32 上行数据保护.doc

配电网自动化安全防护系统 系统概述 指导规范 2011年初，国家电网公司为了保障配电网安全稳定运行，对《电力二次系统安全防护总体方案》及配套的《配电二次系统安全防护方案》（电监安全〔2006〕34 号）进一步细化与补充，制定发布了《关于加强配电网自动化系统安全防护工作的通知》（国家电网调〔2011〕168号,以下简称“168文件”），文件参照 “安全分区、网络专用、横向隔离、纵向认证”的原则，明确“防止通过公共网络对子站进行攻击，造成用户供电中断；防止通过公共网络和用户终端入侵主站，造成更大范围的安全风险”的目标，并着重强调：配电网自动化系统主站与子站及终端无论采用哪种通信方式，都应对控制指令使用基于非对称密钥的单向认证加密技术进行安全防护。 实现目标 安全接入模块配合密码机的构架方式，可以实现对配电网中上下行报文的真实性、完整性保护；算法方面采用非对称国密SM2算法进行数据签名和加密，采用国密SM3算法完成数据摘要计算。响应国家政策，符合了《关于加强配电网自动化系统安全防护工作的通知》（国家电网调〔2011〕168号,以下简称“168文件”）的要求。 体系介绍 针对配电网自动化系统没有对身份进行鉴别与报文完整性验证的安全隐患，采取了下图所示的措施： 图 1 安全接入模块逻辑部署图 在主站管理系统中部署密码机，在各终端部署安全接入模块，以达到安全接入模块与主站之间的身份相互鉴别与报文完整性保护问题。 应用流程 下行数据保护 主站对终端下行信息尤为重要，但是主站下发的控制指令采用IEC 60870-5-101、IEC 60870-5-104规约，未经加密，以明文的形式通过网络介质进行传输，不具备光纤专网通信条件的中低压配电网而采用了公网通信的方式传输控制指令，通信过程中数据没有得到安全有效的保护。 本系统采用非对称算法进行保护，主站传输的下行数据通过密码机进行基于非对称加密技术的身份认证签名，实现数据报文的完整性保护和主站身份鉴别。同时添加随机数，保证数据报文的时效性，通过配电信息采集系统原有通信方式将信息传输至安全接入模块。安全接入模块进行身份的认证，信息完整性、时效性及正确性的判断，并将有效数据提供给终端设备。 上行数据保护 大部分地区对终端发送的上行数据未作安全保护措施，有可能被黑客恶意仿造大量上行数据，影响主站前置机正常处理数据能力，同样对网络造成威胁。上行信息作为主站数据存储、分析的依据以及控制指令执行效果的判断，非常有必要进行数据安全防护。 配电终端的上行数据通过安全接入模块生成摘要，计算相关的MAC值，并使用终端的私钥对摘要+MAC进行签名。通过配网原有通信方式传输至主站，主站通过密码机进行终端身份和数据的校验，将有效数据传输至主站设备，保障数据传输的真实性和完整性。有效防止系统面临来自公共网络攻击的风险，保障配电网络安全稳定运行。 系统组成 本系统由如下模块及设备组成： 安全接入模块： 电口安全接入模块：双网络接口结构，分别连接测控终端和本地网络，可支持5-36v供电方式； 串口安全接入模块：双串口结构，分别连接测控终端和通信模块，可支持5-36v供电方式； 安全 GPRS/3G DTU：单串口结构，连接测控终端，可支持5-36v供电方式。 嵌入式软件模式：采用非对称国密SM2算法进行数据签名和加密，采用国密SM3算法完成数据摘要计算，可嵌入配电终端运行。 中心端密码机/设备： 主机加密机：双网口结构，分别连接前置服务器和外部网络。 数据密码卡：通过国家密码管理局鉴定，支持SM1、SM2、SM3国密算法，PCI-E*1，签名速率1000次/秒。 配电网自动化安全防护系统 4