摘

要：為適應電力行業新的網絡安全要求，對在線監測裝置進行了網絡安全分區改造，使用新的APN通道，改變以前不安全的明文傳輸方式，采用國密SM1、SM2、SM3、SM4算法加密傳輸，提高了在線監測裝置網絡的安全性及可靠性。關鍵詞：在線監測；網絡安全；專用網絡分區改造；APN通道；加密傳輸0引言為總體提高在線監測裝置運維的網絡安全水平，持續鞏固“安全分區、網絡專用、橫向隔離、縱向認證”安全基礎，需全面完成安全分區和橫縱向邊界防護改造，強化主機和應用本體安全，落實物理網絡安全措施，實現網絡安全設備運行狀況實時監控及風險預警。對于采用無線傳輸方式接入主站的電力系統在線監測裝置，由前期設計時的考慮和實際運行的情況來分析，明文傳輸的通信方式已經不符合目前行業的網絡安全要求，需要對在線監測裝置進行網絡安全分區改造，以保障電力系統在線監測裝置長期運行網絡的安全性及可靠性，保證電力系統的正常運行。1電力系統在線監測裝置無線傳輸分區改造的總體要求1.1

分區改造的原則與思路在電力通信保障電網安全穩定的基本原則和建設與現有電力通信專網優勢互補的、立體式的電力通信保障體系的思路指導下，對于使用移動通信的電力系統在線監測裝置，在考慮到網絡安全性后，以開通專用APN通道無線加密方式從舊的運行網絡區改接到加密的運行新區。1.2

改造后通信結構在線監測通信網絡采用專線對卡通信方式，即主站通過公網專線接入，站端用無線電話卡撥號接入，具體通信結構如圖1所示。該通信結構采用專線接入部署時費用比卡對卡接入要高一些，但是專線的接入可以大大解決通信瓶頸帶寬問題，同時專線的通信時延比卡對卡的要低，能保證通信質量。2主站端具體改造內容主站內無線監測接入裝置需加裝加密芯片或加密模塊，站端上傳的數據經過解密后傳輸。加密后能實現網絡安全設備安全狀況實時監控及告警，具備有效監視跨區互聯、非法接入、移動介質違規使用等嚴重安全隱患的能力，具備網絡安全入侵檢測能力；確保電力監控系統邊界網絡安全設備覆蓋完整、策略配置安全有效，實現網絡安全設備國產化。此外，設立安全接入區，服務器通過2G/3G/4G無線網絡接收端與廠站側子站設備2G/3G/4G無線網絡進行加密通信。2.1

前置機的安全要求對于采用公網作為通信信道的前置機（公網前置機屬于安全接入區），必須采用電力專用的正反向隔離裝置與自動化系統進行隔離。公網前置機與站端之間通信必須采取認證及加密等安全措施。2.2

站端在線監測系統接入主站的要求（1）建立安全接入區：依據網絡安全防護要求，需設立公網安全接入區。（2）網絡隔離：在安全接入區與調度通信部署電力專用正反向隔離。（3）無線通信數據加密：對于采用雙向認證加密措施的無線網絡通信，需在安全接入區邊界及變電站網絡邊界部署加密認證網關。其中，站端側無線加密通信網關兼具加密模塊、通信模塊功能。3變電站站端分區改造內容站端業務部分安排站內無線監測裝置切換且經加密模塊加密后，通過無線網絡APN上傳主站，無線網絡通信采用雙向認證加密的措施，需在安全接入區邊界及變電站網絡邊界部署加密認證網關。其中，站端側無線加密通信網關兼具加密模塊、通信模塊功能，模塊電源要求具有ESD保護、EMC保護、防浪涌、防反接、過壓保護、過流保護功能，通信信號的要求需要使用雙天線收發，考慮長遠發展，公網僅用于在災害及新建變電站通信調試通道時使用，站端無線加密通信網關建成獨立系統。3.1

裝置改造的配置及具體要求（1）將站端在線監測裝置無線終端替換為加密無線終端。（2）向電信部門申請專用的APN通道“*****.GD”，把通道信息配置進現場裝置通信模塊中。（3）向主站申請分配IP地址，捆綁IP到專用物流電信卡上，實現專卡專用，提高通信安全性。（4）具體配置如表1所示。改造后的網絡拓撲示意圖如圖2所示。（5）安全策略配置如表2所示。（6）隧道配置如表3所示。3.2

裝置改造實施步驟（1）前期準備工作：需要確認所涉及的裝置設備通信方式，取得相關的通信規約，編寫通信文檔。（2）改造環境及范圍確認：站端在線監測系統現場柜的位置確認，相關電源位置、加密模塊安裝位置確認，安裝電源、相關配線及調試工具確認。（3）將改造方案報相關部門審核，明確改造中受影響的業務，審核通過后，辦理實施許可手續。（4）辦理物聯卡，加入專用APN通道，捆綁主站分配的IP地址。（5）斷開舊在線監測系統現場柜無線終端的電源，退出裝置的通信無線終端。（6）在線監測系統現場柜處安裝新的無線加密終端。（7）加密無線安裝SIM卡：在線監測系統現場柜處安裝的無線加密終端中安裝SIM卡。（8）測試SIM：合上在線監測系統現場柜的電源，查看無線網絡信號強度、查看SIM卡獲取IP地址是否正常。（9）測試隧道：查看加密證書是否正常、ping通主站采集前置機IP，測試通道狀況。（10）設備配置及備份：對在線監測裝置IED的配置及數據庫等進行整體維護及備份。（11）設備配置修改：在線監測裝置IED安裝及啟用通信服務。（12）業務調試：調試在線監測終端業務，進行主站—站端的聯調。（13）業務系統功能測試：測試鏈路及通信是否正常，發送及返回數據包是否穩定。測試拓撲示意圖如圖3所示。（14）報主站工作完結：設備狀態正常，在線監測系統上傳主站數據正常，觀察30min，確保系統運行穩定后，報主站改造完結。4結語改造后的在線監測系統的通信方式，是基于IPsecVPN加密隧道通信協議，結合國密SM1、SM2、SM3、SM4算法與4G無線通信，為變電站端在線