电力用户用电信息采集系统安全防护技术方案课件

0电力用户用电信息采集系统

安全防护技术方案中国电力科学研究院2009年9月三、安全防护技术方案二、风险分析目录一、电力用户用电信息采集系统简介四、主要工作一、用电信息采集系统简介 全面建设电力用户用电信息采集系统，符合国际电网技术发展的方向，是建设智能电网的重要组成部分；符合经济社会发展的要求，是扩大内需、加快城市和农村电网改造的重要措施；符合公司发展方式转变的需要，是公司“SG186”信息系统工程建设和营销计量、抄表、收费标准化建设的重要基础，是提升服务能力、实行居民阶梯电价的必然选择，是建设国际一流企业的重要保证，将有力支撑公司决策更加及时、科学，推动公司发展实现历史性跨越。一、用电信息采集系统简介

（2）分布式部署 分布式部署是在全省各地市公司分别部署一套主站系统，独立采集本地区范围内的现场终端和表计，实现本地区信息采集、数据存储和业务应用。分布式部署主要适用于用户数量高于500万的网省电力公司。一、用电信息采集系统简介主站无线专网无线公网光纤居民表居民表电力线载波采集器电力线载波采集器集中器远传多功能电表集中器小无线采集器IC卡预付费表主站管理系统传输通道终端系列主站服务器前置机电力线小无线电表小无线网主站管理系统电力线载波表IC卡预付费表负控终端485线485线485线三、安全防护方案二、风险分析目录一、电力用户用电信息采集系统简介四、主要工作现状风险分析二、风险分析主站安全防护现状

系统主站已根据电力二次系统安全防护总体方案，采取一定的通用安全防护措施。公网信道安全防护现状

主站通过专线和移动公司GPRS网的GGSN相连，在移动GGSN网元上为电力公司设置一个专用的APN接入点，从而在终端和电力企业内部网络之间构成一条无线虚拟专网（VPN）通道，满足电力企业提出的内部网络安全性及数据私密性的要求。现状风险分析二、风险分析

采集终端安全防护现状

目前使用的各种采集终端很少采取有效的安全防护措施。

电能表安全防护现状

普通电子式电能表没有采取安全防护措施。 预付费电能表中的逻辑加密卡安全防护等级较低，CPU卡使用3DES算法的安全模块，安全防护等级较高，逐步为多个网省电力公司采用。二、风险分析现状风险分析窃听篡改身份伪造窃听篡改通信主体身份伪造窃听篡改通信主体身份伪造三、安全防护方案进一步规范用电信息采集系统安全防护工作，提高系统的总体安全防护能力。保障电网安全稳定运行，确保业务数据安全可靠，提高用电服务质量。实现国家电网公司营销业务应用系统安全防护水平的整体提升。目的技术措施方案设计方案实现目的防护策略方案设计三、安全防护方案方案实现电力线载波表主站发卡系统无线专网无线公网光纤用户卡居民表居民表电力线载波采集器电力线载波采集器集中器远传多功能电表集中器小无线采集器IC卡预付费表主站管理系统传输通道终端系列售电系统加密机主站服务器前置机用户卡PSAM加密机用户卡用户卡ESAMESAMESAMESAMESAMESAMESAMESAMESAM电力线小无线电表ESAMESAM小无线网主站管理系统密钥管理系统IC卡预付费表负控终端485线485线485线三、安全防护方案目的技术措施方案设计方案实现依据《电力二次系统安全防护技术方案》和《电力用户用电信息采集系统电能信息安全技术规范》，对系统的边界、网络、主机进行防护。采用非对称密钥算法和对称密钥算法的混合密码系统，以确保主站和终端通信的安全性。对称密钥算法主要用于通信数据的加解密。非对称密钥算法主要用于身份鉴别、密钥协商、对称密钥的更新。三、安全防护方案在电力用户用电信息采集系统中，所有数据的加解密都采用硬件方式实现。对称密钥算法采用国密算法（国密ＳＭ１算法），非对称密钥算法采用ＲＳＡ或ＥＣＣ算法。目的技术措施方案设计方案实现三、安全防护方案主站侧采用国家密码管理局认可的密码机设备实现数据加解密，密码机集成有对称密钥算法和非对称密钥算法。专变采集终端和集中器采用国家密码管理局认可的硬件安全模块实现数据加解密。硬件安全模块同时集成有对称密钥算法和非对称密钥算法。智能电能表内采用国家密码管理局认可的硬件安全模块实现数据加解密。智能电能表采用的硬件安全模块集成有对称密钥算法。本地费控电能表可以借助CPU卡实现密钥的更新。目的技术措施方案设计方案实现目录三、安全防护方案二、风险分析一、电力用户用电信息采集系统简介四、主要工作四、主要工作系统结构图试点测试标准建设产品研制系统结构四、主要工作模拟系统的组网方式为1比8。在松江安装9600bps基站电台及相关设备，使用一个独立的230MHz单工频率作为模拟系统的信道。在上海电力公司大楼内安装一套单机版主站模拟软件，主站计算机使用USB接口连接加密模块，使用串口服务器远程连接松江的9600bps基站电台。在松江安装了8台9600bps终端，终端加装专用通信加密模块所需的接口和固定件，使用I2C总线方式连接加密模块。模拟系统采用Q/GDW130-2005《电力负荷管理系统数据传输规约》。试点测试标准建设产品研制系统概况四、主要工作2007年11月，由华东电力试验研究院对该系统的传输加密、加解密效率和安全功能进行测试。测试项目包括：数据召测响应延时试验；数据召测成功率试验；抄表数据传输响应延时试验；不同传输速度下的加密参数响应延时试验；不同传输速度下加密前后的控制命令响应延时试验等；安全功能测试。试点测试标准建设产品研制系统测试四、主要工作2009年3月31日，完成《电力用户用电信息采集系统安全防护体系建设方案》，提交国网公司营销部。2009年7月15日，国家电网公司企业标准《智能电能表信息交换安全认证规范》通过专家评审,即将发布。2009年8月31日，完成制定《电力用户用电信息采集系统电能信息安全防护技术规范》，已提交，即将进行评审。试点测试标准建设产品研制四、主要工作试点测试标准建设产品研制

CEPESAM嵌入式安全芯片是中国电力科学研究院开发的安全认证芯片，它采用国密局批准的SM1算法,可以根据用户需要封装成Plug-in规格SAM卡或DIP8的芯片。DIP8封装的芯片可