何雪嶶　劉曦

【摘要】隨著科學技術的飛速發(fā)展，信息網(wǎng)絡的發(fā)展使網(wǎng)絡成為人們不可或缺的工具，信息網(wǎng)絡的安全越來越為社會各界人士所日益關注，采用何種技術確保信息網(wǎng)絡的安全成為人們必須解決的難題，電力系統(tǒng)由于自動化控制技術的采用，也面臨信息網(wǎng)絡安全問題，PKI作為信息網(wǎng)絡提供安全保障的基礎設施，為電力系統(tǒng)信息網(wǎng)絡所采用，本文就針對電力系統(tǒng)信息網(wǎng)絡安全中PKI的應用進行了探討。

【關鍵詞】電力系統(tǒng);信息網(wǎng)絡;安全;PKI;應用

1、電力系統(tǒng)信息網(wǎng)絡安全分析

電力系統(tǒng)的安全穩(wěn)定、經(jīng)濟優(yōu)質運行離不開信息網(wǎng)絡安全系統(tǒng)的保障，對“數(shù)字電力系統(tǒng)”的建設和實現(xiàn)具有重要意義，所以當前網(wǎng)絡安全系統(tǒng)在整個電力活動中具有相當關鍵的地位。隨著計算機在系統(tǒng)中的廣泛應用，在生產(chǎn)、經(jīng)營、管理方面都具有較大的作用，然而在計算機安全技術以及安全措施上的投入比較少，安全性得不到很好的保障。尤其是在計算機網(wǎng)絡化將傳統(tǒng)的局域網(wǎng)更改為聯(lián)成光宇網(wǎng)之后，存在著巨大的外部安全隱患和威脅，使網(wǎng)絡安全系統(tǒng)很有可能受到外來網(wǎng)絡攻擊。在電力系統(tǒng)中其實早期的計算機網(wǎng)絡采用的是內部局域網(wǎng)，其計算機安全大多是防止意外破壞或者是內部人員的控制，但在當前新的計算機網(wǎng)絡環(huán)境下，必須要能夠應對國際互聯(lián)網(wǎng)上的惡意攻擊。對電力系統(tǒng)的攻擊主要有兩種形式：一種是主動攻擊，即黑客利用多種計算機病毒進入到電力系統(tǒng)的信息網(wǎng)絡中進行竊取或者篡改數(shù)據(jù);另一種是被動攻擊，就是通過網(wǎng)絡監(jiān)聽等技術手段對電力系統(tǒng)網(wǎng)絡中的數(shù)據(jù)進行截取并分析和理解。這兩種攻擊方式都會對電力系統(tǒng)的網(wǎng)絡安全造成極大的威脅，一旦數(shù)據(jù)被竊取或者篡改將會嚴重影響到電力系統(tǒng)的正常運行，甚至是損害電力設備發(fā)生安全事故等。另外由于電力系統(tǒng)的網(wǎng)絡化管理和其他網(wǎng)絡管理存在一定的差異，比如電力網(wǎng)絡信息系統(tǒng)要對發(fā)電報價等電力市場信息進行加密和隔離處理等，具有特殊的安全性要求，也對電力企業(yè)的發(fā)展經(jīng)營有一定的影響。

當前電力系統(tǒng)網(wǎng)絡管理人員對信息安全的防護要比對數(shù)據(jù)備份、網(wǎng)絡設備以及病毒防范還要重視，由于對應用層的保護意識還不夠，因此也就會產(chǎn)生網(wǎng)絡信息安全隱患。比如傳統(tǒng)的“用戶名+口令”的身份認證方式落后，安全等級比較弱，一旦用戶名和口令被竊取將造成嚴重的損失;電力系統(tǒng)網(wǎng)絡信息機密性和完整性較弱，在通過內、外網(wǎng)進行網(wǎng)絡數(shù)據(jù)傳輸時，個別敏感信息和數(shù)據(jù)很有可能被截取并惡意修改;網(wǎng)絡信息存在不可抵賴性，這是因為如果財務報表、采購清單和生產(chǎn)計劃等電子文件被一方否認，則另一方就沒有已簽名的記錄作為仲裁判斷的依據(jù)。所以在電力系統(tǒng)中設計一個以PKI為基礎的網(wǎng)絡信息安全系統(tǒng)平臺是十分必要的，能夠為電力人員提供保密性更強的身份認證方式和訪問控制，加強數(shù)據(jù)傳輸?shù)陌踩院蜋C密性，確保電力系統(tǒng)能夠正常穩(wěn)定的運行。

2、PKI結構框架分析

PKI一般是指計算機網(wǎng)絡信息安全中的公鑰基礎設施，是由硬件、軟件和人員、策略、規(guī)程集合來實現(xiàn)以公鑰密碼體制的密鑰和證書的產(chǎn)生、管理以及存儲和分發(fā)、撤銷等功能，在電力系統(tǒng)中的應用可以實現(xiàn)設備自動化服務，保障電力系統(tǒng)重要數(shù)據(jù)的安全。PKI只要是由四個主要部分組成，一是策略批準中心，簡稱PAA，二是策略證書中心，簡稱PCA，三是證書認證中心，簡稱CA以及注冊中心，簡稱ORA。PKI在網(wǎng)絡信息系統(tǒng)中主要的作用就是提供加密服務，以加密的應用程序接口（API）作為基礎提供用戶所需的加密服務和證書管理服務。一般的PKI包括密碼服務提供者、證書服務器、安全通道、認證碼、加密文件系統(tǒng)、密鑰管理服務器、PKI應用程序等。

3、電力系統(tǒng)安全平臺設計

3.1基本框架

為了實現(xiàn)加強電力系統(tǒng)網(wǎng)絡信息安全的目的，就要在信息共享機制的基礎上設計安全系統(tǒng)平臺。在該管理平臺中，第一步必須要先提交數(shù)字證書，才能夠通過身份認證，然后進入到系統(tǒng)中;第二步在進入系統(tǒng)之后，只有具有相關權限的人員才能夠對各個功能模塊進行具體的操作和管理。該系統(tǒng)是在使用MicrosoftActiveServerPages與MicrosoftSQLServer相結合的基礎上實現(xiàn)構筑標準化三層B/S結構應用系統(tǒng)的目的，從而利用數(shù)字證書系統(tǒng)作為網(wǎng)絡信息系統(tǒng)的身份認證方式和通道。因此安全系統(tǒng)平臺是以Microsoft提供的PKI結構框架部件進行設計的，在此同時可以使用通過數(shù)字證書加密和應用程序認證中的消息，系統(tǒng)在運行的過程中也能夠有效地保障身份認證等其他加密功能的實現(xiàn)。

3.2數(shù)字證書實現(xiàn)

在對安全系統(tǒng)進行設計時，要使用計算機提供的證書服務器，對證書頒發(fā)者進行設置，使其他用戶可以向已設置的證書頒發(fā)者申請證書。如果用戶登錄該系統(tǒng)要實施某項具體操作時，需要嚴格地加密身份認證，這一過程是用戶有意愿對重要服務器進行操作或者數(shù)據(jù)讀取時，安全系統(tǒng)首先要對用戶的身份進行認證，核查該用戶是否是通過證書頒發(fā)者簽發(fā)證書的用戶。然后用戶的相關操作請求會發(fā)送到服務器中，并向用戶發(fā)送消息請求用戶證書，通過私鑰對證書的簽名之后，服務器還要對簽名證書進行檢查，確認證書合法后取出證書中的公鑰，驗證用戶證書簽名，通過后即實現(xiàn)了對用戶的身份認證，即可登錄頁面進行相關操作。

3.3數(shù)字簽名及認證實現(xiàn)

在電力系統(tǒng)網(wǎng)絡安全系統(tǒng)平臺中要加強安全性就要在數(shù)字證書的用戶身份認證技術的基礎上對電子文件數(shù)據(jù)進行數(shù)字簽名，能夠在一定程度上保障信息的完整性和確認文檔數(shù)據(jù)真實性，避免出現(xiàn)抵賴行為和他人冒充合法用戶篡改數(shù)據(jù)。發(fā)送方首先用哈希函數(shù)從明文文件中生成一個數(shù)字摘要，然后再通過自己的私鑰對該數(shù)字摘要進行加密并形成發(fā)送方的數(shù)字簽名;如果需要選擇一個對稱密鑰對電子文件進行加密則要通過網(wǎng)絡傳輸?shù)姆绞桨l(fā)送到接收方，之后通過網(wǎng)絡將數(shù)字簽名作為附件和報文密文一同傳輸給接受方;然后接收方再利用公鑰給對稱密鑰進行加密，直接通過網(wǎng)絡將加密過后的對稱密鑰傳輸?shù)浇邮辗?。實際上對數(shù)據(jù)簽名進行驗證的過程就是對數(shù)據(jù)摘要的比較，這一過程中簽名的認證運用到了CAPICOM控件中的SignedData對象的SignedData.Verify方法。該方法可以對數(shù)據(jù)上的用戶簽名是否有效進行驗證，如果改簽名合法有效，則能夠從簽名者的整數(shù)中調出公鑰，進而驗證被Hash函數(shù)作用后的數(shù)據(jù)內容，如果內容出現(xiàn)匹配則該方法返回驗證成功值。因此合理的使用數(shù)字簽名和證書能夠獲得極大的安全性，在應用的過程中還要注重細節(jié)，嚴格按照操作規(guī)范就能夠最大限度地保障電力系統(tǒng)的網(wǎng)絡信息安全。

結語

總之，PKI在電力系統(tǒng)的應用不是光靠說說，更是需要我們提高認識，建立正確的系統(tǒng)安全防護的框架，來確保網(wǎng)絡信息安全，這不僅需要哪一個企業(yè)來做到，更是需要千千萬萬的企業(yè)來提高認識，防患于未然，切實做好信息網(wǎng)絡安全工作，只有這樣，才能提高電力企業(yè)的效率和效益，未來才會發(fā)展的更好。

參考文獻

[1]董偉明，劉俐，羅時俊，張瑛，謝華.電力系統(tǒng)集中式電話錄音系統(tǒng)研究與應用[J].電子世界.2013（17）

[2]胡福平.電力系統(tǒng)信息網(wǎng)絡安全防護及措施分析[J].通信電源技術，2018，035（010）：165-166.