1智能电网网络安全面临的威胁
1.1信息通信技术的广泛应用将网络信息安全问题传导到电网系统
大数据、云计算、物联网、移动互联网、宽带无线等信息通信技术的普遍应用,加大了智能电网遭受病毒、木马、系统漏洞、拒绝服务等安全攻击的几率,这也给传统以物理防护为主的电力信息安全防护体系带来了挑战。尤其是美国大面积网络瘫痪事件,为关键信息基础设施的安全防护提出了更高的要求。
1.2智能电网双向互动模式增加了信息安全风险
随着物联网、互联网等新一代信息技术与智能电网的有效融合,促使传统电网逐步向智能电网双向互动服务模式转型,用户侧能够借助智能终端及时掌握与了解自己的用电情况以及供电能力、停电信息等内容,从而对用电时间进行合理安排。但在智能电网给电力运行及控制带来便利的同时,也使得无线公网的接入增加了原有电网的信息安全风险。此时,攻击者就会攻击电网业务逻辑等环节的漏洞,并且,随着时间的递增攻击方式也会更加趋于多样化、定制化以及组织化,这种具有较强潜伏性及危害性的网络威胁,直接影响着智能电网的正常运行与电力服务。
1.3海量异构终端加大了安全接入风险
与传统电网相比新型电网的异构智能终端多样化、网络安全防护边界泛在化、业务安全接入需求多样化,这也直接增加了用电侧终端信息泄露、非法接入以及失控等一系列安全风险,加大了异构智能终端的安全防护难度,致使异构终端的漏洞挖掘、完整性保护、机密性保护以及攻击防御难度显著增加,同时对不同种类的智能终端以及移动终端的接入方式与安全防护提出了更加严格的要求。在对智能电网进行安全检查时发现,很多电力信息系统终端由于弱口令的安全脆弱性、远程服务防护不足等,使得终端安全防护存在一定的不足之处。
2智能电网信息安全主被动防御体系研究
2.1智能电网信息安全主动防御体系
在等级保护的基础上建立智能电网信息安全主动防御,通过边界防御、网络安全防护、主机入侵防御、应用以及数据入侵防护等层面构建全方位的纵深防御,以确保智能电网的信息安全。其中,边界防御仅通过物理隔离就可以实现安全防护,而为确保信息流交换的安全,使得防火墙、入侵检测技术等也被应用于当前的边界防御中;网络防御多采用网络扫描、划分网段、虚拟专网等技术;主机防御多应用主机房病毒、主机入侵检测、补丁管理等;应用和数据防御是指保证数据库、服务器等系统和数据的安全使用、传输、存储。下为其各个模块针对智能电网信息安全防护提出建议的具体内容。
2.1.1物理环境安全
物理安全防护是通过应用一些物理防护措施,对机房内的设备进行防护,避免因物理接触而破坏机房内设备,防止出现信息安全事故。在智能电网信息系统防护中,除了要做好机房的物理安全防护外,还要加强对室外信息采集、检测等设备的物理安全防护,包括电磁防护、布设设备监控装置以及预警装置等,以全面提升室外设备防御外界破坏与自然灾害的能力。
2.1.2网路环境安全
智能电网拥有比传统电网网络更大范围的用户侧,并且,由于复杂的智能电网网络结构,繁多的通信方式,以及大量无线网络在智能电网中的应用,因此,智能电网具有更加安全可靠的通信网络结构。在进行网络环境安全防护时,以网络设备、网络协议、无线网络这三个安全防护为主。其中,对网络设备进行安全防护时主要采取的措施为:强化身份识别与安全审计,而强化身份识别不仅能够实现设备的唯一性标识,避免一台设备被多人共用,而且能够强制改写用户名与密码;安全审计安全防护主要是强化对管理操作人员的审计,封闭空闲端口以及非必须网络服务,避免由于人为操作不当而导致的电网网络的瘫痪,防止由于系统崩溃而导致影响电力系统的正常运转,确保发电环节、输电环节以及用电环节的稳定运行。另外,网络协议的安全与否对智能电网的信息安全有着直接影响,震惊世界的“震网”病毒也直接证明了即使实施了有效的物理隔离,依然会由于部分变电站使用传统C61850通信协议而导致系统存在较大漏洞。对于此类安全漏洞,可以进行安全认证码以及消息验证码的添加,从而确保通信协议的安全可靠。
2.1.3边界安全
在信息安全等级保护要求中,为解决网络边界安全问题,常见的安全防护方法有边界访问的合理控制、边界攻击行为检测、内外网非法连接的检测与阻断以及恶意代码防范等。而智能电网边界安全防护的主要涵盖:(1)实时监测内部网络非法访问外部网络的现象,一旦发现对信息安全存在威胁时,就会立即采取措施阻断,以避免智能电网信息安全受到威胁。(2)结合智能电网通信网络“分区、分域、分级”的特点,将各个安全域内通过专业隔离装置与第三方网络边界进行有效隔离,并对信息流进行过滤。此外,如果内部网络有设备终端通过无线网络接入时,应充分应用防火墙、身份识别、安全审计、入侵检测等安全防护技术,实时检测用户的行为,一旦有危险智能电网信息安全的行为,应及时作出处理,以充分保障智能电网边界的安全。
2.1.4终端安全
智能电网为了更好的应对当前信息通信技术以及多元化电能质量的发展需求,引入了一些先进的智能化、自动化安全防护装置与设备,例如智能采集与监测终端设备、智能配电与变电终端等,大量智能终端的应用,在减少了人力与物力的同时,也给智能电网带来了一些安全威胁,例如信息泄露、外网非法接入、终端被非法控制与篡改等,一旦发生这些安全隐患,将会给电网的正常运行带来严重的后果。在对智能电网终端实施安全防护时,应根据信息系统的自身特点、部署方式以及具体防护需求。例如,为了防止智能电网通信系统有恶意的IED接入,可以通过双向身份认证加强防护;为了实现子站IED密钥共享,可以在进行安全机制设计时采用信赖性较高的密钥计算;根据智能电网数据信息双向互动的特点,对于安全防护需求较高的业务应采取加密算法、设备安全证书安装以及禁止外网接入等。
2.1.5主机安全
结合信息安全等级保护要求,智能电网主机安全主要有两方面内容:(1)服务器安全防护;(2)桌面端安全防护。对此,应细化和加强身份认证、安全审计、入侵防护、恶意代码防范等内容。身份认证关键在于加大操作系统以及管理系统的密码难度,明确了密码的组成及长度;安全审计主要以智能电网、系统运行效率以及系统安全为基础,通过第三方安全审计产品对关键数据库的各类操作行为进行安全审计,以便对违规操作及时预警;入侵防护应在进行服务器补丁的更新时,对其安全性、兼容性进行测试,从而确保服务器运行的安全性与稳定性;恶意代码防范应在主机上安装防恶意代码软件,并对软件版本以及代码库进行及时更新,防止恶意代码对智能电网信息系统以及网络产生破坏。
2.1.6应用和数据安全
随着智能电网应用系统集成度以及融合度的显著提升,使得各电网系统与系统之间、系统与外部用户之间的信息交互频率增多,致使电网系统的安全风险显著提高,同时对智能电网安全防护也提出了更高的要求。另外,信息技术的不断发展,使得智能电网面临的安全攻击形式多样,外界通过电网系统存在的漏洞对其发起攻击。因此,及时发现电网应用系统存在的漏洞并进行修复,已逐渐成为当前智能电网软件开发时的重要内容。
2.2智能电网信息安全被动防御体系
当前,智能电网信息安全被动防御体系的构建内容主要有安全技术、安全保障、安全策略等三方面内容(如图1)。(1)安全技术作为电网信息安全防御体系架构的技术支撑,主要对网络通信过程中存在的安全问题进行解决与修复;(2)安全保障作为电网信息安全系统的管理支撑,其主要强调了智能电网主被动防御体系安全管理的思想;(3)安全策略作为电网系统的关键内容,其为安全技术的实施以及安全保障思想的建立,提供了指导与方向。
2.2.1安全技术维
安全技术维度是智能电网安全防御体系的技术支撑,其主要是基于OSI网络模型而建立的一个维度,其主要由鉴别服务、访问控制服务、数据完整性服务、数据保密性服务以及抗否认性服务等五类安全服务所构成,这五类安全服务能够全面反映安全防御体系的所有功能及内容,能够对电网信息系统中潜在的安全威胁进行定位,并制定合理的安全措施。为实现五类安全服务的安全目标,安全技术维度采用了加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制、公证机制等八项安全机制。在安全技术维度中,五类安全服务是能够对系统中的安全威胁进行定位的安全措施,而八项安全机制是实现五类安全服务的技术手段。对于安全服务的安全技术措施可以通过一种或多种安全机制相互结合而提供;另外,安全机制也可以在一种安全服务或多种安全服务的结合下发挥保障作用。
2.2.2安全策略维
安全策略维度是智能电网安全防御体系最为关键的维度,主要包括预警、防护、检测、响应、恢复以及反击等六个环节。这六个环节并非简单的循环,而是具有一定的动态性、顺序性以及连续性,六个环节之间的关系如图2所示。在智能电网主动立体防御体系的建设中,安全策略维起着非常重要的作用,并且动态连续的六大环节也更能与实际网络情况相符。在智能电网的网络环境中,信息安全呈现出动态性、可变性等诸多特点,并且随着技术的不断发展也在逐步进行完善与改进。例如,通过预警、检测能够及时发现系统中的安全威胁,然后在保护与响应等环节实现对电网系统的安全防护。通过六大环节的动态持续循环,智能电网的信息安全得到显著的改善和提高,从而达到了智能电网信息资源的安全防护目标。
2.2.3安全保障维
安全保障维的核心思想在于,通过科学有效的方法对人员及其操作行为进行管理与规范,从而为智能电网的系统安全提供保障。安全保障维主要包括:制度保障、人事保障、培训保障、审计保障、管理平台保障等五方面保障内容。保障维是智能电网实现规范化管理的基础,其在整个电网的运行中发挥着重要作用,为各个环节、模块以及安全阶段的正常运行提供有力的保证。
3结语
随着智能电网建设规模的不断发展与完善,电力系统结构也变得愈来愈复杂,这也使得智能电网面临的威胁与受到的攻击几率越来越高。因此,积极引入新技术、新业务的安全防护技术,积极构建智能电网的信息安全主动防御保障体系,完善基础设施基础保障,就显得尤为重要。
参考文献
[1]周晟,赵君翊,葛元鹏.主被动防御结合的智能电网信息安全防护体系[J].电子科技,2015(06):213-215.
[2]刘晔,彭泽武.基于主动立体防御体系的智能电网安全模型[J].现代计算机(专业版),2013(19):35-39.
作者:谭宽 杨永建 左宇翔 单位:云南电网有限责任公司红河供电局 云南云电同方科技有限公司
