单位文秘网 2021-10-27 08:15:45 点击: 次
信息安全综合审计可以为信息安全事件的溯源提供相应的技术手段,,起到全面“故障录波”保障信息安全作用。(3)主站前置机的操作系统需要经国家指定的认证进行安全加固,访问控制措施应严格。(4)利用公网传输通道的时候,公网的前置机应该部署在安全接入平台,应用电力专用安全接入平台对外提供统一的接入、认证、加密、交换、访控和代理过滤等诸多安全服务。(5)利用专网传输通道的时候,专网前置机应配置相应安全模块,需要签名操作参数设置和控制命令,鉴别子站对主站的身份,确保报文的完整性;采用双向认证加密针对重要的子站和终端通信,鉴别主站和子站之间的双向身份,确保报文完整性以及机密性。
1.2 子站/终端安全防护
(1)子站/终端设备应该具有防火、防盗、防破坏等相关物理安全的防护措施。(2)采用嵌入和外置等形式的安全模块来实现终端的安全防护。早期安装且不支持软件升级的终端采用外置式安全模块。新安装终端采用嵌入式安全模块。(3)子站/终端设备上可对安全模块进行配置,采取数据完整性验证和安全鉴别等措施保障来主站系统来源的参数设置和指令和控制命令。对冒充主站来对终端进行攻击行为进行防范。(4)利用安全模块生成终端上行数据摘要,采用对称算法对相关校验值进行计算,确保主站可以到识别数据传输是否完成。有效防止网络攻击风险。
1.3 纵向通信安全防护
在有线接入技术中,工业以太网交换机和EPON技术的安全性满足配电自动化业务的要求;在无线接入技术中,McWill技术的安全性不如TD-LTE技术,电力行业对这两种无线技术规范缺失,这两种无线技术是否能够满足配电自动化业务需求需要进行研究。GPRS系统在公网中广泛应用,安全较差,要想满足配电自动化业务的安全需求,需要增加相应的安全措施。
1.3.1 有线方式
EPON和工业以太网交换机应满足通信系统加密技术和鉴权策略。EPON技术防护措施如下图1所示。
(1)鉴权策略和机制。鉴权策略应用在数据通信和初始状态两个阶段。进行数据通信时,进行用户鉴权,确保通信各方是合法的用户。初始状态通过鉴权机制确认ONU的身份,确定ONU注册的安全。(2)加密技术。通过加密技术保证合法用户信息的保密性,数据可以保密合法的用户信息。SM1算法,三重搅动加密算法和兼容AES算法应作为首选,确保接入层设备间的数据安全传输。(3)秘钥和VLAN。在每个逻辑链路连接标识应配置独立的钥。将不同ONU承载在不同VLAN或者采用端口隔离方式,满足报文之间进行二层隔离。
1.3.2 无线方式
电力终端通信接入网的无线方式包括无线专网和无线公网等两种形式。
(1)无线专网。无线专网应采用不同安全措施来保障无线非接入层和接入层,无线非接入层是指从无线的通信终端到无线核心网链路。无线接入层指从无线通信终端到基站间的空口传输链路;安全措施应进行独立的运作,安全防护结构详见下图2。(2)无线公网。无线公网是借助运营商无线网络来传输电力业务。应要求运营商确定安全措施,包括:VPDN技术实现无线虚拟专有通道或者“APN+VPN”;通过认证服务器实现接入终端的地址分配和身份认证;主站系统和公网可以采用有线专线+GRE方式;电力公司与运营商传输业务时,利用安全接入平台联至电力公司内网。
1.3.3 通信方式安全性能比较
通过对电力终端通信接入网的各技术安全性能进行综合分析,从通道安全性、安全保护方式和算法/秘钥强度等方面进行比较,具体详见下表1。
2 电力通信骨干网的安全研究
确保电力通信骨干网安全,应满足以下要求:
(1)采用MPLS VPN隔离不同类型、地域间业务。(2)对所有的重要事件记录日志;(3)认证路由信息交换;(4)存取控制用户状态,保证设备的控制安全;(5)为网络接入可信,进行接入端口认证。
2.1 网络保护倒换要求
MSTP系统能够支持SNCP 、MSP和PP等多种保护方式,支持二纤复用段共享保护、二纤单向通道保护和四纤复用段共享保护等。三种保护模式对比具体详见下表2。
2.2 网络物理隔离承载要求
OTN、SDH和MSTP采用不同波长、不同通道承载不同业务,物理隔离业务,保证业务传输的可用性、完整性和机密性。PTN和IP RAN是分组交换的技术,只能逻辑隔离业务,需要进行业务安全的整体性论证。
2.3 网络节点互联要求
具备条件的变电站宜实现双节点互联,即交换机上联至两台不同SDH传输设备端口。
2.4 设备级保护要求
MSTP设备配置双块电源板,所有的业务板都应该支持热插拔,满足电源板1+1热备份,确保任一电源板的故障都不会影响到整个系统乃至变电站的业务,不用中断业务的情况就可以维护电源。MSTP设备宜采用不同两块光板提供环路的东、西向接入,任何一块光板故障不会影响该站点的业务。
2.5 其他要求
(1)完善数据通信网拓扑,扩充链路的带宽,每个骨干层节点至少以两条独立链路连接至核心层。(2)数据通信网建设应符合电监会和国家电网公司关于防护的要求,同时应加强防止病毒及黑客的攻击、访问控制、数据加密等安全策略的研究和部署。
3 结语
针对电力终端通信接入网的主站、子站、终端和纵向通信的方面的安全防护进行分析总结,提出相应措施。同时从保护倒换、物理隔离、互联、设备保护方面分析电力骨干网安全要求,为电力通信网的建设提供参考。
参考文献
[1] 高会生.电力终端通信接入网可靠性影响因素分析[J].电力信息与通信技术,2014(11).
[2] 孟凡博,赵宏昊,王杰.电力终端终端通信接入网建设研究[J].电力系统通信,2012(06).
收稿日期:2015-09-29
作者简介:张林(1988—),女,黑龙江哈尔滨人,硕士,毕业于哈尔滨理工大学,研究方向:电力通信及智能化规划。
(责任编辑:单位文秘网) )地址:https://www.kgf8887.com/show-234-97174-1.html
版权声明:
本站由单位文秘网原创策划制作,欢迎订阅或转载,但请注明出处。违者必究。单位文秘网独家运营 版权所有 未经许可不得转载使用