淺析電力通信自動化信息安全漏洞及防范策略

張同凱

摘 要：電力通信自動化系統是相當復雜的，它不但承擔著海量的網絡數據傳輸任務，也在不斷過濾著網絡信息內容，但百密一疏，隨著社會發展對信息需求的越來越高，網絡信息安全漏洞依然是目前電力通信自動化系統所最關注的問題。本文希望簡要探析在該系統中有關信息安全漏洞的問題，并為其設計了基于電力自動化無線信息通信的加密方案。

關鍵詞：電力通信自動化系統 信息安全漏洞 無線終端

電力通信系統的自動化與智能化等特殊屬性也決定了其管理進程，尤其是對數據的全面加密處理也規避了安全漏洞風險，使電力通信自動化工作能夠順利運轉，為社會各個領域提供有力技術支撐。

一、電力通信自動化系統的信息安全漏洞問題

電力通信自動化系統要承擔諸如電力負荷、電能量等多重管理任務，它的具體網絡結構框架如圖1。

如圖1所示，一般電力通信自動化系統中比較容易出現信息安全漏洞的位置是中心站和無線終端，本文也就這兩大環節來探討系統的安全漏洞及防范相關問題。

1.中心站的安全漏洞及防范對策。中心站是電力通信自動化系統的核心部分，它主要包括了服務器、前置機等硬件設備，同時配套相應功能的管理型軟件。中心站的功能就是負責接收通信自動化系統中所有子工作站所上傳的數據，利用管理軟件進行相關數據分析和歸納處理，最后保存。再者，它也能夠起到維護子工作站常規化安全運轉的作用，并隨時發布命令來操作管理子工作站。一般中心站的數據接口都是銜接子站與系統的有線、無線數據傳輸關鍵，所以可以將其視為是電力通信自動化系統內外部通信數據集中的關鍵節點，而這一節點也恰好是外部攻擊者或黑客入侵的重要位置，它將整個系統的數據都暴露在危險環境下，是系統最脆弱的環節。對中心站的保護要強調節點保護，目前比較常見且有效的網絡信息安全漏洞保護措施一般采用的是防火墻，它可以由用戶實現制定相關對策方案來控制信息的流入和流出，具有監督控制雙向功能。從目的性角度講，防火墻技術主要為電力通信自動化系統搭建了一個基于節點連接的內外部網絡安全控制平臺，它會將系統節點的數據流進行重新規制，允許或拒絕它們的流動動作及范圍，同時實現對內外部網絡訪問服務的審計目的，是整個系統網絡數據交換以及通信授權許可的主要門戶。具體來說，防火墻的目的只有兩個：隔離與訪問控制，圍繞這兩項功能進行擴展，本文主要分析它的4點信息安全漏洞防范技術策略。第一，防火墻具備多層過濾控制技術。一般防火墻都會采用三層過濾，并配合一定的鑒定手段，分別為分組過濾層、應用級網關層以及電路網關層。其中分組過濾層主要用于過濾所有存在于源路的假冒IP源地址，而應用級網關層則主要運用SMTP、FTP等等網關類型來控制和監測Internet所提供的全部通信通用服務，最后的電路網關層能夠實現對主機內外部站點的透明銜接，從而對通信服務實現進一步的嚴格審查控制。第二，防火墻具備NAT技術。NAT技術即網絡地址轉換技術，它可以實現系統及子網站中所有內部地址的自由轉換，同時確保外部網絡無法知曉內部網絡運作過程中的拓撲信息，也允許內部網絡使用自己編程的專用網絡IP。在這里，防火墻會詳細記錄每一臺子機器的通信過程，保證分組信息能夠傳輸送達正確的內部IP地址和設備。第三，為了確保防火墻產品在FTP等等服務與遠程管理方面的安全穩定，遏制安全風險事故發生，防火墻是會提供鑒別功能的。它的鑒別功能一般所采用的是隨機一次性口令系統，它不但能對子網站系統進行加密與鑒別，還能實現對所傳輸郵件的加密，具備極高的安全防護性。最后，防火墻也能對網絡事件實施審計，對一切入侵系統的行為以聲音、郵件等形式發出報警信號，提醒管理員及時審計處理，快速解決不良行為及信息入侵問題。目前電力企業所采用的都是公網通信模式，它的系統自動化特性很強，而且具有與其它應用系統相連接的多個接口，尤其是子站在采集數據時需要與中心站進行聯系傳輸，這就為外來入侵者提供了可乘之機。所以嚴格來說中心主站與子站都要安裝防火墻設備，才能確保系統的安全穩定運行。但是在專網通信過程中，由于它是一個貫穿于整個通信網絡的獨立系統，所以在它的中心站與通信子站之間就沒有加裝防火墻的必要了。

2.無線終端的安全漏洞及防范對策。無線終端是電力通信自動化系統中必不可少的部分，而且它的數量很多。正是通過這些無線通信終端與中心站的通信聯系才實現了數據的活躍傳輸，但同時這里的信息安全漏洞也是最多的，外來黑客很容易就可以窺視到系統中的重要信息，甚至予以操作，行使各種盜竊、截獲行為，為電力企業帶來信息流失損失。所以在應用系統看來，保護系統安全也要保護系統業務安全。目前的電力企業所采用的是訪問控制技術與身份認證技術，這兩種技術手段能夠有效解決上述系統中所存在的安全漏洞問題，考慮到自動化系統中其終端只用來采集電力用戶數據并實現服務器數據傳輸功能，所以并不存在任何越權訪問信息的問題，因此本文主要介紹身份認證技術來解決無線終端中存在的各種安全漏洞隱患。身份認證的關鍵就是認證對象向系統所出示的身份證明，這也是電力通信自動化系統安全防護的首道關卡。為了確保識別有效性，所有參與訪問系統的用戶身份標識符都是不同的，也就是除身份驗證的二次驗證。在這里，標識符是公開的，但驗證信息是絕對保密的。除此之外，比較嚴謹的電力企業還會在自己的通信自動化系統中設置三方認證，當前兩項認證結束后還會繼續實施第三方仲裁認證，仲裁者是雙方都信賴的第三方平臺，在這一平臺上還會建立一個身份認證系統，它能夠滿足以下5項條件：對身份認證可識別率的最大化、可欺騙率的最小化、身份認證數據的不可傳遞性、計算有效性以及安全存儲功能。滿足了上述5項條件，電力自動化系統就會向用戶完全開放，輔助其實施各種數據傳輸活動。這種多重防護也是為了杜絕入侵者偽裝成內部用戶，獲取系統數據的惡劣行為出現。

二、電力自動化無線信息通信的加密方案設計

1.多層次加密方案設計。網絡加密方式眾多，包括端端加密、混合加密和鏈路加密等等。傳統電力通信自動化系統采用的是鏈路加密，它能夠實現在網絡中兩相鄰節點傳輸數據實時加密保護。鏈路加密的優勢還在于能夠實現數據流在各個節點之間的任意流動，它并非端端流動，這就有效規避了流量分析攻擊問題。但在目前更為先進的電力信息系統中則不推薦鏈路加密，這是因為如果采用該方法就需要在每個節點間實施解密算法，這非常影響數據交換及傳輸速度，而且由于每個節點都存在密鑰，非常不利于管理。更重要的是一旦節點被攻破，整個通信系統安全都會受到嚴重影響。所以本文為電力系統所采用的是應用層加密方法，它的優勢就在于能確保服務器及客戶端都被加密算法覆蓋進而嵌入到通信源程序當中，這就讓任何程序與數據流都實現了軟件加密，尤其是在網絡層與應用層之間實現了通信加密。

2.加密算法。在應用層加密中所采用的是摘要算法，這種算法可以對數據流實施分段摘要計算，同時將摘要附著于明文后的完整性校驗說明書中。因為電力系統SCADA在實時數據傳輸過程中是不在意信息系泄密的，所以更要注意的是信息數據是否被篡改或冒名重發，這里所作出的處理是基于MD5消息摘要的數據段校驗。舉例來說如果發送消息n，設置通信雙方的共享密鑰為b，那么接收方在信息加密校驗過程中就可以丟棄MD5（n+b），也能確保對數據信息的安全保護。如果采用的是密鑰計算，則要基于MD5進行摘要計算，切實確保數據的完整獨立性。相比較而言，MD5的計算方法效率更高，還可以運用在不具備完全加密的一般算法場合中，所以該算法是可以滿足電力信息實時性需求的，再加之其不需要特殊密鑰管理，它已經成為了目前比較受歡迎的電力通信系統信息安全漏洞防范模式之一。

三、結語

本文主要研究了當前電力通信自動化信息系統所存在的安全漏洞問題，并主要分析了幾種防范對策。可以見得，電力自動化無線通信技術由于其自身特性的不同，所要求的安全防范對策及加密方案也是不同的。所以在未來的進一步實踐研究中還應該在確保系統網絡帶寬的基礎上來設法提高系統的加密強度，多元化安全防范對策，以應對目前越來越高的系統信息安防需求。

參考文獻：

[1]曾琪.電力通信自動化信息安全漏洞及防范措施探討[J].新媒體研究，2014（2）：72-72，49.

[2]王榮志.電力自動化無線通信中的信息安全研究[D].華北電力大學（北京），2007.22-28.

[3]程雪.電力自動化無線通信中的信息安全系統構建和分析[J].中國新技術新產品，2014（22）：178-179.

[4]陳廂.電力無線通信網絡安全方案研究[J].科技資訊，2014（30）：84-85.