电力通信网安全体系架构探析

电力通信网安全体系架构探析 王凤敏，刘蕾，李思逸，马建勋（国网荆门供电公司信息通信分公司，湖北荆门 448000） 【摘要】我国经济的不断发展，电网不断强大，电力通信要求也越来越高。电力通信网承担着电网管理、运行、控制信息的能力，其安全性与电 网安全和企业管理的关系十分密切。随着以特高压电网为核心、各级电网协调发展的坚强智能电网建设，对通信系统的支撑能力提出了更高要 求。本文对电力通信网络安全问题进行了介绍，并提出了一种电力通信网安全体系构架系统，与同行交流学习。 【关键词】电力通信网；安全体系构架；网络安全 【中图分类号】 文献标识码】 B 【文章编号】 10062014） 02言 随着我国电力系统网络的不断完善， 通信技术应用范围越来越广，发挥了越来越重要的作用。但从目前的电力通信网使用情况来看，其安全隐患较多，威胁到了网络的正常运行。由于电力系统的重要性，一旦外界数据侵入，对原有数据进行截获、篡改、伪造，将会造成开关误动、拒动，上传数据紊乱和整定参数错误等，严重威胁到了整个系统的稳定运行，甚至引发重大事故。 1 电力通信网的安全问题 力通信网的特点 与通常的公共网络相比，电力通信网的安全性更为重要。普通网络进行安全防护，主要是保证数据的完整性、保密性与可用性，而电力通信网要保证相关人员的人身安全，其次是整个电力系统的安全、顺畅运转，然后是设备及线路的安全完整性。在安全体系的保证系统中， 普通网络以数据服务器为核心，为电力通信网中不仅对数据安全有要求，还要兼顾变电站的网络设备安全。普通网络通用性较强， 可以设立统一的标准，而在电力通信网中，必须采用专门的软件系统和协议，普通网路的安全体系难以完成 电力通信网的安全任务。除此之外， 电力通信网面临的安全风险较大， 而且一旦出现安全事故，将会产生严重后果，造成的损失比普通网络要大的多。 力通信网安全防护的主要内容 随着电力系统的不断发展，其网络安全性问题受到了来自电力行业越来越多的关注，成为电力系统的研究热点问题。在电力通信网的安全方面， 已经做出了大量的理论与实践研究，并就标准化展开了深入的讨论。通过现有研究表明，电力通信网的安全研究的重点工作是身份认证、访问授权和用电户隐私保护几个方面，根据目前研究结果，其内容主要有以下几点： （ 1）隐私保护。随着电网系统的不断完善，用户侧的详细用电信息将作为电力系统运行管理的重要数据资源。这些信息十分重要，涉及到用户的用电信息等方面的内容，如果电力企业对这些信息管理不当，出现信息泄露的情况，将会侵犯到用户的隐私。 （ 2）可用性。在进行数据传输时，电力系统对于延时性和可靠性有较高的要求，而对网络的吞吐量并没有特殊的要求，这是电力通信网与普通网络的主要区别之一。因此，与普通网络相比，电力通信网遭受外界攻击的可能性更高，进行安全防护的难度更大，因此要通过安全系统的构架，提高电力通信网以及关键通信链路的可用 性。 （ 3）完整性。电力通信网的完整性包含系统、过程及数据三个方面，在网络安全中，其完整性是指非法人员或系统对信息进行了篡改，但并没有被系统检测出来，进而造成了损失。具体到电力通信网中， 是指法人员或系统对部分变电站的 据进行篡改，并通过特殊手段避开了管理系统的检测，影响了整个电网的顺利运行，造成了重大损失。 （ 4）身份认证。进行身份认证，是保证电力通信网安全运行的重要措施，是保证通信各方真实性的重要手段，进行身份认证，可以有效的防止中间人攻击、伪造签名、角色伪装和消息篡改，进而保证整个网络中命 令的传导与执行。 （ 5）可信性计算。随着电网系统的科技含量不断提高，在今后的工作中，要进一步引进新的技术，提高整个系统的互通能力，在保留传统通信方式的基础上，实现平稳的过渡，逐渐完成系统的完善。电力通信网的目标是形成一个开放、多技术、复杂的综合网络系统，从目前的应用情况来看，其系统中还存在许多安全隐患，为了达到系统的安全性目标，网络涉及的每一个子网络必须加强安全措施，实现可信性计算环境，保证互联互通以后的系统具有高度的网络安全性。 除了以上几点主要问题外， 电力通信网的安全性还涉及访问授权、密钥管理 、审计、非否认性、第三方保护、企业安全战略、安全服务等多个方面。因此，电力企业应加强安全管理研究，从企业的长远利益进行考虑，结合自身企业的情况，制定出适合自身情况的电力通信网管理方案， 进而保证整个系统的安全、长远运行。 2 电力通信安全体系架构 为了电力通信网的正常运作， 系统的安全问题应该得到足够的重视，根据电力通信系统的网络层次，应该使用不同的安全技术有针对性地保障该通信系统发挥应有的作用。 程网络的安全 采用 术保证回程网络的信息传输安全。 术，又叫做虚拟专 用网，它通过在网络中建立一个独立稳定的安全链接进行通信数据的传输。 构中采用了多种安全 机制，如隧道技术、加解密技术、密钥管理技术、身份认证技术等， 通过上述的各项网安全技术， 建立一个独立的通信信道，确保资料在公众网络中传输时不被窃取，而且可以根据传输数据的安全级别设置不同的传输优先级， 保证重要的数据能够第一时间进行传输，进而保证整个通信网络的畅通。 入网的安全 接入网络 安全体系可以实现以下三个目标：保护合法用户的身份信息的安全性； 保护合法用户的 通信信息不被窃取或监听；保护网络资源不被非法终端使用和修改。 针对以上目标， 络采用了由安全数据管理、接入安全和业务安全组成的多层次安全体系。安全数据的妥善 管理和有效控制是整个接入网安全机制的根本。安全数据包括对各种身份标识的验证、密钥技术和安全算法。通过对终端的用户标识号， 用户标识号和用户安全识别码等身份信息进行认证，然后通过随机序列生成算法，开户，如表 1。 流程中用户信息的加密算法、 护算法、空中接口业务流加密算法和空中接口消息字段加密等算法对数据库的信息进行保护，防止信息被窃取和修改。 接入安全技术包括下行波束赋形，接入限制，设备鉴权和用户鉴权等技术。下行波赋形是指基站对每个发送给终端的信号都采用了波束赋形，因此下行链路的信号很难被截获，保证了空中接口的通信安全；接入限制是指，对 络的网络标识号和用户终端网络标识进行匹配验证， 判断该用户是否有接入网络的权限； 设备鉴权是 统对用户终端设备的身份验证，以防止非法用户终端接入系统；用户鉴权是对设备鉴权 的补充， 它包含了对用户标识号的惟一性检查和采用鉴权算法对用户身份的验证两个过。这个过程可以防止非法用户接入网络， 同时还可以防止多个设备使用同一用户名访问网络的情况发生。 业务安全包括业务认证， 非法分组过滤账号绑定和端到端加密。业务认证用于保证用户终端接入网络后，只能享用该用户已经开通了的相关业务； 非法分组过滤工作在用户侧可以阻止非法数据包流向网络； 账号绑定功能可以限制用户账号在没有经过授权的其他终端上使用； 在 络中针对一些安全级别比较高的数据或语音业务， 常常会采用基于可信 第三方的安全解决方案， 通过第三方提供加密认证等安全业务保证传输信息的安全性。 3 结束语 电力系统网络与信息系统的有机结合， 将电力流、信息流、业