電力自動(dòng)化通信技術(shù)中的信息安全問題及措施

李強(qiáng)

摘要：電力自動(dòng)化通信技術(shù)為電網(wǎng)系統(tǒng)安全性與電力系統(tǒng)運(yùn)行效率的提升提供支持，本文介紹了電力通信系統(tǒng)的信息安全漏洞，圍繞自動(dòng)化中心站建設(shè)、無(wú)線終端設(shè)備防護(hù)、遠(yuǎn)程桌面系統(tǒng)改造三個(gè)層面，探討了關(guān)于電力自動(dòng)化通信的安全防護(hù)解決措施，以期為電力系統(tǒng)運(yùn)行及在電力通信中保障信息安全提供參考價(jià)值。

關(guān)鍵詞：電力自動(dòng)化;遠(yuǎn)程控制;通信加密

引言：

電力通信數(shù)據(jù)通常包含兩種類型，實(shí)時(shí)數(shù)據(jù)具有實(shí)時(shí)性要求高的特征，用于反饋電力系統(tǒng)運(yùn)行狀況;非實(shí)時(shí)數(shù)據(jù)包含設(shè)備維護(hù)日志等信息，時(shí)效性要求相對(duì)較低。為保障兩類數(shù)據(jù)信息在傳輸過程中的安全性，需在安全漏洞分析的基礎(chǔ)上采取有效安全防護(hù)措施，消除對(duì)電力通信過程產(chǎn)生威脅的因素，保障信息安全。

1電力通信系統(tǒng)的信息安全漏洞分析

1.1基礎(chǔ)架構(gòu)運(yùn)行干擾

電力通信系統(tǒng)主要由數(shù)據(jù)采集模塊、傳輸模塊、信息處理模塊等架構(gòu)組成，其中傳感器與數(shù)據(jù)采集器是數(shù)據(jù)采集模塊的重要裝置，用于獲取輸電線路、電力設(shè)備運(yùn)行參數(shù);傳輸模塊內(nèi)部劃分為兩個(gè)層級(jí)，采用可靠性較高的光纖傳輸方式，上行傳輸利用接口將采集模塊獲取到的參數(shù)數(shù)據(jù)進(jìn)行轉(zhuǎn)換處理、輸送至中心站或各子站，下行傳輸則將由子站、中心站端獲取到的控制指令分發(fā)至相應(yīng)電力設(shè)備、實(shí)現(xiàn)對(duì)系統(tǒng)整體運(yùn)行狀態(tài)的控制;信息處理模塊主要利用計(jì)算機(jī)軟件針對(duì)中心站接收到的數(shù)據(jù)信息進(jìn)行分析處理，判斷系統(tǒng)運(yùn)行狀態(tài)，并發(fā)出控制指令調(diào)節(jié)電力設(shè)備、保障電力系統(tǒng)的穩(wěn)定可靠運(yùn)行。然而在電力系統(tǒng)運(yùn)行過程中，倘若中心站服務(wù)器崩潰或光纖傳輸設(shè)備出現(xiàn)故障，將對(duì)系統(tǒng)現(xiàn)有架構(gòu)的運(yùn)行過程造成干擾，引發(fā)安全漏洞[1]。

1.2系統(tǒng)與網(wǎng)絡(luò)安全漏洞

在系統(tǒng)安全漏洞方面，通常在電力系統(tǒng)中設(shè)有用戶訪問權(quán)限，用戶需通過認(rèn)證識(shí)別登錄系統(tǒng)、執(zhí)行具體操作，當(dāng)系統(tǒng)存在安全漏洞時(shí)，將使未獲得訪問權(quán)限的不法分子進(jìn)入系統(tǒng)中進(jìn)行信息竊取或篡改，嚴(yán)重影響到信息安全。在網(wǎng)絡(luò)安全漏洞方面，其一是惡意攻擊，由于電力通信系統(tǒng)需通過聯(lián)網(wǎng)建設(shè)實(shí)現(xiàn)部分功能，在互聯(lián)網(wǎng)環(huán)境下易被黑客惡意攻擊入侵電力系統(tǒng)，不僅將影響到網(wǎng)絡(luò)運(yùn)行秩序，還將造成電力通信中斷等嚴(yán)重后果，削弱電力供應(yīng)的穩(wěn)定性與質(zhì)量;其二是病毒入侵，部分操作人員由于尚未接受網(wǎng)絡(luò)安全培訓(xùn)、缺乏完備的信息安全意識(shí)，倘若利用計(jì)算機(jī)登錄缺乏安全防護(hù)的網(wǎng)站，或?qū)⑺饺薝SB連接電力系統(tǒng)主機(jī)，加之未設(shè)置防火墻或安裝殺毒軟件、更新病毒庫(kù)，極有可能致使木馬病毒攻擊電腦，導(dǎo)致重要文件丟失、被損壞。

1.3遠(yuǎn)程控制加密問題

在電力通信系統(tǒng)內(nèi)部通常由不同站點(diǎn)負(fù)責(zé)通信的分區(qū)管控，但由于不同區(qū)域的用電設(shè)備類型、數(shù)量均存在一定差異，因此涉及到多種通信方式及連接類型，需結(jié)合不同電力設(shè)備對(duì)應(yīng)的指令進(jìn)行通信協(xié)議的轉(zhuǎn)換，由此增加了控制流程的復(fù)雜化特征。同時(shí)，當(dāng)前智能變電站的普及催生了無(wú)人值班運(yùn)行模式，在此模式下的故障處理與遠(yuǎn)程控制存在較大難度，受自動(dòng)化系統(tǒng)生產(chǎn)廠家、數(shù)據(jù)庫(kù)容量與處理能力、復(fù)雜通信協(xié)議與采集方式等因素的影響，導(dǎo)致系統(tǒng)運(yùn)維與信息加密難度較大。

2電力自動(dòng)化通信的安全防護(hù)解決措施

2.1自動(dòng)化中心站建設(shè)

2.1.1安全防護(hù)層設(shè)計(jì)

電力自動(dòng)化通信的中心站采用集中統(tǒng)一管理方式進(jìn)行各通信子站的管理，為防止在中心站與各子站數(shù)據(jù)采集、傳輸與處理的過程中遭到外部入侵的干擾，應(yīng)注重加強(qiáng)對(duì)安全防護(hù)層的設(shè)計(jì)。以防火墻為例（如圖1所示），通常利用防火墻技術(shù)可實(shí)現(xiàn)對(duì)數(shù)據(jù)信息傳輸過程中的實(shí)時(shí)監(jiān)控，將防火墻設(shè)為網(wǎng)絡(luò)與網(wǎng)絡(luò)安全域信息出口，針對(duì)信息交互過程進(jìn)行全面控制，可防止外部惡意入侵、將通信系統(tǒng)與外部網(wǎng)絡(luò)間的干擾因素進(jìn)行有效隔離，并利用防火墻自身的防御功能維護(hù)系統(tǒng)的穩(wěn)定運(yùn)行。防火墻主要承擔(dān)分離器、分析器、限制器等功能，將其設(shè)置在通信系統(tǒng)中可自動(dòng)攔截非法用戶，限定用戶在指定站點(diǎn)訪問網(wǎng)絡(luò)，有效防止惡意入侵與攻擊，配合報(bào)警系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全提示，實(shí)現(xiàn)對(duì)系統(tǒng)整體運(yùn)行狀態(tài)的動(dòng)態(tài)監(jiān)控。

2.1.2光纖接入技術(shù)

在電力系統(tǒng)數(shù)據(jù)傳輸模塊主要采用光纖傳輸方式，基于EPON技術(shù)實(shí)現(xiàn)光纖通信接入，可有效解決傳統(tǒng)PON、AON技術(shù)在可擴(kuò)展性、靈活性與通信成本上存在的局限性問題，基于ONU、ODN、OLT等模塊實(shí)現(xiàn)單線雙向通信。由于采用EPON傳輸方式的過程中面臨非法接入、竊聽等安全隱患，易增加系統(tǒng)中接入非法ONU的幾率，進(jìn)而造成網(wǎng)絡(luò)擁堵、網(wǎng)絡(luò)資源不可用等問題，因此還需建立相應(yīng)的安全機(jī)制。例如設(shè)ONU與OLT存在共享密鑰K，采用對(duì)稱加密算法將DK、EK分別設(shè)為解密、加密操作;由OLT發(fā)送GATE發(fā)現(xiàn)幀，檢測(cè)未接入網(wǎng)絡(luò)的ONU;由ONU向OLT發(fā)送注冊(cè)請(qǐng)求幀，同時(shí)輸入MAC地址，OLT再將注冊(cè)幀發(fā)送至新發(fā)現(xiàn)的ONU;OLT將GATE認(rèn)證幀發(fā)送至ONU，利用K對(duì)隨機(jī)生成數(shù)進(jìn)行加密處理，并將密文EK發(fā)送給ONU;ONU通過解密密文獲得隨機(jī)數(shù)，再生成另一對(duì)隨機(jī)數(shù)返還至OLT處;由OLT將兩對(duì)隨機(jī)數(shù)進(jìn)行比較，倘若兩對(duì)隨機(jī)數(shù)保持一致則針對(duì)ONU合法性進(jìn)行檢驗(yàn)，并向ONU發(fā)送標(biāo)準(zhǔn)GATE授權(quán)幀，即可使ONU發(fā)送消息。通過將加密技術(shù)引入EPON系統(tǒng)中，可有效保障通信傳輸安全[2]。

2.2無(wú)線終端設(shè)備防護(hù)

針對(duì)無(wú)線終端設(shè)備進(jìn)行防護(hù)，主要采用身份認(rèn)證方式建立認(rèn)證系統(tǒng)，系統(tǒng)將根據(jù)用戶是否具備訪問權(quán)限執(zhí)行認(rèn)證操作，針對(duì)非法用戶進(jìn)行攔截、建立黑名單，有效防止非法用戶入侵與信息數(shù)據(jù)外泄，保障傳播途徑的安全性。同時(shí)，在采用單一加密技術(shù)的基礎(chǔ)上，引入端到端加密、節(jié)點(diǎn)加密以及鏈路加密技術(shù)，配合數(shù)據(jù)加密標(biāo)準(zhǔn)算法、公開密鑰算法等方式，通過多層加密保障信息安全。

2.3遠(yuǎn)程桌面系統(tǒng)改造

2.3.1遠(yuǎn)程維護(hù)方案

為解決變電站遠(yuǎn)程維護(hù)的安全問題，可引入遠(yuǎn)程桌面協(xié)議降低協(xié)議傳輸?shù)膹?fù)雜程度，僅需利用客戶端電腦即可實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)中程序、數(shù)據(jù)的控制，遠(yuǎn)程主機(jī)在登錄服務(wù)器后可與本地電腦在同一控制命令下執(zhí)行具體操作，利用RC4和MD5加密算法、數(shù)字簽名等方法實(shí)現(xiàn)對(duì)通信傳輸過程中數(shù)據(jù)的有效防護(hù)，配合安全認(rèn)證與安全套接層進(jìn)一步提升遠(yuǎn)程系統(tǒng)的安全級(jí)別。

2.3.2遠(yuǎn)程桌面系統(tǒng)設(shè)計(jì)

遠(yuǎn)程控制監(jiān)控機(jī)一方面可利用集控站自動(dòng)化、數(shù)據(jù)采集、調(diào)度監(jiān)控等系統(tǒng)中向變電站傳輸四遙信息，另一方面也可利用本地監(jiān)控機(jī)進(jìn)行信息傳輸，通過調(diào)節(jié)數(shù)據(jù)庫(kù)容量、完成系統(tǒng)調(diào)度，即可減少歷史信息與實(shí)時(shí)信息對(duì)數(shù)據(jù)傳輸造成的干擾，實(shí)現(xiàn)對(duì)通信信息的有效查詢、采集與監(jiān)控。在安全控制改造方案設(shè)計(jì)上，針對(duì)變電站與監(jiān)控中心距離較遠(yuǎn)的情況，應(yīng)采用壓縮、解壓縮的圖像處理方式，保障獲取到較高的圖像質(zhì)量;在變電站有人值守、無(wú)人值守的情況下，分別進(jìn)行撤防、布防設(shè)置，避免產(chǎn)生誤報(bào)警問題;為實(shí)時(shí)獲取到電力設(shè)備的運(yùn)行狀態(tài)、發(fā)熱情況等信息，還應(yīng)采用變倍變焦、調(diào)整光圈等操作方式進(jìn)行鏡頭、云臺(tái)的控制，并且在必要情況下可將采集到的圖像數(shù)據(jù)上傳至上級(jí)監(jiān)控中心，便于供相關(guān)管理部門、運(yùn)維人員進(jìn)行查閱。

三 結(jié)論：

在電力自動(dòng)化通信技術(shù)應(yīng)用過程中，諸如干擾因素、系統(tǒng)漏洞、控制流程等均會(huì)影響到信息安全，應(yīng)圍繞信息機(jī)房環(huán)境、通信傳輸數(shù)據(jù)、操作系統(tǒng)平臺(tái)、網(wǎng)絡(luò)安全屏障、防病毒軟件等層面編制具體的安全防護(hù)措施，推動(dòng)信息安全防護(hù)體系的建設(shè)，并加強(qiáng)對(duì)工作人員信息安全意識(shí)與技能培訓(xùn)，保護(hù)電力通信安全。

參考文獻(xiàn)：

[1]常嘉芬.如何加強(qiáng)電力自動(dòng)化通信網(wǎng)安全防護(hù)討論[J].區(qū)域治理，2018，（16）：199.

[2]孫學(xué)斌，賈曉，黃昀思.數(shù)據(jù)加密技術(shù)在電力系統(tǒng)自動(dòng)化信息安全中的研究與應(yīng)用[J].工程技術(shù)（文摘版），2017，（09）：108.