【观点】智能电网信息安全防御体系与信息安全测试系统构建-第2页-北极星输配电网

投稿

我要投稿

2智能电网信息安全需求和主要信息安全防御技术

为应对网络攻击和保证网络安全,美国能源部(DOE)在2003年提出了《保护SCADA系统信息安全的21步》;美国国土安全部(DHS)在2006年、2008年和2010年分别进行了3次网络风暴(网络Storm)演习。网络风暴演习模拟美国关键基础设施遭受大规模网络攻击时,网络应急响应团体中各政府部门与相关企业联合应对的情况,旨在检测并加强政企合作的网络防灾和响应能力;2011年5月,美国发布了《网络空间国际战略》,阐述美国“在日益与网络相联的世界如何建立繁荣、增进安全和保护开放”。美国国防部高级研究计划局(DARPA)近期启动了一项名为“快速攻击检测、隔离和表征”的计划,目标是发展一套能够应对电网遭受针对信息网络或基础设施的摧毁性攻击后,7d内恢复电力供应的自动化系统。针对电网的网络攻击很可能是出于政治、军事或者经济的目的,可以说,智能电网的信息安全防御已被提升为一个国家安全层面的重要问题。

乌克兰和以色列国家电网遭受网络攻击事件发生后,有人提出了类似的事件有没有可能在中国发生的问题,答案是有可能。随着中国经济实力的增强和国际地位的上升,对中国怀有敌意或防范意识的国家或组织愈来愈多。依照目前的国际形势,包括欧美国家在内的其他国家,与中国发生正面战争的机会微乎其微。然而,发动黑客、罪犯和恐怖分子通过通信网络对中国的重要基础设施(如核电站、三峡水电站和国家电网等)进行破坏,从而阻止或延缓中国经济发展的可能性很大。

为满足经济发展需求,中国国家电网也处于快速发展壮大阶段。国家电网已宣布投资4万亿人民币用于电力基础设施建设,其目标是在2020年建成覆盖全国的智能电网。随着中国智能电网的发展和能源互联网战略的实施,其信息安全问题也变得愈来愈突出。因此,有必要基于已发生的针对电力基础设施的网络攻击事件,分析国内智能电网面临的信息安全威胁,深入研究适用于智能电网的信息安全技术,并有针对性地构建智能电网信息安全防御体系。

所谓信息安全就是要保证信息的保密性、完整性、可用性和不可否认性。信息安全防御技术主要包括加密/解密技术、身份认证/数字签名技术、入侵检测和防御技术、基于角色访问控制技术、防火墙技术、安全隔离技术和虚拟专用网络(VPN)等。在保障信息安全各种功能/特性的诸多技术中,加密技术和身份认证技术是信息安全防御技术的核心和关键。加密技术是最基本、最常用且最有效的信息安全防御技术,可以有效限制非法侦听、截获、中断、伪造的概率,从而达到保证报文/信息安全的目的。入侵检测技术是满足机密性、完整性、可用性安全需求的关键技术之一。防火墙是一种安装在组织机构的内部网络与互联网之间的设备,是保证网络层安全的边界安全工具。安全隔离装置(网闸)是一种网络安全设备,它包含带有多种控制功能的专用硬件,可在电路上切断网络之间的链路层连接,并能在网络间进行安全适度的应用数据交换。VPN为网络间传送数据和控制信息提供了一种安全的通信机制,它在隧道模式下使用IPSec来提供保密性、完整性、数据源鉴别、重放保护和访问控制的数据保护。

3智能电网信息安全防御体系构建

3.1变被动防御为积极主动防御

国内外在智能电网信息安全研究上存在较大差异,甚至可以说在研究思路上背道而驰。国外的研究是以“攻”为主线,研究的问题包括:网络攻击情况下系统的脆弱性、攻击的难易程度、攻击造成的影响、攻击状态下电力系统对信息系统的依存性,等等。在这些问题的基础上再进一步去考虑如何防御,并提供安全技术支持。而国内的研究是以“防”为主线,主要考虑如何来构建防御体系,包括建立等级保护制度、安全测评体系、安全防御的新技术及安全评估方法等,但对网络攻击技术研究还很薄弱。笔者认为需要在以下几个方面重点加强基于积极主动防御思想的防御措施。

1)加强电力系统人员的培训、管理和保密教育,提高电力系统员工信息安全防范意识。人是信息系统中最不稳定、最不确定,也是最危险的因素；特别是内部人员,是信息安全的最大威胁。因此,需加强管理、制定完善的信息安全制度。

2)加强对远动终端设备(RTU)、配电变压器终端设备(TTU)、继电保护装置和电力监控装置等智能电子设备(IED)的监测和管理。这些物理设备在实现测量、保护、监控、通信等功能的同时,其本身作为底层通信节点,是电力系统通信网络的主要组成部分之一。黑客很有可能入侵并潜伏在这些IED物理设备中,在满足一定的触发条件时才开始执行恶意程序。这类攻击具有很深的隐蔽性,采用通用的入侵检测技术很难发现。黑客对这些设备的攻击效果一定会体现在某些物理特征上,可以通过发现这些设备在时间、空间和控制指令执行效果等方面的异常表现来检测这类攻击。

3)电力系统各个单位办公系统/网络与电力监控系统/网络进行物理隔离,禁止U盘和移动硬盘等存储介质在两个系统/网络之间交叉使用,禁止在电力监控计算机中打开办公文档或电子邮件。攻击乌克兰和以色列国家电网的病毒软件即是通过电子邮件传播。

4)协同各单位采用统一的信息安全防御策略,构建一体化信息安全防御体系。电力系统主要包括发电、输电、变电、配电、用电和调度6个环节,涵盖运行、管理、控制和市场等方方面面,各环节的信息安全体现出不同的需求。整个电力系统的信息安全水平遵从“木桶原理”,哪个环节或组成部分的信息安全防御水平最低,该环节或组成部分即成为电力系统信息安全防御最薄弱、最易攻破之处。因此,需要协同各单位进行统一部署。

3.2适用于底层IED的加密/解密算法和身份认证/数字签名算法

继电保护装置、电力监控装置、RTU和TTU等IED常采用单片机、数字信号处理器(DSP）、ARM和实时操作系统实现,可用的软硬件资源相对有限。现有的信息安全技术和信息安全产品并不完全适用于这类装置,因此,有必要综合考虑算法实时性、保密性和实施成本,研究适用于软硬件资源有限的底层IED的加密/解密算法和身份认证/数字签名算法。

3.3智能电网一体化信息安全防御体系构建

从严格意义上讲,不存在绝对安全的网络,系统的安全和开放本身就是互相矛盾的。因此,需基于“适度安全”和“尽可能透明”的策略,明确智能电网的信息安全需求和为实现信息安全保障要求所增加的投入,在保证信息传输的可靠性、实时性前提下制定智能电网信息安全策略,定义信息的共享方式和安全级别,寻找信息安全和共享(开放)、信息传输实时性与系统安全性之间的平衡点,提出信息安全最佳实施方案。

中国智能电网信息安全实施方案可由如下模型进行描述:

式中:Ru为智能电网受信息安全威胁类型,1≤u≤j;Av为智能电网中传输的(业务)数据类型,1≤v≤k;Bw为智能电网中所采用的各种信息安全防御技术,1≤w≤l;Cy为智能电网中所采用的各种信息安全防御技术对应的实施成本,1≤y≤m;Xz为智能电网中所采用的各种信息安全防御技术对通信实时性的影响,1≤z≤q。

原标题：智能电网信息安全防御体系与信息安全测试系统构建:

投稿与新闻线索：陈女士微信/手机：13693626116 邮箱：chenchen#bjxmail.com（请将#改成@）

订阅北极星周刊，精彩内容不再错过！

特别声明：北极星转载其他网站内容，出于传递更多信息而非盈利之目的，同时并不代表赞成其观点或证实其描述，内容仅供参考。版权归原作者所有，若有侵权，请联系我们删除。

凡来源注明北极星*网的内容为北极星原创，转载需获授权。

阅读下一篇

【分析】我国电线电缆行业三大竞争阵营

智能电网查看更多>供电系统查看更多>电网安全查看更多>

姓名：
性别：
出生日期：
邮箱：
所在地区：
行业类别：
工作经验：
学历：
公司名称：
任职岗位：

【观点】智能电网信息安全防御体系与信息安全测试系统构建

【分析】我国电线电缆行业三大竞争阵营

登录注册

绑定账号

想要获取更精准资讯推荐？建议您完善以下信息~

订阅成功

想要获取更精准资讯推荐？建议您
完善以下信息~