论文部分内容阅读
[摘 要]智慧配电房监控系统目标在于监控、防护配电网的稳定运行,需具备抵御各种攻击、渗透、非法篡改等各类恶意破坏与攻击的能力,确保电力监控系统网络安全受控,并有效避免电网整个系统的安全遭受非法控制。智慧配电房监控系统将前端边缘感知数据、信息系统、智能终端设备等实现互联,由于配电房的覆盖范围广,在整体物联网中组成一个巨大的信息网络空间。现阶段智慧配电房监控系统在逐步铺开建设,其所涉及的网络空间安全防护仍需进一步完善、强化,如网络传输通道、各安全区域的安全防护等,文章就智慧配电房网络空间的防护问题进一步探讨。
[关键词]智慧配电房;网络空间;安全防护;安全分区
[中图分类号]TM63 [文献标志码]A [文章编号]2095–6487(2021)01–0–03
Cyberspace Security Protection of Smart Power Distribution
Room Based on Internet of Things Technology
Zhang Jian-feng
[Abstract]The goal of the intelligent power distribution room monitoring system is to monitor and protect the stable operation of the distribution network. It needs to be able to resist various attacks, infiltrations, illegal tampering and other malicious damage and attacks, and to ensure that the power monitoring system network is securely controlled. And effectively avoid illegal control of the security of the entire system of the power grid. The smart power distribution room monitoring system interconnects front-end edge sensing data, information systems, and smart terminal equipment. Due to the wide coverage of the power distribution room, a huge information network space is formed in the overall Internet of Things. At this stage, the intelligent power distribution room monitoring system is gradually being rolled out, and the cyberspace security protection it involves still needs to be further improved and strengthened, such as network transmission channels and security protection in various safe areas.
[Keywords]smart power distribution room; cyberspace; security protection; security zoning
智慧配电房监控系统目标在于监控、防护配电网的稳定运行,需具备抵御各种攻击、渗透、非法篡改等各类恶意破坏与攻击的能力,有效避免电网整个系统的安全遭受非法控制,并杜绝出现的大面积停电。智慧配电房监控系统作为智能配电网建设的支撑平台,强化智慧配电房数据传输的边界防护,在提升整体网络空间安全管控,确保智能配电网系统的稳定运行显得尤为重要。
根据智慧配电房监控系统的需求与逻辑设计,该系统可涉及网络空间安全防护范围主要包括:安全区内部防护、传输通道、电子数据证书技术、入侵检测、操作系统、物理安全等等。本文将结合该系统在生产控制大区及管理信息大区等重点安全防护环节进行论述。
1 智慧配电房监控系统组成架构
智慧配电房监控系统主要由边缘处理层的感知系统(图1)、网络传输专用通道、系统应用平台层以及前端应用层等组成。其中,感知层主要涵盖了数据采集模块、传感器、站房内视频监控等各项数据;网络层包括智能网关设备、无线接入设备、专用传输通道等;平台层则主要是配电房数据可视化平台,用于统计、分析以及监控所采集数据,应用层主要为PC端前侧用于实时展示监控数据以及接收报警信息。
2 智慧配电房数据传输面临的安全风险
智慧配电房监控系统将前端边缘感知数据、信息系统、智能终端设备等实现互联。区域内各配电房覆盖范围广、分布点多,在整体物联网中组成一个巨大的信息网络空间。同时,因配电网建初期在专用网络、安全防护等方面仍存在需进一步完善,为确保该系统的稳定、可靠运行以及保障其所关联的配电网运行不受影响,结合《电力二次系统安全防护规定》《中国南方电网电力监控系统安全防护技术规范》,需对该系统采取相应的安全防护技术措施及管理手段,确保前端所回流至安全生产大区、信息管理大区的相关数据信息不受到外界篡改和攻击,保持其完整性及可用性。
综合上述分析,为有效保障该系统传输数据的有效性,避免对电力系统的运行造成影响,结合主网电力监控系统网络安全的管理经驗,在技术上需划分安全区域(图2),设定专用网络传输通道、路由防护、网络边界防护、横向及纵向隔离装置等。 2.1 安全分区方面
智慧配电房监控系统在其网络空间安全防护中,将重点加强分区边界安全防护,提升自身的安全保护能力,并确保与其关联的其他系统不受到影响。根据《中国南方电网电力监控系统安全防护技术规范》的相关要求以及结合主网电力监控系统的技术经验,安全区主要划分为信息管理大区、生产控制大区。同时,为实现生产控制大区与管理信息大区在安全防护上得到有效的隔离,需在所划分的2个区域之间设定、部署经行业检测及认证(如:国网实验验证中心)的横向单向安全隔离装置进行隔离,确保其防护措施达到或接近物理隔离效果,并分别部署防病毒管理中心。
2.1.1 安全生产控制大区
安全生产控制大区既是主网电力也是配电网等网络监控系统的重要管控环节,通过纵向认证、横向加密实现数据的传递。同时,生产控制大区所使用的纵向网络需为独立的网络通道,并作为整个安全防护的核心重点。
智慧配电房监控系统所采集数据需经安全生产控制大区回流至管理信息大区后台数据处理中心,其所涉及的业务子数据来源包括:配电房电力数据采集和监控、智能感知用户数据、环境监测、视频流数据等,数据的传输及通信则主要使用配网专用通信光缆或专用APN进行实时传输。
安全技术防护方面,由于智慧配电房监控系统涉及开关状态、用户电量数据等电力一次、二次系统操作数据,因此数据在传输过程中需通过生产控制大区进行加密处理,并实现横向隔离、纵向认证。同时,通过电子数字认证技术实现高强度的身份认证,确保数据安全传输。
(1)横向隔离。横向隔离是必不可少的安全防线之一,所采用的技术与主网电力相似,生产控制大区与管理信息大区之间所需的边界防护主要通过部署专用的横向单向安全隔离装置实现。同时,为有效提高生产控制大区内的安全防护能力,该区域内部需部署具有访问控制功能的防火墙、核心交换机、防病毒管理中心、数据采集与监视控制系统(SCADA)等防护设备,实现逻辑隔离。
结合系统设计以及所采集数据传输的方向,所部署的横向安全隔离装置需采用正向隔离及反向隔离等2种类型。反向安全隔离装置主要应用于两大安全分区数据的单向传输,并且作为2个大区之间唯一的传输通道。根据设计,反向安全隔离装置主要用于接收管理信息大区各类数据,并对所接收数据进行签名验证、过滤,同时对其有效性进行检查、处理后,传递至生产控制大区内部的数据采集与监视控制系统。
(2)纵向认证。纵向加密认证作为配电网中的纵向防线,技术上主要采取专用密码算法及认证、加密技术实现数据的远端传输以及实现纵向边界的安全防护。智慧配电房监控系统需进行一、二次数据以及站房环境数据的实时传输,数据需经生产控制大区回流至管理信息大区,为确保所传输数据的有效性以及完整性,数据传输过程中需进行加密及认证。由此,需在生产控制大区与传输网之间的纵向连接处安装纵向加密认证设备或部署认证网关等相关的硬件防护设备,实现数据传输过程中的双向认证、加密及访问控制。
2.1.2 管理信息大区
管理信息大区主要用于支撑生产管理及办公自动化等系统的运行支撑,是生产控制大区以外用于支撑各类信息系统稳定运行的综合基础集成平台,使用对象主要为本单位内部办公人员。管理信息大区网络纵向采用电力系统内部数据网,其中用于后台数据处理及数据存储的主要为IDC机房专属局域网,用于前端数据展示及发送故障信息的主要为综合数据网。同时,管理信息大区内需部署对应的区域边界防火墙以及用于数据处理与展示的各类服务器、核心交换机等。
智慧配电房监控系统所采集的站房内环境数据虽为实时数据,但根据其实时性、使用对象、主要功能、系统监控场所以及对电力系统的影响程度,该系统部署以管理信息大区为主。技术方面,根据网络布防要求,智慧配电房监控系统部署所在IDC机房需统一部署主备边界防火墙、入侵防御系统(IPS)、入侵检测系统(IDS)、漏洞扫描等安全防护设备。
2.2 网络通道方面
电力配网通信数据网作为智慧配电房所架设的专用数据网络,是实现配网自动化的必要前提条件,并且承载在线监控、在线运维等业务功能。电力配网通信数据网需通过专用通道并使用区别于调度数据网、综合数据网等网络设备实现独立组网,技术上需采用MPLS-VPN、安全隧道、PVC、静态路由等技术搭建。另外,由于前期各区域配电房所涉及面广、分布点多,建设期并未实现组网,由此在未实现网络全覆盖的情况下,需通过第三方运营商的专用光缆通道、5GAPN通道实现数据的传输,但需对其设定安全接入区,并部署相应的公网安全防护设备。
技术方面,鉴于智慧配电房所采集数据的重要性,对于网络中的核心设备以及关键节点上的核心设备,需采用双机主备,按照《电力监控系统安全防护规定》制定相关安全策略,如:禁止使用默认的路由策略、关闭网络边界的OSPF路由功能、关闭路由器的源路由功能、设置受信的網络地址范围、开启访问控制列表、记录设备日志、封闭空闲的网络端口等,确保网络的稳定运行。
同时,智慧配电房所用网络与其边界需采用特定的访问控制策略,边界网络和安全防护设备的策略是否按最小权限开放,封堵135、137、138、139、445、3389等高危端口,禁用Telnet、FTP、远程桌面等高危服务。对于涉及实时控制等重要业务,需通过纵向加密认证装置或加密认证网实现生产控制大区与管理信息大区的通信。
3 结语
融合“云大物移智”等新一代技术的数字电网建设,是电网发展的必然趋势,但在网络信息安全方面同时面临着极大的考验。由此,在建设智慧配电房监控系统的过程中,实现电力系统的数字化、信息化运行,其网络空间安全防护将成为必不可少的一道防线。
参考文献
[1] 国家电力监管委员会.电力二次系统安全防护规定[J].安全,2005(28):59.
[2] 中国南方电网电力监控系统安全防护技术规范:Q/CSG1204009-2015[S].
[关键词]智慧配电房;网络空间;安全防护;安全分区
[中图分类号]TM63 [文献标志码]A [文章编号]2095–6487(2021)01–0–03
Cyberspace Security Protection of Smart Power Distribution
Room Based on Internet of Things Technology
Zhang Jian-feng
[Abstract]The goal of the intelligent power distribution room monitoring system is to monitor and protect the stable operation of the distribution network. It needs to be able to resist various attacks, infiltrations, illegal tampering and other malicious damage and attacks, and to ensure that the power monitoring system network is securely controlled. And effectively avoid illegal control of the security of the entire system of the power grid. The smart power distribution room monitoring system interconnects front-end edge sensing data, information systems, and smart terminal equipment. Due to the wide coverage of the power distribution room, a huge information network space is formed in the overall Internet of Things. At this stage, the intelligent power distribution room monitoring system is gradually being rolled out, and the cyberspace security protection it involves still needs to be further improved and strengthened, such as network transmission channels and security protection in various safe areas.
[Keywords]smart power distribution room; cyberspace; security protection; security zoning
智慧配电房监控系统目标在于监控、防护配电网的稳定运行,需具备抵御各种攻击、渗透、非法篡改等各类恶意破坏与攻击的能力,有效避免电网整个系统的安全遭受非法控制,并杜绝出现的大面积停电。智慧配电房监控系统作为智能配电网建设的支撑平台,强化智慧配电房数据传输的边界防护,在提升整体网络空间安全管控,确保智能配电网系统的稳定运行显得尤为重要。
根据智慧配电房监控系统的需求与逻辑设计,该系统可涉及网络空间安全防护范围主要包括:安全区内部防护、传输通道、电子数据证书技术、入侵检测、操作系统、物理安全等等。本文将结合该系统在生产控制大区及管理信息大区等重点安全防护环节进行论述。
1 智慧配电房监控系统组成架构
智慧配电房监控系统主要由边缘处理层的感知系统(图1)、网络传输专用通道、系统应用平台层以及前端应用层等组成。其中,感知层主要涵盖了数据采集模块、传感器、站房内视频监控等各项数据;网络层包括智能网关设备、无线接入设备、专用传输通道等;平台层则主要是配电房数据可视化平台,用于统计、分析以及监控所采集数据,应用层主要为PC端前侧用于实时展示监控数据以及接收报警信息。
2 智慧配电房数据传输面临的安全风险
智慧配电房监控系统将前端边缘感知数据、信息系统、智能终端设备等实现互联。区域内各配电房覆盖范围广、分布点多,在整体物联网中组成一个巨大的信息网络空间。同时,因配电网建初期在专用网络、安全防护等方面仍存在需进一步完善,为确保该系统的稳定、可靠运行以及保障其所关联的配电网运行不受影响,结合《电力二次系统安全防护规定》《中国南方电网电力监控系统安全防护技术规范》,需对该系统采取相应的安全防护技术措施及管理手段,确保前端所回流至安全生产大区、信息管理大区的相关数据信息不受到外界篡改和攻击,保持其完整性及可用性。
综合上述分析,为有效保障该系统传输数据的有效性,避免对电力系统的运行造成影响,结合主网电力监控系统网络安全的管理经驗,在技术上需划分安全区域(图2),设定专用网络传输通道、路由防护、网络边界防护、横向及纵向隔离装置等。 2.1 安全分区方面
智慧配电房监控系统在其网络空间安全防护中,将重点加强分区边界安全防护,提升自身的安全保护能力,并确保与其关联的其他系统不受到影响。根据《中国南方电网电力监控系统安全防护技术规范》的相关要求以及结合主网电力监控系统的技术经验,安全区主要划分为信息管理大区、生产控制大区。同时,为实现生产控制大区与管理信息大区在安全防护上得到有效的隔离,需在所划分的2个区域之间设定、部署经行业检测及认证(如:国网实验验证中心)的横向单向安全隔离装置进行隔离,确保其防护措施达到或接近物理隔离效果,并分别部署防病毒管理中心。
2.1.1 安全生产控制大区
安全生产控制大区既是主网电力也是配电网等网络监控系统的重要管控环节,通过纵向认证、横向加密实现数据的传递。同时,生产控制大区所使用的纵向网络需为独立的网络通道,并作为整个安全防护的核心重点。
智慧配电房监控系统所采集数据需经安全生产控制大区回流至管理信息大区后台数据处理中心,其所涉及的业务子数据来源包括:配电房电力数据采集和监控、智能感知用户数据、环境监测、视频流数据等,数据的传输及通信则主要使用配网专用通信光缆或专用APN进行实时传输。
安全技术防护方面,由于智慧配电房监控系统涉及开关状态、用户电量数据等电力一次、二次系统操作数据,因此数据在传输过程中需通过生产控制大区进行加密处理,并实现横向隔离、纵向认证。同时,通过电子数字认证技术实现高强度的身份认证,确保数据安全传输。
(1)横向隔离。横向隔离是必不可少的安全防线之一,所采用的技术与主网电力相似,生产控制大区与管理信息大区之间所需的边界防护主要通过部署专用的横向单向安全隔离装置实现。同时,为有效提高生产控制大区内的安全防护能力,该区域内部需部署具有访问控制功能的防火墙、核心交换机、防病毒管理中心、数据采集与监视控制系统(SCADA)等防护设备,实现逻辑隔离。
结合系统设计以及所采集数据传输的方向,所部署的横向安全隔离装置需采用正向隔离及反向隔离等2种类型。反向安全隔离装置主要应用于两大安全分区数据的单向传输,并且作为2个大区之间唯一的传输通道。根据设计,反向安全隔离装置主要用于接收管理信息大区各类数据,并对所接收数据进行签名验证、过滤,同时对其有效性进行检查、处理后,传递至生产控制大区内部的数据采集与监视控制系统。
(2)纵向认证。纵向加密认证作为配电网中的纵向防线,技术上主要采取专用密码算法及认证、加密技术实现数据的远端传输以及实现纵向边界的安全防护。智慧配电房监控系统需进行一、二次数据以及站房环境数据的实时传输,数据需经生产控制大区回流至管理信息大区,为确保所传输数据的有效性以及完整性,数据传输过程中需进行加密及认证。由此,需在生产控制大区与传输网之间的纵向连接处安装纵向加密认证设备或部署认证网关等相关的硬件防护设备,实现数据传输过程中的双向认证、加密及访问控制。
2.1.2 管理信息大区
管理信息大区主要用于支撑生产管理及办公自动化等系统的运行支撑,是生产控制大区以外用于支撑各类信息系统稳定运行的综合基础集成平台,使用对象主要为本单位内部办公人员。管理信息大区网络纵向采用电力系统内部数据网,其中用于后台数据处理及数据存储的主要为IDC机房专属局域网,用于前端数据展示及发送故障信息的主要为综合数据网。同时,管理信息大区内需部署对应的区域边界防火墙以及用于数据处理与展示的各类服务器、核心交换机等。
智慧配电房监控系统所采集的站房内环境数据虽为实时数据,但根据其实时性、使用对象、主要功能、系统监控场所以及对电力系统的影响程度,该系统部署以管理信息大区为主。技术方面,根据网络布防要求,智慧配电房监控系统部署所在IDC机房需统一部署主备边界防火墙、入侵防御系统(IPS)、入侵检测系统(IDS)、漏洞扫描等安全防护设备。
2.2 网络通道方面
电力配网通信数据网作为智慧配电房所架设的专用数据网络,是实现配网自动化的必要前提条件,并且承载在线监控、在线运维等业务功能。电力配网通信数据网需通过专用通道并使用区别于调度数据网、综合数据网等网络设备实现独立组网,技术上需采用MPLS-VPN、安全隧道、PVC、静态路由等技术搭建。另外,由于前期各区域配电房所涉及面广、分布点多,建设期并未实现组网,由此在未实现网络全覆盖的情况下,需通过第三方运营商的专用光缆通道、5GAPN通道实现数据的传输,但需对其设定安全接入区,并部署相应的公网安全防护设备。
技术方面,鉴于智慧配电房所采集数据的重要性,对于网络中的核心设备以及关键节点上的核心设备,需采用双机主备,按照《电力监控系统安全防护规定》制定相关安全策略,如:禁止使用默认的路由策略、关闭网络边界的OSPF路由功能、关闭路由器的源路由功能、设置受信的網络地址范围、开启访问控制列表、记录设备日志、封闭空闲的网络端口等,确保网络的稳定运行。
同时,智慧配电房所用网络与其边界需采用特定的访问控制策略,边界网络和安全防护设备的策略是否按最小权限开放,封堵135、137、138、139、445、3389等高危端口,禁用Telnet、FTP、远程桌面等高危服务。对于涉及实时控制等重要业务,需通过纵向加密认证装置或加密认证网实现生产控制大区与管理信息大区的通信。
3 结语
融合“云大物移智”等新一代技术的数字电网建设,是电网发展的必然趋势,但在网络信息安全方面同时面临着极大的考验。由此,在建设智慧配电房监控系统的过程中,实现电力系统的数字化、信息化运行,其网络空间安全防护将成为必不可少的一道防线。
参考文献
[1] 国家电力监管委员会.电力二次系统安全防护规定[J].安全,2005(28):59.
[2] 中国南方电网电力监控系统安全防护技术规范:Q/CSG1204009-2015[S].