電力通信自動化信息安全漏洞及防范措施研究

周信行，張佳祺，羅智慧，張秋輝

（廣東電網有限責任公司廣州供電局，廣東廣州，510001）

0 引言

新形勢下我國電力通信系統，逐步向網絡化、智能化、自動化方向發展，非常關鍵的一項工作 就是要處理信息安全問題，在保證電力通信自動化系統安全穩定運行之后，為社會整體提供更加優質的電力通信服務。近年來，我國電力通信領域取得了較大的突破，不僅能夠提升網絡傳輸質量和速度，也能有效解決網絡信息安全問題。本文從電力通信實時數據及自動化應用的基本特點入手，結合自動化信息安全漏洞及防范措施展開闡述，針對如何做好無線通信加密方案設計工作進行全面探討。

1 電力通信實時數據及自動化應用的基本特點

1.1 電力通信實時數據特點

電力通信無線網絡被廣泛應用，使實際傳輸的數據處于實時狀態，在此種狀況下傳輸數據，不能出現過度延時問題，否則將不利于提升實時數據傳輸效果。不僅如此，在開展傳輸工作期間，數據流量小有助于提升傳輸速度，但是也會對數據傳輸穩定性造成影響。為了防止產生這些問題，非常關鍵的舉措，就是要結合電力通信實時數據傳輸特征，合理調整數據傳輸方式，在保證數據傳輸調整工作具有科學合理性的基礎上，顯著提升電力通信信息傳輸安全性。

1.2 電力通信自動化應用特點

一是數據傳輸具有較強的時效性。將電力通信自動化業務與其他普通業務對比，具有一定的特殊性，如在實際應用電力通信自動化過程中，數據傳輸具備較強的時效性，否則不僅會影響電力通信系統發揮自動化功能，也會降低電力網絡整體運轉效率。基于此，為了提高電力通信自動化的數據穩定性，就要保證電力通信自動化充分發揮應用作用。通常狀況下，會將電力通信自動化內部的數據，具體分為三種比較關鍵的類型，如電力下行數據、電力上行數據、電力管理數據，并且不同種類的數據主要負責的內容不同。電力下行數據主要負責電力通信自動化運行期間，各項設備運行狀況的管控；電力上行數據負責電力通信自動化運轉時，記錄事件順序信息，這樣可以為后續工作人員精準判斷電網具體運行狀態提供依據；電力管理數據與前兩種數據不同，對保密性具有較高要求，其主要負責管控停電計劃信息等多個業務模塊。

二是完整性和保密性強。主要因為電力通信自動化在實際應用期間，不可避免地會產生電力設備維護等多個方面的數據信息，而這些信息被應用在日常的查詢工作中，所以需要具備較強的完整性和保密性。在此基礎上，與之相關的工作人員需要結合數據信息的具體類型，在后續選擇符合要求的算法做好處理工作。

2 電力通信自動化信息安全漏洞和防范措施

2.1 電力自動化中心站方面的問題及措施

（1）問題。對于中心站而言，其實際上是電力通信自動化系統的核心組成因素，其中包括配套管理軟件、服務器、前置機等多種類型的硬件設備，具體功能就是接收各個子通信站傳輸的數據，充分應用管理軟件，做好實際上傳數據的管理、歸納、分析工作[1]。除此之外，中心站充分發揮自身作用，也能夠保證各個子站安全穩定運行。在管理中心站期間，通常都是應用執行命令的方式進行管控。電力通信自動化系統，與其他電力系統進行共享時，中心站發揮重要作用，主要就是因為中心站是一種非常關鍵的數據接口。一般狀況下，無論是其他應用系統，還是中心站、子站，在與中線站進行連接和數據傳輸時，都是以依照光纖等有線傳輸方式為主。因此，中心站不僅是外部與應用系統收發數據連接的重要接口，也是電力通信內部數據集中處理的關鍵節點。

一旦有入侵者攻擊中心站，就會使整體電力通信自動化系統出現故障。即便在此期間其他通信子站能夠正常運行，但是在中心站被破壞之后，整個系統就會失去相應作用，甚至還會使實際傳輸的信息數據安全受到威脅。不可否認，這是目前電力通信自動化系統運行期間，急需解決的一個信息安全隱患和漏洞。加之，中心站比較脆弱，并且非常重要，這就要在開展中心站管理工作時，提升防范工作重視度，保證防護工作充分發揮作用。

（2）防護措施。正確應用防火墻，結合用戶前期制定的具體方案，有效控制信息流出和流入狀況，從而更好的控制和監督操作行為。防火墻是網絡安全域、多個不同網絡之間的信息防護出入口，需要嚴格按照制定的安全措施，嚴格管控出入網絡的信息流。考慮到防火墻自身的抗入侵和抗攻擊水平非常高，所以可以將防火墻作為電力通信自動化系統的信息安全防護保障。不僅如此，防火墻也將分析器、限制器、分離器進行有效組合，形成具有一體化特征的組合體，既能對互聯網與內部網之間的各項活動狀況進行監控，也能保證內部網絡始終處于安全穩定運行狀態。設置防火墻的主要目的，就是在外部和內部網絡之間，構建一個具有安全防護功能的控制點，重新定向、拒絕或是允許穿過防火墻的信息數據流，來有效控制和嚴格審計出進通信網絡[2]。在實際應用防火墻期間，需要假設網絡服務與邊界，防火墻保護措施非常適用于具有較強獨立性的網絡系統。

2.2 電力信息無線終端方面的問題及措施

（1）問題。電力無線通信網絡系統在運行期間，需要諸多無線終端設備共同作用，這也是構成通信系統的基本結構。比如：中心站與電力通信子站進行連接期間，因為無線終端存在較多的數據，導致系統存在安全隱患和漏洞。如果從電力通信應用系統的角度進行研究，不難發現系統業務的正常保護、系統信息安全保護工作都非常重要。為了能夠做好電力通信系統信息傳輸安全保護工作，就要注重提升信息訪問的嚴密性和安全性。在此期間，需要保證信息不會讓不允許操作、不允許看到的人操作和看到。

（2）防護措施。在開展防范工作期間，結合信息安全和漏洞，充分利用身份認證技術，在鎖住信息訪問范圍之后，借助科學性強的信息訪問控制模型，科學有效的限制和準許具體訪問的范圍和能力。這樣不可避免的會涉及到訪問技術、身份認證技術的應用，通過將這兩項技術有效結合的方式，及時有效解決上述安全漏洞與隱患問題。此外，對于無線通信系統的終端用戶而言，其實際上只是負責采集電力用戶數據、將數據傳輸到中心站服務器中，保證不會出現強行、越權訪問信息的狀況[3]。因此，如果想要高效防范無線終端的信息安全漏洞，就要全面結合身份認證技術，為該項工作提供有力的技術支持。

3 電力自動化無線信息通信加密方案設計策略

3.1 多層加密方案設計要點

在開展網絡加密設計工作時，有多種不同方式可以選擇，現階段應用率較高的方式，就是端端加密、混合加密、鏈路加密方式。從我國傳統電力通信自動化系統加密設計的角度，進行細致分析，可知大部分都是以應用鏈路加密方式為主，主要就是因為能夠防止流量分析對系統信息安全造成攻擊，但是這種設計方式卻不適用現階段的電力通信系統設計工作。基于此，不論是在傳輸速度方面，還是在傳輸容量方面，都存在無法滿足要求的問題，甚至還存在較多的節點。如果想要高效落實加密管理工作，就要嚴格按照標準要求實施解密算法，這樣就會嚴重影響整體管理工作順利開展。此外，這種方式也非常容易受到攻擊，一旦節點被攻破，就會對整體電力通信系統運行安全造成威脅。

目前電力通信系統構建過程中，要以應用“應用層加密”方式為主，在防止產生鏈路加密問題的基礎上，能夠在服務器和客戶端等多個方面，全面覆蓋加密算法，甚至還可以顯著提升整體傳輸速度和質量。此種類型的加密設計方案，也支持軟件加密的應用，具體表現為在網絡層和應用層之間進行通信加密，這是符合現代化社會對電力通信方面要求的一種重要方式。

3.2 明確加密算法應用要點

即便目前在應用層加密過程中，有多種不同類型的形式，但是其中應用效果非常顯著的一種算法就是摘要算法。在對這種算法進行細致分析之后，可知其在數據流方面發揮重要作用，既支持分段摘要計算，也能夠保證數據傳輸具備完整性[4]。在電力系統SCADA中，能否做好實時數據傳輸工作非常關鍵，即便在此期間產生信息泄露問題，也不會對信息數據傳輸質量造成影響；但是需要格外注意的一項內容，是要注意數據是否存在被篡改、冒名重發等問題。如果發現實際發動的信息為N、共享秘鑰為B，那么接收方在信息加密校驗過程中，就可以將MD5（n+b）丟棄，這也同樣不會對數據信息安全造成威脅。

在開展這項工作期間，應用秘鑰計算方式，需要將MD5算法作為基礎條件進行優化創新，主要就是指要開展摘要計算工作，否則就會對數據完整性和獨立性造成嚴重影響。因此，在將MD5與其他方式進行對比之后，就會發現其具有諸多應用優勢，其中較為顯著的特征就是效率高、操作簡單、符合電力信息在實時性方面的要求。正是因為這種加密算法在應用期間，充分發揮應用作用，使其被各個領域接受和應用，所以MD5算法是目前電力信息系統，眾多信息安全漏洞防范模式中最受歡迎的一種方法。

3.3 以負控傳輸協議為依據的加密算法應用要點

一是優化負控管理規約的體系結構。

細致分析“電力自動化無線控制方式”，可知其主要應用負控制管理系統中，通常狀況下將這一系統應用管理、調節電力負荷工作中，經過長時間的優化，電力自動化無線控制方式，已經成為了管理信息系統安全穩定運行的重要保障。

例如：應用層規約數據單元，一般是由服務數據、規約控制信息單元共同組建而成。在標準要求下，鏈路規約控制信息內容較多，如鏈路地址域、控制域、結束字符等都包括在內。不僅如此，鏈路規約數據單元的報文，由服務數據單元、鏈路規約控制信息組合而成。數據鏈路層又指“數據通道”。在連接的生存期內，收發兩端可以進行多次或是一次數據通信， 但是每一次都要通過拆通信聯絡、建立通信聯絡的方式進行通信。采取此種措施構建出的“數據收發”關系，被稱為“數據鏈路”，但是如果將物理媒體作為主要依據，開展數據傳輸工作，極易受到多項不可靠數據的影響，進而就會產生偏差和信息安全漏洞等問題。因此，

在明確具體內容之后，在為上層提供無法數據期間，非常關鍵的一項工作就是的采取針對性措施，彌補物理層的各項不足，保證數據糾錯和檢錯工作順利開展。總之，拆除和建立數據鏈路工作不能忽視，其是數據鏈路層中非常關鍵工作，會對數據精準性和信息安全性產生直接影響。

二是依據協議中的各個層次選擇針對性的加密方法。

比如：選擇滿足應用層信息安全防范要求的加密方法，應用層中的數據種類較多，如具體包括復位、確認、設置參數、查詢等多個方面的數據。在將AFN作為數據區分依據之后，在實際開展信息安全防范工作時，就要保證具體選用的加密方法符合標準要求，并且也要對應用層中的所有字節做好統一加密處理。此外，發送端依據級別高效落實數據加密工作，比且也要在與之對應的接收端，做好數據解密工作。不可否認，各個程序都是在合理嵌入到通信控制程序之后，完成相應工作。數據鏈路層具體應用的加密方法具有一定的特殊性，因為數據鏈路層幀的結構復雜，并且鏈路層協議在時效方面提出的要求非常嚴格，如結束字符和開始字符在實際傳輸期間，需要正確界定幀的結束和開始，這樣無需參與到數據加密這項工作中。此外，將加密算法應用在控制域、報文長度、校驗等多項工作中，既能提高應用層的數據加密有效性，也能合理壓縮加密和解密時間，對于滿足時效性方面的要求具有重要幫助。

4 結束語

為了保證電力通信系統長期處于安全穩定運行狀況，為了防止產生信息安全漏洞問題，就要總結產生安全隱患的原因，在細致分析之后，明確電力信息系統安全運行與我國電力通信領域之間的關系，保證信息服務質量，優化電力通信自動化系統。電力通信系統較為常見的信息安全漏洞，體現在電力自動化中心站、電力信息無線終端等方面，針對這兩方面存在的漏洞進行深入研究，提前制定科學有效的基本防范措施，掌握針對性的加密方案設計要點，在保證電力通信系統充分發揮作用的基礎上，為社會整體提供質量達標和安全性強的電力通信服務。