一种基于SMC技术的Ⅱ区纵向加密装置远程管理功能的实现方法

一种基于 SMC技术的Ⅱ区纵向加密装置远程管理功能的实现方法

郝东方

贵州电网有限责任公司毕节供电局，贵州 毕节 551700

摘要：电力监控系统是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络等，具有“点多面广”的特点。实现对电力监控系统的远程管理功能，至关重要。本文将介绍一种基于SMC技术的Ⅱ区纵向加密装置远程管理功能的实现方法，通过远程查看和修改配置，大大提高了工作效率，从而提升了电力监控系统的运行可靠性。

关键词：SMC-2000加密装置管理；纵向加密认证装置；远程管理功能实现

1 SMC-2000加密装置管理系统简介

SMC-2000装置管理系统是南京南瑞集团信息系统公司为配合纵向加密认证装置的大规模部署和管理，遵循通用开放、功能齐全、运行稳定、简单易用和跨平台部署的设计原则，自主研制并推出的。SMC可为电力公司及下属单位所辖的加密认证装置提供集中的、在线的远程安全管理服务，它通过经认证加密的管理报文以在线方式实现对不通厂家的纵向加密认证装置的实时监测和管理。

SMC是基于Java虚拟机开发的软件产品，必须运行在Java虚拟机上。当对SMC进行管理时，必须保证管理客户端程序所在的电脑应与装置管理系统服务器网络可达。功能十分强大，包括：支持对网络上任意一台纵向加密认证网关的安全策略进行查询与设置；支持对网络上任意一台纵向加密认证网关的隧道状态进行查询与设置，并以不同的颜色代表不同加密方式、不同运行状态的隧道；支持对网络上任意一台纵向加密认证网关的工作模式进行查询与设置；支持对网络上任意一台纵向加密网关的初始化密钥证书管理；支持对网络上任意一台纵向加密认证网关下发新的数字证书；可实时监控网络上任意一台纵向加密认证网关的流量、链路信息等；可对网络上任意一台纵向加密认证网关的日志信息进行集中管理和审计，并以不同的颜色区分不同类型的日志信息；可远程对网络上任意一台纵向加密认证网关的系统管理包括加密装置地址、远程管理地址、日志审计地址等信息；可远程对网络上任意一台纵向加密认证网关的网络管理包括设备网卡、接口类型、VLANID、IP地址、掩码等信息；可远程对网络上任意一台纵向加密认证网关的路由管理包括目的网络、目的掩码、网关、网卡名、VLANID等信息；可远程对网络上任意一台纵向加密认证网关的隧道管理包括隧道号、对端装置IP地址、对端装置证书等信息；可远程对网络上任意一台纵向加密认证网关的策略管理包括内网起始IP、内网终止IP、外网起始IP、外网终止IP、方向、协议、处理方式、内网端口起始、内网端口终止、外网端口起始、外网端口终止等信息。

2 本单位现状

本单位的电力监控系统是按照“安全分区、网络专用、横向隔离、纵向认证”的原则进行部署的。生产控制大区分为控制区（安全Ⅰ区）和非控制区（安全Ⅱ区）。控制区中的业务系统与电力调度生产直接相关，对一次系统的在线监视和闭环控制功能，典型系统包括调度自动化系统、配网自动化系统、变电站自动化系统、具有保护定值下发远方投退功能的保信系统等；非控制区的业务系统与电力生产直接相关，但不参与控制，典型系统包括调度员培训系统、电能量计量系统、在线监测系统、故障录播系统等。

调度中心与所辖区域的变电站、电厂的控制区（安全Ⅰ区）和非控制区（安全Ⅱ区）均采用地区调度数据网进行通信，调度数据网在专用通道上使用独立的网络设备组网，在物理层面上实现了与电力企业其他数据网以及外部公用网的安全隔离。并且划分为逻辑隔离的实时子网和非实时子网，分别连接控制区（安全Ⅰ区）和非控制区（安全Ⅱ区）。

目前，本单位的SMC-2000加密装置管理系统部署在控制区（安全Ⅰ区），可实现对局主站、所辖区域110kV及以下变电站、地调调管电厂的控制区（安全Ⅰ区）纵向加密装置的远程管理，不能实现非控制区（安全Ⅱ区）纵向加密装置的远程管理，本论文将研究介绍一种基于SMC技术的Ⅱ区纵向加密装置远程管理功能的实现方法。

3 具体实现方法介绍

为了更好的理解，我们画出了改造前后的拓扑结构。如下图所示。

详细配置如下：

（1）在加密装置管理系统非控制区（安全Ⅱ区）二次安防交换机之间部署一台防火墙，并对防火墙进行配置。配置主要包括：高危端口（135、137、138、139、445、3389等）封堵并置顶、配置SMC至非实时纵向加密的安全策略开通、控制区地址通过NAT转换为非控制区地址等。通过防火墙的安全策略配置，有效的杜绝了跨区互联的网络安全风险；

（2）对加密装置管理系统进行配置。加密装置管理系统共有5个网口，分别为eth1、eth2、eth3、eth4、eth5，目前eth1用于管理安全Ⅰ区的纵向加密装置。我们将eth2口用于管理安全Ⅱ区的纵向加密装置，故需要对eth2口进行配置私网IP地址，并增加至安全II区的静态路由。新增局主站、所辖区域110kV及以下变电站、地调调管电厂的安全Ⅱ区纵向加密装置的证书，保证加密装置管理系统可以远程管理到加密装置。

（3）对非控制区（安全Ⅱ区）交换机进行配置。配置主要包括：分配地区调度数据网IP地址作为网关地址、配置规划好的VLAN信息，划分规划好的交换机接口、做好描述并引入双向限制高危端口的规则以及OSPF路由表等；

（4）对局主站、所辖区域110kV及以下变电站、地调调管电厂的安全Ⅱ区纵向加密装置添加远程管理地址，并导入相应的管理证书，再进行远程管理策略配置，保证加密装置管理系统可以远程管理到加密装置。

4 价值与意义

通过以上配置，实现了本单位加密装置管理系统远程管理局主站、所辖区域110kV及以下变电站、地调调管电厂的非控制区（安全Ⅱ区）纵向加密装置的功能。当变电站或者电厂发生非控制区（安全Ⅱ区）业务中断或者告警时，也可先在主站远程进行故障排查，远程修改策略，节省了运维人员进站消缺的工作时间，大大提高了工作效率，从而提升了电力监控系统的运行可靠性。除此之外，该研究方法与重新在非控制区（安全Ⅱ区）部署一套SMC-2000加密装置管理系统实现的功能是一样的，但却可以减少高达十余万的投资，具有很好的经济效益，也是贯彻落实“过紧日子”精神的一种体现。

参考文献：

【1】发改委2014年14号令-《电力监控系统安全防护规定》

【2】南京南瑞集团信息系统公司-《SMC-2000装置管理系统用户手册》