淺議電力信息安全自動化核查

馬晟 李瀾 楊華

摘 要：電力系統(tǒng)自動化信息安全核查是電力企業(yè)加強信息安全管理防范的重要措施。文章從電力系統(tǒng)通信安全防護體系的概念出發(fā)，介紹了電力通信信息安全的有關(guān)要求，并對電力通信系統(tǒng)自動化信息安全核查相關(guān)內(nèi)容進行了較為深入的闡述。

關(guān)鍵詞：電力信息安全；基線；核查；漏洞；防范措施

引言

隨著電力系統(tǒng)信息化建設(shè)程度的加深，信息安全也成為電力行業(yè)普遍關(guān)注的問題之一。由于通信網(wǎng)絡(luò)受到外界非法侵入，導(dǎo)致重要信息泄露或者指令受到惡意改變，使得電力設(shè)備的正常運轉(zhuǎn)狀態(tài)受到影響，供電安全受到重大威脅，給企業(yè)乃至國家造成嚴重經(jīng)濟損失的事件并不少見。完善電力系統(tǒng)信息安全防護體系建設(shè)，提高電力系統(tǒng)自動化管理抵御不良因素影響能力，保障電力系統(tǒng)安全穩(wěn)定運行，是電力行業(yè)近年來研究的重點問題。

1 電力系統(tǒng)通信安全防護體系的概念

為做好外部非法因素的防范工作，確保電力通信系統(tǒng)信息安全，電力企業(yè)開發(fā)實施了電網(wǎng)通信安全防護體系建設(shè)工作。它以電網(wǎng)安全防護工程為主體，實現(xiàn)了科學(xué)的電力工程實施流程、管理技術(shù)和現(xiàn)階段最先進的技術(shù)的高度結(jié)合，構(gòu)建起一整套全方位的電力系統(tǒng)通信安全防護機制。它涉及信息安全工程學(xué)相關(guān)知識，以信息安全工程能力成熟度模型（SSE-CMM）為規(guī)范，指導(dǎo)實施電力通信安全工程的全過程，從具體的安全設(shè)備設(shè)置，到安全工程的管理、組織和設(shè)計、實施、驗證各個環(huán)節(jié)，包含了電力系統(tǒng)信息安全防范體系的所有環(huán)節(jié)。具體來說，電力系統(tǒng)通信安全防護體系包括三個主要因素，即策略、管理和技術(shù)。

2 電力通信系統(tǒng)信息安全相關(guān)要求

電力通信所面臨的環(huán)境比較復(fù)雜，給信息安全防范帶來較大困難。不同的數(shù)據(jù)傳輸方式，信息安全防范的要求也不一樣。當(dāng)前電力自動化管理系統(tǒng)無線網(wǎng)絡(luò)傳輸數(shù)據(jù)的類型分為實時數(shù)據(jù)和非實時數(shù)據(jù)兩種，下面我們逐一對這兩種數(shù)據(jù)的安全防范要求做出說明。

2.1 實時數(shù)據(jù)安全防范要求

實時通訊對網(wǎng)絡(luò)的傳輸速度與質(zhì)量要求很高，通信規(guī)約在時間方面相對苛刻，允許的傳輸延遲范圍很小。同時，實時傳輸?shù)臄?shù)據(jù)量一般不大，流量長期保持在一定水平，波動幅度較小。現(xiàn)階段電力通信系統(tǒng)中常見的實時傳輸數(shù)據(jù)包括以下幾種：（1）下行數(shù)據(jù)。包括遙控、遙調(diào)和保護裝置及其他自動裝置的整定值信息等。這類數(shù)據(jù)受設(shè)備狀態(tài)影響，直接關(guān)系到電力系統(tǒng)能否安全穩(wěn)定運行。在實時傳輸和安全防范方面的要求都比較高。（2）上行數(shù)據(jù)。包括遙信、重要遙測、事件順序記錄（SOE）信息等。這些數(shù)據(jù)是電網(wǎng)運行狀的直接反映，是電力調(diào)度運行的重要參考依據(jù)，具有一定的保密性要求。從上面可以看出，電力通信實時數(shù)據(jù)具有流量穩(wěn)定、時效性的特點，對于數(shù)據(jù)傳輸?shù)膶崟r性、可靠性、保密性與完整性方面有著加高的要求。所以，在進行實時數(shù)據(jù)傳輸時要切實做好加密工作。

2.2 非實時數(shù)據(jù)安全防范要求

和實時傳輸數(shù)據(jù)相比，非實時傳輸?shù)臄?shù)據(jù)具有數(shù)據(jù)傳輸量大，時效性低的特點，對于傳輸延遲的要求也較為寬泛。這類數(shù)據(jù)主要包括電力設(shè)備的維護日志、電力用戶的電能質(zhì)量信息等。非實時數(shù)據(jù)對于數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄砸灿幸欢ㄒ螅ぷ髦幸鶕?jù)具體情況選擇正確的加密算法。

3 電力通信系統(tǒng)自動化信息安全核查

3.1 建立核查庫

由于實際工作需要，信息安全基線核查系統(tǒng)要能夠辨識不同種類的業(yè)務(wù)，并在基線安全模塊內(nèi)部完成業(yè)務(wù)系統(tǒng)的分析工作，以實現(xiàn)對不同業(yè)務(wù)的安全核查。為實現(xiàn)這個目的，基線系統(tǒng)中要含有針對不同業(yè)務(wù)的安全模型功能框架，并將這些框架細化分解到系統(tǒng)的各個模塊中。根據(jù)不同業(yè)務(wù)所具有的特點，信息安全基線核查系統(tǒng)對其可能存在的安全風(fēng)險進行針對性的分析核查，并提出相應(yīng)的處置措施，進而在系統(tǒng)實現(xiàn)層實現(xiàn)這些功能。除此之外，安全基線還負責(zé)對系統(tǒng)實現(xiàn)層進行安全漏洞和安全配置相關(guān)信息的核查。核查覆蓋范圍的大小對于該項核查工作的完成質(zhì)量具有關(guān)鍵性影響。基線核查庫是信息安全核查工具的基礎(chǔ)，同時也是安全核查工具的參考標(biāo)準。當(dāng)前我國已經(jīng)發(fā)布了電力企業(yè)通信安全配置核查檢查規(guī)范，并根據(jù)這項規(guī)范設(shè)計了電力企業(yè)信息安全基線庫，成為電力企業(yè)信息安全管理工作的堅實技術(shù)基礎(chǔ)。基線庫涉及操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備以及安全設(shè)備等的相關(guān)研究。其中，操作系統(tǒng)包括Windows2000、Windows2003、WindowsXP、Windows Vista、UNIX操作系統(tǒng)系列等；數(shù)據(jù)庫包括Oracle、SQL Server、Informix等，網(wǎng)絡(luò)設(shè)備包括Hua-wei/Cisco設(shè)備，安全設(shè)備包括Juniper、Cisco防火墻等。賬號、口令、授權(quán)、日志、IP地址以及一些其他方面都屬于基線庫的研究內(nèi)容。它們對系統(tǒng)安全有著直接影響，是安全檢查的必選項目。在核查設(shè)備安全配置相關(guān)信息時，必須對設(shè)備的基本安全配置要求有著清晰的掌握，并提供相應(yīng)的安全標(biāo)準，以保障設(shè)備的入網(wǎng)測試、工程驗收和運行維護的正常開展。

3.2 信息安全核查系統(tǒng)架構(gòu)設(shè)計

電力通信系統(tǒng)信息安全核查采用網(wǎng)頁方式進行系統(tǒng)管理。用戶和系統(tǒng)模塊以網(wǎng)頁為交互界面，通過瀏覽器進行數(shù)據(jù)傳遞，從而大幅降低了用戶使用管理的難度，提高了工作效率。核查系統(tǒng)結(jié)構(gòu)復(fù)雜，為提高設(shè)計效率，采用模塊化的設(shè)計方式，在系統(tǒng)多個不同功能的模塊中，掃描中心的作用最為重要。該模塊負責(zé)對已經(jīng)完成的目標(biāo)進行探測和評估。具體工作內(nèi)容包括對主機存活狀態(tài)、操作系統(tǒng)的設(shè)別以及相關(guān)規(guī)則的解析及匹配。安全基線配置知識庫是系統(tǒng)正常運行的基礎(chǔ)，負責(zé)為掃描調(diào)度模塊和Web管理模塊提高基礎(chǔ)數(shù)據(jù)，該知識庫主要包括已知系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用、中間件、數(shù)據(jù)庫等的安全配置指導(dǎo)參數(shù)檢查列表等。系統(tǒng)掃描任務(wù)完成后，各相關(guān)數(shù)據(jù)匯總到掃描結(jié)果庫，形成掃描結(jié)果報告，以此作為用戶查詢和分析的數(shù)據(jù)基礎(chǔ)。系統(tǒng)內(nèi)各個模塊的版本升級工作由數(shù)據(jù)同步模塊復(fù)雜，同時，該模塊還負責(zé)系統(tǒng)與外部數(shù)據(jù)匯總服務(wù)器的數(shù)據(jù)同步工作。Web界面模塊是用戶與系統(tǒng)交互的重要渠道，用戶通過Web界面模塊實現(xiàn)系統(tǒng)各項應(yīng)用功能。根據(jù)用戶要求的不同，Web界面模塊具有多個子模塊與之相對應(yīng)。配置核查系統(tǒng)負責(zé)本地執(zhí)行工作，為受查設(shè)備編制結(jié)果報表，報表隨后匯總至系統(tǒng)進行分析。在Web界面的輔助下，用戶可以進行掃描、數(shù)據(jù)輸出、報告生成等多種操作。

3.3 統(tǒng)計分析設(shè)計

安全基線核查具有宏觀和微觀雙重風(fēng)險分析功能。一方面，它能夠全方位地反映通信網(wǎng)絡(luò)安全整體水平，從問題分布、危害、主機信息等多方面對系統(tǒng)安全進行細粒度統(tǒng)計分析，并使用形象生動的圖例進行說明。另一方面，系統(tǒng)針對核查結(jié)果提出切實可行的安全配置解決方案，此外，系統(tǒng)還具備關(guān)鍵詞查詢功能，允許客戶利用自己設(shè)計的關(guān)鍵詞進行相關(guān)信息的搜索，從而幫助用戶更方便地了解指定設(shè)備的詳細配置信息。

4 結(jié)束語

隨著電力產(chǎn)業(yè)的蓬勃發(fā)展，電力通信安全防范系統(tǒng)勢必迎來更為廣闊的發(fā)展空間。為妥善應(yīng)對未來可能遇到的各種信息安全風(fēng)險，電力企業(yè)要加大信息安全防范系統(tǒng)的建設(shè)力度，不斷提高自動化信息安全核查水平，為供電安全和電力企業(yè)實現(xiàn)可持續(xù)發(fā)展保駕護航。

參考文獻

[1]嚴玉婷，成瑾.基于信息安全基線理論的信息安全監(jiān)督平臺的總體設(shè)計[J].信息安全與通信保密，2012.

[2]石季英，張磊，曹明增，等.一種基于混沌理論的分布式系統(tǒng)的加密算法[J].計算機仿真，2010.