电网电能计量自动化系统安全防护研究

摘要：针对电能计量自动化系统的问题，分别从系统主站、通信通道两方面的安全防护体系进行了研究。系统主站方面按照边界安全防护措施等4个层次制定安全防护体系；通信通道方面从调度数据网等方面设置安全防护措施。

关键词：计量自动化系统；安全防护体系；通信通道

中图分类号：TP27 文献标识码： A 文章编号：

目前的计量自动化系统存在着一些亟待解决的问题：系统主站的安全防护还不全面；远程维护方面存在厂家直接拨号进系统维护的现象，不满足安全拨号的机制；公网侧缺乏有效的安全防护手段，使遥控、负荷管理等无法实用；缺乏安全的预付费手段等。针对以上问题，本文探讨了主站安全防护措施、应用层及设备侧加密认证机制，开展了安全防护体系研究，提出了具体的解决办法。

一、系统主站安全防护

（一）边界防护

边界安全防护关注如何对进出该边界的数据流进行有效的检测和控制。边界安全防护措施可以从以下几个方面进行。

1.系统信息管理大区( III 区) 与第三方边界安全防护

这部分进行的主要是信息内网安全体系防护，相关安全防护措施主要包括以下内容。边界网络访问控制。采用防火墙进行安全防护，仅允许开放与其他第三方网络之间确定的地址间通信，在防火墙上限制并发连接及各主要服务类型的传输优先级，实现后可以达成保护信息内网的应用不被来自第三方网络的病毒或恶意人员攻击的效果。

根据计量自动化系统实际应用情况，计量自动化系统与无线公网之间的边界应划归为信息内网第三方边界，应采用 VPN 技术来保证远程数据接入的安全防护。终端通过本地号码或免费号码拨入服务提供商( ISP) ，然后 ISP 的接入服务器( Net Access Server，NAS) 发起 1 条隧道连接到电力网。对于专用的 APN，电力公司内部应建立 1台 Radius 认证服务器，由电力公司为终端分配帐号和密码。当终端接入企业内部网时，需要通过Radius 认证，确认用户身份后，才分配 IP 地址。

2.信息内外网边界安全防护

信息内外网边界应当采用专用逻辑强隔离设备进行安全防护，逻辑强隔离设备能够从通信协议底层对内外网间的信息流进行隔离控制，仅允许确定的业务数据流通过，从而实现防止安全事件由外网至内网扩散，或阻断来自信息外网或互联网对信息内网服务器的攻击。

3.信息内网纵向上下级边界安全防护

信息内网纵向上下级单位边界包括省公司与地市公司或直属单位、地市公司与县级单位间的网络边界，此外，如果平级单位间有信息传输，也按照此类边界进行安全防护。相关防护内容主要有以下几点。

边界网络访问控制。采取防火墙进行安全防护，仅允许在防火墙上开放与确定的上下级单位主机间的、确定的网络通信，能够实现保护信息内网区的应用不被来自上下级单位的非法访问或病毒攻击的效果。信息入侵检测。采用入侵检测系统进行安全防护，将信息内网上下级单位边界的流量映射至入侵检测探头所在的交换机端口进行入侵监测，通过检测能够发现隐藏于流经边界正常信息流中的入侵行为。

4.横向域间边界安全防护

横向域间边界安全防护是针对各安全域间的通信数据流传输所制定的安全防护措施，各系统跨安全域进行数据交换时应当采取适当的安全防护措施以保证所交换数据的安全。相关防护内容主要有以下内容。

网络访问控制。采用防火墙或者虚拟防火墙或者 VLAN 间访问控制作为安全防护措施，仅允许在网络访问控制设备上开放与确定其他安全域主机间的、确定的网络通信，可以保护信息内网本安全域的应用不被来自其他安全域的非法访问或病毒攻击。信息入侵检测。采用入侵检测系统作为安全防护措施，将信息内网本安全域与其他安全域间的流量映射至入侵检测探头所在的交换机端口进行入侵监测，能够检测发现隐藏于流经边界正常信息流中的入侵行为。

5.系统控制区( II 区) 与安全区( I 区) 边界

计量自动化系统与 I 区内的系统没有直接的数据接口，位于 II 区的系统采集平台在调度数据网的统一安全防护下。因此，本系统直接沿用调度数据网的安全防护方案，不单独另外做部署。

（二）网络环境安全防护

网络环境安全防护面向整体支撑性网络，以及为各安全域提供网络支撑平台的网络环境设施，网络环境具体包括网络中提供连接的路由、交换设备及安全防护体系建设所引入的安全设备、网络基础服务设施。网络环境安全防护的具体内容主要有以下几个方面。

1. 安全接入控制

以网络准入控制客户端作为实现形式，在各安全域网络交换设备上启用接入控制，在网络准入控制管理端制定统一的安全准入策略; 在各安全域网络交换设备上启用接入控制，在网络准入控制管理端制定统一的安全准入策略。这样可以保证安全区域不被未授权接入，保证不符合准入安全措施要求的桌面主机不能接入网络。

2.设备安全管理

采用安全协议进行远程管理，只有用户名/口令通过认证的用户才能够进行设备的配置管理，从而保证不具备权限的人员无法操作设备。

3.设备安全加固

这一部分主要通过软件对所有的网络设备和路由器进行加固，保证网络设备配置和其传输数据的安全。

4.安全弱点扫描

采用弱点扫描系统，为所有的网络设备配置扫描策略，能够有效实现对网络设备及操作系统、数据库、应用软件的漏洞扫描发现功能。

5. 安全事件审计

采用日志管理分析系统，配置为以 Syslog 或Snmp 方式收集核心网络、安全设备事件日志并进行事件分析，最终生成报表进行事件统计分析。

（三）主机系统安全防护

主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、网络服务器、WEB 服务器、文件与通信等; 桌面终端包括作为终端用户工作站的台式机与笔记本计算机。

（四）应用安全防护

应用安全防护包括对于主站应用系统本身的防护，用户接口安全防护、系统间数据接口的安全防护、系统内数据接口的安全防护。应用安全防护的目标是通过采取身份认证、访问控制等安全措施，保证应用系统自身的安全性，以及与其他系统进行数据交互时所传输数据的安全性; 采取审计措施在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。

二、通信通道安全防护

（一）调度数据网

在网络内部可以采取一些必要的安全措施，如在接入层实施访问和流量控制，禁止缺省口令登陆，避免使用默认路由，采用安全增强的 SNMPV3 版本的网管系统，网络内部划分不同的网段，在网络内部关键点设置漏洞扫描、入侵监测等安全设施，设立网络病毒防护设施等。同时，还要采用严格的接入控制措施，为保证业务系统的接入是可信的，只有经过授权的节点才能接入数据网，使用数据网进行广域网通信。

在网络与系统边界采用必要的访问控制措施，对通信方式与通信业务类型控制，以保证业务通信报文的合法性。在生产控制大区与调度数据网的纵向交接处必须采取相应的安全隔离、加密、认证等防护措施。对于实时控制业务及重要业务，应该通过纵向加密认证装置或加密认证网关接入调度数据网，保证业务报文的可信、完整、机密性。网络设备的配置也必须保证其安全性，一般采用包括关闭或限定网络服务、避免使用默认路由、网络边界关闭 OSPF 路由功能、采用安全增强的 SNMPv2 及以上版本的网管系统、及时更新软件、使用安全的管理方式、限制登录的网络地址、记录设备日志、设置高强度的密码、适当配置访问控制列表、封闭空闲的网络端口等。

（二）无线公网信道

采用 VPN 系统来保证数据远程传输的安全。终端通过本地号码或免费号码拨入 ISP，然后 ISP的 NAS( Net Access Server) 再发起 1 条隧道连接到电力网。对于专用的 APN，电力公司内部可建立 1 台Radius 认证服务器，由电力公司为终端分配帐号和密码。当终端接人企业内部网时，需要通过Radius 认证，确认用户身份后，才分配 IP 地址。典型的无线公网信道如中国移动的 GPRS 的 APN专线方式，在这种方案中，GPRS 终端设备和主站采集服务器/Radius 认证服务器之间的数据通信不通过 Internet 网络，数据通信安全。因此，在无线公网信道的构建中，应当通过专线使得主站计算机系统 Radius 认证服务器与GPRS 内网的 GGSN( GPRS 网关支持接点) 相连，并将采集服务器置于企业网内部，使得只有终端才能访问采集服务器。同样，要访问内网资源的GPRS 终端，都必须由 Radius 服务器首先对其进行身份认证。这样当认证通过后，采集服务器就与该 GPRS 终端建立起连接，这样就可以进行数据采集或下载了。

需要强调的是，为保证在无线公网传输的数据不被非法用户窃听、破坏、甚至顶替更改数据，要求终端和主站通信必须具备安全性机制。任何和终端的连接都必须通过终端的“user + pass-word”的认证，同时在与移动公司网络连接的专线增加防火墙等安全设备，这样通信的安全性才能得到保证。

参考文献：

段念．软件性能测试过程详解与案例剖析［M］．北京：清华大学出版社，2006.