電力智能變電站信息安全技術探討

許強

摘要：近年來，隨著我國電力技術的發(fā)展，智能電網建設逐步推進，計算機及相關網絡技術在電力變電站領域中的應用也逐漸廣泛，但實際應用中出現的信息安全問題也凸顯出來，為更好保障智能變電站的信息安全，從智能變電站本體安全，通信安全，主動防御體系以及信息安全評估等方面進行了深入分析，并提出了一系列智能變電站信息安全加固技術，以供同行參考。

關鍵詞：電力智能變電站;信息安全;技術探討

引言

隨著能源互聯網的加速建設，計算機網絡和通信技術在智能變電站中的應用呈現出前所未有的廣度和深度。智能變電站作為信息化技術深度應用的結晶，是電力系統信息安全的關鍵節(jié)點。本文對智能變電站中信息安全問題進行了探索，對信息安全相關技術進行了有益的分析和總結。

1智能變電站信息安全問題

目前智能變電站主要采取的安全性防護方式是安全分配區(qū)域、互聯網聯合、橫向隔開、縱向證明等，這些方式可以將變電站與外部網絡進行隔離。但是，一些新型的攻擊措施大量興起，破壞力非常強，延伸面廣，專業(yè)性強，能夠最大化突破防護，這說明目前的防護方式并非是完美無缺的。這些攻擊措施的具體表現有以下幾個方面。1）智能變電站的通信技術是在傳統TCP/IP技術基礎上進行優(yōu)化，強化了專業(yè)技能，攻擊力加強。2）智能變電站內部裝置中采用的安全防護方式不是最佳的，存在許多缺陷，運行系統和應用程序上問題較多。3）站內訪問常見的情形是將智能變電站中的主機或網關與人機接口連接起來，其中惡意傳播木馬和病毒等軟件的方式仍舊存在。4）無線網絡等一些新穎連接意向和接入方式逐漸產生。因此，學者針對此種情況進行分析研究，總結出核心點：①變電站周安全強化措施。②變電站安全通信方案。③變電站優(yōu)化防護措施。④變電站內部主要數據的安全強化措施。

2智能變電站信息安全分析

目前，我國智能變電站的網絡建設都遵循“橫向隔離”安全策略，即變電站內網與外部Internet從物理上完全隔離，包括許多電力部門人員在內都認為變電站網絡是非常安全的，他們也不理解系統中增加安全措施的道理。事實上，網絡化的普遍和額外信息訪問需求的增長使得智能變電站通信網絡遠不是我們想象中的那樣安全。一方面，智能變電站的通信基于TCP/IP網絡，有可能會受到以網絡為主要傳播途徑的病毒和黑客的攻擊，且電力信息工作站的應用系統大多采用Windows平臺，站內IED也沒有安全內核，存在不少安全隱患;另一方面，人機接口（HMI）、控制、維護、規(guī)劃和施工等應用系統可通過網關直接接入智能變電站站控層網絡，直接訪問站內相關信息。所以，無論是智能變電站站內通信還是外部通信，都面臨著安全威脅，這些安全威脅可分為無意威脅和蓄意威脅。

3電力智能變電站信息安全技術探討

3.1國產加密算法在智能變電站中的應用

通信報文安全性的核心是認證和加密。目前，國內使用的密碼體系主要來自歐美，如RSA、MD5等，這些加密算法本身就存在一定的風險，如RSA算法就曾被指收美國政府千萬美元在加密算法中安裝后門。對此，國家商用密碼管理辦公室制定了一系列的國密算法標準。根據密碼分類標準，對國密算法進行了概述和分析，分別介紹了對稱算法SM1、SM4、祖沖之密碼算法，非對稱算法SM2、SM9以及SM3散列算法。國產算法的安全性相對高，已經具備替代國外密碼的實力。在電力通信系統中使用國密算法具有重要的安全意義，學者們開展了大量研究?；趪aSM2的身份鑒別算法應用在電力信息系統，實現了更好的身份鑒別能力。針對TLS協議連接時間過長不利于通信安全的問題，學將SM2國密體系應用在TLS協議上，在遠動通信中使用“長連接”與“短連接”相互配合的策略，并對該方法進行驗證，結果顯示其滿足了智能變電站遠動通信數據安全性和實時性的需求。基于FP-GA平臺，研究了SM3算法IP核的設計與實現，并與SHA-256算法進行了對比，驗證了其優(yōu)越性。

3.2數字簽名技術

數字簽名類似傳統紙上的筆跡或印章，采用了兩種互補的算法，一種用于簽名，另一種用于驗證，包括密碼生成算法、標記算法和驗證算法。智能變電站過程層包含GOOSE和SV兩類信息，過程網絡數據的傳輸需要嚴格保證實時性和安全性。GOOSE和SV若采用加密或其他安全方法會使原始數據增加很多字節(jié)數，既增加了報文處理時間，也延遲了傳輸速度，采用數字簽名技術則可兼顧過程層信息的安全性和實時性。

3.3存儲加固

電力監(jiān)控設備中進行數據存儲的核心是數據庫。數據庫在運行系統時存在等級劃分，一般有五大類，細分為20個指標，例如辨別用戶的標注、登錄和訪問權限等。數據庫具備安全性的作用是通過優(yōu)化配置來獲得數據庫的訪問權限和日志審查等，從而獲取簡單有效的應用效果。但是，配置安全軟件不僅會降低運行系統的速度，也會占據系統內存，從而影響數據庫的性能。并且在評估安全性時，事前檢查、事中監(jiān)察和事后審查是最必不可少的三大評估層面，根據這三大評估層面配置一系列保護數據庫信息安全的設備，設計一種完整檢測數據庫安全的方案和應用平臺，對電力通信的積極探索具有重要意義。

3.4主動防御技術

主動防御技術是一種在計算機系統中加入TPM（可信平臺模塊）的可信計算平臺，通電之后，TPM可通過硬件信任根進一步延展信任信息，從而形成TPM主動防御網絡系統。歸納出可信計算技術在安全系統中展示出的各項優(yōu)勢，專家們進一步探究了其在防御系統中實際應用效用，并提供了能夠全面實現信息化計算平臺、應用行為以及網絡通信的精準方案。即使該技術目前屬于一種更為安全的免疫化水平，實際應用范圍廣，但其內部芯片、固化算法和系統操作流程等必要專業(yè)技能還是沒有辦法全靠國產。因此，專家們共同探究出另外一種可控性高的計算平臺，其中優(yōu)質硬件主要來源于國內制造，比如核心處理器使用國產龍芯行，運行系統使用國產麒麟型等。

結語

本文對智能變電站面臨的信息安全風險進行了分析，并從本體安全、通信安全、主動防御和信息安全評估等方面對當前智能變電站信息安全研究的相關內容進行了有益的探索。智能電網中智能變電站的信息安全問題直接關系到智能變電站的發(fā)展，通過促進智能變電站通信網絡的組建將有利于智能變電站的發(fā)展，進而實現智能電網的高速、安全、可靠的發(fā)展。最終實現我國社會經濟的高效、穩(wěn)定、長遠的發(fā)展。

參考文獻

[1]周蓉.面向變電站數據通信的安全防護機制研究[D].北京：華北電力大學，2009.

[2]劉行.基于主機操作系統的安全加固研究和實現[J].華東電力，2010，38（10）：1586-1587.

[3]邱岳.操作系統安全加固技術研究與實現[C]//中國電機工程學會，2012年電力行業(yè)信息化年會論文集，北京，2012.

[4]羅佳，徐方艾，鎖延鋒.基于信息安全等級保護的安全操作系統解決方案[C]//公安部第三研究所，第二屆全國信息安全等級保護技術大會論文集，合肥，2013.

[5]郭晉.基于可信計算的嵌入式Linux內核安全性加固的研究[D].成都：電子科技大學，2011.

[6]方興東，張靜，胡懷亮，等.安全操作系統”中國夢”———中國自主操作系統戰(zhàn)略對策研究報告[J].中國信息安全，2014，5（4）：72-97.

[7]郭付財，劉志華.基于中標麒麟操作系統的串口調試方法研究[J].微型機與應用，2012，31（10）：12-14.