劉昀 ，劉國軍 ，任建偉 ，李堅

（1.國網冀北電力有限公司信息通信分公司，北京 100053；2.全球能源互聯(lián)網研究院，北京 102209；3.國網冀北電力有限公司，北京 100053）

1 引言

隨著智能電網、云計算、大數據等技術在電網的大力推進與建設，電力通信網承載的電網業(yè)務逐漸呈現(xiàn)出“寬帶化、網絡化、IP化、多元化”的趨勢。除傳統(tǒng)的電網調度業(yè)務外，更多的電網生產、經營，電網智能化、增值業(yè)務將由電力通信網承載，這對電力通信網承載能力、業(yè)務接入的靈活性、業(yè)務差異化服務水平及電力通信網管控能力提出了更高的要求。傳統(tǒng)的MSTP技術對數據業(yè)務突發(fā)性和靈活性的適應性越來越低，而傳統(tǒng)的面向非連接的IP網絡，由于其難以嚴格保證重要業(yè)務的運行質量和安全性要求。PTN技術對于IP大顆粒業(yè)務的傳輸彌補了原有SDH網絡的不足，是SDH網絡的良好補充，也使得該技術在電力行業(yè)逐步得到試點與應用。

PTN設備網管系統(tǒng)作為PTN系統(tǒng)的重要支撐，實現(xiàn)了PTN的實時監(jiān)控、配置管理、故障管理與性能管理等功能。相對于PTN設備后門與漏洞攻擊、光纜線路可靠性問題，PTN設備網管系統(tǒng)在 DCN、主機終端、數據存儲與備份等方面更易遭受攻擊。本文擬重點研究PTN設備網管的DCN的網絡安全、邊界安全問題，其他主機終端安全、數據安全依據相關電力二次系統(tǒng)安全防護的相關規(guī)定。

目前在PTN與網管系統(tǒng)安全性方面的研究如下所示。

[1]針對電信DCN的需求，給出了帶內、帶外及雙平面帶外3種系統(tǒng)設計方案以及防火墻與網管系統(tǒng)的設計思路，以提高整體電信網絡的安全。

·參考文獻[2]提出了一種基于信息安全和風險管理提升網管系統(tǒng)的安全管理及安全維護水平的方法。

·參考文獻[3]針對PTN在電力通信網中的組網策略研究，提出了采用MSTP和PTN雙平面組網方式保障電力骨干四級通信網的安全可靠性。

2 PTN網管系統(tǒng)概述

與SDH網絡管理體系結構類似，PTN管理體系結構包括PTN NMS、PTN EMS和各廠商PTN子網，如圖1所示。其中，PTN子網為各廠商的PTN網元或PTN子網，PTN EMS為各設備廠商網元管理系統(tǒng)，PTN NMS為網絡管理系統(tǒng)。

圖1 PTN網絡管理體系結構

根據PTN分層結構（信道層、通路層、傳輸媒介層）和設備功能，PTN設備網管系統(tǒng)主要功能包括拓撲管理、虛通道和虛通路管理、端到端業(yè)務管理、QoS管理、OAM管理、保護管理、同步配置管理和DCN管理功能[4]。

3 風險分析

從PTN網管系統(tǒng)的安全接入、數據存儲、DCN、外部互聯(lián)、運維管理等方面，存在的安全風險主要包括以下幾方面。

（1）DCN 風險

PTN網管的DCN涉及帶外DCN和帶內DCN兩種，其中帶外DCN對網關網元的生存性要求較高，通常采用主備網關網元配置方式，否則會因網關網元的故障造成其他非網關網元無法被監(jiān)控與管理。PTN的帶內DCN與SDH差別較大，SDH技術在設計時就單獨預留了管理開銷用于網絡管理 （DCC專用通道），PTN的帶內DCN組網需要為DCN消息數據分配唯一的VLAN，與普通業(yè)務數據區(qū)分開。此外，在帶內DCN中，所有網元都需配置IP地址，網元IP地址也是DCN采用OSPF協(xié)議的基礎。因此，可通過DCN通道使PTN設備免于遭受IP地址或VLAN方面的攻擊。

（2）運行維護風險

PTN設備網管系統(tǒng)建設大多為分廠商、分期、分批建設，各子網由專屬的傳輸設備、DCN支撐網絡、服務器、客戶端組成，多數采用物理隔離的方式獨立成網。隨著網絡的日益擴大，網管系統(tǒng)越來越多，各支撐系統(tǒng)的部署沒有明確的指導原則和系統(tǒng)防護措施，導致網絡安全防護復雜、層次不清、系統(tǒng)管理維護困難，網絡有效性、穩(wěn)定性較低。

（3）違規(guī)外聯(lián)

由于PTN設備網管需要外部廠商進行定期維護，所以存在運維單位通過向網管廠商開放北向接口進行行程維護的隱患。惡意的外部廠商可以利用北向接口對設備進行非法配置和操作，進而導致電力通信網的運行失控。

（4）互聯(lián)風險

在生產控制大區(qū)，PTN設備網管系統(tǒng)通過北向接口與電力通信綜合網管系統(tǒng)的采集控制系統(tǒng)互聯(lián)，如果系統(tǒng)互聯(lián)缺乏安全措施或安全策略不當，采集控制系統(tǒng)的安全風險（如感染病毒木馬、錯誤指令、配置不當等）將直接對設備網管系統(tǒng)造成威脅。

（5）主機設備入侵

組成通信設備網管的主機設備（包括控制臺、應用服務器和數據庫服務器），如果未能部署主機防火墻等組件進行主機網絡層面的訪問控制以及主機入侵檢測或入侵防護手段檢測對服務器的入侵行為，將存在攻擊者利用系統(tǒng)漏洞對通信設備網管攻擊的風險。

4 安全防護方案

4.1 設備網管系統(tǒng)網絡部署方式

針對電力通信設備網管系統(tǒng)，其網絡部署方案如下所示。

（1）局域網或直連方式

這是當前的常用方案，以SDH網管系統(tǒng)為例，當網關網元與服務器不在同一站點時，則每個網關與網元服務器之間均開通一條2 Mbit/s通道傳輸數據信息；若網關與服務器在同一站點，則直接通過局域網互聯(lián)。遠程維護終端與網管服務器之間采用一條2 Mbit/s通道傳輸信息。該方案雖安全性較高，但網絡拓展性和運維靈活性較差，需占用過多的網絡資源，不利于網絡的集中監(jiān)控與配置。

（2）構建與調度數據網、數據通信網相互獨立的網管網

從安全性角度來看，這種方式滿足了專業(yè)設備網管系統(tǒng)與其他網絡 （尤其是數據通信網與互聯(lián)網存在接口）的物理隔離要求，通過加強對人員和設備的安全管理工作，可達到較高的安全防護強度。但從經濟性角度看，這種方案需要較大的資金投入。

（3）數據通信網中劃分網管VPN，并對各設備網管系統(tǒng)進行分域

該方案實現(xiàn)了通道層面的邏輯隔離和系統(tǒng)層面的強邏輯隔離，形成了虛擬網管網，基本滿足了專業(yè)設備網管系統(tǒng)與其他網絡 （尤其是數據通信網與互聯(lián)網存在接口）的隔離要求。該方案具有較高的運維效率與經濟性，不需要在基礎網絡中重復部署網絡設備實現(xiàn)組網，同時也不會對通信專業(yè)人員帶來額外的運維成本。但從業(yè)務重要性及安全等級要求來看，專業(yè)設備網管系統(tǒng)均高于數據通信網的其他應用系統(tǒng)，因此這種部署方式將專業(yè)設備網管暴露于安全等級較低的網絡中，需要對網管系統(tǒng)邊界加強防護措施，防止其他應用系統(tǒng)對專業(yè)設備網管系統(tǒng)的直接訪問。

她和年輕女子在餐廳里偶遇。對方很瘦，每天抽兩包香煙，輕度抑郁癥，滔滔不絕說話。有時亢奮，有時焦躁，有時粗暴，有時溫馴。她們嘗試各種觸摸和愛撫的可能性，在女孩窄小的公寓里，在點燃著印度香的悶熱房間里赤裸，聊天傾談，喝酒，有時無端哭泣。女孩深深愛戀和依賴她，而她知道這一切不過是嬉戲流連。訴說，傾聽。進入，被進入。飽足的平衡。

綜合安全性、運維效率、經濟性等方面因素，本文建議在電力數據通信網構建獨立的網管VPN，將PTN設備網管系統(tǒng)部署于網管VPN，并劃分獨立的PTN設備網管系統(tǒng)管理域，增強PTN網管系統(tǒng)各邊界的防護要求。

4.2 DCN安全部署方案

PTN技術在電網應用中，為滿足多種業(yè)務的接入需求，通常應用于電力四級骨干通信網、縣域通信網中。如圖2所示，以構建基于PTN的縣域通信網為例，依據設備網管系統(tǒng)網絡部署方案分析結果，PTN網管系統(tǒng)的帶外DCN采用數據通信網來承載，各地市主備兩臺PTN網管服務器放在地調中心通信機房，同時接入地調數據通信網核心路由器；省公司網管客戶端直接接入省數據通信網；各縣公司網管客戶端接入地區(qū)數據通信網，縣局和第二匯聚點核心PTN設備（網管業(yè)務）通過GE光口接入地區(qū)數據通信網。為保障全省范圍內PTN網管業(yè)務的傳輸安全，全省PTN網管業(yè)務通過數據通信網的獨立網管VPN承載。

針對PTN帶內DCN組網，為保障DCN帶內網絡安全，各個縣域的PTN的DCN單獨組網，每個縣域各設兩個網關網元，網關網元與網管服務器之間采用數據通信網的鏈路實現(xiàn)互聯(lián)互通。為保障PTN帶內DCN的組網安全，還應滿足以下要求。

· 網關網元作為接入數據通信網的重要設備，為保證通信的穩(wěn)定性，盡量選擇DCN處理能力強的PTN設備作為網關網元。

·為保證網管服務器與網關網元管理的網絡連接的可靠性，應采用主備網關網元配置方式，保證所有非網關網元能通過不同路由連接到備用網關網元上。

·為了區(qū)分在相同物理通道上傳送的普通業(yè)務數據和DCN消息數據，需要為DCN消息數據分配唯一的VLAN，帶內DCN使用的VLAN標簽缺省值為4 094，業(yè)務的VLAN標簽不能使用該VLAN值。

圖2 DCN安全部署方案

·考慮到網絡限制，同一帶內DCN子網的網元數不宜超過64個，否則導致網絡管理結構復雜，主控板負載過大，影響路由計算。

4.3 邊界安全防護方案

邊界安全防護方案如圖3所示。

當PTN設備網管系統(tǒng)部署于網管VPN中，需要在以下邊界進行安全防護。

圖3 邊界安全防護方案

（1）網管VPN縱向互聯(lián)邊界安全防護

包括省電力公司與地市電力公司互聯(lián)邊界，各邊界需要部署硬件防火墻設備、網絡入侵檢測/防護設備、安全審計設備。

（2）網管 VPN與信息 VPN、調度 VPN互聯(lián)邊界安全防護

需要部署硬件防火墻網關設備，配置網絡地址轉換規(guī)則，將需要互聯(lián)訪問應用服務器的IP地址轉換為對方網絡指定的IP地址，并嚴格限制網絡訪問的地址。

（3）設備網管系統(tǒng)域間邊界安全防護

可部署硬件防火墻設備或通過交換機劃分VLAN隔離。

5 結束語

本文針對電力應用的PTN網管系統(tǒng)的DCN脆弱性、違規(guī)外聯(lián)、系統(tǒng)互聯(lián)等風險因素，結合安全性、運維效率、經濟性等因素，建議在電力數據通信網中構建獨立的網管VPN，用于承載PTN網管業(yè)務。在此基礎上，構建以省、地市帶外DCN與縣帶內DCN相結合的三層DCN部署方案，從PTN網關網元生存性、防VLAN與IP地址攻擊、子網的網元限制數量等方面提出DCN防護要求。針對縱向互聯(lián)邊界、橫向互聯(lián)邊界、域見邊界問題，應部署硬件防火墻設備、網絡入侵檢測/防護設備、安全審計設備或劃分VLAN隔離，保障PTN設備網管系統(tǒng)的邊界安全。本文提出的DCN部署方案與邊界安全防護方案有利于指導電力PTN設備網管系統(tǒng)的DCN規(guī)劃與設計，保障電力PTN設備網管系統(tǒng)安全穩(wěn)定運行。

參考文獻：

[1]羅紅艷.電信級傳輸雙平面DCN帶外網管系統(tǒng)研究[J].信息技術,2013(2):83-86.

LUO H Y.Network management system for dual-plane DCN band of telecommunication transmission [J]. Information Technology,2013(2):83-86.

[2]譚彬,邱嵐,梁業(yè)裕,等.基于風險管理提升網管系統(tǒng)安全維護水平的方法[J].計算技術安全，2011(6):25-28.

TAN B,QIU L,LIANG Y Y,et al.Network management system for risk management to enhance the security maintenance[J].Computer Security，2011(6):25-28.

[3]王羿.PTN在電力通信網中的組網策略研究 [J].電力信息與通信技術,2014,12(11):52-57.

WANG Y.Research on PTN networking strategy in electric power communication network[J].Electric Power Information and Communication Technology,2014,12(11):52-57.

[4]CCSA YD/T 2374-2011[S/OL].[2011-12-20].http://www.tsinfo.js.cn/inquiry/gbtdetails.aspx A100=YD/T%2 0237 4-2011.