无线通信安防技术运用

随着电力无线通信技术的不断发展，通信安全问题越来越受到人们的关注。根据国家电监会5号令《电力二次系统安全防护规定》以及《电力二次系统安全防护总体方案》的要求，电力二次系统应遵循“安全分区、网络专用、横向隔离、纵向认证”十六字方针。在正常情况下，电网调度数据传输通道使用电力专用通信OPGW/ADSS资源等承载，该类型通道复合在架空线中。但是，当电力系统招受异常灾害，大量OPGW受到严重损毁导致电力通信通道中断，厂站通信中断设备不能与主站通信，调度人员不能及时了解发电厂和变电站的运行情况，严重影响电力系统的安全调度，迫使电网机构采用无线通信、公网通信、卫星通信等安全状况不可控的通信通道。针对以上情况，本文根据电力二次系统安全防护的有关要求，探讨在极端情况下电力通信安全防护的相关技术难题，为无线通信的推广提供安全的应用平台。

1无线通信在电力系统的应用情况

1.1卫星通信应急通道

电力系统卫星通信系统提供控制主站控制子中心站与每个端站直接通信，构成星状卫星通信网络，实现端站－子中心站的卫星一跳通信方式。端站的各种业务通过通讯端口（IP接口）接入端站，经卫星通道进入子中心站，子中心站再将数据通过通讯端口送入调度中心的计算机，中心根据需要对所得到的信息进行加工处理，从而构成一个完整的应急通信系统。其应急通信部分通常包含语音、视频、数据通信等三部分，目前在实际运用的系统中存在与RTU直接相连的数据通信应用。

1.2电量采集系统无线数据通道

电能量采集系统与继电保护及故障信息管理系统比较相似，其采集终端与主站系统通信采用网络通道、专用通道及拨号通道，通常拨号通道是在前两种方式不能通信时的备用数据传输通道。

1.3配电及用电网的通信通道

大客户负荷管理系统将负控系统、电量计量计费、配电自动化系统及配变监测等功能合为一体的大型系统。由于该系统具有点数多、规模大、电力通信网无法覆盖、实时性要求小及小数据量和电能量数据批量抄读的特点。经过对230M负控专网、中压载波、GPRS网络的技术经济比较，最终采用的是GPRS网络。

1.4变电站的无线通信通道

对于部分地理位置偏远变电站，不具备专网通信（如光纤通信、有线电缆、电力载波等）的条件，因此，不得不选择“公网”来解决RTU与调度主站的通信问题。典型的通信流程如下：利用DTU的RS232接口和变电站RTU对接；中国移动提供VPN接入方式，为每个DTU分配一个固定的IP地址；中国移动网络通过光纤或者2M方式专线接入调度通信机房，并在其接入路由器与调度数据网络之间加设防火墙等安全措施；以网络或串口方式连接到SCADA系统通信前置机进行数据通信。

2无线通信系统安全分析

公用无线通信网是为广大市民服务的，根据用户不同需求，制订灵活多样的通信应用方式，并结合通信低成本等原则设定的，因此，公用无线通信网的首要目标是盈利，其次才是通信可靠安全。现在以应用最为广泛的中国移动GPRS网络，分析无线通信网络存在的安全隐患。

2.1公网无线通信式

GPRS网络支持无线方式的分组包交换功能，其永远在线，快速传输、按流量计费的特点，很好的满足了用户在移动状态下对数据业务的需求，其主要具备以下特点：实时性强、建设成本少、覆盖范围广、系统的传输容量大、数据传送效率高和稳定性好等。通常GPRS网络具备一定的安全性，其采用两个方面的防护措施：一是每个终端插有一张SIM卡（具备一定的加密认证功能）。二是在GGSN（GatewayGPRSSupportNode，网关GSN）和企业路由器之间建立GRE隧道（通用路由协议封装）以保证网络传输的安全性。

2.2无线通信网的风险分析

GPRS是基于IP模式的骨干传输网，现今的黑客都对基于TCP/IP的传输协议非常熟悉，因此GPRS网络更加容易受到黑客攻击。主要面临的隐患分析如下：

1）黑客攻击：主要是指试图从外部网络入侵GPRS系统的人，目的是窃取用户信息或者破坏GPRS无线通信网络，出卖信息来赚钱，也有的是特意显示他们的入侵通信网络的能力。

2）管理人员隐患：管理人员熟识网络的设置和运行情况，对GPRS网络的破坏能力很强，应对他们访问内部网络的权限要加以限制，避免管理人员对系统造成任何破坏。

3）服务提供商隐患：服务提供商提供通信网络设备，并负责网络的建设和调试工作，日常的软件更新和维护如果缺乏监管，将对GPRS网络造成严重的威胁，因此，必须加强对服务提供商的管理，采用足够的安全防范措施。

4）合作者隐患：部分网络应用合作商例如ISP，服务系统直接与GPRS网络相连，直接深入到传输网络的物理层，合作者掌握了很多网络信息和用户信息，如果他们将信息泄露给一些恶意第三方，将使GPRS网络和用户受到严重的安全威胁。

2.3公网无线通信网络的安全漏洞

无线通信系统大部分采用数据终端单元DTU进行数据通信，DTU的功能是将串口数据流转换成TCP/IP协议传输的数据流，工作原理如下：

1）数据上行传输：用户终端设备串口上的数据通过DTU封装成IP包，通过GPRS传输网络平台发送到传输服务数据中心，数据中心系统将IP包进行分包处理。

2）数据下行传输：数据中心系统向在线的DTU发送一个数据IP包，通过GPRS传输网络平台发送给DTU，DTU将封装IP包数据还原处理，最终以串口数据流的形式发送给用户设备。

由于DTU没有采用网络安全方面的身份认证和传输加密技术，存在一定的安全漏洞，特别是网络传输时延较大时，往往生产很多重复数据包，出现数据堵塞和掉包现象，往往给黑客攻击有机可乘，安全性比较脆弱。因此，公网GPRS的传输模式应用到电力调度的数据传输时存在重大的安全隐患，必须采取相应的安全防范措施。

3电力通信安全防护技术

3.1网络隔离技术

面对新型网络攻击手段的出现和电力系统对安全防护的特殊需求，出现了网络隔离技术。网络隔离技术的目标是确保隔离有害的攻击，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。网络隔离，主要是指把两个或两个以上可路由的网络（如：TCP/IP）通过不可路由的协议（如：IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议所以通常也叫协议隔离（ProtocolIsolation），隔离概念是在为了保护高安全度网络环境的情况下产生的。

3.2身份认证技术

身份认证是网络系统和计算机验证操作者身份是否符合条件的过程。计算机网络系统构建了一个虚拟的网络世界，用户的身份信息是由一组设定的数据代替，计算机系统只能够识别用户的数字信息，并根据用户数字身份的分类进行不同的操作授权。操作者是否该数字身份的合法拥有者，如何确保数字身份不被非法盗用，已经成为一个越来越重要的网络安全问题。目前主要的身份认证方式主包括：户名加密码方式、USBKey认证方式、数字IC卡认证方式、动态口令方式、生物特征认证方式等等。近几年发展起来的USBKey身份认证方式是一种便捷、安全的身份认证技术。USBKey内置了先进的智能卡芯片，可以存储用户的数字证书和密钥，运用USBKey的内置的密码算法实现用户身份验证，解决了易用性和安全性之间的难题。因此，电力无线传输可以采用USBKEY身份认证方式解决公网传输系统安全性的问题。

3.3传输加密技术

数据加密又称密码学，它是一门历史悠久的技术，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息的安全的作用。传输密码是通信双方按预先设定的规则进行数据交换的一种特殊的保密手段。密码技术早期仅对文字信息进行处理，随着通信网络技术的不断发展，目前已能对数据、语音、图像等进行加密解密。各国政府、大型的企业使用的密码编制及解密技术越来越复杂，具有高度的机密性。密码技术体系的主要类型分为四种：

1）错乱：根据固定的图形和法则，改变文件原来的数码位置，使其成为密文。

2）代替：使用固定的代替表，将文件原来的数码位置进行规则替代，使其成为密文。

3）密本：使用预先编制的相应字母或数字组，代替对应的词组或单词，使文件成为密文。

4）加乱：使用预先设定的一串数码序列作为乱数，按一定的规则插入原文件不同位置，结合成成密文。上述四种基本的密码技术，经常被混合使用，从而编制出复杂程度相当高的实用密码。

3.4权限受控技术

权限受控也称为访问控制，是按用户身份及其所归属的某预定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。

1）访问控制的功能主要有以下：防止非法的主体进入受保护的网络资源；允许合法用户访问受保护的网络资源；防止合法的用户对受保护的网络资源进行非授权的访问。

2）访问控制实现的策略：入网访问控制；网络权限限制；目录级安全控制；属性安全控制；网络服务器安全控制；网络监测和锁定控制；网络端口和节点的安全控制；防火墙控制。

3）访问控制的类型包括：自主访问控制和强制访问控制。自主访问控制，是指由用户有权对自身所创建的访问对象（文件、数据表等）进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。强制访问控制，是指由系统（通过专门设置的系统安全员）对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。

4结论

无线通信技术发展日新月异，在电力系统的应用越来越广泛。需要不断对电力无线通信安全防护的隐患进行分析，以及采用必要的安全防护手段，使无线通信网络符合《电力二次系统安全防护规定》，在电力系统通信网异常的情况下，避免受黑客攻击的无线通信安全技术，在电力传输网络异常的情况下，通过公网GSM、CDMA、GPRS、卫星通信等多种无线通信方式，为电网调度系统提供安全可靠的应急数据传输通道，确保电力系统的安全可靠运行。