電力智能變電站信息安全技術探討

1、    電力智能變電站信息安全技術探討    許強摘要：近年來，隨著我國電力技術的發(fā)展，智能電網(wǎng)建設逐步推進，計算機及相關網(wǎng)絡技術在電力變電站領域中的應用也逐漸廣泛，但實際應用中出現(xiàn)的信息安全問題也凸顯出來，為更好保障智能變電站的信息安全，從智能變電站本體安全，通信安全，主動防御體系以及信息安全評估等方面進行了深入分析，并提出了一系列智能變電站信息安全加固技術，以供同行參考。關鍵詞：電力智能變電站;信息安全;技術探討引言隨著能源互聯(lián)網(wǎng)的加速建設，計算機網(wǎng)絡和通信技術在智能變電站中的應用呈現(xiàn)出前所未有的廣度和深度。智能變電站作為信息化技術深度應用的結晶，是

2、電力系統(tǒng)信息安全的關鍵節(jié)點。本文對智能變電站中信息安全問題進行了探索，對信息安全相關技術進行了有益的分析和總結。1智能變電站信息安全問題目前智能變電站主要采取的安全性防護方式是安全分配區(qū)域、互聯(lián)網(wǎng)聯(lián)合、橫向隔開、縱向證明等，這些方式可以將變電站與外部網(wǎng)絡進行隔離。但是，一些新型的攻擊措施大量興起，破壞力非常強，延伸面廣，專業(yè)性強，能夠最大化突破防護，這說明目前的防護方式并非是完美無缺的。這些攻擊措施的具體表現(xiàn)有以下幾個方面。1）智能變電站的通信技術是在傳統(tǒng)tcp/ip技術基礎上進行優(yōu)化，強化了專業(yè)技能，攻擊力加強。2）智能變電站內(nèi)部裝置中采用的安全防護方式不是最佳的，存在許多缺陷，運行系統(tǒng)和應

3、用程序上問題較多。3）站內(nèi)訪問常見的情形是將智能變電站中的主機或網(wǎng)關與人機接口連接起來，其中惡意傳播木馬和病毒等軟件的方式仍舊存在。4）無線網(wǎng)絡等一些新穎連接意向和接入方式逐漸產(chǎn)生。因此，學者針對此種情況進行分析研究，總結出核心點：變電站周安全強化措施。變電站安全通信方案。變電站優(yōu)化防護措施。變電站內(nèi)部主要數(shù)據(jù)的安全強化措施。2智能變電站信息安全分析目前，我國智能變電站的網(wǎng)絡建設都遵循“橫向隔離”安全策略，即變電站內(nèi)網(wǎng)與外部internet從物理上完全隔離，包括許多電力部門人員在內(nèi)都認為變電站網(wǎng)絡是非常安全的，他們也不理解系統(tǒng)中增加安全措施的道理。事實上，網(wǎng)絡化的普遍和額外信息訪問需求的增長使

4、得智能變電站通信網(wǎng)絡遠不是我們想象中的那樣安全。一方面，智能變電站的通信基于tcp/ip網(wǎng)絡，有可能會受到以網(wǎng)絡為主要傳播途徑的病毒和黑客的攻擊，且電力信息工作站的應用系統(tǒng)大多采用windows平臺，站內(nèi)ied也沒有安全內(nèi)核，存在不少安全隱患;另一方面，人機接口（hmi）、控制、維護、規(guī)劃和施工等應用系統(tǒng)可通過網(wǎng)關直接接入智能變電站站控層網(wǎng)絡，直接訪問站內(nèi)相關信息。所以，無論是智能變電站站內(nèi)通信還是外部通信，都面臨著安全威脅，這些安全威脅可分為無意威脅和蓄意威脅。3電力智能變電站信息安全技術探討3.1國產(chǎn)加密算法在智能變電站中的應用通信報文安全性的核心是認證和加密。目前，國內(nèi)使用的密碼體系主要

5、來自歐美，如rsa、md5等，這些加密算法本身就存在一定的風險，如rsa算法就曾被指收美國政府千萬美元在加密算法中安裝后門。對此，國家商用密碼管理辦公室制定了一系列的國密算法標準。根據(jù)密碼分類標準，對國密算法進行了概述和分析，分別介紹了對稱算法sm1、sm4、祖沖之密碼算法，非對稱算法sm2、sm9以及sm3散列算法。國產(chǎn)算法的安全性相對高，已經(jīng)具備替代國外密碼的實力。在電力通信系統(tǒng)中使用國密算法具有重要的安全意義，學者們開展了大量研究。基于國產(chǎn)sm2的身份鑒別算法應用在電力信息系統(tǒng)，實現(xiàn)了更好的身份鑒別能力。針對tls協(xié)議連接時間過長不利于通信安全的問題，學將sm2國密體系應用在tls協(xié)議上

6、，在遠動通信中使用“長連接”與“短連接”相互配合的策略，并對該方法進行驗證，結果顯示其滿足了智能變電站遠動通信數(shù)據(jù)安全性和實時性的需求?；趂p-ga平臺，研究了sm3算法ip核的設計與實現(xiàn)，并與sha-256算法進行了對比，驗證了其優(yōu)越性。3.2數(shù)字簽名技術數(shù)字簽名類似傳統(tǒng)紙上的筆跡或印章，采用了兩種互補的算法，一種用于簽名，另一種用于驗證，包括密碼生成算法、標記算法和驗證算法。智能變電站過程層包含goose和sv兩類信息，過程網(wǎng)絡數(shù)據(jù)的傳輸需要嚴格保證實時性和安全性。goose和sv若采用加密或其他安全方法會使原始數(shù)據(jù)增加很多字節(jié)數(shù)，既增加了報文處理時間，也延遲了傳輸速度，采用數(shù)字簽名技術

7、則可兼顧過程層信息的安全性和實時性。3.3存儲加固電力監(jiān)控設備中進行數(shù)據(jù)存儲的核心是數(shù)據(jù)庫。數(shù)據(jù)庫在運行系統(tǒng)時存在等級劃分，一般有五大類，細分為20個指標，例如辨別用戶的標注、登錄和訪問權限等。數(shù)據(jù)庫具備安全性的作用是通過優(yōu)化配置來獲得數(shù)據(jù)庫的訪問權限和日志審查等，從而獲取簡單有效的應用效果。但是，配置安全軟件不僅會降低運行系統(tǒng)的速度，也會占據(jù)系統(tǒng)內(nèi)存，從而影響數(shù)據(jù)庫的性能。并且在評估安全性時，事前檢查、事中監(jiān)察和事后審查是最必不可少的三大評估層面，根據(jù)這三大評估層面配置一系列保護數(shù)據(jù)庫信息安全的設備，設計一種完整檢測數(shù)據(jù)庫安全的方案和應用平臺，對電力通信的積極探索具有重要意義。3.4主動防御

8、技術主動防御技術是一種在計算機系統(tǒng)中加入tpm（可信平臺模塊）的可信計算平臺，通電之后，tpm可通過硬件信任根進一步延展信任信息，從而形成tpm主動防御網(wǎng)絡系統(tǒng)。歸納出可信計算技術在安全系統(tǒng)中展示出的各項優(yōu)勢，專家們進一步探究了其在防御系統(tǒng)中實際應用效用，并提供了能夠全面實現(xiàn)信息化計算平臺、應用行為以及網(wǎng)絡通信的精準方案。即使該技術目前屬于一種更為安全的免疫化水平，實際應用范圍廣，但其內(nèi)部芯片、固化算法和系統(tǒng)操作流程等必要專業(yè)技能還是沒有辦法全靠國產(chǎn)。因此，專家們共同探究出另外一種可控性高的計算平臺，其中優(yōu)質(zhì)硬件主要來源于國內(nèi)制造，比如核心處理器使用國產(chǎn)龍芯行，運行系統(tǒng)使用國產(chǎn)麒麟型等。結語本

9、文對智能變電站面臨的信息安全風險進行了分析，并從本體安全、通信安全、主動防御和信息安全評估等方面對當前智能變電站信息安全研究的相關內(nèi)容進行了有益的探索。智能電網(wǎng)中智能變電站的信息安全問題直接關系到智能變電站的發(fā)展，通過促進智能變電站通信網(wǎng)絡的組建將有利于智能變電站的發(fā)展，進而實現(xiàn)智能電網(wǎng)的高速、安全、可靠的發(fā)展。最終實現(xiàn)我國社會經(jīng)濟的高效、穩(wěn)定、長遠的發(fā)展。參考文獻1周蓉.面向變電站數(shù)據(jù)通信的安全防護機制研究d.北京：華北電力大學，2009.2劉行.基于主機操作系統(tǒng)的安全加固研究和實現(xiàn)j.華東電力，2010，38（10）：1586-1587.3邱岳.操作系統(tǒng)安全加固技術研究與實現(xiàn)c/中國電機工程學會，2012年電力行業(yè)信息化年會論文集，北京，2012.4羅佳，徐方艾，鎖延鋒.基于信息安全等級保護的安全操作系統(tǒng)解決方案c/公安部第三研究所，第二屆全國信息安全等級保護技術大會論文集，合肥，2013.5郭晉.基于可信計算的嵌入式linux內(nèi)核安全性加固的研究d