1电力系统通信安全防护体系的概念
为做好外部非法因素的防范工作,确保电力通信系统信息安全,电力企业开发实施了电网通信安全防护体系建设工作。它以电网安全防护工程为主体,实现了科学的电力工程实施流程、管理技术和现阶段最先进的技术的高度结合,构建起一整套全方位的电力系统通信安全防护机制。它涉及信息安全工程学相关知识,以信息安全工程能力成熟度模型(SSE-CMM)为规范,指导实施电力通信安全工程的全过程,从具体的安全设备设置,到安全工程的管理、组织和设计、实施、验证各个环节,包含了电力系统信息安全防范体系的所有环节。具体来说,电力系统通信安全防护体系包括三个主要因素,即策略、管理和技术。
2电力通信系统信息安全相关要求
电力通信所面临的环境比较复杂,给信息安全防范带来较大困难。不同的数据传输方式,信息安全防范的要求也不一样。当前电力自动化管理系统无线网络传输数据的类型分为实时数据和非实时数据两种,下面我们逐一对这两种数据的安全防范要求做出说明。
2.1实时数据安全防范要求
实时通讯对网络的传输速度与质量要求很高,通信规约在时间方面相对苛刻,允许的传输延迟范围很小。同时,实时传输的数据量一般不大,流量长期保持在一定水平,波动幅度较小。现阶段电力通信系统中常见的实时传输数据包括以下几种:(1)下行数据。包括遥控、遥调和保护装置及其他自动装置的整定值信息等。这类数据受设备状态影响,直接关系到电力系统能否安全稳定运行。在实时传输和安全防范方面的要求都比较高。(2)上行数据。包括遥信、重要遥测、事件顺序记录(SOE)信息等。这些数据是电网运行状的直接反映,是电力调度运行的重要参考依据,具有一定的保密性要求。从上面可以看出,电力通信实时数据具有流量稳定、时效性的特点,对于数据传输的实时性、可靠性、保密性与完整性方面有着加高的要求。所以,在进行实时数据传输时要切实做好加密工作。
2.2非实时数据安全防范要求
和实时传输数据相比,非实时传输的数据具有数据传输量大,时效性低的特点,对于传输延迟的要求也较为宽泛。这类数据主要包括电力设备的维护日志、电力用户的电能质量信息等。非实时数据对于数据传输的完整性和保密性也有一定要求,工作中要根据具体情况选择正确的加密算法。
3电力通信系统自动化信息安全核查
3.1建立核查库
由于实际工作需要,信息安全基线核查系统要能够辨识不同种类的业务,并在基线安全模块内部完成业务系统的分析工作,以实现对不同业务的安全核查。为实现这个目的,基线系统中要含有针对不同业务的安全模型功能框架,并将这些框架细化分解到系统的各个模块中。根据不同业务所具有的特点,信息安全基线核查系统对其可能存在的安全风险进行针对性的分析核查,并提出相应的处置措施,进而在系统实现层实现这些功能。除此之外,安全基线还负责对系统实现层进行安全漏洞和安全配置相关信息的核查。核查覆盖范围的大小对于该项核查工作的完成质量具有关键性影响。基线核查库是信息安全核查工具的基础,同时也是安全核查工具的参考标准。当前我国已经了电力企业通信安全配置核查检查规范,并根据这项规范设计了电力企业信息安全基线库,成为电力企业信息安全管理工作的坚实技术基础。基线库涉及操作系统、数据库、网络设备以及安全设备等的相关研究。其中,操作系统包括Win-dows2000、Windows2003、WindowsXP、WindowsVista、UNIX操作系统系列等;数据库包括Oracle、SQLServer、Informix等,网络设备包括Hua-wei/Cisco设备,安全设备包括Juniper、Cisco防火墙等。账号、口令、授权、日志、IP地址以及一些其他方面都属于基线库的研究内容。它们对系统安全有着直接影响,是安全检查的必选项目。在核查设备安全配置相关信息时,必须对设备的基本安全配置要求有着清晰的掌握,并提供相应的安全标准,以保障设备的入网测试、工程验收和运行维护的正常开展。
3.2信息安全核查系统架构设计
电力通信系统信息安全核查采用网页方式进行系统管理。用户和系统模块以网页为交互界面,通过浏览器进行数据传递,从而大幅降低了用户使用管理的难度,提高了工作效率。核查系统结构复杂,为提高设计效率,采用模块化的设计方式,在系统多个不同功能的模块中,扫描中心的作用最为重要。该模块负责对已经完成的目标进行探测和评估。具体工作内容包括对主机存活状态、操作系统的设别以及相关规则的解析及匹配。安全基线配置知识库是系统正常运行的基础,负责为扫描调度模块和Web管理模块提高基础数据,该知识库主要包括已知系统、网络设备、应用、中间件、数据库等的安全配置指导参数检查列表等。系统扫描任务完成后,各相关数据汇总到扫描结果库,形成扫描结果报告,以此作为用户查询和分析的数据基础。系统内各个模块的版本升级工作由数据同步模块复杂,同时,该模块还负责系统与外部数据汇总服务器的数据同步工作。Web界面模块是用户与系统交互的重要渠道,用户通过Web界面模块实现系统各项应用功能。根据用户要求的不同,Web界面模块具有多个子模块与之相对应。配置核查系统负责本地执行工作,为受查设备编制结果报表,报表随后汇总至系统进行分析。在Web界面的辅助下,用户可以进行扫描、数据输出、报告生成等多种操作。
3.3统计分析设计
安全基线核查具有宏观和微观双重风险分析功能。一方面,它能够全方位地反映通信网络安全整体水平,从问题分布、危害、主机信息等多方面对系统安全进行细粒度统计分析,并使用形象生动的图例进行说明。另一方面,系统针对核查结果提出切实可行的安全配置解决方案,此外,系统还具备关键词查询功能,允许客户利用自己设计的关键词进行相关信息的搜索,从而帮助用户更方便地了解指定设备的详细配置信息。
4结束语
随着电力产业的蓬勃发展,电力通信安全防范系统势必迎来更为广阔的发展空间。为妥善应对未来可能遇到的各种信息安全风险,电力企业要加大信息安全防范系统的建设力度,不断提高自动化信息安全核查水平,为供电安全和电力企业实现可持续发展保驾护航。
作者:马晟 李澜 杨华 单位:山西省电力公司阳泉供电公司
