网安全模块之间的安全隧道进行加密传输，加密后报文格式如图5所示。

5)配网终端收到密报文后首先进行解密操作，使用预置的应用层认证装置的公钥进行报文的认证(数据验签)工作，认证通过后将合法报文发送至配网终端。

6)配网终端接收控制指令并完成指定的操作后，向配电自动化系统返回结果，传输时经过安全模块进行加密。

7)安全认证网关收到密文数据后进行解密。

8)安全认证网关将解密后的数据发送至配电自动化系统，完成一轮数据交互。

2.2.3配电自动化系统终端安全模块

配电自动化系统终端安全模块主要部署在配电终端侧，为配电终端设备提供有效的加密认证服务，与配电主站的配电应用层认证装置、配电加密认证网关配合使用。其遵循GM/T 022-2014 IPsec VPN技术规范，并可实现应用层验证功能。

配电加密安全模块硬件由通信平台和安全模块组成，软件以定制的Linux操作系统为平台，其上运行安全网关应用软件。通信平台上的通用处理器与内存、Flash共同构成了一个通用CPU系统。

配电加密安全模块提供2个10/100 M电通信作为通信口，安装点一般位于路由器和交换机之间。配电加密认证网关拦截内外两个网口上的所有以太网帧，只有满足安全要求的报文才能最终到达配电终端。对于发送的需要加密的报文调用加密算法进行加密，然后封装后发送出去；对于接收的需要解密的报文使用安全模块进行解密，然后发送到被保护配电主站，按照IPsec VPN技术规范拦截和处理。

3 结果与讨论

3.1 系统应用情况

中国南方电网有限责任公司(以下简称南方电网)于2016年6月开展了整合有线和无线的新型配电自动化安全防护系统建设，涉及到300多条10 kV线路，共接入1 241个配电终端，32座开闭站，112台环网柜，已建成VPN通信专网和无线公网，保证了配电自动化系统的主站和终端设备之间有线和无线通信的高安全性，完善了网架结构。

配电主站采用了TOSCAN3300系统，主要实现对配电SCADA、配电高级应用等模块的集成，数据在多个应用中共享。采用加密技术、防火墙技术和正反向物理隔离装置等一系列措施对配电数据进行安全防护。采用保护管理机的接入方式对配电终端进行建设，实现了光伏发电、电缆头测温、电能质量监测等多种智能单元的接入。

新型配电自动化安全防护系统的核心模块是通信模块，有线通信以光纤为主，无线通信以GPRS(general packet radio service，通用无线分组业务)和中压电力载波技术为主，组建了配网调度数据网和综合数据网，实现了调度信息和管理信息的双网隔离。

3.2 系统建设成果

整合有线和无线的配电自动化建设，进一步优化了南方电网的配电网架结构，对于通信发达的地区主要采用有线相连的方式通信，对于基础设施建设匮乏的山区，采用无线通信的方式，这样可以保证南方电网对于整体配电系统的把控，充分发挥配电自动化系统转战的控制作用。

对新型配电自动化信息安全防护系统的服务器进行彻底的升级改造，配电自动化系统的主站月平均运行率高达100%，有力保障了配电设备之间的通信能力，配电终端在线率高达95.44%，而传统的配电自动化的配电终端在线率只有42.45%，充分说明了整合有线和无线的配电自动化系统安全防护设计的有效性。配电终端设备在线率如图6所示。

传统的配电自动化系统随时可能出现无线信号较差的问题，主要原因如下：1)网络通信设备损坏；2)网络通信性能低下；3)基站覆盖不到位。而采用整合的有线和无线的配电自动化系统能有效解决无线信号差的问题，传统配电自动化系统与本文设计的配电自动化系统性能对比见表2。

图6 配电终端设备在线率

表2 配电自动化系统性能对比

由表2可知，本文设计的配电自动化系统抵御了来自网络中的各种非法数据窃取与病毒侵害，每月防御量达到9 000多起，无线、有线信号在强度和质量上都比传统的配电自动化系统好，特别在数据传输安全指标上，更是领先。

3.3 系统运维

新型配电自动化系统运维主要应用在电力运检领域，厂站在线运行设备通过安全密码模块提供4G无线接入功能，运检人员通过移动安全加密智能手持终端采集系统配电终端[9]运行数据，并记录到手持终端中，如图7所示。

运检人员再通过手持设备与主站安全加密网关进行通信，把手持终端采集的数据上传到主站采集系统中，通信过程加密防护，保证上行报文的安全传输。移动安全加密智能手持终端具备条码扫描、RPID(低、高、超高频)射频通信、电力红外抄表、温度采集、IC卡/磁条卡读写、热敏打印、指纹识别、身份证读写等功能[10]，并通过专用密码模块实现无线通信的密码安全防护。

4 结论与展望

针对基础设施发展水平不一的地区，为了实现配电自动化的智能应用，本文创新性地提出了整合有线和无线的配电自动化系统，对于基础设施建设良好的地区使用有线通信配置，对于偏远地区无法进行有线通信的位置，采用无线信号通信配置。为了提高整个配电自动化系统的数据通信安全，使用安全监测技术、数据传输加密技术、身份鉴定技术和专用网络技术等，实现了配电自动化系统的自身免疫，构建了高安全等级的安全防护系统。

图7 运维产品应用场景

在保证配电智能化的同时，本文提出的配电自动化系统使得通信数据的传输较为安全，能抵御多种网络攻击。随着人工智能的发展，新兴的人工智能技术将会提高配电自动化系统的整体效能，如何借助人工智能技术进一步提高配电自动化系统的防护效能有待进一步探索。