关于电力系统网络安全探析.docVIP

关于电力系统网络安全探析 一、概述 2006年4月29日，国家电网公司提出了在全系统实施”SGl86工程”的规划，力争到“十一五”末，公司的信息化水平达到国内领先、国际先进，初步建成数字化电网、信息化企业。经过近三年的应用系统建设，国家电网公司在一体化信息集成平台建设，八大业务应用推广，安全防护与运维水平提升方面都取得了显著的成效。随着“SGl68工程”的应用深化和扩展，其所面临的信息安全威胁也日益复杂和多样化。 计算机通讯技术的迅速发展和普及，改变了整个信息管理的面貌，使信息管理以单个计算机为中心发展到以网络为中心，为计算机技术在工业、商业、教学、科研、管理等领域中的应用提供了一个全新的网络通信环境，从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算、技术合作及有效管理，推动了生产、管理、科研及教学事业的发展。 然而，伴随着计算机通讯网络的发展衍生出新类型的安全问题，用户对于信息的安全存储、安全处理和安全传输的需要越来越迫切。对于电力系统来说，对信息安全的认识不足，主要体现在缺乏统一的信息安全管理规范，缺乏与电力行业特点相适应的计算机信息安全体系，计算机网络面临巨大的外部安全攻击等等。因此，对于电力系统的网络安全必须引起足够重视。现在大多数网络安全解决方案都是基于用户需求为核心，厂商根据客户的要求提出相应的解决方案，这些解决方案包括防病毒、防火墙、信息加密、入侵检测、安全认证、核心防护等等，应用范围主要是商业领域，对电力系统的关注较少。 二、常用网络安全机制 1.访问控制访问控制的任务是保护网络资源不被非法使用和访问，是维护网络系统安全、保护网络资源的主要手段，是保证网络安全的核心策略之一。访问控制要对用户身份进行严格的认证，实行严格的用户帐户管理，对于用户名、用户口令采取加密措施，合理设置用户权限，它涉及应用程序对数据和用户的合法权限。 2.防火墙技术防火墙(Firewall)是一类防范措施的总称，是一种有效的网络安全模型。防火墙又称为堡垒主机，通过它来隔离风险区域与安全区域的连接，但不妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量，仅让安全、核准了的信息进入，同时抵制对企业构成威胁的数据。防火墙是一种被动技术，它假设了网络边界和服务，对内部的非法访问难以有效控制，因此防火墙适合于相对独立的网络。 3.数据加密数据加密是确保计算机网络安全的一种重要机制，是为了防止信息被窃取，在发送时对信息进行加密。数据加密技术可分为数据传输、数据储存、数据完整性鉴别以及密钥管理技术等四种。数据传输常用的加密方法有链路加密和端端加密两种。链路加密是传输数据仅在数据链路层进行加密，接受方是传送路径上的各个节点，信息在各个节点上都要解密和再加密，直至数据传送到目的地。端端加密则是为数据从一端传送到另一端提供的加密方式，是在应用层完成的，除了报头外的报文均以密文的形式贯穿于全部传输过程，只有在发送端和接受端才加解密设备。数据存储加密技术的目的是防止存储环节上的数据失迷，可以分为密文存储和存取控制两种。前者是通过加密算法转换、附加密码、加密模块等方法，将所要存储的数据以密文的形式存放在存储介质上；后者则是对用户资格、权限等加以审查和限制，防止非法用户存取数据或者合法用户越权存取数据。数据完整性鉴别技术的目的是对信息传送、存取、处理人的身份和相关数据进行验证，达到保密的要求，鉴别内容包括口令、密钥、身份、数据等项。为了数据使用方便，数据加密在很多场合集中表现为密钥的应用。密钥的媒体有磁卡、磁带、磁盘、半导体存储内存等，密钥管理技术包括密钥的产生、分配、保存、更换与销毁等。根据密钥的特点，密码可分为对称密码和非对称密码两种体制。对称密码体制具有完全的可逆性和对称性，在加解密的过程中用一个密钥来完成，这种保密系统对密钥的安全传送要求较高，密钥泄漏会导致系统的崩溃。非对称密码体制中有公钥和私钥两个密钥，加密和解密算法是互补的。当一方向另一方传送信息时，使用公钥对数据进行加密，接受者接受到密文以后，用私钥进行解密。非对称密钥是目前最为广泛应用的一种加密方式。 三、电力系统的网络安全 根据电力系统的特点，信息安全按其业务性质一般可分为四类：一是电网运行实时控制系统。包括电网自动发电控制系统及支持其运行的调度自动化系统、火电厂分布控制系统(D CS，BMS，DEH，cCS)、水电厂计算机监控系统、变电所及集控站自动化系统、电网继电保护及安全系统、电力市场技术支持系统；二是电力营销系统。包括电量计费系统、负荷管理系统；三是企业管理信息系统。四是不直接参与电力企业过程控制和生产管理的多种经营系统。 就大多数国家电力公司直属省级子公司而言，电力信息网已基本覆盖了公司的电力生产、施