許強(qiáng)

摘要：近年來，隨著我國電力技術(shù)的發(fā)展，智能電網(wǎng)建設(shè)逐步推進(jìn)，計(jì)算機(jī)及相關(guān)網(wǎng)絡(luò)技術(shù)在電力變電站領(lǐng)域中的應(yīng)用也逐漸廣泛，但實(shí)際應(yīng)用中出現(xiàn)的信息安全問題也凸顯出來，為更好保障智能變電站的信息安全，從智能變電站本體安全，通信安全，主動防御體系以及信息安全評估等方面進(jìn)行了深入分析，并提出了一系列智能變電站信息安全加固技術(shù)，以供同行參考。

關(guān)鍵詞：電力智能變電站;信息安全;技術(shù)探討

引言

隨著能源互聯(lián)網(wǎng)的加速建設(shè)，計(jì)算機(jī)網(wǎng)絡(luò)和通信技術(shù)在智能變電站中的應(yīng)用呈現(xiàn)出前所未有的廣度和深度。智能變電站作為信息化技術(shù)深度應(yīng)用的結(jié)晶，是電力系統(tǒng)信息安全的關(guān)鍵節(jié)點(diǎn)。本文對智能變電站中信息安全問題進(jìn)行了探索，對信息安全相關(guān)技術(shù)進(jìn)行了有益的分析和總結(jié)。

1智能變電站信息安全問題

目前智能變電站主要采取的安全性防護(hù)方式是安全分配區(qū)域、互聯(lián)網(wǎng)聯(lián)合、橫向隔開、縱向證明等，這些方式可以將變電站與外部網(wǎng)絡(luò)進(jìn)行隔離。但是，一些新型的攻擊措施大量興起，破壞力非常強(qiáng)，延伸面廣，專業(yè)性強(qiáng)，能夠最大化突破防護(hù)，這說明目前的防護(hù)方式并非是完美無缺的。這些攻擊措施的具體表現(xiàn)有以下幾個方面。1）智能變電站的通信技術(shù)是在傳統(tǒng)TCP/IP技術(shù)基礎(chǔ)上進(jìn)行優(yōu)化，強(qiáng)化了專業(yè)技能，攻擊力加強(qiáng)。2）智能變電站內(nèi)部裝置中采用的安全防護(hù)方式不是最佳的，存在許多缺陷，運(yùn)行系統(tǒng)和應(yīng)用程序上問題較多。3）站內(nèi)訪問常見的情形是將智能變電站中的主機(jī)或網(wǎng)關(guān)與人機(jī)接口連接起來，其中惡意傳播木馬和病毒等軟件的方式仍舊存在。4）無線網(wǎng)絡(luò)等一些新穎連接意向和接入方式逐漸產(chǎn)生。因此，學(xué)者針對此種情況進(jìn)行分析研究，總結(jié)出核心點(diǎn)：①變電站周安全強(qiáng)化措施。②變電站安全通信方案。③變電站優(yōu)化防護(hù)措施。④變電站內(nèi)部主要數(shù)據(jù)的安全強(qiáng)化措施。

2智能變電站信息安全分析

目前，我國智能變電站的網(wǎng)絡(luò)建設(shè)都遵循“橫向隔離”安全策略，即變電站內(nèi)網(wǎng)與外部Internet從物理上完全隔離，包括許多電力部門人員在內(nèi)都認(rèn)為變電站網(wǎng)絡(luò)是非常安全的，他們也不理解系統(tǒng)中增加安全措施的道理。事實(shí)上，網(wǎng)絡(luò)化的普遍和額外信息訪問需求的增長使得智能變電站通信網(wǎng)絡(luò)遠(yuǎn)不是我們想象中的那樣安全。一方面，智能變電站的通信基于TCP/IP網(wǎng)絡(luò)，有可能會受到以網(wǎng)絡(luò)為主要傳播途徑的病毒和黑客的攻擊，且電力信息工作站的應(yīng)用系統(tǒng)大多采用Windows平臺，站內(nèi)IED也沒有安全內(nèi)核，存在不少安全隱患;另一方面，人機(jī)接口（HMI）、控制、維護(hù)、規(guī)劃和施工等應(yīng)用系統(tǒng)可通過網(wǎng)關(guān)直接接入智能變電站站控層網(wǎng)絡(luò)，直接訪問站內(nèi)相關(guān)信息。所以，無論是智能變電站站內(nèi)通信還是外部通信，都面臨著安全威脅，這些安全威脅可分為無意威脅和蓄意威脅。

3電力智能變電站信息安全技術(shù)探討

3.1國產(chǎn)加密算法在智能變電站中的應(yīng)用

通信報(bào)文安全性的核心是認(rèn)證和加密。目前，國內(nèi)使用的密碼體系主要來自歐美，如RSA、MD5等，這些加密算法本身就存在一定的風(fēng)險(xiǎn)，如RSA算法就曾被指收美國政府千萬美元在加密算法中安裝后門。對此，國家商用密碼管理辦公室制定了一系列的國密算法標(biāo)準(zhǔn)。根據(jù)密碼分類標(biāo)準(zhǔn)，對國密算法進(jìn)行了概述和分析，分別介紹了對稱算法SM1、SM4、祖沖之密碼算法，非對稱算法SM2、SM9以及SM3散列算法。國產(chǎn)算法的安全性相對高，已經(jīng)具備替代國外密碼的實(shí)力。在電力通信系統(tǒng)中使用國密算法具有重要的安全意義，學(xué)者們開展了大量研究。基于國產(chǎn)SM2的身份鑒別算法應(yīng)用在電力信息系統(tǒng)，實(shí)現(xiàn)了更好的身份鑒別能力。針對TLS協(xié)議連接時間過長不利于通信安全的問題，學(xué)將SM2國密體系應(yīng)用在TLS協(xié)議上，在遠(yuǎn)動通信中使用“長連接”與“短連接”相互配合的策略，并對該方法進(jìn)行驗(yàn)證，結(jié)果顯示其滿足了智能變電站遠(yuǎn)動通信數(shù)據(jù)安全性和實(shí)時性的需求。基于FP-GA平臺，研究了SM3算法IP核的設(shè)計(jì)與實(shí)現(xiàn)，并與SHA-256算法進(jìn)行了對比，驗(yàn)證了其優(yōu)越性。

3.2數(shù)字簽名技術(shù)

數(shù)字簽名類似傳統(tǒng)紙上的筆跡或印章，采用了兩種互補(bǔ)的算法，一種用于簽名，另一種用于驗(yàn)證，包括密碼生成算法、標(biāo)記算法和驗(yàn)證算法。智能變電站過程層包含GOOSE和SV兩類信息，過程網(wǎng)絡(luò)數(shù)據(jù)的傳輸需要嚴(yán)格保證實(shí)時性和安全性。GOOSE和SV若采用加密或其他安全方法會使原始數(shù)據(jù)增加很多字節(jié)數(shù)，既增加了報(bào)文處理時間，也延遲了傳輸速度，采用數(shù)字簽名技術(shù)則可兼顧過程層信息的安全性和實(shí)時性。

3.3存儲加固

電力監(jiān)控設(shè)備中進(jìn)行數(shù)據(jù)存儲的核心是數(shù)據(jù)庫。數(shù)據(jù)庫在運(yùn)行系統(tǒng)時存在等級劃分，一般有五大類，細(xì)分為20個指標(biāo)，例如辨別用戶的標(biāo)注、登錄和訪問權(quán)限等。數(shù)據(jù)庫具備安全性的作用是通過優(yōu)化配置來獲得數(shù)據(jù)庫的訪問權(quán)限和日志審查等，從而獲取簡單有效的應(yīng)用效果。但是，配置安全軟件不僅會降低運(yùn)行系統(tǒng)的速度，也會占據(jù)系統(tǒng)內(nèi)存，從而影響數(shù)據(jù)庫的性能。并且在評估安全性時，事前檢查、事中監(jiān)察和事后審查是最必不可少的三大評估層面，根據(jù)這三大評估層面配置一系列保護(hù)數(shù)據(jù)庫信息安全的設(shè)備，設(shè)計(jì)一種完整檢測數(shù)據(jù)庫安全的方案和應(yīng)用平臺，對電力通信的積極探索具有重要意義。

3.4主動防御技術(shù)

主動防御技術(shù)是一種在計(jì)算機(jī)系統(tǒng)中加入TPM（可信平臺模塊）的可信計(jì)算平臺，通電之后，TPM可通過硬件信任根進(jìn)一步延展信任信息，從而形成TPM主動防御網(wǎng)絡(luò)系統(tǒng)。歸納出可信計(jì)算技術(shù)在安全系統(tǒng)中展示出的各項(xiàng)優(yōu)勢，專家們進(jìn)一步探究了其在防御系統(tǒng)中實(shí)際應(yīng)用效用，并提供了能夠全面實(shí)現(xiàn)信息化計(jì)算平臺、應(yīng)用行為以及網(wǎng)絡(luò)通信的精準(zhǔn)方案。即使該技術(shù)目前屬于一種更為安全的免疫化水平，實(shí)際應(yīng)用范圍廣，但其內(nèi)部芯片、固化算法和系統(tǒng)操作流程等必要專業(yè)技能還是沒有辦法全靠國產(chǎn)。因此，專家們共同探究出另外一種可控性高的計(jì)算平臺，其中優(yōu)質(zhì)硬件主要來源于國內(nèi)制造，比如核心處理器使用國產(chǎn)龍芯行，運(yùn)行系統(tǒng)使用國產(chǎn)麒麟型等。

結(jié)語

本文對智能變電站面臨的信息安全風(fēng)險(xiǎn)進(jìn)行了分析，并從本體安全、通信安全、主動防御和信息安全評估等方面對當(dāng)前智能變電站信息安全研究的相關(guān)內(nèi)容進(jìn)行了有益的探索。智能電網(wǎng)中智能變電站的信息安全問題直接關(guān)系到智能變電站的發(fā)展，通過促進(jìn)智能變電站通信網(wǎng)絡(luò)的組建將有利于智能變電站的發(fā)展，進(jìn)而實(shí)現(xiàn)智能電網(wǎng)的高速、安全、可靠的發(fā)展。最終實(shí)現(xiàn)我國社會經(jīng)濟(jì)的高效、穩(wěn)定、長遠(yuǎn)的發(fā)展。

參考文獻(xiàn)

[1]周蓉.面向變電站數(shù)據(jù)通信的安全防護(hù)機(jī)制研究[D].北京：華北電力大學(xué)，2009.

[2]劉行.基于主機(jī)操作系統(tǒng)的安全加固研究和實(shí)現(xiàn)[J].華東電力，2010，38（10）：1586-1587.

[3]邱岳.操作系統(tǒng)安全加固技術(shù)研究與實(shí)現(xiàn)[C]//中國電機(jī)工程學(xué)會，2012年電力行業(yè)信息化年會論文集，北京，2012.

[4]羅佳，徐方艾，鎖延鋒.基于信息安全等級保護(hù)的安全操作系統(tǒng)解決方案[C]//公安部第三研究所，第二屆全國信息安全等級保護(hù)技術(shù)大會論文集，合肥，2013.

[5]郭晉.基于可信計(jì)算的嵌入式Linux內(nèi)核安全性加固的研究[D].成都：電子科技大學(xué)，2011.

[6]方興東，張靜，胡懷亮，等.安全操作系統(tǒng)”中國夢”———中國自主操作系統(tǒng)戰(zhàn)略對策研究報(bào)告[J].中國信息安全，2014，5（4）：72-97.

[7]郭付財(cái)，劉志華.基于中標(biāo)麒麟操作系統(tǒng)的串口調(diào)試方法研究[J].微型機(jī)與應(yīng)用，2012，31（10）：12-14.