智能電網(wǎng)中的通信安全架構(gòu) YCM01 ZL01

周亮21智能電網(wǎng)及其伴生通信網(wǎng)的概念與內(nèi)涵2智能電網(wǎng)及其通信網(wǎng)絡(luò)的安全原則3智能電網(wǎng)安全架構(gòu)與安全區(qū)以及安全等級4智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障5通信與信息安全的標(biāo)準(zhǔn)631.智能電網(wǎng)及其伴生通信網(wǎng)的概念與內(nèi)涵對智能電網(wǎng)（SmartGrid）最為簡明扼要的界定，源自于美國政府（United自此10余年來，在全球掀起的智能網(wǎng)研究和開發(fā)的熱潮仍方興未艾，智能電網(wǎng)在國家基礎(chǔ)設(shè)施建設(shè)以及國民經(jīng)濟(jì)發(fā)展中的作用和地位也愈加重要。41.智能電網(wǎng)及其伴生通信網(wǎng)的概念與內(nèi)涵按照“他山之石可以攻玉”的思路，參照美國智能電網(wǎng)的政府令，對智能電網(wǎng)的內(nèi)涵可以歸納為：支撐電力的生產(chǎn)、傳輸與分發(fā)系統(tǒng)的現(xiàn)代化，維護(hù)可靠和安全的電力基礎(chǔ)設(shè)施，以滿足不斷增長的電力需求，并達(dá)到如下十個方面的目的：（1）在電力網(wǎng)格（ElectricityGrid）中，增強(qiáng)數(shù)字信息與控制技術(shù)的使用，改（5）部署“智能的（smart）”技術(shù)，即部署能夠優(yōu)化電力器具與消費(fèi)物理操作的實(shí)時、自動以及可交互的技術(shù)，使之用于電網(wǎng)運(yùn)行和其狀態(tài)控制以及51.智能電網(wǎng)及其伴生通信網(wǎng)的概念與內(nèi)涵（7）部署和集成先進(jìn)電力儲備與消峰技術(shù)，包括插接式的電力與混合電力汽（10）鑒別和減小不合理的或者不必要的障礙，容納更多的智能電網(wǎng)技術(shù)、61.智能電網(wǎng)及其伴生通信網(wǎng)的概念與內(nèi)涵研究、開發(fā)以及運(yùn)行智能電網(wǎng)具有四個基本目標(biāo)：清潔能源；能源管理；電值得重視的是：智能電網(wǎng)基本目標(biāo)的實(shí)現(xiàn)依賴于連接四個目標(biāo)的專用于智能其伴隨的通信網(wǎng)（Network）的融合。在此融合意義上，智能電網(wǎng)又是工業(yè)賽博控制系統(tǒng)（IndustrialCyber71.智能電網(wǎng)及其伴生通信網(wǎng)的概念與內(nèi)涵構(gòu)建智能電網(wǎng)時面臨的場景特征及其對通信網(wǎng)絡(luò)的約（1）廣域地理覆蓋的特征，輸電與供電網(wǎng)絡(luò)覆蓋遍及國土范圍，這導(dǎo)致智能電網(wǎng)的通信網(wǎng)絡(luò)一定是同時包含局域網(wǎng)（LAN）和廣域網(wǎng)（WAN）的異構(gòu)混合網(wǎng)系且路由回路頻繁。（2）異構(gòu)電源混雜的特征，火電、水電、核電、風(fēng)電、太陽能電等等，這導(dǎo)致智能電網(wǎng)的通信網(wǎng)絡(luò)為適應(yīng)不同場景需求而具有多種網(wǎng)絡(luò)拓?fù)湫螒B(tài)。（3）用戶需求多類的特征，工業(yè)企業(yè)用戶、個人與家庭用戶、市政設(shè)施用戶、火車等公共交通用戶、電動汽車用戶、農(nóng)林稀疏場景用戶等等，這導(dǎo)致智能電網(wǎng)的通信網(wǎng)絡(luò)數(shù)據(jù)類型繁雜并且不同用戶的服務(wù)需求差異巨大。（4）電力供給峰值與均值均波動起伏的特征，這導(dǎo)致智能電網(wǎng)的通信網(wǎng)絡(luò)數(shù)據(jù)具有很大的動態(tài)范圍且其統(tǒng)計(jì)規(guī)律不明。82.智能電網(wǎng)及其通信網(wǎng)絡(luò)的安全原則2.1智能電網(wǎng)安全的意義電力網(wǎng)絡(luò)作為國家基礎(chǔ)設(shè)施之一，是國家安全的重要組成部分。因此，與之關(guān)聯(lián)的安全鏈?zhǔn)牵骸皣野踩薄澳茉窗踩薄半娏εc電網(wǎng)安電力網(wǎng)絡(luò)作為一類賽博工業(yè)控制系統(tǒng)，必須在賽博安全的評測意義上進(jìn)行安全分析、安全防御設(shè)計(jì)以及安全范圍實(shí)踐。92.智能電網(wǎng)及其通信網(wǎng)絡(luò)的安全原則2.2信息網(wǎng)絡(luò)的安全屬性賽博系統(tǒng)安全的基礎(chǔ)是其信息子系統(tǒng)的信息安全，而任何信息系統(tǒng)在安全關(guān)注上的基礎(chǔ)性屬性是：保密性或者隱私性（Privacy認(rèn)證性或者完整性（Integrity可用性進(jìn)一步地，這三大基本屬性又?jǐn)U展演繹為所謂CIAAUR的六性要求：），），），），），），2.智能電網(wǎng)及其通信網(wǎng)絡(luò)的安全原則2.3信息網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)在信息系統(tǒng)安全實(shí)踐的意義上，作為信息系統(tǒng)之子類的通信網(wǎng)絡(luò)的主要安全風(fēng)），（4）賽博失控與毀損，以信息攻擊為手段間接導(dǎo)致系統(tǒng)結(jié)構(gòu)性或者功能性的（5）程序與制度缺陷，由系統(tǒng)軟硬等多方面的自身漏洞導(dǎo)致惡意以及非惡意（6）內(nèi)部人攻擊，以可授權(quán)的方式實(shí)施對系統(tǒng)的任何有害行為。2.智能電網(wǎng)及其通信網(wǎng)絡(luò)的安全原則2.3信息網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)所有這些安全風(fēng)險(xiǎn)類型呈現(xiàn)的風(fēng)險(xiǎn)點(diǎn)有四類：物理性風(fēng)險(xiǎn)點(diǎn)；邏輯性風(fēng)險(xiǎn)點(diǎn)；制度性風(fēng)險(xiǎn)點(diǎn)；心理性風(fēng)險(xiǎn)點(diǎn)。（1）物理性風(fēng)險(xiǎn)點(diǎn)主要有：“終端端口”；“連接線路”；“網(wǎng)絡(luò)接口”；（2）邏輯性風(fēng)險(xiǎn)點(diǎn)主要指：“軟件與硬件木馬與病毒”；“外包與采購軟件（3）制度性風(fēng)險(xiǎn)點(diǎn)主要有：“操作程序漏洞”；“監(jiān)管漏洞”；“誤用與濫（4）心理性風(fēng)險(xiǎn)點(diǎn)則主要指：“變節(jié)”；“報(bào)復(fù)”；“懼怕”；“炫耀”；2.智能電網(wǎng)及其通信網(wǎng)絡(luò)的安全原則2.4應(yīng)對信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的原則應(yīng)對信息安全風(fēng)險(xiǎn)的原則性措施是：建立“制度（Process）-技術(shù)（Technology）-人員（People）”三元一體圖2所示）的信息安全體系理念，增強(qiáng)針對各類風(fēng)險(xiǎn)的抗御能力，力求全面管控現(xiàn)存的和潛在的風(fēng)險(xiǎn)點(diǎn)。具體地，原則性措施可以分解為，（1）以深度防御（DefenseinDepth）機(jī)制，配置或者研發(fā)信息安全設(shè)備與設(shè)（6）實(shí)施完善的信息安全操作與實(shí)踐。2.智能電網(wǎng)及其通信網(wǎng)絡(luò)的安全原則2.4應(yīng)對信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的原則2.智能電網(wǎng)及其通信網(wǎng)絡(luò)的安全原則2.5實(shí)施信息網(wǎng)絡(luò)以智能電網(wǎng)安全的指導(dǎo)性綱領(lǐng)針對電力網(wǎng)及其通信網(wǎng)的國際標(biāo)準(zhǔn)或者規(guī)范或者指南主要有兩大系列文件，即相關(guān)關(guān)鍵文件（本報(bào)告部分內(nèi)容匯編于此）有，2.智能電網(wǎng)及其通信網(wǎng)絡(luò)的安全原則2.5實(shí)施信息網(wǎng)絡(luò)以智能電網(wǎng)安全的指導(dǎo)性綱領(lǐng)3.智能電網(wǎng)安全架構(gòu)與安全區(qū)以及安全等級3.1智能電網(wǎng)安全的架構(gòu)區(qū)域劃分實(shí)現(xiàn)系統(tǒng)級和網(wǎng)絡(luò)級安全的一個基本途徑是：按照“功能分區(qū)-相對獨(dú)立安全-通信協(xié)調(diào)”的原則，進(jìn)行系統(tǒng)或者網(wǎng)絡(luò)的架構(gòu)對智能電網(wǎng)的架構(gòu)分區(qū)獲得5個安全區(qū)設(shè)計(jì)，參見圖3所示，分別是：）；）；）；）；3.智能電網(wǎng)安全架構(gòu)與安全區(qū)以及安全等級3.1智能電網(wǎng)安全的架構(gòu)區(qū)域（圖文縮寫注釋：SCADA＝SupervisoryControlAndDataAcquisition；DMZ＝De-MilitarizedZone；NSP＝NetworkServiceProvider；IED=IntelligentElectronicDevice；PMU＝PhasorMeasurementUnit；DLR＝DynamicLineRating；DA＝DistributionAutomation；DG＝DistributedGeneration；AMI＝AdvancedMeteringInfrastructure。）3.智能電網(wǎng)安全架構(gòu)與安全區(qū)以及安全等級3.1智能電網(wǎng)安全的架構(gòu)區(qū)域由商務(wù)與管理、用戶與客戶以及他們相互間的交互構(gòu)成。此區(qū)域采用DMZs（De-MilitarizedZones）方式與其它操作區(qū)域隔離，而DMZs自身則采用諸如代理服務(wù)器機(jī)制和途徑，提供至操作區(qū)域的接入控制，從而避免直接存取操作區(qū)域的數(shù)據(jù)。DMZs的實(shí)現(xiàn)方式通常是雙防火墻體系，即第一防火墻只提供任何其它實(shí)體至DMZ的數(shù)據(jù)流向可能，第二防火墻則只容許從DMZ到內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流向。DCC（DataandControlCenter）以及其它傳輸子系統(tǒng)以及其間的通信系統(tǒng)構(gòu)成。任何連接在SCADA和DA（DistributionAutomation）、DMS（DistributionManagementSystem）以及其它智能管控部件上的子系統(tǒng)及其相互間的通信系統(tǒng)構(gòu)3.智能電網(wǎng)安全架構(gòu)與安全區(qū)以及安全等級3.1智能電網(wǎng)安全的架構(gòu)區(qū)域此區(qū)域主要包含智能電網(wǎng)中非核心部件和其相互通信系統(tǒng)，例如含有用戶電表用戶與客戶而言，則是保護(hù)其隱私的重要環(huán)節(jié)。此區(qū)域主要指連接各個區(qū)域的有線與無線通信系統(tǒng)、固定與移動的通信系統(tǒng)以及測量與控制系統(tǒng)。3.智能電網(wǎng)安全架構(gòu)與安全區(qū)以及安全等級每個安全區(qū)域都設(shè)置多層級安全保護(hù)（Multi-LevelProtection）機(jī)制。流行的），（2）系統(tǒng)級（System-Level），專指各類互聯(lián)在一體并具有相對獨(dú)立功能的器件集合，例如存取控制（AccessControl）系統(tǒng)、隔離（Barriers）與電閘（Locks）（3）組織級（Organization-Level），專指在組織體系中強(qiáng)制建立的至關(guān)重要的安全方針、機(jī)制與實(shí)施體系，包含必要的存取控制、防火墻、入侵檢測、惡意軟（4）應(yīng)急管理級（IncidentManagement），盡管風(fēng)險(xiǎn)管理和漏洞管理可以減小安全事故的發(fā)生頻率，但是意外事故總能發(fā)生。因此，應(yīng)急處置總希望有自動化的管制程序使得事故損失最小化。典型的功能需求有，分類（categorization）、鑒識（classification）、通信（communication）、自動伸縮（3.智能電網(wǎng)安全架構(gòu)與安全區(qū)以及安全等級3.3智能電網(wǎng)通信網(wǎng)絡(luò)中安全通信架構(gòu)設(shè)計(jì)案例針對不同安全區(qū)域和不同安全層級，因其安全目標(biāo)、安全對象和安全內(nèi)容均有所不同，所以其所配置的安全設(shè)施、安全規(guī)范、安全準(zhǔn)則也應(yīng)該有所不同。智能電網(wǎng)通信網(wǎng)絡(luò)中安全通信架構(gòu)設(shè)計(jì)案例圖示見圖4（1）至圖4（4）。（圖文縮寫注釋：WR＝WANrouter；WAN＝WideAreaNetwork；CR＝Clusterrouter；UTM＝UnifiedThreatManager；CCTV＝ClosedCircuitTelevision。）3.智能電網(wǎng)安全架構(gòu)與安全區(qū)以及安全等級3.3智能電網(wǎng)通信網(wǎng)絡(luò)中安全通信架構(gòu)設(shè)計(jì)案例針對不同安全區(qū)域和不同安全層級，因其安全目標(biāo)、安全對象和安全內(nèi)容均有所不同，所以其所配置的安全設(shè)施、安全規(guī)范、安全準(zhǔn)則也應(yīng)該有所不同。智能電網(wǎng)通信網(wǎng)絡(luò)中安全通信架構(gòu)設(shè)計(jì)案例圖示見圖4（1）至圖4（4）。（圖文縮寫注釋：UTM＝UnifiedThreatManager；CR＝Clusterrouter；WR=WANrouter；WAN＝WideAreaNetwork。）（圖文縮寫注釋：WR＝WANrouter；WAN＝WideAreaNetwork。）3.智能電網(wǎng)安全架構(gòu)與安全區(qū)以及安全等級3.3智能電網(wǎng)通信網(wǎng)絡(luò)中安全通信架構(gòu)設(shè)計(jì)案例圖4（4）電力傳輸?shù)陌踩ㄐ偶軜?gòu)設(shè)計(jì)4——分（圖文縮寫注釋：WR＝WANrouter；WAN＝WideAreaNetwork；CR＝Clusterrouter；UTM＝UnifiedThreatManager；CCTV＝ClosedCircuitTelevision；DA＝DistributionAutomation；IED＝IntelligentElectronicDevice。）4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.1智能電網(wǎng)通信網(wǎng)是一個復(fù)雜的網(wǎng)絡(luò)體系（1）從網(wǎng)絡(luò)體系類型角度觀察，智能電網(wǎng)通信網(wǎng)以廣域網(wǎng)（WAN）為主體骨（2）從網(wǎng)絡(luò)功能類型角度觀察，智能電網(wǎng)通信網(wǎng)以滿足電力網(wǎng)絡(luò)的測量（包括在線監(jiān)測與脫線支持以及事務(wù)審計(jì)等）與控制（包括資源調(diào)度與優(yōu)化等）所需的（3）從網(wǎng)絡(luò)數(shù)據(jù)服務(wù)角度觀察，智能電網(wǎng)通信網(wǎng)針對電力業(yè)務(wù)以及電力網(wǎng)監(jiān)控?cái)?shù)據(jù)進(jìn)行處理，區(qū)別于互聯(lián)網(wǎng)廣泛的各類數(shù)據(jù)服務(wù)。因此，智能電網(wǎng)通信網(wǎng)可以定位為行業(yè)專用通信網(wǎng)（簡稱專網(wǎng)），其構(gòu)建方式可以是獨(dú)立建網(wǎng)的方式，也可以是借助其它公共通信網(wǎng)絡(luò)（簡稱公網(wǎng)）建立虛擬專網(wǎng)或者邏輯實(shí)體專網(wǎng)的方式。不同網(wǎng)絡(luò)建設(shè)方式，必然導(dǎo)致其安全性保障途徑和措施有所不同，所能達(dá)到的安全目標(biāo)也需要專項(xiàng)評估。4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.2智能電網(wǎng)通信網(wǎng)仍然必須遵循通信網(wǎng)絡(luò)建網(wǎng)的一般規(guī)范構(gòu)建通信網(wǎng)絡(luò)的最一般規(guī)范七層體系架構(gòu)，圖5OSI七層模型與智能電網(wǎng)通信應(yīng)用（圖文縮寫注釋：TCP＝TransmissionControlProtocol；IP＝InternetProtocol；MPLS＝Multi-protocolLabelSwitching。）4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.2智能電網(wǎng)通信網(wǎng)仍然必須遵循通信網(wǎng)絡(luò)建網(wǎng)的一般規(guī)范然而，在許多網(wǎng)絡(luò)工程應(yīng)用中，構(gòu)建通信網(wǎng)絡(luò)是在OSI模型上的變型加工。例如，Control）層的典型案例有：以同軸線或者雙絞線連接構(gòu)成的以太網(wǎng)（Ethernet）；網(wǎng)絡(luò)；采用IEEE-1901標(biāo)準(zhǔn)實(shí)現(xiàn)的通信鏈接網(wǎng)絡(luò)是利用電力線作為傳輸媒介的一類局），構(gòu)建并運(yùn)行網(wǎng)絡(luò)的控制規(guī)范被稱為協(xié)議（Protocol），在OSI模型中界定了各層協(xié)議的要素和操作規(guī)范。例如L4層即傳輸層（TransportLayer）的面向連接的TCP協(xié)DatagramProtocol，用戶數(shù)據(jù)報(bào)協(xié)議）界定了無連接傳輸中數(shù)據(jù)文件之間的不同交互規(guī)則。MPLS（Multi-protocolLabelSwitching，多協(xié)議標(biāo)簽交換）協(xié)議起源于IPv4（InternetProtocolversion4），因?yàn)樗诤狭薒2層的主4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.2智能電網(wǎng)通信網(wǎng)仍然必須遵循通信網(wǎng)絡(luò)建網(wǎng)的一般規(guī)范因此，OSI模型的工程實(shí)現(xiàn)常常有變化繁多的不同形態(tài)，如圖6所示12種案例。4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.3通信物理信道通信網(wǎng)絡(luò)（尤其是無線網(wǎng)絡(luò)）的信息傳輸質(zhì)量，包括安全保護(hù)質(zhì)量，極大程度受制于通信的物理信道特性。因而，物理信道（尤其是自由空間無線通信所用的電磁波信道）成為信息與通信系統(tǒng)的一個主要風(fēng)險(xiǎn)點(diǎn)。物理層信道的主要技術(shù)特征性指標(biāo)是：頻譜；帶寬；速率。典型的通信物理信道有：頻率劃分（頻分）信道；光波長劃分（波分）信道；時間劃分（時分）信道；無線物理層信道典型案例是美國ISM（Indu規(guī)范的所謂“900MHz”頻譜，即在902-928MHz共26MHz頻率范圍內(nèi)劃分出帶寬為100KHz的多個頻分信道，如圖7所示。事實(shí)上現(xiàn)代移動通信的頻譜混分與ISM記為類似，例如LTE（LongTermEvolution）系統(tǒng)的頻譜規(guī)劃是“700MHz”頻譜的746-806MHZ范圍內(nèi)的5MHz帶寬信4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.3通信物理信道4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.3通信物理信道采用波分（不同波長）復(fù)用（WDM，Wav光傳輸介質(zhì)上的多個物理信道。目前商用光纖物理層信道的典型數(shù)據(jù)速率已達(dá)到100Gbps。在高壓電傳輸系統(tǒng)中，為解決GPR（GroundPotentialRise）或者EPR（EarthPotentialRise）問題，必須進(jìn)行電纜線的屏蔽包裹，因此，屏蔽包裹層成為沿電壓線的自然通信介質(zhì)，為此常“順帶”敷設(shè)光纖傳輸由于話音數(shù)字化為“4KHz帶寬-8KHz采樣-8比特量化”過程，所以根據(jù)這一標(biāo)準(zhǔn)話音采樣得到的原始數(shù)據(jù)率為64Kbps，這一數(shù)值稱為數(shù)字信號零點(diǎn)（DS0，DigitalSignalZero）。在多路復(fù)用通信系統(tǒng)中，時分信道的劃分就常以DS0為基本單位，例如T1（或者DS1）線路是24路DS0的集合復(fù)用，T1的幀長為125微秒（us，），4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.4數(shù)據(jù)傳輸信號波形在物理信道上，依賴電磁波的數(shù)據(jù)傳輸基本原理是：隨機(jī)數(shù)據(jù)控制電磁波某個物理參量（或者幅度或者相位或者頻率等）的變化。這個過程被稱為調(diào)制（Modulation），不同的調(diào)制方法衍生出不同的調(diào)制制式并形成不同的數(shù)據(jù)傳輸波）；）；）；相相移鍵控QAM（QuadratureAmplitudeModulation，正交幅度調(diào)制）；SpreadSpectrum，直接序列擴(kuò)頻FH（FrequencyHopping，跳頻TCM）；在數(shù)據(jù)傳輸意義上，調(diào)制波形被認(rèn)為是物理信道的一個組成部分。4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.5設(shè)計(jì)和構(gòu)建通信網(wǎng)絡(luò)的基本途徑構(gòu)建智能電網(wǎng)（Grid）的通信網(wǎng)絡(luò)（network）的目的有三個方面：支撐智能電網(wǎng)的傳統(tǒng)功用；促進(jìn)智能電網(wǎng)的演進(jìn)與應(yīng)用；展現(xiàn)未來應(yīng)用的愿景?？紤]到智能電網(wǎng)的前述特征，可以得到網(wǎng)絡(luò)體系設(shè)計(jì)的基本途徑是：以WAN（WideAreaNetwork）作為智能電網(wǎng)的通信網(wǎng)的核心緣級（Core-edge）的中介。另一方面，力求以IP或者M(jìn)PLS等協(xié)議作為主要的網(wǎng)絡(luò)級通信協(xié)議。最終，從架構(gòu)上力求保障智能電網(wǎng)通信網(wǎng)絡(luò)的如下網(wǎng)絡(luò)性能需求，）；）；）；4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.5設(shè)計(jì)和構(gòu)建通信網(wǎng)絡(luò)的基本途徑構(gòu)建智能電網(wǎng)通信網(wǎng)絡(luò)的基本流程如圖8所示。構(gòu)建智能電網(wǎng)通信網(wǎng)絡(luò)的設(shè)計(jì)考慮因素有五大需求項(xiàng)和五大約束項(xiàng)：網(wǎng)絡(luò)設(shè)計(jì)分為物理設(shè)計(jì)、邏輯設(shè)計(jì)、調(diào)適、驗(yàn)證分析四個可以迭代的過程。4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.5設(shè)計(jì)和構(gòu)建通信網(wǎng)絡(luò)的基本途徑4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.6無線寬帶連接案例解析應(yīng)用于智能電網(wǎng)的基于公網(wǎng)的無線寬帶連接示意圖見圖9所示。各種公網(wǎng)技術(shù)可以支持的傳輸性能指標(biāo)如表1所示。圖10是應(yīng)用LTE的示意圖。相應(yīng)的信息與通信安全的風(fēng)險(xiǎn)點(diǎn)可以是端點(diǎn)（Endpoint）、無線接入網(wǎng)（RAN）、基站（Base）、IP路由等任何一個環(huán)節(jié)。（圖文縮寫注釋：IP＝InternetProtocol；WR＝WANrouter；WAN＝WideAreaNetwork；VPRN＝VirtualPrivateRoutedNetwork。）4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.6無線寬帶連接案例解析表1公網(wǎng)支持的無線傳輸技術(shù)典型指標(biāo)技術(shù)信道帶寬（MHz）下行峰值速率（Mbps）上行峰值速率（Mbps）單向延遲（ms）GSM-GPRS（GeneralPacketRadioService）0.2(×2）>0.1>0.01＜150GSM-EDGE（EnhancedDataratesforGSMEvolution）0.2(×2）>0.4>0.4＜150CDMA20001.25(×2）>3>1.8＜100WCDMA（WidebandCodeDivisionMultipleAccess）5(×2）>2>0.4＜150HSPAR7/8（High-SpeedPacketAccess）5(×2）>40>10WiMAX（TDD）5-1040LTE（FDD）（LongTermEvolution，F(xiàn)requencyDivisionDuplexing）1.4,5,15,20>150>50LTE（TDDTimeDivisionDuplexing）1.4,5,15,20>70>105G>1000？>1000？4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.6無線寬帶連接案例解析（圖文縮寫注釋：IP＝InternetProtocol；eNB＝EvolvedNodeB；MME＝MobilityManagementEntity；HSS＝HomeSubscriberServer；PCRF＝Policy,Charging,andRulesFunction；SGW＝ServingGateway；PDN-GW＝PacketdataNetworkGateway；VPRN＝VirtualPrivateRoutedNetwork。）4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.7智能電網(wǎng)的數(shù)據(jù)體系結(jié)構(gòu)智能電網(wǎng)的數(shù)據(jù)源案例圖如圖11所示。（圖文縮寫注釋：TMS＝TransmissionManagementSystem；DMS＝DistributionManagementSystem；OMS＝OutageManagementSystem；VVWC=Volt,VAR,wattcontrol；DFR＝DigitalFaultRecorder；AMI＝AdvancedMeteringInfrastructure；SCADA＝SupervisoryControlAndDataAcquisition；DA=DistributionAutomation；DR＝DemandResponse；IED＝IntelligentElectronicDevice；PMU＝PhasorMeasurementUnit；EV＝Electricvehicle；RTU=RemoteTerminalUnit。）4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.7智能電網(wǎng)的數(shù)據(jù)體系結(jié)構(gòu)圖12是智能電網(wǎng)的數(shù)據(jù)管理與控制結(jié)構(gòu)案4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.7智能電網(wǎng)的數(shù)據(jù)體系結(jié)構(gòu)雖然智能電網(wǎng)的數(shù)據(jù)種類繁多，動態(tài)變化頻繁，但是仍有一定的數(shù)據(jù)來源限制和分析框架可循，見圖13所示。（圖文縮寫注釋：AMI＝AdvancedMeteringInfrastructure；SCADA＝SupervisoryControlAndDataAcquisition。）4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.8智能電網(wǎng)在通信協(xié)議支持下的安全機(jī)制對于智能電網(wǎng)在通信協(xié)議支持下的數(shù)據(jù)安全傳輸處理，從單純應(yīng)用的角度觀察，（3）適應(yīng)性：實(shí)現(xiàn)網(wǎng)絡(luò)的可伸縮機(jī)制。4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.8智能電網(wǎng)在通信協(xié)議支持下的安全機(jī)制表2給出了典型端到端傳輸協(xié)議的安全特征。表2典型端到端傳輸協(xié)議的安全特征安全特征TCP標(biāo)準(zhǔn)SCTP標(biāo)準(zhǔn)SSTP新案安全機(jī)制（Scheme）TLS或者IPSecTLS或者IPSec內(nèi)置安全泛洪攻擊（Flooding）CookieCookieCookie連接機(jī)制（Connection）三輪次握手四輪次握手四輪次握手雙工通信（Duplex）是是多為單工可靠遞送（ReliableDelivery）ACK帶SACKACK帶SACKACK順序遞送（In-sequenceDelivery）強(qiáng)制可選不予考慮發(fā)送端延遲（SenderDelay）擁塞控制擁塞控制不予考慮接收端延遲（ReceiverDelay）延遲ACK延遲ACK不予考慮流量控制（FlowControl）單流控單流控全流控傳輸與接收緩沖（TransmissionBuffer）128KB/連接128KB/連接所有連接共用多主體/多流（Multi-Homing/Stream）無有無4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.8智能電網(wǎng)在通信協(xié)議支持下的安全機(jī)制準(zhǔn)界定，此兩標(biāo)準(zhǔn)的出處分別是，的很小計(jì)算資源即可有效運(yùn)行，特別適用于一個傳感器（如電表）的應(yīng)用。關(guān)于SCTP的兩篇典型分析文獻(xiàn)是，4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.8智能電網(wǎng)在通信協(xié)議支持下的安全機(jī)制是協(xié)議處理器無需維護(hù)每個客戶端的狀態(tài)以實(shí)現(xiàn)大量M2M應(yīng)用。此協(xié)議的最重要4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.9智能電網(wǎng)在無線專用網(wǎng)絡(luò)支撐下的安全連接機(jī)制智能電網(wǎng)通信網(wǎng)在FAN應(yīng)用上主要有兩類構(gòu)建途徑：無線物理專網(wǎng)；借助無線圖14是基于無線專網(wǎng)的寬帶連接示意圖，圖15是構(gòu)建在LTE宏小區(qū)上的智能電網(wǎng)通信網(wǎng)參考架構(gòu)示意圖。表3則簡要描述了LTE宏小區(qū)典型的覆蓋范圍。圖16是實(shí)現(xiàn)智能電網(wǎng)通信網(wǎng)信息安全的一個實(shí)現(xiàn)方案設(shè)想，包含了防火墻、安全路由器等的安全保障設(shè)備的配置和部署方案。（1）WiFi，遵循IEEE802.11b、802.11g、802.11n、802.11ah，速率可達(dá)），4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.9智能電網(wǎng)在無線專用網(wǎng)絡(luò)支撐下的安全連接機(jī)制（圖文縮寫注釋：DF＝DataForwarder；FAN＝FieldAreaNetwork；WR＝WANrouter；WAN＝WideAreaNetwork；MDMS＝MeterDataManagementSystem；DCC＝DataandControlCenter；LAN＝LocalAreaNetwork。）4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.9智能電網(wǎng)在無線專用網(wǎng)絡(luò)支撐下的安全連接機(jī)制典型場景覆蓋面積（平方公里）人口密度（約千人/平方公里）人口容量（約千人）密集城市（denseurban）29.0城鎮(zhèn)（urban）2.15郊區(qū)（suburban）鄉(xiāng)村（rural）77.00.44.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.9智能電網(wǎng)在無線專用網(wǎng)絡(luò)支撐下的安全連接機(jī)制（圖文縮寫注釋：LTE＝LongTermEvolution；DLR＝DynamicLineRating；IED＝IntelligentElectronicDevice；CCTV＝ClosedCircuitTelevision；PMU＝PhasorMeasurementUnit；DA＝DistributionAutomation；EV＝ElectricVehicle。）4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.9智能電網(wǎng)在無線專用網(wǎng)絡(luò)支撐下的安全連接機(jī)制這提供了保障信息安全可用性的邊界條件。24.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.9智能電網(wǎng)在無線專用網(wǎng)絡(luò)支撐下的安全連接機(jī)制20ms≤延遲≤100ms4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.9智能電網(wǎng)在無線專用網(wǎng)絡(luò)支撐下的安全連接機(jī)制250ms≤延遲≤1000ms4.智能電網(wǎng)通信網(wǎng)的實(shí)現(xiàn)架構(gòu)及其安全保障4.9智能電網(wǎng)在無線專用網(wǎng)絡(luò)支撐下的安全連接機(jī)制網(wǎng)信息安全的一個實(shí)現(xiàn)（圖文縮寫注釋：TMS＝TransmissionManagementSystem；SCADA＝SupervisoryControlAndDataAcquisition；DMS=DistributionManagementSystem；DA=DistributionAutomation；EMS＝Energymanagementsystem；MDMS＝MeterDataManagementSystem；FW＝Firewall；UTM=UnifiedThreatManager；DA＝DistributionAutomation；IED＝IntelligentElectronicDevice；CR＝Clusterrouter；EV＝Electricvehicle；WR＝WANrouter；WAN＝WideAreaNetwork；AMI＝AdvancedMeteringInfrastructure；CT＝Currenttransformer；VT=Voltagetransformer；CB＝Circuitbreaker；PMU＝PhasorMeasurementUnit；CCTV=ClosedCircuitTelevision。）5.通信與信息安全的標(biāo)準(zhǔn)通信與信息安全技術(shù)是各類技術(shù)的一種形態(tài)。任何技術(shù)作為一類工程實(shí)現(xiàn)的手段，都源于相關(guān)學(xué)術(shù)的探究、分析、設(shè)計(jì)和驗(yàn)證，其表現(xiàn)形式是：“論文與專著”；“專利與軟著權(quán)”；“標(biāo)準(zhǔn)與規(guī)范”；“工技術(shù)標(biāo)準(zhǔn)常常被認(rèn)為是從技術(shù)創(chuàng)新階段過度到技術(shù)實(shí)現(xiàn)或者技術(shù)產(chǎn)業(yè)階段的關(guān)鍵節(jié)點(diǎn)環(huán)節(jié)，因此，在技術(shù)的更新、實(shí)現(xiàn)以及應(yīng)用過程中，技術(shù)標(biāo)準(zhǔn)成為行動指南。也因此，在部署信息與通信安全設(shè)施與設(shè)備、構(gòu)建信息與通信安全體系與制度、評估和維護(hù)信息與通信安全系統(tǒng)的任何環(huán)節(jié)，都需要遵循相關(guān)信息與通信安全技術(shù)標(biāo)準(zhǔn)，至少遵循恰當(dāng)裁剪后的相關(guān)信息與通信安全技術(shù)標(biāo)準(zhǔn)子集。5.通信與信息安全的標(biāo)準(zhǔn)在信息與通信安全領(lǐng)域，由于信息與通信安全技術(shù)應(yīng)用的領(lǐng)域有所不同而形成多類相關(guān)但又有所不同的技術(shù)標(biāo)準(zhǔn)系列。典型的信息與通信安全標(biāo)準(zhǔn)系列有：（4）ISA/IEC（Internat5.通信與信息安全的標(biāo)準(zhǔn)NIST-FIPS系列標(biāo)準(zhǔn)將信息安全的問題與其標(biāo)準(zhǔn)化解決途徑分為17類，按字母順序羅列如表5所示。表5FIPS的信息安全規(guī)范存取控制（AccessControl）人員安全（PersonnelSecurity）審計(jì)與追責(zé)（Audit&Accountability）物理與環(huán)境保護(hù)（Physical&EnvironmentalProtection）意識與培訓(xùn)（Awareness&Training）一般性規(guī)劃（Planning）證明、鑒定與安全評定（Certification,Accreditation&SecurityAssessments）程序管理（ProgramManagement）架構(gòu)管理（ConfigurationManagement）風(fēng)險(xiǎn)評估（RiskAssessment）意外規(guī)劃（ContingencyPlanning）系統(tǒng)與通信保護(hù)（System&CommunicationProtection）識別與授權(quán)（Identification&Authentication）系統(tǒng)與信息完整性（System&InformationIntegrity）維護(hù)（Maintenance）系統(tǒng)與服務(wù)獲?。⊿ystem&ServicesAcquisition）介質(zhì)保護(hù)（MediaProtection）5.通信與信息安全的標(biāo)準(zhǔn)截止2017年2月，ISA99/IEC62443安全規(guī)范共分為四類，即一般性規(guī)范、系統(tǒng)規(guī)范、策略與過程規(guī)范以及部件規(guī)范，具體文件清單如表6至表9所示。TitleGapassessmentofANSI/ISA-9最早作為ISA標(biāo)準(zhǔn)ANSI/ISA-99.00.01-200Securitylifecycleandusecases5.通信與信息安全的標(biāo)準(zhǔn)ISA序號IEC序號文件名稱Title文件類別、狀態(tài)、評述DocType、Status、CommentsISA-62443-2-1IEC62443-2-1IACS安全管理系統(tǒng)需求RequirementsforanIACSsecuritymanagementsystem草案、已發(fā)布且更新中。最初作為ANSI/ISA-99.02.01-2009發(fā)布。ISA-TR62443-2-2IEC/TR62443-2-2IACS安全管理系統(tǒng)實(shí)現(xiàn)指南ImplementationguidanceforanIACSsecuritymanagementsystem草案、已提交。在ISA-62443-2-1基礎(chǔ)上擬定，聚焦安全管理系統(tǒng)的操作，與ISO27000系列高度一致。ISA-TR62443-2-3IEC/TR62443-2-3IACS環(huán)境中補(bǔ)丁管理PatchmanagementintheIACSenvironment摘錄、已發(fā)布。作為ANSI/ISA技術(shù)報(bào)告發(fā)布。ISA-62443-2-4IEC62443-2-4IACS解決方案供應(yīng)商需求RequirementsforIACSsolutionsuppliers摘錄、已發(fā)布。5.通信與信息安全的標(biāo)準(zhǔn)ISA序號IEC序號文件名稱Title文件類別、狀態(tài)、評述DocType、Status、CommentsISA-TR62443-3-1IEC/TR62443-3-1IACS的安全技術(shù)SecuritytechnologiesforIACS草案、已發(fā)布且更新中。曾以ANSI/ISA-TR99.00.01-2007技術(shù)報(bào)告發(fā)布，并由工作組1持續(xù)修訂。ISA-62443-3-2IEC62443-3-2安全風(fēng)險(xiǎn)評估與系統(tǒng)設(shè)計(jì)Securityriskassessmentandsystemdesign草案、在更新中。ISA-62443-3-3IEC62443-3-3系統(tǒng)安全需求與安全等級Systemsecurityrequirementsandsecuritylevels摘錄、已發(fā)布。作為ANSI/ISA標(biāo)準(zhǔn)。5.通信與信息安全的標(biāo)準(zhǔn)ISA序號IEC序號文件名稱Title文件類別、狀態(tài)、評述DocType、Status、CommentsISA-62443-4-1IEC62443-4-1產(chǎn)品開發(fā)需求Productdevelopmentrequirements草案待評述ISA-62443-4-2IEC62443-4-2IACS部件的技術(shù)性安全需求TechnicalsecurityrequirementsforIACScomponents草案待評述5.通信與信息安全的標(biāo)準(zhǔn)3GPP關(guān)于5G安全的標(biāo)準(zhǔn)文檔（33系列）列表（截止于2018年3月）與表10所示。表10（1）3GPP關(guān)于5G安全的標(biāo)準(zhǔn)5.通信與信息安全的標(biāo)準(zhǔn)表10（2）3GPP關(guān)于5G安全的標(biāo)準(zhǔn)序號文件名33220-e00GenericAuthentication&BootstrappingArchitecture33221-e00GenericAuthentication-Supportforsubscribercertificates33222-e00HTTPS33223-e00