徐廣源 曾偉華 倪修峰 倪匯川 蘇建明 李磊

摘? ?要：為滿足電力泛在物聯(lián)網(wǎng)要求，打造邊緣智能傳感數(shù)據(jù)采集與視頻圖像采集的變電站終端設(shè)備接入方法，文章從變電站內(nèi)多終端類型、多樣數(shù)據(jù)源等安全防護(hù)風(fēng)險(xiǎn)因素分析方面深入解讀，提交了無線互聯(lián)設(shè)備在變電站安全接入的監(jiān)護(hù)方案，強(qiáng)化無線接入設(shè)備安全防護(hù)能力，提升站內(nèi)設(shè)備管理業(yè)務(wù)安全監(jiān)護(hù)水平。

關(guān)鍵詞：智能終端;無線接入;安全防護(hù)

隨著NB-IOT，LoRa，ZigBee，WiFi，藍(lán)牙、無線等組網(wǎng)技術(shù)的成熟[1-2]，其不必建立物理線路、減少大量的人力電纜鋪設(shè)作業(yè)、對抗環(huán)境變化能力較強(qiáng)、故障診斷與維護(hù)較為容易以及通信網(wǎng)絡(luò)擴(kuò)展靈活等優(yōu)勢體現(xiàn)得越來越明顯，在各行各業(yè)表現(xiàn)出了非常優(yōu)質(zhì)的特性，得到了廣泛認(rèn)可。近年來，國家電網(wǎng)公司整體部署，開展泛在電力物聯(lián)網(wǎng)建設(shè)工作[3]，其中，在設(shè)備管理方面提出了輸變電泛在電力物聯(lián)網(wǎng)建設(shè)要求，推動(dòng)了大量的在線監(jiān)測裝置、巡檢機(jī)器人、無人機(jī)、手持終端等設(shè)備的應(yīng)用[4-5]。這些新技術(shù)與感知裝置的應(yīng)用帶來了新的網(wǎng)絡(luò)邊界安全風(fēng)險(xiǎn)，也讓變電站安全管控日益復(fù)雜，對站內(nèi)安全監(jiān)護(hù)保障措施要求更加嚴(yán)格，同時(shí)，在數(shù)據(jù)傳輸安全方面也提出了深層次的要求。本文以此為切合點(diǎn)，結(jié)合現(xiàn)場工作經(jīng)驗(yàn)，通過分析變電站終端設(shè)備接入的風(fēng)險(xiǎn)因素分析，分享一種無線互聯(lián)的變電站監(jiān)護(hù)方案設(shè)計(jì)，為站內(nèi)邊緣計(jì)算終端的應(yīng)用場景提供安全防護(hù)設(shè)計(jì)思路。

1? ? 防護(hù)因素分析

變電站內(nèi)監(jiān)測設(shè)備終端可以分為數(shù)據(jù)采集傳感裝置和視頻圖像裝置。其中，數(shù)據(jù)采集傳感裝置主要用于采集設(shè)備本體工況狀態(tài)監(jiān)測、運(yùn)行環(huán)境信息等;視頻圖像裝置主要用于設(shè)備運(yùn)行指示與外觀狀態(tài)、環(huán)境周界安全監(jiān)護(hù)和變電站作業(yè)人員行為管控。裝置接入站內(nèi)一體化管控平臺(tái)的方式主要有LoRa，WiFi，接入點(diǎn)（Access Point Name，APN）專網(wǎng)等組網(wǎng)的無線和光纖有線網(wǎng)絡(luò)等方式。

從信息安全角度出發(fā)，目前的采集設(shè)備存在設(shè)備數(shù)據(jù)安全設(shè)計(jì)缺少考慮、傳輸信號(hào)無加密過程以及缺少有效的身份認(rèn)證、接入信息內(nèi)網(wǎng)邊界缺乏有效的邊界防護(hù)手段等問題。從風(fēng)險(xiǎn)位置識(shí)別上來說，上述兩類終端接入的風(fēng)險(xiǎn)主要存在于裝置本身和組網(wǎng)傳輸兩個(gè)方面。其中，裝置本身方面存在簡陋密碼登錄、非法接入、無線裝置被惡意攻擊和被復(fù)制或冒頂?shù)蕊L(fēng)險(xiǎn);組網(wǎng)傳輸方面存在傳統(tǒng)的網(wǎng)絡(luò)攻擊，無線通信頻段被干擾、明文傳輸數(shù)據(jù)被竊取或者篡改等，如圖1所示。

2? ? 監(jiān)護(hù)方案設(shè)計(jì)

從安全風(fēng)險(xiǎn)因素分析可知，無線互聯(lián)安全管理需要從終端安全和組網(wǎng)安全兩個(gè)方面考慮，終端安全方面依托防火墻、防病毒和存儲(chǔ)加密等方式，防止信息非法篡改和非法訪問，甚至是篡改終端信息，利用病毒和惡意代碼進(jìn)行破壞活動(dòng)。組網(wǎng)安全方面應(yīng)該從加密和認(rèn)證、異常數(shù)據(jù)流控制、網(wǎng)絡(luò)隔離、信令和協(xié)議過濾、攻擊防御與溯源等方面開展安全管理工作[6]。

圖1? 風(fēng)險(xiǎn)位置及因素分析

站內(nèi)設(shè)備安全防護(hù)皆要滿足國家電網(wǎng)信息安全防護(hù)規(guī)定，本文考慮的安全監(jiān)護(hù)范圍主要在變電站內(nèi)的感知層，主要包括傳感節(jié)點(diǎn)、傳感器路由節(jié)點(diǎn)、感知網(wǎng)關(guān)節(jié)點(diǎn)及連接這些節(jié)點(diǎn)的網(wǎng)絡(luò)。根據(jù)現(xiàn)場工作經(jīng)驗(yàn)，本文討論的終端設(shè)備及網(wǎng)絡(luò)主要分為3類，以巡檢機(jī)器人為代表的WiFi組網(wǎng)方式設(shè)備、以無線測溫裝置為代表的LoRa組網(wǎng)方式設(shè)備、以巡檢移動(dòng)終端為代表的無線APN專網(wǎng)的接入安全監(jiān)護(hù)方案。安全監(jiān)護(hù)對象及范圍如圖2所示。

圖2? 安全監(jiān)護(hù)對象及范圍

在考慮安全防護(hù)能力設(shè)計(jì)時(shí)兼顧了傳感器資源、處理能力和其工作方式及重要性，并針對3種方式的關(guān)注點(diǎn)不同之處，開展安全防護(hù)方案的具體要求表述。

2.1? LoRa組網(wǎng)方式

（1）終端要求：設(shè)備本身進(jìn)行固件版本數(shù)據(jù)接口，以保證一體化平臺(tái)監(jiān)測設(shè)備固件的完整性。具備傳感器網(wǎng)絡(luò)阻斷與重置接口能力，當(dāng)仿冒接入、空閑端口啟用等惡意行為發(fā)生時(shí)，阻斷網(wǎng)絡(luò)通信。風(fēng)險(xiǎn)處置完成后，按照一定機(jī)制可重置設(shè)備再接入網(wǎng)絡(luò)。

（2）組網(wǎng)要求：涉及控制指令傳輸?shù)脑O(shè)備，在雙向通信功能的傳感器上集成安全芯片或安全接入代理模塊，實(shí)現(xiàn)身份認(rèn)證與控制指令的數(shù)據(jù)加密。不涉及控制指令傳輸，只是上傳數(shù)據(jù)的設(shè)備采用專用通信協(xié)議，且具備唯一身份標(biāo)識(shí)的數(shù)據(jù)接口，用于感知網(wǎng)關(guān)節(jié)點(diǎn)對其身份識(shí)別即可。

感知網(wǎng)關(guān)節(jié)點(diǎn)應(yīng)集成安全芯片或安全接入代理模塊，實(shí)現(xiàn)與安全接入平臺(tái)的身份認(rèn)證與控制指令的數(shù)據(jù)加密。同時(shí)，應(yīng)采用國產(chǎn)安全操作系統(tǒng)，當(dāng)接入節(jié)點(diǎn)承載多個(gè)業(yè)務(wù)應(yīng)用時(shí)，應(yīng)增加軟隔離手段，實(shí)現(xiàn)運(yùn)行環(huán)境的邏輯隔離。

2.2? 無線APN專網(wǎng)方式

（1）設(shè)備要求：設(shè)備須按照《國家電網(wǎng)公司關(guān)于加強(qiáng)和規(guī)范移動(dòng)應(yīng)用建設(shè)工作的通知》（國家電網(wǎng)信通〔2016〕684號(hào)）中內(nèi)網(wǎng)移動(dòng)終端安全加固要求，安裝國家電網(wǎng)公司安全接入平臺(tái)客戶端，加裝安全接入平臺(tái)安全TF卡，建立終端至主站的加密傳輸通道。

（2）組網(wǎng)要求：輸變電設(shè)備物聯(lián)網(wǎng)接入節(jié)點(diǎn)采用專用SIM卡通過安全接入平臺(tái)接入信息內(nèi)網(wǎng)。感知網(wǎng)關(guān)節(jié)點(diǎn)應(yīng)內(nèi)嵌安全芯片（或接入代理模塊），并與安全接入平臺(tái)實(shí)現(xiàn)雙向認(rèn)證與通信加密。

2.3? WiFi組網(wǎng)方式

（1）設(shè)備要求：目前通過WiFi方式接入設(shè)備主要就是巡檢機(jī)器人裝置。設(shè)備必須安裝國家電網(wǎng)公司安全接入模塊，并通過國家電網(wǎng)入網(wǎng)檢測要求，滿足相關(guān)規(guī)范，獲取入網(wǎng)許可。

（2）組網(wǎng)要求：采用介質(zhì)訪問控制（Media Access Control，MAC）地址捆綁IP的方式，并且關(guān)閉不使用的網(wǎng)絡(luò)端口;在傳輸過程中采用加密算法的方式傳輸;采用安全接入平臺(tái)接入站內(nèi)信息內(nèi)網(wǎng)，并與安全接入平臺(tái)實(shí)現(xiàn)雙向認(rèn)證與通信加密。

3? ? 結(jié)語

隨著無線技術(shù)的成熟及現(xiàn)場施工條件逐趨友好，采用無線設(shè)備接入已成為當(dāng)前電力設(shè)備的一種重要趨勢，特別適合于非新建變電站的數(shù)據(jù)感知能力建設(shè)改造工程。本文在此背景下，分析了站內(nèi)終端設(shè)備的風(fēng)險(xiǎn)來源及位置，介紹了一種無線互聯(lián)安全監(jiān)護(hù)方案的思考，希望有利于無線互聯(lián)安全設(shè)計(jì)方面規(guī)范化，特別是促進(jìn)新型感知設(shè)備應(yīng)用，也希望基層運(yùn)維檢修人員能夠快速認(rèn)識(shí)和理解無線互聯(lián)的安全設(shè)計(jì)及其關(guān)注點(diǎn)。

[參考文獻(xiàn)]

[1]苗志勇.短距離無線通信技術(shù)和其在物聯(lián)網(wǎng)中的應(yīng)用[J].信息技術(shù)與信息化，2015（1）：38-39.

[2]趙靜，蘇光添.LoRa無線網(wǎng)絡(luò)技術(shù)分析[J].移動(dòng)通信，2016（21）：50-57.

[3]國家電網(wǎng)公司.國家電網(wǎng)有限公司泛在電力物聯(lián)網(wǎng)建設(shè)大綱[C].北京：泛在電力物聯(lián)網(wǎng)建設(shè)工作部署電視電話會(huì)議，2018.

[4]魯守銀，張營，李建祥，等.移動(dòng)機(jī)器人在高壓變電站中的應(yīng)用[J].高電壓技術(shù)，2017（1）：276-284.

[5]姜萬東，王野，沈克明，等.一種新型自供電無線測溫傳感器控制系統(tǒng)[J].電氣技術(shù)，2017（6）：77-80.

[6]陳紅松.云計(jì)算與物聯(lián)網(wǎng)信息融合[M].北京：清華大學(xué)出版社，2016.Design of a wireless interconnection substation monitoring scheme

Xu Guangyuan， Zeng Weihua， Ni Xiufeng， Ni Huichuan， Su Jianming， Li Lei

（Tongling Power Supply Company， State Grid， Tongling 244000， China）

Abstract：To meet the requirements of ubiquitous power Internet of Things， an access method for substation terminal equipment of edge intelligent sensor data acquisition and video image acquisition is developed. In this paper， the analysis of safety protection risk factors such as multiple terminal types and diverse data sources in the substation are deeply interpreted. A monitoring scheme for secure access of wireless interconnection devices is submitted， strengthen the safety protection ability of wireless access equipment，and improve the safety monitoring level of equipment management business in the station.

Key words：intelligent terminal; wireless access; safety protection