国网西藏信通公司西藏自治区拉萨市850000国网西藏电科院西藏自治区拉萨市850000
摘要:随着物联网、移动互联技术的发展,用于电网移动运维业务的电力无线虚拟专网技术日趋成熟。建设电力无线虚拟专网可以有效解决使用运营商公共网络模式下的无线网络覆盖率低、通信传输带宽不足、设备传输速率过低、故障处理不及时、网络信息安全性差等问题,为继电保护设备及二次回路的智能移动运维管理提供了安全可靠的通信网络。
关键词:电力;无线虚拟专网;信息安全防护;分析
1电力企业信息安全管理存在的问题
1.1机构设置不完善
当前很多电力企业的领导层都没有对信息安全管理引起足够的重视,在机构建置上没有设置专门的信息安全管理部门和科学合理的信息安全管理岗位,缺乏专业技能良好、综合素质较高的复合型管理人才,更没有严格的管理制度保障信息安全管理工作的顺利开展。即使有些电力企业设置了信息安全管理部门,但也被规划进科技部或总经理部门下管理,工作缺乏独立性,不利于与企业的其他部门进行协作配合,严重影响电力企业信息化建设。
1.2管理水平偏低
多数电力企业的管理水平较低,管理工作流于形式,工作成效偏低,跟不上自身信息化建设的进程,导致信息系统不能有效发挥应有的作用。虽然部分电力企业在推进信息化建设中引入了先进的管理系统与业务系统,但由于管理模式滞后,开展的管理活动缺少深度,实效性不强,严重影响对信息化管理的及时优化和革新,使得信息系统的使用效果欠佳。
1.3信息安全存在风险
(1)网络结构不合理:虽然电力企业内网和外网之间采用物理隔离,但交换机设置很多企业使用一台二层交换机,结构存在明显缺陷,导致网络中所有用户地位平等,容易出现安全问题。(2)企业内部风险:专业技术人员对网络信息结构与系统应用较为热悉,一旦因网络管理人员私心作祟将重要信息泄漏,将给企业造成致命的信息安全威胁。(3)计算机病毒:计算机病毒具有扩散速度快、侵袭范围广的特点,一旦计算机感染网络病毒,轻则导致数据被窃取或篡改,重则导致整个电力网络系统崩溃。(4)互联网自身开发风险:电力企业网络信息系统是以互联网为基础的,而互联网自身的开放特点使得客户可以直接访问电力企业内部的网络资源,这样在为客户提供方便的同时,也给电力企业带来信息安全和计算软硬件安全风险。(5)系统本身的安全风险:操作系统、数据库系统、各种应用软件系统等均存在一定的风险,很容易遭受黑客恶意攻击。
2电力无线虚拟专网建设必要性
电力载波通信、租用运营商专用网络接入是解决变电站现场网络覆盖问题的早期方式。该种方式主要存在以下问题:(1)无线网络连接不稳定,对于位置较为偏僻的厂站,运营商的无线网络无法实现全面有效的覆盖;(2)通信传输带宽不足,难以支撑作业现场对运维业务实时通信的要求;(3)故障处理不及时,对运营商的依赖导致网络故障处理的时效性存在众多不可控因素;(4)网络信息不安全,将电力系统运维数据与公众信息数据置身于同一公共网络中传输,存在较大的信息安全隐患、。电力无线虚拟专网的建设,可以充分满足电力通信网络在传输速率、带宽、稳定性以及信息安全性等方面的要求,进而在此基础上开展继电保护设备及二次回路的智能移动运维业务。
3电力无线虚拟专网覆盖规划
3.1边缘信号强度
以往无线虚拟专网建设以网络边缘速率为参考依据,实践证明,网络规划仿真阶段,边缘速率往往仅体现在主干道路、居民小区边缘等室外场景。当前制定网络边缘速率过低,仅能支持基本数据及语音传输。为满足后续新增大带宽及实时要求,需进行局部补盲增强。对于分布在室内、有遮挡室外业务站点区域,无线覆盖也将受到一定衰减。依据上述典型业务站点分布场景,无线信号进入室内典型衰减在3-18dB,为确保室内无线专网边缘速率达-128bits,在规划仿真时,室外边缘RSRP值建议预留10dB冗余。部分室内衰减较大的场景建议通过信号延伸方案解决。
3.2单扇区覆盖业务数量
综合考虑业务带宽、及给予该业务的无线资源进行规划。1800MHzTD-LTE为适配上述业务,需跟据各类电力业务站点分布,进行流量断层统计,以往流量断层往往以基站为单位。现场存在部分小区站点稀疏,部分小区站点密集的情况,以基站为断层流量统计方法存在局限性。建议在以小区为流量断层统计基准单位。以1800MHz技术制式的5MHz带宽为例,按照业务隔离要求,对无线虚拟专网进行物理资源分配。将5M资源安1:1:3的资源配比分配给控制类业务,如精准负荷控制、控制类业务,如配电自动化“三遥”及管理信息类业务,在独占频段下参考无线虚拟专网承载能力表进行规划,并考虑一点预量,在共享无线资源下挂业务需统筹考虑。基站回传网段需考虑基站所带多个小区的电力无线虚拟专网侧流量统计。总体规划需综合考虑业务类型、业务中的分布等情况,有差异化的进行网络覆盖,做到较大比例的完成覆盖,必要时规划预留部分补盲站点,作为新增业务覆盖基站。
4电力无线虚拟专网的信息安全防护手段
4.1电力企业侧的信息安全防护手段
(1)划分安全区域。电力无线虚拟专网边界合理划分其安全区域,确定网络边界,各个安全区域要运用针对性的信息安全防护手段,针对进入到信息内网域中的数据信息提供全方位有效的安全防护手段,完成访问控制,攻击检测,传输加密以及终端认证工作。(2)访问控制。边界接入装置中根据其源地址设置访问控制,严禁不同的APN业务之间互相访问。利用防火墙设置合理有效的业务访问策略确保专网域到网络边界域的访问控制。(3)安全隔离。采取电力公司的专用型安全接入装置完成内网域和网络边界域间的信息数据交换工作,严格控制非法网络透过网络边界对信息内网进行访问。(4)安全防御与入侵检测。边界要设置好入侵检测系统与防火墙,进而保证有效抵制DOS攻击以及恶意代码,实现网络行为的实时化监控,实现网络攻击的实时化检测。(5)安全审计。边界安全装置必须做好日志审计记录工作,从而为网络安全评估提供可靠科学地根据。(6)隧道加密传输。无线终端以及电力企业的安全接入装置间必须设置安全加密输送通道实现对业务数据的输送,确保业务数据输送的安全性。(7)接入控制。构建身份认证系统,加强接入网络用户的认证工作,严禁非法用户私自接入内网。信息内网业务系统运用科学手段针对接入至电力无线虚拟专网中的硬件特性展开认证。
4.2运营商的安全防护手段
运营商于电力无线虚拟专网域中运用科学的信息安全防护手段,增强专属通道隔离以及网络安全接入防护能力。(1)网络接入安全防护。运用专用型APN接入业务终端,由运营商对电力无线虚拟专网SIM卡进行授权,授权之后合法的SIM卡能够对电力无线虚拟专网进行访问,严禁对互联网与其余网络进行访问。(2)APN访问控制。严禁相同APN的终端互访,严禁不同APN终端之间的访问。(3)专属通道与隔离。通过VRF技术实现电力无线虚拟专网用户以及其余用户的路由隔离。采取MPLSVPN、GRE以及L2TP之类技术实现电力无线虚拟专网信息数据于运营商网络中的传输工作,确保专用网络隔离的安全性。
5结语:
无线虚拟专网的大量应用,虽然极大的方便了业务工作的开展,但也随之带来了显著的安全问题。为了有效的提升无线虚拟专网的安全性水平,一方面需要加大硬件防护设备方面的投入,另一方面也必须注重安全防护策略的制定和实施。只有双管齐下,才能取得预期的效果。希望通过本文的研究和写作,能够起到抛砖引玉的作用,促进无线虚拟专网安全技术方面研究工作的开展。
参考文献:
[1]杨先杰,蔡翔,叶磊.电力无线虚拟专网信息安全防护技术探讨[J].通讯世界,2018(11):172-173.
[2]韩荣珍.电力无线虚拟专网信息安全防护技术研究[J].黑龙江科技信息,2015(33):69.
[3]江华,孙圆圆.电力无线专网多业务隔离技术研究[J].宁夏电力,2015(03):