配电通信系统安全防护方案研究.docVIP

精品论文 参考文献 配电通信系统安全防护方案研究 (安徽南瑞继远电网技术有限公司 安徽合肥 230088) 摘要: 文章分析了配电通信系统在安全防护方面存在的问题,提出了安全防护需求，明确了配网通信系统的结构及各层级的安全防护对象，并对各层级的安全防护技术进行了深入的研究；最后针对配网通信系统的几种组网方式，提出了相应的安全防护方案。 关键词: 配电通信系统；安全防护 引言#61472; 配电通信系统是配电自动化系统的重要组成部分，随配电自动化项目同步建设，对配电网的安全稳定、经济运行等起着关键作用。随着配电自动化项目的逐步实施，配电通信网建设达到一定规模，有效支撑了配电自动化业务的可靠运行。但也逐步暴露出一些共性问题，如配电通信网总体架构不明确，建设、管理和运维模式不统一，标准体系不完善等。其中配电通??网的安全防护问题尤为突出，从2006年至今，管理部门陆续下发了《电力二次系统安全防护总体方案》及与配电行业对应的《配电二次系统安全防护方案》、《中低压配电网自动化系统安全防护补充规定》及《电力监控系统安全防护规定》，逐步丰富并完善配电通信网的安全防护问题。 本文基于最新发布的《电力监控系统安全防护规定》，从配电通信网的系统结构入手，分析了各层级的安全防护问题及需求，研究配电通信网的安全防护体系，并针对配电自动化系统的三层架构，提出了配电通信系统的总体防护方案及各层的防护方案。 配电通信系统安全防护问题及需求分析 1.1 安全防护问题 配电通信网的安全防护问题主要表现为： 缺乏统一的安全防护标准：原国家电力监管委员会及国家电网公司都相继发布过有关电力二次系统安全防护的相关规定，其中关于采用无线公网的安全问题描述不尽相同，电监会的规定中禁止采用无线公网传输控制指令；由于配电网的快速发展，部分不具备光纤通信条件的中低压配电网采用了公网通信方式传输控制指令，面临来自公共网络攻击的风险，同时存在通过子站终端入侵主站，造成更大范围的安全威胁[4]。为此，国家电网(调)168号文对配电网二次系统安全防护方案中的相关措施做了进一步细化与补充。两个文件中存在描述差异导致在配电通信网的规划设计实施中缺乏标准依据。 缺乏接入网的安全防护策略及措施：接入网涉及多种通信方式，对无线公网、无线专网以及光纤通信的安全防护不能一概而论，而应根据技术体制的安全特性进行相应的安全防护措施，尚无明确规定应采取的安全策略及安全措施。 1.2 安全防护需求 配网通信系统的安全防护需求可概括为： （1)需明确配网通信系统的架构，对配网通信系统的层级进行统一划分。 （2)应明确配网通信系统各层级的安全防护对象、技术及手段，提出系统性的安全防护措施。 （3)针对主流通信技术体制，提出安全防护方案。 2 配电通信系统安全防护研究 2.1 配电通信系统体系架构 配电通信网的网络架构采用骨干层、接入层的分层建设模式，配网通信所涉及的节点类型包括配电自动化主站、配电自动化子站（可选）、配电自动化终端。配电通信网逻辑结构如图1所示。 通信骨干层：采用公司四级骨干网，主要采用SDH/MSTP等技术。 通信接入层：通过光纤、无线专网、无线公网等传输方式接入配电终端。随着通信技术及安全技术的不断发展，接入方式也随之更新。 2.2 各层级安全防护 按照图1所示，配网通信系统的信息安全性包括主站、子站/终端，以及通信接入层设备及通道。安全防护措施应满足《电力监控系统安全防护规定》[3]和国家电网调〔2011〕168号文件[4]的要求。 配电自动化主站应采用经国家指定部门检测认证的电力专用正反向隔离装置实现横向边界防护，隔离强度接近或达到物理隔离。主站前置机需配置安全模块，对下行控制命令与参数设置指令进行签名，实现子站/终端对主站的身份鉴别与报文完整性保护。对于采用无线公网作为通信信道的前置机，与主站之间应采用防火墙等逻辑隔离措施，实现无线公网与主站的隔离。禁止无线公网与调度数据网直接相连。 配电子站/终端设备应配置安全模块，对来源于主站的控制命令和参数设置指令进行安全鉴别和数据完整性验证。 光纤通信技术应采用身份认证及加密机制、虚拟局域网VLAN技术及网络安全管理机制保证配电业务的安全传输。 无线专网通信应支持终端与基站的认证、支持国际主流加密算法、支持信令与数