配网加密安全

　　国家“十三五”配电网建设将加快城乡配电网建设改造，实现传统配电网向智能配电网转型升级的任务日益紧迫。配电业务包括配电自动化、电能质量监测、分布式电源接入、配电视频监控等。其中配电自动化、电能质量监测、分布式电源接入业务位于生产区域，对信息安全的要求较高，要求通信信道具备较高的安全防护等级。在用电环节，逐步加强智能用电双向互动平台建设，推动用电信息采集系统的全覆盖，加快电动汽车基础设施的建设，对电力终端通信接入网的覆盖范围，传输带宽，传输可靠性、通信安全等方面都提出了更高的要求。

同时，随着我国信息安全工作的发展，公安部制定了一系列标准，进行信息系统分等级保护，将信息系统划分为五个安全等级，安全要求从第一级到第五级逐级递增。主要标准包括《计算机信息系统安全等级保护划分准则》、《信息安全技术信息系统安全保护等级定级指南》、《信息安全技术信息系统安全等级保护基本要求》等。国家发展改革委也相继出台了2014年第14号令《电力监控系统安全防护规定》、2015年2月国家能源局的《电力监控系统安全防护总体方案》等安全防护方案评估规范（国能安全【2015】36号）通知的要求，

配电自动化系统由配电自动化系统主站、配电自动化系统子站、信息交换总线、配电自动化终端等组成。配电自动化系统主站（即配电网调度控制系统，简称配电主站），主要实现配电网数据采集与监控等基本功能和分析应用等扩展功能，为配网调度和配电生产服务。配电自动化系统子站（简称配电子站），是配电主站与配电终端之间的中间层，实现所辖范围内的信息汇集、处理、通信监视等功能。信息交换总线（IEB, Information Exchange Bus），遵循IEC 61968标准、基于消息机制的中间件平台，支持安全跨区信息传输和服务。配电自动化终端（简称配电终端）是安装在配电网的各类远方监测、控制单元的总称，完成数据采集、控制、通信等功能。其中系统和终端的通讯网络中大量应用了工业交换机。解决好工业交换机的安全问题，提高通讯关键节点的工业交换机安全防护性能和安全管理功能，对提高整体配电网系统的安全有很重要意义。

目前配网自动化系统传输通道所暴露出的安全问题：

1. 网络隔离不足，物理隔离也已经不能产生足够的安全效果了，利用U盘等介质通过木马等程序越来越成为更隐蔽而且危害性大的攻击方式。

2. 内网设备之间隔离和接入点访问权限不够。

3. 身份认证机制不健全，导致非法仿冒攻击。

4. 网络管理弱口令、多余网络服务和远程运维服务、登陆机制不健全等问题。

在这种情况下，如何打造安全、可靠、稳定运行的配网自化通信网络尤为重要，要想建好安全的通信网络首先要具备安全可信的通信设备。本方案针对验证目标和范围进行明确，对选型设备进行了功能细化设计，参考不同设备规格与特点，进行合理、优化设计，给出公共接入平台建设过程中的具体规划，指导项目实施。给出公共接入平台建设完成后的测试规划，测试验证公共接入平台能否满足共网承载条件下多业务接入的安全和性能要求。

安全解决思路：

l 实现配电自动化系统和用电信息采集系统在接入网范围内的加密认证等安全防护措施；

l 部署公共接入平台，实现集中安全控制、加密认证、安全隔离等。

部署拓扑示意图：