基于數(shù)據(jù)防泄漏技術(shù)的電網(wǎng)信息化安全控制研究

劉雪松

摘要：由于傳統(tǒng)安全控制方法缺少對不同層次電網(wǎng)信息的研究，導(dǎo)致控制延遲時(shí)間較長，控制效果較差等問題。針對該問題，提出基于數(shù)據(jù)防泄漏技術(shù)的電網(wǎng)信息化安全控制研究。結(jié)合數(shù)據(jù)防泄漏技術(shù)應(yīng)用原理，設(shè)計(jì)訪問層、防護(hù)層、對象層的3層電網(wǎng)信息化安全控制防泄漏體系框架，攔截對信息自行操作請求，并采取隔離策略。檢查信息內(nèi)容、信息分類、訪問權(quán)限矩陣列表、分類結(jié)果以及信息具體輸出形式后，設(shè)計(jì)4層技術(shù)防護(hù)，并采取電網(wǎng)敏感信息閉環(huán)管理策略，實(shí)現(xiàn)電網(wǎng)信息化安全控制。在VS-20型號虛擬服務(wù)器上搭建的實(shí)驗(yàn)環(huán)境進(jìn)行實(shí)驗(yàn)分析，由得出結(jié)果可知，該方法控制延遲時(shí)間短且控制效果良好，最高控制效果可達(dá)到90%，對于提高電網(wǎng)信息化建設(shè)是具有可行性的。

關(guān)鍵詞：數(shù)據(jù)防泄漏;電網(wǎng)信息;安全控制;虛擬

中圖分類號：TP309文獻(xiàn)標(biāo)志碼：A

文章編號：2095-5383（2020）04-0048-05

Research on Security Control of Power GridInformation based

on Data Leaking Prevention Technology

LIU Xuesong

（CollegeofContinuingEducation，Wuhu Institute of Technology，Wuhu 241000，China）

Abstract：

Due to the lack of research on different levels of power grid information in traditional security control methods， the problems such as long control delay time， and poor control effect are caused. In order to solve this problem， the research on security control of power grid information based on data leaking prevention technology was proposed. Combined with the application principle of data leaking prevention technology， a three-tier grid information security control and leaking prevention system framework composed of access alyer， protection layer，and object layer was designed， andthe frame can intercept request for information self-operation and adopt the isolation strategy. After checking the information content， information classification， access permission matrix list， classification results and specific information output form， four layers of technical protection was designed， and a closed-loop management strategy for power grid sensitive information was adopted to realize the security control of power grid information. The experimental analysis was conducted on the experimental environment built on the VS-20 model virtual server. The experimental results show that the methods has short control delay timeand good control effect.， The highest control effect can reach 90%， which is feasible to improve the power grid information construction.

Keywords：information leaking prevention; power grid information; security control; virtual

社會各行各業(yè)應(yīng)用智能電網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行信息存儲與傳遞，電網(wǎng)業(yè)務(wù)信息系統(tǒng)主要依靠電力行業(yè)運(yùn)行工作。電力行業(yè)不僅對智能電網(wǎng)發(fā)、輸、變、配、用電各環(huán)節(jié)業(yè)務(wù)起著重要作用，同時(shí)也保障了人們生活用電需求，促進(jìn)了國民經(jīng)濟(jì)快速增長[1]。電網(wǎng)信息系統(tǒng)安全問題非常關(guān)鍵，信息系統(tǒng)一旦出現(xiàn)漏洞，就會造成嚴(yán)重后果?，F(xiàn)階段我國網(wǎng)絡(luò)安全形勢十分嚴(yán)峻，敏感信息安全問題屢次發(fā)生，信息保護(hù)成為當(dāng)今急需解決的問題[2]。為確保智能電網(wǎng)的安全穩(wěn)定運(yùn)營，電網(wǎng)數(shù)據(jù)防泄漏技術(shù)起到了管控和防護(hù)作用。智能電網(wǎng)業(yè)務(wù)系統(tǒng)把信息進(jìn)行統(tǒng)一存儲，利用數(shù)據(jù)防泄漏技術(shù)對存儲敏感信息加以防護(hù)，避免敏感信息泄漏，使智能電網(wǎng)的運(yùn)營更加安全穩(wěn)定。由于智能電網(wǎng)業(yè)務(wù)系統(tǒng)基本運(yùn)用移動(dòng)智能終端進(jìn)行信息的傳輸、存儲以及產(chǎn)生與銷毀，部分機(jī)密信息在通過移動(dòng)終端通信與交換過程中，難免出現(xiàn)泄漏情況。如何在電網(wǎng)信息化建設(shè)中制定科學(xué)有效的防泄漏措施，是電力行業(yè)與電網(wǎng)公司面臨的嚴(yán)峻問題。

相關(guān)研究有文獻(xiàn)[3]針對企業(yè)核心信息泄漏問題，提出企業(yè)核心數(shù)據(jù)防泄漏的數(shù)據(jù)加密方法，分別分析了DES加密方法和ECC加密方法應(yīng)用于企業(yè)核心數(shù)據(jù)防泄漏的優(yōu)缺點(diǎn)，將二者結(jié)合在一起進(jìn)行改進(jìn)，設(shè)計(jì)一種綜合二者優(yōu)點(diǎn)的數(shù)據(jù)加密方法。將其應(yīng)用于企業(yè)核心信息的加密。該方法能開銷較小，執(zhí)行效率較高，但存在加密控制延時(shí)長的問題。文獻(xiàn)[4]針對移動(dòng)智能終端信息泄漏問題，提出一種移動(dòng)智能終端數(shù)據(jù)防泄漏安全存儲模型。以Android客戶端、云存儲服務(wù)器端為例，研發(fā)基于上述安全存儲模型的應(yīng)用系統(tǒng)。當(dāng)文件離開移動(dòng)智能終端就以密文形式存在，當(dāng)文件重新回到移動(dòng)智能終端時(shí)才能被解密成明文，實(shí)現(xiàn)了對用戶文件的全生命周期保護(hù)，但該方法的控制效果較差。

針對傳統(tǒng)安全控制方法控制延遲時(shí)間較長、效果較差的問題，提出基于電網(wǎng)信息化安全控制的方法，數(shù)據(jù)防泄漏技術(shù)是一種高科技的防護(hù)技術(shù)，通過對網(wǎng)絡(luò)存儲的信息、終端形成的信息采取措施進(jìn)行保護(hù)，能較好地解決信息泄漏問題。數(shù)據(jù)防泄漏技術(shù)在電網(wǎng)信息化建設(shè)中，起到了重要的保障與防護(hù)作用，使電網(wǎng)信息化更加安全。

1 數(shù)據(jù)防泄漏技術(shù)應(yīng)用原理

數(shù)據(jù)防泄漏技術(shù)在應(yīng)用過程中，先對存儲的全部信息資源進(jìn)行保護(hù)，采用綜合技術(shù)手段對電網(wǎng)信息開展防泄漏措施[5]。網(wǎng)絡(luò)信息在傳輸過程中經(jīng)常出現(xiàn)違反安全規(guī)定的敏感信息，需防止這些非規(guī)定的流出形式，避免敏感信息在傳輸過程中產(chǎn)生泄漏。進(jìn)而使防漏技術(shù)起到有效保護(hù)，避免信息泄漏的同時(shí)還保障了存儲信息正常使用。

信息泄露防護(hù)技術(shù)是我國電網(wǎng)信息化安全保護(hù)的主要技術(shù)，在應(yīng)用中根據(jù)需防護(hù)企業(yè)的實(shí)際情況，制定具體的信息安全防護(hù)的措施。為防止企業(yè)內(nèi)部的機(jī)密信息泄漏，信息泄漏防護(hù)技術(shù)發(fā)揮了保護(hù)作用，通過對企業(yè)內(nèi)重要信息的有效存儲，采用防護(hù)技術(shù)避免機(jī)密信息在網(wǎng)絡(luò)傳輸過程中泄漏，給企業(yè)造成嚴(yán)重的損失[6]。

在電力企業(yè)信息化建設(shè)中，信息泄露防護(hù)技術(shù)起到了安全和保密作用。企業(yè)在電力信息化建設(shè)中，信息泄漏防護(hù)技術(shù)的實(shí)用性可以有效保護(hù)企業(yè)大范圍內(nèi)的信息，確保大量信息的安全，避免企業(yè)機(jī)密信息泄漏[7]。

2 電網(wǎng)信息化安全控制防泄漏體系框架

在電網(wǎng)信息化建設(shè)過程中，針對敏感信息存在的泄漏風(fēng)險(xiǎn)，結(jié)合數(shù)據(jù)防泄漏技術(shù)的特點(diǎn)和原理，建立電網(wǎng)信息化安全控制防泄漏體系框架。在構(gòu)建防泄漏框架時(shí)，將防泄漏體系結(jié)構(gòu)按層次分為訪問層、防護(hù)層和對象層。對象層是智能電網(wǎng)業(yè)務(wù)系統(tǒng)的終端設(shè)備，負(fù)責(zé)文件服務(wù)器和存儲信息文件;防護(hù)層是體系結(jié)構(gòu)中最為繁瑣的中間層，負(fù)責(zé)文件過濾驅(qū)動(dòng)、信息數(shù)據(jù)存儲標(biāo)記和措施方案管理以及系統(tǒng)虛擬化防護(hù)技術(shù)，其體系框架如圖1所示。

1）保護(hù)層的文件過濾驅(qū)動(dòng)防護(hù)具有控制信息操作的功能。在文件系統(tǒng)中設(shè)置文件過濾驅(qū)動(dòng)，對部分機(jī)密和敏感信息采取訪問控制，并對信息文件的安全策略進(jìn)行實(shí)時(shí)監(jiān)控，在文件系統(tǒng)驅(qū)動(dòng)前阻止攔截對文件操作的請求，有效避免重要信息泄漏[8-10]。

2）

數(shù)據(jù)防泄漏防護(hù)技術(shù)通過對整理收集的敏感信息進(jìn)行標(biāo)記，并對各類不同的敏感信息分別制定不同的防護(hù)策略。結(jié)合制定的方案策略采取相應(yīng)的措施，起到全方位防護(hù)作用，保障敏感信息的安全[11]。

3）保護(hù)層的虛擬化技術(shù)對信息起隔離作用。通過在終端原有的內(nèi)核操作系統(tǒng)虛擬多個(gè)邏輯隔離的軟件，設(shè)置虛擬空間操作的應(yīng)用態(tài)軟件。兩種軟件在操作進(jìn)程中形成一個(gè)虛擬層，使信息有效的隔離防止信息泄漏。

3 基于數(shù)據(jù)防泄漏技術(shù)安全控制方案的實(shí)現(xiàn)

3.1 業(yè)務(wù)檢查

在電網(wǎng)信息化建設(shè)中，實(shí)施數(shù)據(jù)防泄漏技術(shù)安全控制方案前，需要對電網(wǎng)信息系統(tǒng)業(yè)務(wù)進(jìn)行檢查：

1）對電網(wǎng)信息化建設(shè)過程中的業(yè)務(wù)信息內(nèi)容進(jìn)行整理分類，針對一些需要保護(hù)的敏感信息，制定有效的防護(hù)策略并采取應(yīng)對措施，實(shí)現(xiàn)安全保護(hù)的目標(biāo);

2）根據(jù)電網(wǎng)信息系統(tǒng)業(yè)務(wù)信息的各類內(nèi)容，進(jìn)行分別標(biāo)記分類;

3）訪問權(quán)限把業(yè)務(wù)信息分類的結(jié)果進(jìn)行分類矩陣列表;

4）對業(yè)務(wù)信息的分類結(jié)果進(jìn)行分析，把敏感信息進(jìn)行分類;

5）根據(jù)電網(wǎng)業(yè)務(wù)信息輸出形式，采取有效的管控與防護(hù)措施[12]。

對電網(wǎng)業(yè)務(wù)信息檢查工作完成后，開始設(shè)計(jì)數(shù)據(jù)防泄漏解決方案。

3.2 技術(shù)防護(hù)

電網(wǎng)敏感信息在移動(dòng)終端產(chǎn)生時(shí)難免出現(xiàn)泄漏，在網(wǎng)絡(luò)存放、訪問、傳播和使用過程中也會產(chǎn)生信息泄露，針對產(chǎn)生的各種泄露渠道，數(shù)據(jù)防泄漏技術(shù)起到了技術(shù)防護(hù)的作用[13]。

第一層防護(hù)針對網(wǎng)絡(luò)安全問題采取的一系列防護(hù)措施。網(wǎng)絡(luò)信息內(nèi)外網(wǎng)分為各種不同的業(yè)務(wù)區(qū)，根據(jù)不同業(yè)務(wù)類型和防護(hù)等級進(jìn)行安全隔離，采取不同的業(yè)務(wù)系統(tǒng)防護(hù)措施。通過防護(hù)技術(shù)進(jìn)行訪問控制和流量控制禁止非法訪問，檢測非法入侵和惡意代碼傳播，防止信息泄露造成人身攻擊。

第二層防護(hù)對終端一系列系統(tǒng)設(shè)置安全措施，防止信息通過系統(tǒng)設(shè)備泄露。防護(hù)技術(shù)通過對信息內(nèi)外網(wǎng)與桌面終端計(jì)算機(jī)分別設(shè)置安全范圍，并在計(jì)算機(jī)終端安裝客戶軟件，使桌面終端的保密檢測、管理和防病毒等系統(tǒng)軟件，能夠有效限制各種外部設(shè)備的使用范圍，防止信息通過設(shè)備外泄[14]。

第三層防護(hù)對主機(jī)的操作系統(tǒng)和信息庫系統(tǒng)用戶采取的安全措施，通過對用戶身份識別確定，并進(jìn)行訪問權(quán)限隔離，保證操作系統(tǒng)和信息庫補(bǔ)丁升級正常安全。

第四層防護(hù)由一系列應(yīng)用安全措施組成，通過信息系統(tǒng)對用戶身份認(rèn)證、授權(quán)、輸入輸出驗(yàn)證、配置管理、會話管理、加密管理等，保證用戶業(yè)務(wù)信息的保密性和完整性[15]。

3.3 管理防御

對敏感信息管理體系進(jìn)行防御，設(shè)計(jì)的電網(wǎng)敏感信息閉環(huán)管理體系如圖2所示。

敏感信息管理體系采取的是事先防范、事中審批和通知、事后審計(jì)環(huán)節(jié)的閉環(huán)防護(hù)管理措施，各管理環(huán)節(jié)的作用如下：

1）事先防范，規(guī)劃管理。對電網(wǎng)企業(yè)建立信息安全防范管理系統(tǒng)，針對敏感信息分類規(guī)劃，將敏感信息放在信息庫規(guī)劃的安全區(qū)域，使信息庫存儲的信息分類清晰。對用戶信息訪問進(jìn)行審批管理，限制授權(quán)范圍禁止非法訪問，對規(guī)則訪問和多因素的訪問采取事先防范措施，起到有效的控制和防護(hù)。

2）事中審批，關(guān)鍵操作授權(quán)和審批。設(shè)置專職人員負(fù)責(zé)關(guān)鍵敏感信息的訪問操作，通過識別非法訪問敏感信息和惡意篡改操作行為，采取事中審批和操作授權(quán)的工作流程，對不合理訪問進(jìn)行隔離阻斷，保障敏感信息的安全。

3）事中通知，告警通知。對非法訪問關(guān)鍵敏感信息的行為采取預(yù)警告警通知，并及時(shí)對非法訪問或操作進(jìn)行控制管理。對非法訪問的地點(diǎn)、時(shí)間及應(yīng)用進(jìn)行記錄，并在第一時(shí)間通知信息管理者，對非法訪問采取警告干預(yù)的方式，使其終止非法訪問，防止信息泄露。

4）事后審計(jì)，報(bào)表化審計(jì)追溯。對主機(jī)、信息庫、業(yè)務(wù)應(yīng)用等多個(gè)層次進(jìn)行集中全面的審計(jì)，并對行為能力審計(jì)的實(shí)際情況登記報(bào)表。操作管理者通過對審計(jì)信息的分析，能夠準(zhǔn)確定位非法訪問事件，并采取有效的控制措施。

4 實(shí)驗(yàn)與分析

為了驗(yàn)證基于數(shù)據(jù)防泄漏技術(shù)的電網(wǎng)信息化安全控制研究方法的有效性，需進(jìn)行實(shí)驗(yàn)分析。將文獻(xiàn)[3]方法與文獻(xiàn)[4]方法作為對照組，對比控制延遲及控制效果。

4.1 環(huán)境參數(shù)

該實(shí)驗(yàn)是在VS-20型號虛擬服務(wù)器上搭建的實(shí)驗(yàn)環(huán)境，具體相關(guān)設(shè)置如表1所示。

4.2 性能測試

4.2.1 控制延遲對比

為了驗(yàn)證研究方法的控制延遲，基于上述實(shí)驗(yàn)環(huán)境，使用內(nèi)部網(wǎng)絡(luò)主機(jī)進(jìn)行測試，腳本循環(huán)執(zhí)行40次HTTP請求，共執(zhí)行5次取頁面響應(yīng)延遲的時(shí)間平均值作為性能測試衡量標(biāo)準(zhǔn)。分別對大型（100 Kb），中型（50 Kb）和小型（1 Kb）電網(wǎng)頁面請求進(jìn)行測試，結(jié)果如圖3所示。

分析圖3可知，（a）大型（100 Kb）：當(dāng)響應(yīng)次數(shù)為5次（即實(shí)驗(yàn)序號為1）時(shí)，采用文獻(xiàn)[3]方法的延遲時(shí)間為21 ms，文獻(xiàn)[4]方法延遲時(shí)間為18 ms，而基于數(shù)據(jù)防泄漏技術(shù)控制方法的延遲時(shí)間為6 ms，研究方法平均時(shí)延明顯低于傳統(tǒng)方法。在大型（100 Kb）電網(wǎng)頁面請求中，傳統(tǒng)控制方法最大延遲時(shí)間為27 ms，而研究控制方法最小延遲時(shí)間為5 ms。

（b）中型（50 Kb）：當(dāng)響應(yīng)次數(shù)為10次（即實(shí)驗(yàn)序號為2）時(shí)，采用文獻(xiàn)[3]方法的最長延遲時(shí)間為12 ms，文獻(xiàn)[4]方法延遲時(shí)間為9 ms，而基于研究控制方法的延遲時(shí)間僅為4.5 ms。并且，在中型（50 Kb）電網(wǎng)頁面請求中，傳統(tǒng)控制方法最大延遲

時(shí)間為16 ms，而研究控制方法最小延遲時(shí)間為6 ms。

（c）小型（1 Kb）：當(dāng)響應(yīng)次數(shù)為30次（即實(shí)驗(yàn)序號為6）時(shí)，采用文獻(xiàn)[3]方法的延遲時(shí)間為0.38 ms，文獻(xiàn)[4]方法的延遲時(shí)間為0.64 ms，而基于數(shù)據(jù)防泄漏技術(shù)控制方法的延遲時(shí)間僅為0.17 ms;當(dāng)在小型（1 Kb）電網(wǎng)頁面請求中，傳統(tǒng)控制方法最大延遲時(shí)間為0.67 ms，而研究控制方法最大延遲時(shí)間為0.10 ms。

綜合以上結(jié)果可知，在小型（1 Kb）、中型（50 Kb）以及大型（100 Kb）電網(wǎng)頁面進(jìn)行請求，研究方法都具有最小時(shí)延，最高響應(yīng)效率。

4.2.2 控制率對比

根據(jù)上述內(nèi)容，分別對2種控制方法的控制效果進(jìn)行對比分析，結(jié)果如圖4所示。

由圖4可知，在不同類型電網(wǎng)網(wǎng)頁請求下研究控制方法控制效果均優(yōu)于傳統(tǒng)方法。由此可知，采用基于數(shù)據(jù)防泄漏技術(shù)控制方法控制效果更好，也證實(shí)基于數(shù)據(jù)防泄漏技術(shù)的電網(wǎng)信息化安全控制研究方法是具有有效性的。

5 結(jié)束語

針對傳統(tǒng)安全控制方法控制延時(shí)時(shí)間長、效果較差的問題，提出基于數(shù)據(jù)防泄漏技術(shù)的電網(wǎng)信息化安全控制研究。依據(jù)數(shù)據(jù)防泄漏技術(shù)應(yīng)用原理，設(shè)計(jì)電網(wǎng)信息化安全控制防泄漏體系框架。采取隔離策略，檢查信息內(nèi)容、信息分類等信息具體輸出形式后，通過4層技術(shù)防護(hù)，同時(shí)結(jié)合電網(wǎng)敏感信息閉環(huán)管理策略，實(shí)現(xiàn)電網(wǎng)信息化安全控制。對比實(shí)驗(yàn)結(jié)果表明，研究方法較傳統(tǒng)方法控制效果好、延時(shí)時(shí)間短，更具有實(shí)際應(yīng)用意義，為電網(wǎng)信息化安全控制提供了有利依據(jù)。

參考文獻(xiàn)：

[1]席禹，鄒俊雄，蔡澤祥，等.基于報(bào)文識別與流量管控的智能變電站保護(hù)控制信息安全防護(hù)方法[J]. 電網(wǎng)技術(shù)，2017，41（2）：624-629.

[2]張超.綜合能源并網(wǎng)CPS模型及信息化安全防護(hù)方案研究[J].電工電能新技術(shù)，2019，38（6）：68-73.

[3]陳超群，李志華，閆成雨，等.移動(dòng)智能終端信息防泄漏模型的研究及應(yīng)用[J].計(jì)算機(jī)工程與設(shè)計(jì)，2016，37（10）：2632-2638.

[4]梁志宏.一種企業(yè)核心信息防泄露的數(shù)據(jù)加密方法改進(jìn)[J].科學(xué)技術(shù)與工程，2016，16（27）：204-208.

[5]杜博.云計(jì)算環(huán)境下的智能電網(wǎng)光通信網(wǎng)絡(luò)安全的研究[J].自動(dòng)化與儀器儀表，2018（1）：19-22.

[6]許鵬程，陳啟，劉宗歧.基于優(yōu)化卷積法和靜態(tài)安全約束的電網(wǎng)外受電分析[J].現(xiàn)代電力，2017，34（2）：8-13.

[7]孫丹.小規(guī)模電網(wǎng)安全穩(wěn)定實(shí)時(shí)控制系統(tǒng)研制與應(yīng)用[J].電力系統(tǒng)保護(hù)與控制，2018，46（18）：67-73.

[8]戚湧，郭詩煒，李千目.電網(wǎng)融合泛在網(wǎng)信息平臺設(shè)計(jì)及安全威脅分析[J].計(jì)算機(jī)科學(xué)，2017，44（3）：150-152，174.

[9]鄒曉峰，肖遠(yuǎn)興.基于SM2的配電網(wǎng)Modbus報(bào)文安全性研究[J].電力系統(tǒng)保護(hù)與控制，2018，46（12）：151-157.

[10]宋軍.新形勢下的電網(wǎng)安全自動(dòng)裝置精益化管理實(shí)踐[J].科學(xué)技術(shù)創(chuàng)新，2018，41（30）：172-173.

[11]牛文楠，鮑鵬飛，唐會東，等.基于數(shù)據(jù)挖掘的智能電網(wǎng)安全漏洞挖掘模型[J].電源技術(shù)，2018，42（4）：22-25.

[12]馬進(jìn)，趙大偉，錢敏慧，等.大規(guī)模新能源接入弱同步支撐直流送端電網(wǎng)的運(yùn)行控制技術(shù)綜述[J].電網(wǎng)技術(shù)，2017，41（10）：3112-3120.

[13]尹璐，易姝嫻，張凱，等.基于柔性環(huán)網(wǎng)控制裝置的10kV配電網(wǎng)運(yùn)行方式[J].電力自動(dòng)化設(shè)備，2018，38（1）：137-142.

[14]王玉，馬靜，侯玉強(qiáng)，等.提升直流受端電網(wǎng)動(dòng)態(tài)穩(wěn)定性的緊急控制方法[J].電子設(shè)計(jì)工程，2019，27（2）：155-159，171.

[15]杜家兵，陳衍鵬，梁滿發(fā).基于分布式實(shí)時(shí)調(diào)度策略的智能電網(wǎng)控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電子設(shè)計(jì)工程，2018，26（7）：119-122.