高 健，劉 萍

電力專用縱向加密認證網(wǎng)關(guān)的技術(shù)應(yīng)用＊

高 健1，2，劉 萍2

（1.華北電力大學(xué)電氣與電子工程學(xué)院，北京102206；2.湖州電力局，浙江湖州313000）

電力專用縱向加密認證網(wǎng)關(guān)用于生產(chǎn)控制大區(qū)的廣域邊界防護，為電力網(wǎng)關(guān)機之間的廣域通信提供認證與加密功能，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性和完整性保護.

加密認證；機密性；完整性

計算機網(wǎng)絡(luò)技術(shù)和通信技術(shù)的發(fā)展，對電力調(diào)度數(shù)據(jù)網(wǎng)和監(jiān)控系統(tǒng)的安全性、可靠性和實時性構(gòu)成了嚴重的挑戰(zhàn).如二灘水電廠控制系統(tǒng)停機、某公司故障錄波系統(tǒng)出現(xiàn)時間邏輯炸彈，以及龍泉、政平、鵝城換流站控制系統(tǒng)病毒事件都為我們敲響了警鐘.因此電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性，以及如何保證調(diào)度主站與子站RTU之間報文的安全傳輸已成為當(dāng)前需要考慮和解決的問題.

為保障生產(chǎn)控制大區(qū)與廣域網(wǎng)縱向數(shù)據(jù)傳輸過程中的數(shù)據(jù)機密性、完整性和真實性，根據(jù)實際情況，我們選擇在調(diào)度主站和所直接采集信息的500k V、220k V子站兩側(cè)電力控制系統(tǒng)的內(nèi)部局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的路由器之間部署電力專用縱向加密認證網(wǎng)關(guān).

1 縱向加密認證網(wǎng)關(guān)的技術(shù)應(yīng)用概況

1.1 縱向加密認證網(wǎng)關(guān)的功能特點

（1）靈活的工作模式.縱向加密認證網(wǎng)關(guān)的工作模式支持網(wǎng)關(guān)模式、透明路由、地址借用三種模式，充分考慮了該裝置在部署過程中的不同網(wǎng)絡(luò)情況要求.在透明模式下工作時，可以完全透明的接入該裝置，不用對原來網(wǎng)絡(luò)的結(jié)構(gòu)有任何改變；在網(wǎng)關(guān)工作模式下，可以作為一個簡單路由器來使用；在地址借用模式下，可以代理裝置身后的路由器交換機應(yīng)答，并借用交換機的地址進行隧道協(xié)商及密文通信；靈活的工作模式提高了網(wǎng)絡(luò)的安全穩(wěn)定性.

（2）防御網(wǎng)絡(luò)攻擊能力.縱向加密認證網(wǎng)關(guān)本身能夠在一定程度上防御常見的網(wǎng)絡(luò)攻擊，包括ARP Attack、Ping Attack、Ping of Death Attack、Smurf Attack、Unreachable Host Attack、Land Attack、Teardrop Attack、Syn Attack等，能充分體現(xiàn)裝置的防御網(wǎng)絡(luò)攻擊能力.

（3）監(jiān)視功能.縱向加密認證網(wǎng)關(guān)提供了良好的監(jiān)視功能，能對設(shè)備的狀態(tài)信息、隧道信息，以及基于隧道之上的安全策略信息進行監(jiān)視.

（4）日志記錄功能.縱向加密認證裝置對進行的操作和發(fā)生的事件均有日志記錄，格式完全按照“SYSLOG”規(guī)范.日志信息包括時間、事件類型.該日志內(nèi)容可以分別通過不同用戶的需求和配置，通過“串口”或者“網(wǎng)口”進行日志信息的發(fā)布和相應(yīng)報警信息的引出.可以導(dǎo)出日志信息備份到本地硬盤中.

（5）報文探測功能.電力縱向加密認證網(wǎng)關(guān)有特殊的探測報文，類似PING功能，能夠顯示對方裝置的安全模式是安全還是旁路，設(shè)備狀態(tài)是正常還是異常，設(shè)備是主還是備.

（6）專用性.①具有特殊的安全功能（專用算法、專用協(xié)議、電力應(yīng)用數(shù)據(jù)安全控制等）；②全國調(diào)度系統(tǒng)的互聯(lián)互通.

1.2 部署方案

（1）500k V變電站安裝縱向加密認證網(wǎng)關(guān)的部署方案.目前，500k V含山變采用的是浙江500k V變電站標準接入方式：雙交換雙路由的方形接入模式，兩臺華為交換機啟用vrrp協(xié)議，針對每個VLAN業(yè)務(wù)段分別虛擬出一個網(wǎng)關(guān)地址供內(nèi)部業(yè)務(wù)使用；路由器交換機之間啟用OSPF協(xié)議以實現(xiàn)交換機路由器的主備交互及動態(tài)切換.

500k V變電站和省調(diào)、華東網(wǎng)調(diào)、部分地調(diào)建立加密隧道，進行加密通信.500k V變電站加密裝置部署在調(diào)度數(shù)據(jù)網(wǎng)屏柜內(nèi).為了滿足電力二次系統(tǒng)安全防護總體要求本次部署暫不考慮防火墻的部署.

（2）220k V變電站電力專用縱向加密認證網(wǎng)關(guān)部署方案.220k V變電站采用單路由雙交換，220k V白雀變、長超變、花城變、莫梁變、鈕家變等13個220k V變電所已在IEC－104網(wǎng)絡(luò)安全I區(qū)通道中加裝縱向加密認證網(wǎng)關(guān).目前非實時交換機暫時不做安全防護.本次在實時交換機和邊界路由器之間部署一臺縱向加密認證網(wǎng)關(guān)，采用透明接入.

220k V變電站和省調(diào)、地調(diào)等建立加密隧道進行加密通信.220k V變電站加密裝置部署在調(diào)度數(shù)據(jù)網(wǎng)屏柜內(nèi).

（3）縱向加密認證網(wǎng)關(guān)為數(shù)字化變電站做好準備工作.縱向加密認證網(wǎng)關(guān)安裝部署工作是浙江電網(wǎng)運行控制與安全防御系統(tǒng)建設(shè)工程的一個重要部分.作為電力次系統(tǒng)安全防護的核心設(shè)備，該套裝置涵蓋了電力調(diào)度數(shù)據(jù)網(wǎng)實時業(yè)務(wù)的加密認證工作.能夠保證數(shù)據(jù)在安全區(qū)域內(nèi)縱向可靠地傳輸，滿足電力二次系統(tǒng)安全防護總體方案的要求.與此同時，通過本次系統(tǒng)安裝調(diào)試工作和加強對專業(yè)技術(shù)人員的培訓(xùn)力度，提高了檢修人員的自動化專業(yè)知識和實踐動手能力，為今后“數(shù)字化電網(wǎng)”的設(shè)備運行和維護做好技術(shù)保障.

1.3 應(yīng)用縱向加密認證網(wǎng)關(guān)后的安全成效

（1）通信認證.采用簡化的密鑰協(xié)商協(xié)議，大大提高了協(xié)商效率和裝置的存儲負擔(dān)；裝置添加隨機序列號，能防止抗重放攻擊.

（2）數(shù)據(jù)加密.網(wǎng)關(guān)內(nèi)嵌專用密碼處理單元，結(jié)合隧道技術(shù)，實現(xiàn)電力應(yīng)用多協(xié)議的封裝，對監(jiān)視和查詢報文分別以明通方式通信，而對控制報文及控制報文的參數(shù)進行加密，保證實時數(shù)據(jù)的機密性和完整性.

（3）數(shù)據(jù)綜合過濾.網(wǎng)關(guān)通過對截獲的數(shù)據(jù)包進行分析，然后靈活的制定訪問控制策略（如基于源地址的訪問控制、目標地址的訪問控制、端口的訪問控制、協(xié)議的訪問控制），最后根據(jù)制定的訪問控制策略決定如何改數(shù)據(jù)包.

（4）雙機熱備.正常情況下由主加密裝置工作，備加密裝置時刻檢測主加密裝置的狀態(tài)，一旦發(fā)現(xiàn)主加密裝置發(fā)生故障，備加密裝置立即接管它的工作，以提高系統(tǒng)的可靠性；

（5）安全審計與告警.完善的日志審計功能，與裝置管理系統(tǒng)的日志通信一次一密，支持定時和觸發(fā)方式，加強網(wǎng)絡(luò)的安全性.主要的日志類型包括系統(tǒng)日志、鏈路日志、安全日志、應(yīng)用日志等.

2 運行、檢修單位在日常維護工作的注意事項

3.1 裝置電源功能說明

縱向加密認證網(wǎng)關(guān)支持雙電源，在縱向加密認證設(shè)備中要求實現(xiàn)主備電源的在線無縫切換，以提高整個電源工作的可靠性，以及延長整個系統(tǒng)的平均無故障工作時間.

檢修單位在安裝縱向加密認證網(wǎng)關(guān)時務(wù)必采用不同電源，否則失去縱向加密認證網(wǎng)關(guān)支持雙電源的意義.

運行單位要使加密認證網(wǎng)關(guān)處于雙電源工作狀態(tài)，這種方式更有利于減少電壓的紋波系數(shù)，提高裝置濾波功能，從而保證電源電壓的穩(wěn)定性.

3.2 加密認證網(wǎng)關(guān)故障應(yīng)急處理

加密認證網(wǎng)關(guān)在運行過程中，如遇到加密認證網(wǎng)關(guān)緊急故障，失去數(shù)據(jù)加密安全功能時，運行人在裝置具有防止誤操作的技術(shù)措施時，應(yīng)進行人為操作關(guān)掉電源，進入旁路工作方式（旁路所有安全功能，加密認證網(wǎng)關(guān)作為透明橋接設(shè)備工作），否則有可能引起網(wǎng)絡(luò)數(shù)據(jù)堵塞，業(yè)務(wù)數(shù)據(jù)不流通.

3.3 智能IC卡管理規(guī)范化

智能IC卡接口可以用來連接配置終端，方便管理人員通過智能IC卡對加密認證網(wǎng)關(guān)進行裝置密鑰、工作參數(shù)的備份與恢復(fù)的安全管理.在對縱向加密認證網(wǎng)關(guān)進行管理時，需要“人機卡”的三方認證過程.管理人員必須持有可用于管理的智能IC卡，持有可登陸管理的密碼，再進行“人機卡”的三方認證才能登陸縱向加密認證網(wǎng)關(guān)模塊，進行有效的管理配置.所以智能IC卡日常管理顯得尤為重要，只有智能IC卡的保管、使用、維護管理的規(guī)范化，才能保證智能IC卡的可使用性和與加密認證網(wǎng)關(guān)的一一對應(yīng)性.

3.4 嚴格執(zhí)行自動化系統(tǒng)設(shè)備檢修流程管理辦法

縱向加密認證網(wǎng)關(guān)有工作或有新業(yè)務(wù)安裝前，必須告知省調(diào)度通信中心，以免引起網(wǎng)省數(shù)據(jù)發(fā)生跳變，影響網(wǎng)省電網(wǎng)自動發(fā)電控制功能.

3.5 熟悉加密認證網(wǎng)關(guān)幾組指示燈

加密網(wǎng)關(guān)的前面板圖有8組指示燈，分別為雙電源指示燈（POWER）、告警指示燈（ALARM）、讀寫器指示燈（ICSTA/ICACT）、加解密指示燈（ENCSTA/ENCACT）、五組網(wǎng)絡(luò)接口指示燈（FE0－FE4SPD/LNK/ACT）.熟悉裝置指示燈可以清楚地了解裝置運行情況，對裝置故障原因的分析判斷非常有利.

電力專用縱向加密認證網(wǎng)關(guān)在電力系統(tǒng)運行已有一段時間，運行情況可靠穩(wěn)定，沒有發(fā)生一起網(wǎng)絡(luò)安全事故，保證了傳輸數(shù)據(jù)的機密性、完整性和真實性.電力專用縱向加密認證網(wǎng)關(guān)融合了當(dāng)今信息安全領(lǐng)域的最新技術(shù)和電力監(jiān)控系統(tǒng)數(shù)據(jù)通信的應(yīng)用特點.縱向加密認證網(wǎng)關(guān)在電力系統(tǒng)的成功應(yīng)用，可以為電力調(diào)度部門上下級控制中心多個業(yè)務(wù)系統(tǒng)之間的實時數(shù)據(jù)交換提供認證與加密服務(wù)，同時滿足電力應(yīng)用層通信協(xié)議轉(zhuǎn)換功能，實現(xiàn)端到端的選擇性保護，保證電力實時數(shù)據(jù)傳輸?shù)膶崟r性、安全性和可靠性.

［1］浙江省電力公司.變電站計算機監(jiān)控系統(tǒng)及其應(yīng)用［M］.北京：中國電力出版社，2008.

［2］耿科理，周四清，馬曉琴.縱向加密認證裝置技術(shù)在青海電網(wǎng)的應(yīng)用［J］.電力信息化，1999（3）.

［3］李勁.遵守等級化保護的電力調(diào)度數(shù)據(jù)網(wǎng)安全防護［J］.廣播電力，2008（4）.

［4］馬國紅，方慶軍.電力二次系統(tǒng)縱向安全防護體系的建設(shè)［J］.電力信息化，2008（2）.

［5］林堅.電力調(diào)度自動化系統(tǒng)的安全防護［J］.科學(xué)與文化，2006（11）.

［6］駱文忠.淺談電力二次系統(tǒng)安全防護體系［J］.電力信息化，2009（3）.

［7］史開泉，陳澤雄.電力系統(tǒng)加密通信與通信認證問題［J］.中國電機工程學(xué)報，2002（10）.

TP202＋.1

A

1009－1734（2011）S0－0291－03

2011－09－10

高健，助理工程師，華北電力大學(xué)電氣工程專業(yè)在職碩士研究生，從事電力系統(tǒng)分析、運行、管理和控制

研究.