电力系统信息安全是供电企业稳定工作以及对社会安全供电的重要保证,是一个包括了供电调度监控、继电保护与安全装置、厂、站智能化、配电网智能化、用电负荷管理、用电市场交易、用电企业经营管理、信息网络建设以及相关产品、运营与管理等相关方面的多应用领域、复杂性的重大工程。电力信息化的发展趋势,使电力生产、运营等许多环节都全部依靠电力信息网的正常运转与否,如供电调度智能化系统对无值班变电站的正常工作影响,以及供电营销网络系统对发电量利用情况的影响等。
1.电力信息网安全风险分析
1.1电脑及信息安全意识有待增强
随着近十多年计算机与信息科技的高速发展,中国计算机信息安全策略与信息技术已经获得了相当大的发展。电力系统各种计算机应用对网络安全的理解和现实要求差异很大,对新产生的网络安全问题了解不够。
1.2急需建立同电力行业特点相适应的计算机信息安全体系
近几年来,计算机技术在整个电力系统的制造、运营、控制等方面运用比较多。但是,目前在计算机系统安全策略、安全技术规范、和安全措施的投入都较低。所以,为了确保电力安全、平稳、有效地工作,就应该形成一个结合了电力计算机系统及其使用特性的计算机网络安全系统。
1.3缺乏统一的信息安全管理规范
电力系统中虽然对计算机系统安全性一直十分重视,但鉴于以上各种因素,中国目前还缺乏一套统一、健全的可以指导整个电力系统中计算机网络和安全工作的管理体系与标准。
1.4广域网将面临强大的外部安全威胁
电力系统较早的计算机通常都是内置的局域网,而不能和外部相连。所以,早期的电脑安全性问题只要避免意外损坏和内部人员的安全控制问题就可以了,而现在就一定要应对国际网络上的各种安全威胁,如网络病毒和电脑“黑客”等。
1.5数据库数据和文件的明文保存
电力系统计算机网络中的数据,通常存放在由数据库系统所保护的数据库系统中,或控制系统文档中。由于这种以明文形式存放的数据具有泄露的可能性,因此获得储存介质的人能够读取这种数据;黑客们能够绕过操作系统、数据库管理系统的监控,获得了这个数据;操作系统后门也使软硬件系统的厂商很方便地获得这个数据。
1.6信息的明文传输
现代应用操作系统,通常使用CS(客户/服务器)或B/S(浏览器/服务器)的架构,都在互联网上正常工作,所处理的消息也需要在互联网主机之间频繁传递。在电力行业的计算机网络体系中,消息传递基本上是以明文方式。有使用如SSL(安全套接字层)等加密传输技术的,但由于受到了外国安全系统出口的影响,其可以使用的SSL技术是最低安全等级的。因为这些明文或只接受较低安全性保证的消息在互联网上传送,并不具备网络安全法所规定的秘密、完整性,以及传输方的不抵赖性条件。
1.7弱身份认证
电力行业应用管理系统大体上按照商用软硬件体系设计和研发,而使用者身份验证管理系统大体上采取了基于口令的鉴别模型,但这个模型很轻易就被突破。有的应用操作系统还利用自身的用户识别方式,把账号、口令等一系列安全控制消息,以明文的形态记载到数据库系统或文档中,但这些脆弱的安全管控办法已经在使用人计算机使用技术水平日益提升,对信息安全敏感度日益提高的人们今天已经不能再用了。
1.8没有完善的数据备份措施
不少单位仅仅选择一个工作站备份一下数据就了事,缺乏完备的数据备份设施,缺乏资源备份策略,缺乏资源备份的管理手段,缺乏对资源备份的介质妥善管理。
2.国家智慧电网的通信技术方法与信息安全方案设计原则
为达到最良好的信息安全服务效益,智慧电网管理系统就需要让信息系统的所有者用最少的风险获取最高的安全效益,从而对整个网络系统实行全面访问控制。并透过对主要上网流量、主要服务器设备等实行全面监测,把信息安全战略、软硬件等整合起来,从而建立统一的防范体系,以降低网络安全风险。因此,安全工程需以实现信息系统的使用率、完善、保密性、可记账性和保证性为主要目标。
可靠性:确保智能电网系统健康高效地工作,使终端用户获取正确的资讯和安全可靠的服务。系统完整性:保证数据和系统的完整性,杜绝未授权修改的发生。秘密性:确保个人信息不透露给没有认证实体或进程门,不向非认证的个人或部门透露个人信息。
可记账性:智能电网管理系统将可以对实体的全部活动予以记录,并对存在的安全问题给出了依据和手段,为拒绝否认、威慑违法、监测和防范入侵以及司法案件调查等工作提供了依据。
保障性:当用户、软件发生了无意差错或发生非法侵犯或损害的时,将可以进行更全面的保障。
3.目前数据加密技术
3.1对称加密
IDEA、AES和DES加密算法里,所加、解码密钥大多是相同的,将原来的数据和密钥加密为密文后再传给接受方,而接受者则在得到秘密文件后经相同的密钥和逆算法,将密文解码为原来的内容明文。尽管此种加密算法效能较高,但由于加、解密过程密钥唯一,而且在使用群体较大时,要管理的密钥总量又很大,容易导致密钥泄漏,使它在分布式系统中的使用受到了限制。
3.2非对称加密
常见的非对称密码有RSA和DSA等算法,但由于加、解码的密钥数量有所不同,故而无法通过相互计算得出结果,由加密密钥(公钥)密码破解后的数据只能通过解密密钥(私钥)来破解,由接受方可将明文传给推送者,由发件人将原始数据加密后再重新传给接受方,由接受者再使用所保留的私钥将密文破解。此种方法由于没有大量预先约定好的密钥,且具有二个密码,使之在分布式系统加密中具备了相当的优势,但其运算工作量大,且效能低下的弊端也是适用于大规模数据加解密中的瓶颈,与此同时,公开的密钥具有一定风险,需特定的配合机制来确保加密的安全性。
3.3属性粒度加密
当前对用户的大数据信息加密很有限,目前主要是元组粒度和属性粒度的加密技术,前者在处理字符类数据和多表信息时出现了大量失效元组,而后者在可以保证更准确的数据信息的同时也很大地减少了对客户端的耗费,从而使得信息的透明度得到提高,大大缓解了大数据堵塞客户端的情况。
3.4构建电力信息网安全防护框架
按照电力企业的经营特性,信息安全系统按照其服务性质一般可以分成四类:一种是电网运营信息管理系统,第二类是电网经营管理系统,发电量计费管理系统,负荷管理系统,第三类是支持公司正常经营、管理、经营的企业信息系统,第四个是不直接参与电力企业生产过程管理、产品管理等的各种经营、研发、生产、销售等多种经营企业。根据中国电力信息网业务的特点这种的层次结构,在中国电力信息网的安全性要求上加以分析,并给出不同阶段和安全强度的网络安全防护框架,即层级、分区式的安全防御方式。
结束语
随着智能电网的发展,未来的安全管理可能要遇到新的问题。由于智慧电网在总体上可认为是由电力网络与信息网所组成的相互依存综合网,其信息互联网的安全性以及对电力系统运营安全所造成的风险都不容忽视。未来智能电网将会融入更多的先进的安全技术,如可信计算、云安全技术等。文中给出的几个建议,希望对智慧电网安全防范方面具有一定的借鉴意义。
参考文献
[1]孙闯.基于区块链技术的电网数据安全研究[D].南京邮电大学,2021.
[2]沈苏晋.基于区块链的智能电网数据安全存储方案研究[D].南京邮电大学,2021.
[3]陈文城.基于区块链的广域测量系统数据安全存储机制研究[D].福建工程学院,2021.
