電力物聯網信息安全防護技術研究

鄧敏茜，丁 瑜

（1.中國移動通信集團廣西有限公司，廣西 南寧 530000；2.南寧職業技術學院，廣西 南寧 530000）

0 引 言

當前，工業物聯網技術已經被廣泛應用于電力系統，在發電、輸電、變電以及配電等環節均可看到它的身影。通過大量查閱與泛在電力物聯網相關的資料發現，當前我國已有將近5.3億個計量終端表，有超過300萬套類型各異的設備監控終端，有50萬個視頻監控攝像頭終端。借助這些物聯網終端設備，無線公網式的數據傳輸被廣泛應用于電網配電系統。

1 物聯網結構層次及其安全問題

1.1 感知層

感知層包括大量的數據采集設備。為了能夠執行應用層下發的相關指令，必要的執行設備也存在于這一層。總體而言，傳感器、執行設備、定位設備、視頻以及音頻采集播放終端、條碼讀取或者射頻讀寫設備以及相關智能化設備等都在這一層。感知層的各種設備，可以根據是否具備可操作性的能力分為可讀式和讀寫式兩種。相對而言，單純的可讀設備在安全方面具有較高的水平，但并不排除也會遭受到外部攻擊，而讀寫式設備則面臨更多的安全風險。

1.2 網絡層

各類私有網絡、有線網絡、無線通信網以及互聯網共同構成了物聯網的網絡層，能夠高效實現數據的接收和輸出。與其他行業相比，電網中使用的地面、井下工業環網以及無線通信網絡的傳輸技術并沒有太大不同，也是通過流量監控、漏洞掃描、入侵檢測等手段解決運行中出現的各類問題。對于網絡層而言，由于它的結構復雜且各部分之間存在較大差別，使得該層級面臨較大的安全風險，即整個系統數據傳輸的安全性將在很大程度上由其來決定[1]。

1.3 應用層

物聯網的應用層包含安全生產調度集成平臺、三維地理信息平臺以及隱患管理組風險預控管理信息平臺在內的眾多平臺，可以實現多種應用，如云計算、數據存儲以及常規網絡應用等，所以常被視為是一個全面的、成熟度較高的信息系統。當前，探討該層安全性能時主要關注數據安全和云計算安全兩方面內容。

2 電力物聯網信息安全防護技術

2.1 網絡安全漏洞掃描技術

網絡安全漏洞的檢測和安全風險評估技術，可以準確預知網絡主體用戶受到網絡攻擊的各種可能性，具體指證將要出現或發生的網絡攻擊行為和可能產生的安全風險后果，近年來受到了網絡安全技術業界的高度重視。這一安全技術的主要應用任務可以幫助管理員識別、檢測、監視系統資源，分析系統資源被黑客攻擊的各種可能因素和指數，了解如何支撐網絡監視系統本身的安全脆弱性，評估所有系統可能存在的安全問題和風險。網絡安全漏洞的掃描技術、網絡防火墻、入侵系統和檢測網絡監視系統互相配合，能夠有效保護和提高整個網絡的質量和安全性。通過對整個網絡的安全漏洞掃描，網絡管理員能及時了解整個網絡的安全防護設置、系統運行的情況以及應用服務，及時發現網絡安全漏洞，并由此對整個網絡所面臨的安全風險以及風險等級進行客觀評估[2]。因此，網絡管理員通常能根據網絡掃描的情況和結果及時發現網絡的安全漏洞和系統運行過程中的各種錯誤安全設置，在網絡受到黑客攻擊前對系統進行防范。

2.2 VPN技術

要將虛擬專網架設于公共網絡之上，最常用的技術就是VPN。它根據應用層級不同可被劃分為鏈路層VPN技術、網絡層VPN技術和應用層VPN技術3類。

鏈路層VPN技術，包括PPTP或L2TP。鏈路層VPN沒有進行專項加密，因此安全級別較低，即借助于PPTP或L2TP驗證用戶身份。

網絡層VPN技術，包括MPLS和IPSec。網絡層VPN技術的安全級別高于鏈路層VPN，其中IPSec支持加密認證，還能夠應用于“網關-網關”“終端-網關”等場景，同時在系統安全改造方面基于自有的傳輸模式和隧道模式也有良好的表現[3-4]。在進行安全改造時，基于SM2算法的公鑰密碼算法（《IPSecVPN技術規范》），電力物聯網終端以及主站側對用戶身份進行認證，隨后進行相關的通信密鑰協商。上述過程中，通信密匙協商過程較為復雜，基于任務可被大致分為兩個階段。第一階段以主模式來進行IKESA協商，由證書交換、工作密鑰協商以及身份認證等6個交互操作共同構成，是開展第二階段會話密匙協商的基礎。第二階段是基于快速模式的IPSecSA協商，主要圍繞會話密鑰展開，共由3個交互操作組成[5]。MPLS是基于網絡路由協議搭建的一個基于標簽的快速高效數據交換傳輸技術，以電力調度數據網為例，基于MPSL虛擬了兩個分別應用于實時和非實時VPN用以傳輸安全區的業務數據。

應用層VPN技術，包括SSL/TLS。應用層VPN技術中的SSL也具有加密認證功能，但SSLVPN無法在“網關-網關”（即sitetosite）場景下應用，因此當前多用于對移動辦公和遠程接入進行加密認證時[6]。

2.3 安全審計技術

安全審計技術是使用某種或幾種安全的檢測工具（通常被簡稱為安全掃描器（scanner）），采取檢測和掃描系統安全漏洞的手段和方法檢查整個系統的信息安全漏洞，得到物聯網系統各個薄弱環節的安全漏洞檢查報告，并且提出采用相應的審計技術增強其系統信息安全性的手段和措施[7]。物聯網信息安全的審計是揭示其信息安全潛在風險的最佳方法和手段，是改進其信息安全技術和現狀的方法和有效途徑，是滿足其信息安全行業合規要求的有力手段和武器。物聯網信息安全的審計可以使得組織在了解和掌握其物聯網信息安全工作是否能夠滿足安全合規性審計要求的關鍵，也有助于物聯網組織全面深入了解和準確掌握其物聯網信息安全審計工作的有效性、充分性和適宜性。

2.4 輕量級安全認證技術

入侵保護包括入侵前和入侵后兩方面。入侵前的保護屬于網絡邊界保護，常用技術是網絡防火墻。入侵后的保護是入侵檢測（IDS），對信息系統來說是一種成熟的安全保護技術，但對資源受限的物聯網系統，入侵檢測幾乎沒有能力，因此主要技術是在入侵前的安全保護方面。對許多物聯網設備來說，使用防火墻技術也是不現實的，因此對邊界防護的主要技術手段是身份認證。具體地，輕量級身份認證是提升資源受限物聯網設備的關鍵技術[8]。需要注意，身份認證的目的是建立共享會話密鑰進行保密通信，可以有選擇地提供通信數據的機密性和完整性。但是，物聯網系統中的許多數據都是小數據，這種情況下可以將身份認證與數據保護融合在一起，提供可認證的數據保密輕量級協議。具體地說，應該設計融身份認證、數據機密性、數據完整性、數據新鮮性等安全保護于一體的輕量級數據傳輸協議[9]。

2.5 生物識別技術

生物身份識別技術是通過計算機與生物光學、聲學、生物傳感器和生物統計學原理等高科技手段密切結合，利用人體固有的一些生理特性（如指紋、臉象、虹膜等）和其行為中的心理特征（如筆跡、聲音、步態等）特征，有效地進行個人身份的識別和鑒定[10]。由于人體的生物特征指紋識別具有多種不可復制的生物特性，這一指紋識別技術的安全系數較傳統意義上的生物身份驗證指紋識別機制可以有很大的改善和提高。適用于人體的視網膜生物指紋識別特征主要包括指紋、聲音、面孔、視網膜、掌紋以及骨架等，其中視網膜指紋憑借其無可比擬的特征倍受學術界的關注，如唯一性、穩定性、再生性等。除了視網膜指紋識別技術外，近年來對視網膜指紋識別的技術和先進的簽名指紋識別技術的應用和研究也都取得了驕人的進展和成績。

3 結 論

基于政府的政策支持和整個行業技術的快速發展，我國的物聯網進入快速成長期，與互聯網以及接入終端設備之間的聯系變得越來越緊密，將來定會在各個領域大放異彩，尤其是電力行業，從而為人們帶來更多的便利。