馬晟 李瀾 楊華

摘 要：電力系統(tǒng)自動化信息安全核查是電力企業(yè)加強信息安全管理防范的重要措施。文章從電力系統(tǒng)通信安全防護體系的概念出發(fā)，介紹了電力通信信息安全的有關要求，并對電力通信系統(tǒng)自動化信息安全核查相關內容進行了較為深入的闡述。

關鍵詞：電力信息安全；基線；核查；漏洞；防范措施

引言

隨著電力系統(tǒng)信息化建設程度的加深，信息安全也成為電力行業(yè)普遍關注的問題之一。由于通信網絡受到外界非法侵入，導致重要信息泄露或者指令受到惡意改變，使得電力設備的正常運轉狀態(tài)受到影響，供電安全受到重大威脅，給企業(yè)乃至國家造成嚴重經濟損失的事件并不少見。完善電力系統(tǒng)信息安全防護體系建設，提高電力系統(tǒng)自動化管理抵御不良因素影響能力，保障電力系統(tǒng)安全穩(wěn)定運行，是電力行業(yè)近年來研究的重點問題。

1 電力系統(tǒng)通信安全防護體系的概念

為做好外部非法因素的防范工作，確保電力通信系統(tǒng)信息安全，電力企業(yè)開發(fā)實施了電網通信安全防護體系建設工作。它以電網安全防護工程為主體，實現(xiàn)了科學的電力工程實施流程、管理技術和現(xiàn)階段最先進的技術的高度結合，構建起一整套全方位的電力系統(tǒng)通信安全防護機制。它涉及信息安全工程學相關知識，以信息安全工程能力成熟度模型（SSE-CMM）為規(guī)范，指導實施電力通信安全工程的全過程，從具體的安全設備設置，到安全工程的管理、組織和設計、實施、驗證各個環(huán)節(jié)，包含了電力系統(tǒng)信息安全防范體系的所有環(huán)節(jié)。具體來說，電力系統(tǒng)通信安全防護體系包括三個主要因素，即策略、管理和技術。

2 電力通信系統(tǒng)信息安全相關要求

電力通信所面臨的環(huán)境比較復雜，給信息安全防范帶來較大困難。不同的數(shù)據(jù)傳輸方式，信息安全防范的要求也不一樣。當前電力自動化管理系統(tǒng)無線網絡傳輸數(shù)據(jù)的類型分為實時數(shù)據(jù)和非實時數(shù)據(jù)兩種，下面我們逐一對這兩種數(shù)據(jù)的安全防范要求做出說明。

2.1 實時數(shù)據(jù)安全防范要求

實時通訊對網絡的傳輸速度與質量要求很高，通信規(guī)約在時間方面相對苛刻，允許的傳輸延遲范圍很小。同時，實時傳輸?shù)臄?shù)據(jù)量一般不大，流量長期保持在一定水平，波動幅度較小?，F(xiàn)階段電力通信系統(tǒng)中常見的實時傳輸數(shù)據(jù)包括以下幾種：（1）下行數(shù)據(jù)。包括遙控、遙調和保護裝置及其他自動裝置的整定值信息等。這類數(shù)據(jù)受設備狀態(tài)影響，直接關系到電力系統(tǒng)能否安全穩(wěn)定運行。在實時傳輸和安全防范方面的要求都比較高。（2）上行數(shù)據(jù)。包括遙信、重要遙測、事件順序記錄（SOE）信息等。這些數(shù)據(jù)是電網運行狀的直接反映，是電力調度運行的重要參考依據(jù)，具有一定的保密性要求。從上面可以看出，電力通信實時數(shù)據(jù)具有流量穩(wěn)定、時效性的特點，對于數(shù)據(jù)傳輸?shù)膶崟r性、可靠性、保密性與完整性方面有著加高的要求。所以，在進行實時數(shù)據(jù)傳輸時要切實做好加密工作。

2.2 非實時數(shù)據(jù)安全防范要求

和實時傳輸數(shù)據(jù)相比，非實時傳輸?shù)臄?shù)據(jù)具有數(shù)據(jù)傳輸量大，時效性低的特點，對于傳輸延遲的要求也較為寬泛。這類數(shù)據(jù)主要包括電力設備的維護日志、電力用戶的電能質量信息等。非實時數(shù)據(jù)對于數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄砸灿幸欢ㄒ螅ぷ髦幸鶕?jù)具體情況選擇正確的加密算法。

3 電力通信系統(tǒng)自動化信息安全核查

3.1 建立核查庫

由于實際工作需要，信息安全基線核查系統(tǒng)要能夠辨識不同種類的業(yè)務，并在基線安全模塊內部完成業(yè)務系統(tǒng)的分析工作，以實現(xiàn)對不同業(yè)務的安全核查。為實現(xiàn)這個目的，基線系統(tǒng)中要含有針對不同業(yè)務的安全模型功能框架，并將這些框架細化分解到系統(tǒng)的各個模塊中。根據(jù)不同業(yè)務所具有的特點，信息安全基線核查系統(tǒng)對其可能存在的安全風險進行針對性的分析核查，并提出相應的處置措施，進而在系統(tǒng)實現(xiàn)層實現(xiàn)這些功能。除此之外，安全基線還負責對系統(tǒng)實現(xiàn)層進行安全漏洞和安全配置相關信息的核查。核查覆蓋范圍的大小對于該項核查工作的完成質量具有關鍵性影響?；€核查庫是信息安全核查工具的基礎，同時也是安全核查工具的參考標準。當前我國已經發(fā)布了電力企業(yè)通信安全配置核查檢查規(guī)范，并根據(jù)這項規(guī)范設計了電力企業(yè)信息安全基線庫，成為電力企業(yè)信息安全管理工作的堅實技術基礎?；€庫涉及操作系統(tǒng)、數(shù)據(jù)庫、網絡設備以及安全設備等的相關研究。其中，操作系統(tǒng)包括Windows2000、Windows2003、WindowsXP、Windows Vista、UNIX操作系統(tǒng)系列等；數(shù)據(jù)庫包括Oracle、SQL Server、Informix等，網絡設備包括Hua-wei/Cisco設備，安全設備包括Juniper、Cisco防火墻等。賬號、口令、授權、日志、IP地址以及一些其他方面都屬于基線庫的研究內容。它們對系統(tǒng)安全有著直接影響，是安全檢查的必選項目。在核查設備安全配置相關信息時，必須對設備的基本安全配置要求有著清晰的掌握，并提供相應的安全標準，以保障設備的入網測試、工程驗收和運行維護的正常開展。

3.2 信息安全核查系統(tǒng)架構設計

電力通信系統(tǒng)信息安全核查采用網頁方式進行系統(tǒng)管理。用戶和系統(tǒng)模塊以網頁為交互界面，通過瀏覽器進行數(shù)據(jù)傳遞，從而大幅降低了用戶使用管理的難度，提高了工作效率。核查系統(tǒng)結構復雜，為提高設計效率，采用模塊化的設計方式，在系統(tǒng)多個不同功能的模塊中，掃描中心的作用最為重要。該模塊負責對已經完成的目標進行探測和評估。具體工作內容包括對主機存活狀態(tài)、操作系統(tǒng)的設別以及相關規(guī)則的解析及匹配。安全基線配置知識庫是系統(tǒng)正常運行的基礎，負責為掃描調度模塊和Web管理模塊提高基礎數(shù)據(jù)，該知識庫主要包括已知系統(tǒng)、網絡設備、應用、中間件、數(shù)據(jù)庫等的安全配置指導參數(shù)檢查列表等。系統(tǒng)掃描任務完成后，各相關數(shù)據(jù)匯總到掃描結果庫，形成掃描結果報告，以此作為用戶查詢和分析的數(shù)據(jù)基礎。系統(tǒng)內各個模塊的版本升級工作由數(shù)據(jù)同步模塊復雜，同時，該模塊還負責系統(tǒng)與外部數(shù)據(jù)匯總服務器的數(shù)據(jù)同步工作。Web界面模塊是用戶與系統(tǒng)交互的重要渠道，用戶通過Web界面模塊實現(xiàn)系統(tǒng)各項應用功能。根據(jù)用戶要求的不同，Web界面模塊具有多個子模塊與之相對應。配置核查系統(tǒng)負責本地執(zhí)行工作，為受查設備編制結果報表，報表隨后匯總至系統(tǒng)進行分析。在Web界面的輔助下，用戶可以進行掃描、數(shù)據(jù)輸出、報告生成等多種操作。

3.3 統(tǒng)計分析設計

安全基線核查具有宏觀和微觀雙重風險分析功能。一方面，它能夠全方位地反映通信網絡安全整體水平，從問題分布、危害、主機信息等多方面對系統(tǒng)安全進行細粒度統(tǒng)計分析，并使用形象生動的圖例進行說明。另一方面，系統(tǒng)針對核查結果提出切實可行的安全配置解決方案，此外，系統(tǒng)還具備關鍵詞查詢功能，允許客戶利用自己設計的關鍵詞進行相關信息的搜索，從而幫助用戶更方便地了解指定設備的詳細配置信息。

4 結束語

隨著電力產業(yè)的蓬勃發(fā)展，電力通信安全防范系統(tǒng)勢必迎來更為廣闊的發(fā)展空間。為妥善應對未來可能遇到的各種信息安全風險，電力企業(yè)要加大信息安全防范系統(tǒng)的建設力度，不斷提高自動化信息安全核查水平，為供電安全和電力企業(yè)實現(xiàn)可持續(xù)發(fā)展保駕護航。

參考文獻

[1]嚴玉婷，成瑾.基于信息安全基線理論的信息安全監(jiān)督平臺的總體設計[J].信息安全與通信保密，2012.

[2]石季英，張磊，曹明增，等.一種基于混沌理論的分布式系統(tǒng)的加密算法[J].計算機仿真，2010.