翟峰 冯云 李保丰

摘 要：电力采集系统作为电力行业用电侧的重要信息系统，是国家电网统一用电保障与用电管理服务支撑平台，若其遭受破坏将对用户用电管理与计量工作造成严重的损害。为了保证电力采集系统的自主安全可控，论文从采集系统概述、安全防护方案设计、密码管理体系建设三方面开展研究论述，表明电力采集系统安全防护方案和密码管理体系对保障电力采集系统安全具有重要的现实意义。

关键词：电力采集系统；安全防护；密码管理；密码应用

中图分类号： T-012 文献标识码：A

Security protection and password management system of power acquisition system

Abstract： As an important information system of the power side of the power industry， the power collection system is a supporting platform for the unified power supply and power management and support management of the national grid. If it is damaged， it will cause serious damage to the user's power consumption management and measurement work. In order to ensure the safety of independent controllable power acquisition system， this paper carries out the research from three aspects： collection system， safety protection design， password management system， that power system security protection scheme and password management system has important practical significance to guarantee the safety of power acquisition system.

Key words： power acquisition system； security protection； password management； cryptographic application

1 引言

电力行业是关系国民经济命脉和国家能源安全的基础性行业，涉及国计民生和基础信息资源，服务千家万户，社会关注度高，影响面大，覆盖发、输、配、变、用、调度六大环节，其各环节的安全可靠运行尤为重要[1，2]。近年来，国内外信息安全形势日益严峻[3，4]，国家先后出台了《电力监控系统安全防护规定》（发改委〔2014〕14号令）、《电力监控系统安全防护方案》（国能安全〔2015〕36号文）等文件，进一步强调了电力信息系统安全防护的重要性。密码技术是保障网络与信息安全的核心技术和基础支撑[5]，建立电力系统密码保障系统，对全面提升电力信息系统安全防护能力有重要意义。

电力用户用电信息采集系统（以下简称“采集系统”）作为电力行业用电侧的重要信息系统，覆盖地域广，从国家层面一直延伸到各乡镇供电所，目前已挂装智能电能表超过4.7亿只，采集终端上千万。采集系统是国家电网统一用电保障与用电管理服务支撑平台，若其遭受破坏将对用户用电管理与计量工作造成较严重的损害，因此，基于密码技术加强采集系统安全防护，对保障电力系统整体安全、提高电力用户用电满意度具有重要的现实意义。

2 采集系统概述

采集系统是对电力用户的用电信息进行采集、处理和实时监控的系统，实现用电信息的自动采集、计量异常监测、电能质量监测、用电分析和管理、相关信息发布、分布式能源监控、智能用电设备的信息交互等功能。采集系统分为系统主站、通信信道、终端设备三层，系统主站同时还与营销、安監、运检、运监、发策等其他业务系统进行交互，网络及业务流程复杂；通信方式多样，包含电力载波、微功率无线、无线公网、无线专网、光纤专网等；终端设备包含采集设备、表计设备和计量现场作业终端三类。

2.1 总体部署

采集系统采用省公司二级部署方式，且依据14号令要求，为终端接入设置营销安全接入区，省级、地市级、县级、供电所级内部用户基于Web用户端通过电力企业数据网访问采集系统主站，总体部署结构图如图1所示。

2.2 采集系统主站

采集系统主站主要包括数据采集、参数设置、控制三类核心业务功能。

数据采集类业务功能：采集系统利用定时自动采集、人工召测、自动上报等多种方式，对电能量数据、事件记录数据等多种类型数据进行采集，并通过数据检查分析模块对数据进行计算分析与合理性检查。数据采集类业务包含在线监测、数据分析、Web页面信息发布等多种功能。

参数设置类业务功能：营销、安监、运检等其他业务系统可通过采集系统主站下发批量配置信息，实现批量参数设置功能；省、地市、县、供电所内部用户通过Web服务器接入采集主站实现点对点的参数配置。

控制类业务功能：采集系统可对采集终端功率、电量与时段等进行定值控制，同时可根据其他业务系统任务，对电能表进行远程控制，执行遥控、保电、剔除等操作。控制执行类功能还可实现高压用户负控管理、欠费控制管理等业务。

2.3 终端设备

采集系统终端设备包括采集设备、表计设备和计量现场作业终端三类。采集终端处于采集系统的中间层包括集中器和专变终端，集中器不带控制功能，专变终端具备负荷控制功能。表计设备处于采集系统的底层，主要指智能电能表和多功能电能表。智能电能表具备费控功能，属于带控设备。计量现场作业终端是对电能表和采集设备进行应急抢修与现场维护的移动作业设备。采集系统终端设备共计五种部署方式，如图2所示。

3 采集系统安全防护方案

采集系统信息安全防护优化方案设计遵循《电力监控系统安全防护规定》（发改委〔2014〕14号令）、《电力监控系统安全防护方案》（国能安全〔2015〕36号文），参考国家信息系统安全等级保护要求[6]和《國家电网公司管理信息系统安全防护技术要求》[7]制定，旨在降低采集系统被攻击的风险，提高采集系统整体的安全性。

3.1 防护原则

采集系统安全防护遵循几个原则。

合规性原则：符合国家与国家电网公司信息安全要求，符合公司“分区分域、安全接入、动态感知、全面防护”的安全策略，设立营销安全接入区和营销生产控制域并重点加强边界防护。

体系化原则：按照国家电网公司信息安全防护要求，从边界、应用、数据、主机、网络、终端、物理及管理等方面对采集系统进行安全防护设计。

成熟性原则：为保证采集系统可靠、稳定运行，方案优先考虑电力行业或其他行业成功应用的安全技术与安全产品，新研发产品需通过国家权威检测机构的检测，具备相应资质，并经过试点应用流程后方可推广使用。

风险管理原则：针对系统面临的风险采取针对性的安全防护措施，降低风险，提高系统安全性能。

3.2 安全风险分析

采集系统涉及多种类型终端、用户、外部系统接入，存在多个入侵系统路径，同时业务涉及用电控制指令，存在多种方式在产生、传递、执行等多个环节对控制指令进行篡改/伪造/重放[8]。因此，系统面临边界、网络环境、应用、终端等多个层面安全风险，采集系统风险识别如图3所示。

3.3 防护措施

采集系统总体安全防护在边界、数据、主机、应用、网络、终端、安全管理等多层面进行，重点加强边界防护能力，并利用基于国密算法的密码技术进行真实性与机密性保障，同时部署用采系统安全诊断监控系统。

（1）边界防护措施

采集系统边界包括信息内网第三方边界、信息内网纵向边界等。结合采集系统自身特点，除信息内网第三方边界外，其他边界的安全均为常规安全风险，参照常规风险的边界防护方案进行防护，在信息内网第三方边界采取特有安全防护措施。

1）在终端通过运营商无线APN/VPN专网、230MHZ专网、北斗专网和光纤专网等接入采集系统主站时，在其纵向域边界设置营销安全接入区。

2）采用安全加密隔离网关作为信息内网与第三方边界的边界网络隔离设备进行网络隔离。

3）利用密码机从应用层对传输数据进行加密保护，同时利用安全加密隔离网关，基于SSL协议从传输层对传输数据进行加密认证保护。

（2）数据安全防护

为了保证敏感信息和关键数据的传输安全，采集系统采取了传输层加密和应用层加密的双层加密保护措施。传输层加密是基于SSL协议，在安全加密隔离网关和终端（ESAM）之间建立传输层加密保护，用于实现终端设备的接入认证和敏感信息和关键数据的传输层加密保护。应用层加密认证是在各类业务前置服务器（密码机）和终端（ESAM）之间建立的应用层加密保护，主要用于权限控制，对控制命令、参数设置、电价调整等关键指令进行权限控制。数据安全防护措施如图4所示。

（3）主机及应用安全

采集系统运行所需服务器（包括虚拟机）操作系统、数据库系统部署在各省公司信通机房或营销部机房，部署于信通机房的主机由国家电网信通公司负责安全管理，部署于营销机房的主机由营销人员参照信通公司要求进行安全管理，主机安全管理均满足等级保护三级的防护要求。

采集系统涉及服务器端应用与客户端应用，在系统服务器端采取信源真实性保障、应用流程管控等手段；在系统客户端采取严格的身份鉴别、权限管理手段，保证合法的终端用户访问，保障采集系统应用安全。

（4）网络安全防护

网络安全分为网络设备安全和网络通道安全。采集系统网络设备的安全管理由各省信息通信职能管理部门负责，确定采集系统网络设备的部署和安全配置策略，满足等级保护三级防护要求，同时通过信息安全网络设备部署、专人定期漏洞扫描、数据监听、风险预警、入侵检测事件关联分析及自动化处理等防护措施保护网络设备安全。采集系统网络通道采用传输层和应用层的双层加密保护措施。

（5）终端安全

采集终端处于采集系统的中间层，采集终端设备上内嵌支持SM1、SM2、SM3算法安全模块；采用数字证书方式的身份鉴别机制；分别从传输层和应用层进行加密保护，传输层加密实现身份鉴别、密钥协商和数据加密传输，应用层加密保证数据完整性保护和权限控制问题。

表计设备处于采集系统的底层，表计设备上内嵌支持SM1算法的安全模块；采用挑战应答方式进行身份鉴别；从应用层对充值、控制和参数设置等关键指令进行加密保护。

计量现场作业终端安全防护措施参照采集终端实施。

（6）安全诊断监控系统

部署安全诊断监控系统，监控采集系统的安全态势，对采集系统受到的网络攻击行为能够及时告警并阻断，确保安全危胁不从采集系统扩散到其他系统。采用网络隔离设备对安全诊断监控系统和采集系统进行安全隔离和访问控制，采用数据镜像方式、特征匹配和虚拟执行等方式，确保安全诊断监控系统分析数据的获取和分析过程不会引入木马或病毒。

4 采集系统密码管理体系

电力采集系统密码管理体系建设始于2009年，与采集系统同步建设，是集密钥管理和数字证书管理于一体的混合密码管理体系。电力采集系统密码管理体系建设以来，为采集系统提供了优质的密码管理服务，有效保障了采集系统的安全。

4.1 建设需求

采集系统密码管理系统第一期建设为对称密码系统，然而随着采集系统运行环境的日趋复杂，针对采集系统的攻击方式和强度也呈现出上升趋势，原来只采用单一对称加密方式已不能有效地适应目前用电信息采集系统的安全及业务需求。同时，根据《关于做好公钥密码算法升级工作的函》国密局函〔2011〕7号要求，新投入运行并使用公钥密码的信息系统应使用SM2椭圆曲线密码算法，在运系统应尽快进行系统升级，并使用SM2椭圆曲线密码算法。基于以上需求，国家电网于2011年对用电信息密码管理系统进行了系统升级，引入数字证书机制，实现数字签名和抗抵赖功能，重新设计采集系统的主站和终端的身份认证及密钥协商协议，增加SM2算法和SM3密码杂凑算法，分别用于会话密钥的协商和传输数据的完整性验证。

4.2 建设内容

国家电网公司用电信息密码管理系统是基于对称密钥管理和非对称密钥管理的混合密码机制建立的密码系统，分两期建设完成。第一期完成了基于SM1密码算法的对称密钥管理系统，密码系统按三級设计，两级部署模式建设，国网级部署在国网计量中心，网省级和地市级部署在各省电力公司，分别负责根密钥、省级、地市级和业务密钥的全生命周期管理。第二期按照国家密码管理局算法国产化要求，建设了非对称密钥管理（KMC）系统和数字证书管理（CA）系统[9]，并对原终端使用的RSA算法进行升级，支持SM2非对称密码算法，实现了包括SM1、SM2、SM3、SM7的所有密码算法的国产替代[10]，2017年4月，升级后的系统通过安全性审查，用电信息密码管理系统第二期建设如图5所示。

国家电网公司用电信息密码管理系统作为采集系统安全防护体系中的重要信息安全基础设施，可以为安全模块发行系统、用电信息采集系统、移动作业系统、设备检测系统、资产管理系统、电动汽车系统等核心业务系统提供密码管理服务和安全保障。

4.3 密钥管理

国家电网公司用电信息密码管理系统的功能包括负责接受来自数字证书认证中心的密钥申请，调用备用密钥库中的密钥并发送给数字证书认证中心；同时，监控备用库中密钥的数量，根据预定策略生成一定数量的密钥进行补充，并且在密钥生成、分发、更新、撤销等操作时，负责对各种密钥库进行相应的维护。

（1）密钥生成

国家电网公司用电信息密钥管理中心利用密码机批量生成密钥对，从而满足数字证书认证中心信任体系对高强度密钥的需要。生成的密钥可用于制作用户加密证书，采用密码机中的对称密钥保护用户的加密密钥对，生成后的密钥以密文保存在数据库中。

（2）密钥库存储

密钥库存储模块负责密钥的存储管理，按照其存储的密钥的状态，密钥库分为备用库、在用库和历史库等三种类型，密钥库中的密钥数据加密存放。

（3）密钥分发

数字证书是分发密钥的一种有效方式。由签发系统申请密钥，在国家电网公司用电信息密钥管理中心生成密钥以后，由签发系统完成对包含密钥的证书进行签发和管理。采用安全通道和加密手段进行传输，保证用户密钥从密钥的生成到存储到用户证书存储介质中整个过程的安全性。

（4）密钥备份与恢复

国家电网公司用电信息密钥管理中心提供对各管理员密钥和用户加密密钥的安全备份和恢复功能。可以利用加密手段将各种密钥安全地保存到密钥备份库。当需要时，可以从备份库中将所需密钥恢复出来。

（5）密钥归档

密钥更新时需将旧密钥归档，形成用户密钥的历史信息。在发生纠纷时，可以根据系统提供的信息进行处理，归档的密钥也可以进行恢复。

（6）密钥统计查询

对满足权限的用户提供密钥有限信息查询功能，以满足用户在密钥使用过程中的需要。包括对备用库、在用库、历史库中密钥的查询和统计，按照密钥类型和类别（已用、未用、撤销）统计密钥库信息。

（7）密钥销毁

对已经失去作用的密钥或者不宜继续存在的密钥提供销毁功能，彻底将这些密钥从密钥库中删除，并保证被删除密钥的不可恢复性，保证整个体系的安全。销毁的密钥包括数据库中的需要销毁的密钥和存在USB智能卡、IC卡等介质中的密钥。

5 结束语

随着电力用户用电信息采集系统运行环境的日趋复杂，针对采集系统的攻击方式和强度也呈现出上升趋势，电力采集系统安全防护方案以及密码管理体系也面临着不断出现的安全升级需求，国家电网公司将始终以需求为导向，坚持以“服务生产、服务用户、服务管理”为目标，进一步发挥密码的核心保障作用，不断完善电力采集系统安全防护方案，加强密码管理体系建设，长久有效地保护采集系统安全，保障我国电力系统的稳定运行。

参考文献

[1] 娄一艇，严钰君，叶明达，戚浩金.电力系统信息安全漏洞运维管理的研究[J].网络空间安全，2017， 8（08-09）：61-64.

[2] 王劼，电力信息网络中的安全风险源以及预防控制方法[J].网络空间安全，2016，8：81-94.

[3] 曾鸣，李红林，薛松，曾博，王志杰.系统安全背景下未来智能电网建设关键技术发展方向——印度大停电事故深层次原因分析及对中国电力工业的启示[J].中国电机工程学报， 2012， 32（25）：175-181.

[4] 李中伟，佟为明，金显吉.智能电网信息安全防御体系与信息安全测试系统构建 乌克兰和以色列国家电网遭受网络攻击事件的思考与启示[J].电力系统自动化，2016，40（8）：147-151

[5] 徐茹枝，王宇飞.面向电力信息网络的安全态势感知研究[J].电网技术，2013，37（1）：53-57.

[6] Q/GDW 1595-2014国家电网公司管理信息系统安全等级保护技术验收规范[S].国家电网公司，2014.

[7] Q/GDW 1594-2014国家电网公司管理信息系统安全防护技术要求[S].国家电网公司，2014.

[8] DL/T 1527-2016用电信息安全防护技术规范[S].北京：中国电力出版社，2016.

[9] 电力系统密钥管理中心安全性设计报告[R].中国电力科学研究院， 2015，4.

[10] 电力系统数字证书认证中心安全性设计报告[R].中国电力科学研究院， 2015，4.