刘湖钰
国网江西省电力有限公司检修分公司 江西 南昌 330000
摘要:电力系统的信息安全问题来源于通信与信息系统,通过电力监控的方式可明确网络途径下的安全威胁、问题类型及控制流程等,便于获取全新的信息安全特征。自动化环境下,应考虑电力系统涉及的信息安全漏洞因素,比较不同安全方案的合理性,并做好记录,为今后的防范工作提供参考。
关键词:漏洞扫描;电力工程;信息网络系;应用
1信息安全漏洞定义及分类
信息安全漏洞是1982年由美国计算机专家D.Denning博士提出的,其将漏洞定义为:导致操作系统执行的操作和访问控制矩阵所定义的安全策略之间相冲突的所有因素。现如今,信息系统漏洞的定义为:应用软件或操作系统软件在逻辑设计上的缺陷或错误,被不法者利用,通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。
信息安全漏洞按照危险级别可分为高危漏洞、中危漏洞和低危漏洞。中高危漏洞极易被黑客利用,且危害范围广,网上也容易找到中高危漏洞的利用工具,可直接获得系统管理员权限,进行系统的数据修改或删除,对信息应用系统影响大。信息安全漏洞按照产生来源可分为Web安全漏洞和普通安全漏洞,分别对应的是Web应用系统的中间件所暴露的漏洞,主要包括Apache、Openssh等操作系统和应用系统之间的通用服务漏洞;普通安全漏洞主要是操作系统存在的漏洞,包括未安装的系统补丁漏洞,操作系统安全配置漏洞等。
2电力通信自动化信息传输特点
2.1实时数据传输特点
在电力通信系统中,传输的数据一般都必须要坚持一定的规约,尤其是在传输时效性上的要求很高,不允许出现较大的传输延迟。另一方面,在传输过程中必须要实现实时传输,实时数据的数据量相对较小,而且数据流也比较稳定,主要有下行数据、上行数据、管理数据三种类型,其中下行数据指的是遥控、遥调和保护装置等信息,这类数据信息与设备的运行状态有紧密联系,信息的传输会直接影响到设备的安全运行水平。上行数据主要包括遥信、重要遥测、事件顺序记录信息等,这些信息是判断电网运行稳定性的重要依据,也是进行电力决策的依据,对数据传输实时性要求很高。管理数据主要指的是负荷管理、停电计划信息等,这类信息对保密性的要求很高,必须要及时传输,并且做好加密处理。
2.2非实时数据传输特点
在电力通信网络中也存在一些非实时传输的数据,其数据量十分大,但是时效性要求不高,可以有一定的传输延迟。比如电力设备的维护日志、电力用户的电能质量信息等都属于非实时数据,这类数据对传输时效性的要求不高,但是对数据的完整性以及保密性的要求很高,在进行加密的时候应该要选择合适的算法进行处理。
3电力企业信息网络安全漏洞管理现状与问题
随着20世纪末的电力体制改革,电力信息化开始快速发展,电力企业的信息化建设开始重视统一化、集成化。在国家电网公司和南方电网公司智能电网建设的全面推开背景下,电力公司信息化业务也已经向互联网和移动应用发展,云计算和物联网技术得到广泛应用,促进电力行业信息系统的快速增长,但同时也造成大量安全漏洞出现,且由于软件缺陷、应用和IT设备的错误配置,以及常规的错误,每天都会有新的漏洞产生,漏洞没有得到有效处置就会一直累积,安全风险逐渐增大。
在国家监管部门的强力监管要求下,电力企业建设了相对完善的信息系统安全保障体系,包括信息安全组织体系、信息安全管理体系、信息安全技术标准体系、信息安全服务与培训体系等,各项制度完善,管理理念相对领先。总体来说,电力企业各级领导高度重视信息安全建设与管理工作,漏洞管理水平得到有效提升。
受技术条件和人力资源限制,目前电力公司常用的方法采用漏洞扫描系统定期进行漏洞扫描,或定期开展安全检查来发现安全漏洞,然后进行修复加固工作。
这种传统的漏洞管理方式,主要存在以下问题:(1)漏洞规则更新滞后。目前主流的漏洞扫描产品厂商,一般每1-2周更新一次漏洞扫描特征库,且不一定更新到最新发布的漏洞,这就意味着从漏洞被公布,到工具具备扫描能力至少需要1-2周或更长时间。(2)漏洞检测周期过长。针对电力行业信息网络规模庞大、资产数量多、资产类型复杂、软件种类众多的特点,资产管理和安全管理的任务繁重且复杂。对所有资产完成一轮次漏洞扫描工作需耗时数月;扫描完成需根据扫描结果分析资产的责任部门,将风险清单分别通报给各部门,经过流程流转到各资产负责人进行处置,这样的工作流程与方式,不仅耗时长,而且时效性不足,对漏洞处置效率影响较大。(3)漏洞处置效率低下。漏洞处置与漏洞检测一样,需要耗费较长时间。从风险清单流转到资产责任人,到完成整个风险整改,不仅流程复杂,而且效果不佳,远远不能适应当前严峻的网络安全形势。
4漏洞应对措施研究
4.1自动化中心站的防护
从安全防护的角度分析,电力系统中的自动化系统需通过集中管理的方式来规划数据,尤其是数据接口。需设置一定防护措施,将其作为用户需求的实际决定者。通过防护体系的设置可满足基本的安全防护要求。一方面,设置访问网络的用户类型,可得到一定限制,阻拦某些非法用户,尤其是某些恶意损坏系统者。另一方面,集中式的网络管理可掌握现有的子站情况,便于开展统一调度,网络系统的安全性和稳定性得到了不同程度的保障。以通信过程的信息安全需求为例,信息交换中,发起会话的阶段需进行身份认证。信息完整性是每一次信息交换中需要遵循的基本原则,而保密性和保密程度则取决于信息交换的内容价值是否满足相应标准。
4.2无线终端防护
无线终端防护与系统防护之间存在密切联系。通信子站与中心站相连接的环节,无线终端负责数据信息的传输和设备的管控。由于设备的安全漏洞很大程度上是由人为误操作导致,除身份认证和身份识别外,还应采取不同的加密方案。以自动化系统中的监控系统为例,设计安全通信机制时可考虑采取更加合理的密码算法。由于当前的监控系统中存在一些实时性要求较高的通信过程,传统的安全领域会通过离散对数等方式来设计密码算法。设计环节中应结合终端防护的实时性要求来对计算环境和算法类型进行综合分析,以确保安全通信防护机制能弥补漏洞所产生的技术缺陷。
4.3远程控制防范
实际的自动化系统运行和调度管理中,时常遇到根据应用需求来调节智能电子设备状态的情况。传统的技术方式需要工作人员的现场管理,而现代的技术方式可实现远程控制管理。远程控制以远程通信的方式实现,具体应考虑摆阔模型、信息安全需求、远程配置特征、安全通信机制及XML标准等。安全属性的设计是为了避免安全因素的影响,设计时可考虑加入签名处理等。
结束语:综上所述,随着计算机信息技术的不断应用,电力企业信息化管理水平逐渐提高,电力通信自动化系统为电力企业的日常运行、调度管理都提供了坚实的支持。但是在电力通信系统应用过程中也存在信息安全漏洞,对此,必须要加强对信息安全防护技术的应用,提高信息技术人员的水平,对电力通信网络进行安全保护。
参考文献:
[1]叶水勇,熊惠敏,李亚菇.漏洞扫描工具的研制[J].江西电力,2019,43(10):40-43.
[2]栗会峰,栗维勋,李宣义,杨立波,李铁成.电力监控系统安全漏洞管控策略优化方法[J].东北电力技术,2019,40(07):22-24+27.
[3]王鹏,李秀芬,韩俊飞.电力信息网络系统漏洞扫描分析[J].内蒙古电力技术,2019,37(02):33-35.
[4].信息安全小百科 漏洞扫描系统[J].保密科学技术,2014(08):70.
[5]苑静中,王怀彬.电力企业网的安全漏洞状况及划分[J].贵州师范大学学报(自然科学版),2006(03):99-101.