周信行,張佳祺,羅智慧,張秋輝
(廣東電網(wǎng)有限責(zé)任公司廣州供電局,廣東廣州,510001)
新形勢下我國電力通信系統(tǒng),逐步向網(wǎng)絡(luò)化、智能化、自動化方向發(fā)展,非常關(guān)鍵的一項工作 就是要處理信息安全問題,在保證電力通信自動化系統(tǒng)安全穩(wěn)定運行之后,為社會整體提供更加優(yōu)質(zhì)的電力通信服務(wù)。近年來,我國電力通信領(lǐng)域取得了較大的突破,不僅能夠提升網(wǎng)絡(luò)傳輸質(zhì)量和速度,也能有效解決網(wǎng)絡(luò)信息安全問題。本文從電力通信實時數(shù)據(jù)及自動化應(yīng)用的基本特點入手,結(jié)合自動化信息安全漏洞及防范措施展開闡述,針對如何做好無線通信加密方案設(shè)計工作進(jìn)行全面探討。
電力通信無線網(wǎng)絡(luò)被廣泛應(yīng)用,使實際傳輸?shù)臄?shù)據(jù)處于實時狀態(tài),在此種狀況下傳輸數(shù)據(jù),不能出現(xiàn)過度延時問題,否則將不利于提升實時數(shù)據(jù)傳輸效果。不僅如此,在開展傳輸工作期間,數(shù)據(jù)流量小有助于提升傳輸速度,但是也會對數(shù)據(jù)傳輸穩(wěn)定性造成影響。為了防止產(chǎn)生這些問題,非常關(guān)鍵的舉措,就是要結(jié)合電力通信實時數(shù)據(jù)傳輸特征,合理調(diào)整數(shù)據(jù)傳輸方式,在保證數(shù)據(jù)傳輸調(diào)整工作具有科學(xué)合理性的基礎(chǔ)上,顯著提升電力通信信息傳輸安全性。
一是數(shù)據(jù)傳輸具有較強的時效性。將電力通信自動化業(yè)務(wù)與其他普通業(yè)務(wù)對比,具有一定的特殊性,如在實際應(yīng)用電力通信自動化過程中,數(shù)據(jù)傳輸具備較強的時效性,否則不僅會影響電力通信系統(tǒng)發(fā)揮自動化功能,也會降低電力網(wǎng)絡(luò)整體運轉(zhuǎn)效率。基于此,為了提高電力通信自動化的數(shù)據(jù)穩(wěn)定性,就要保證電力通信自動化充分發(fā)揮應(yīng)用作用。通常狀況下,會將電力通信自動化內(nèi)部的數(shù)據(jù),具體分為三種比較關(guān)鍵的類型,如電力下行數(shù)據(jù)、電力上行數(shù)據(jù)、電力管理數(shù)據(jù),并且不同種類的數(shù)據(jù)主要負(fù)責(zé)的內(nèi)容不同。電力下行數(shù)據(jù)主要負(fù)責(zé)電力通信自動化運行期間,各項設(shè)備運行狀況的管控;電力上行數(shù)據(jù)負(fù)責(zé)電力通信自動化運轉(zhuǎn)時,記錄事件順序信息,這樣可以為后續(xù)工作人員精準(zhǔn)判斷電網(wǎng)具體運行狀態(tài)提供依據(jù);電力管理數(shù)據(jù)與前兩種數(shù)據(jù)不同,對保密性具有較高要求,其主要負(fù)責(zé)管控停電計劃信息等多個業(yè)務(wù)模塊。
二是完整性和保密性強。主要因為電力通信自動化在實際應(yīng)用期間,不可避免地會產(chǎn)生電力設(shè)備維護等多個方面的數(shù)據(jù)信息,而這些信息被應(yīng)用在日常的查詢工作中,所以需要具備較強的完整性和保密性。在此基礎(chǔ)上,與之相關(guān)的工作人員需要結(jié)合數(shù)據(jù)信息的具體類型,在后續(xù)選擇符合要求的算法做好處理工作。
(1)問題。對于中心站而言,其實際上是電力通信自動化系統(tǒng)的核心組成因素,其中包括配套管理軟件、服務(wù)器、前置機等多種類型的硬件設(shè)備,具體功能就是接收各個子通信站傳輸?shù)臄?shù)據(jù),充分應(yīng)用管理軟件,做好實際上傳數(shù)據(jù)的管理、歸納、分析工作[1]。除此之外,中心站充分發(fā)揮自身作用,也能夠保證各個子站安全穩(wěn)定運行。在管理中心站期間,通常都是應(yīng)用執(zhí)行命令的方式進(jìn)行管控。電力通信自動化系統(tǒng),與其他電力系統(tǒng)進(jìn)行共享時,中心站發(fā)揮重要作用,主要就是因為中心站是一種非常關(guān)鍵的數(shù)據(jù)接口。一般狀況下,無論是其他應(yīng)用系統(tǒng),還是中心站、子站,在與中線站進(jìn)行連接和數(shù)據(jù)傳輸時,都是以依照光纖等有線傳輸方式為主。因此,中心站不僅是外部與應(yīng)用系統(tǒng)收發(fā)數(shù)據(jù)連接的重要接口,也是電力通信內(nèi)部數(shù)據(jù)集中處理的關(guān)鍵節(jié)點。
一旦有入侵者攻擊中心站,就會使整體電力通信自動化系統(tǒng)出現(xiàn)故障。即便在此期間其他通信子站能夠正常運行,但是在中心站被破壞之后,整個系統(tǒng)就會失去相應(yīng)作用,甚至還會使實際傳輸?shù)男畔?shù)據(jù)安全受到威脅。不可否認(rèn),這是目前電力通信自動化系統(tǒng)運行期間,急需解決的一個信息安全隱患和漏洞。加之,中心站比較脆弱,并且非常重要,這就要在開展中心站管理工作時,提升防范工作重視度,保證防護工作充分發(fā)揮作用。
(2)防護措施。正確應(yīng)用防火墻,結(jié)合用戶前期制定的具體方案,有效控制信息流出和流入狀況,從而更好的控制和監(jiān)督操作行為。防火墻是網(wǎng)絡(luò)安全域、多個不同網(wǎng)絡(luò)之間的信息防護出入口,需要嚴(yán)格按照制定的安全措施,嚴(yán)格管控出入網(wǎng)絡(luò)的信息流??紤]到防火墻自身的抗入侵和抗攻擊水平非常高,所以可以將防火墻作為電力通信自動化系統(tǒng)的信息安全防護保障。不僅如此,防火墻也將分析器、限制器、分離器進(jìn)行有效組合,形成具有一體化特征的組合體,既能對互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間的各項活動狀況進(jìn)行監(jiān)控,也能保證內(nèi)部網(wǎng)絡(luò)始終處于安全穩(wěn)定運行狀態(tài)。設(shè)置防火墻的主要目的,就是在外部和內(nèi)部網(wǎng)絡(luò)之間,構(gòu)建一個具有安全防護功能的控制點,重新定向、拒絕或是允許穿過防火墻的信息數(shù)據(jù)流,來有效控制和嚴(yán)格審計出進(jìn)通信網(wǎng)絡(luò)[2]。在實際應(yīng)用防火墻期間,需要假設(shè)網(wǎng)絡(luò)服務(wù)與邊界,防火墻保護措施非常適用于具有較強獨立性的網(wǎng)絡(luò)系統(tǒng)。
(1)問題。電力無線通信網(wǎng)絡(luò)系統(tǒng)在運行期間,需要諸多無線終端設(shè)備共同作用,這也是構(gòu)成通信系統(tǒng)的基本結(jié)構(gòu)。比如:中心站與電力通信子站進(jìn)行連接期間,因為無線終端存在較多的數(shù)據(jù),導(dǎo)致系統(tǒng)存在安全隱患和漏洞。如果從電力通信應(yīng)用系統(tǒng)的角度進(jìn)行研究,不難發(fā)現(xiàn)系統(tǒng)業(yè)務(wù)的正常保護、系統(tǒng)信息安全保護工作都非常重要。為了能夠做好電力通信系統(tǒng)信息傳輸安全保護工作,就要注重提升信息訪問的嚴(yán)密性和安全性。在此期間,需要保證信息不會讓不允許操作、不允許看到的人操作和看到。
(2)防護措施。在開展防范工作期間,結(jié)合信息安全和漏洞,充分利用身份認(rèn)證技術(shù),在鎖住信息訪問范圍之后,借助科學(xué)性強的信息訪問控制模型,科學(xué)有效的限制和準(zhǔn)許具體訪問的范圍和能力。這樣不可避免的會涉及到訪問技術(shù)、身份認(rèn)證技術(shù)的應(yīng)用,通過將這兩項技術(shù)有效結(jié)合的方式,及時有效解決上述安全漏洞與隱患問題。此外,對于無線通信系統(tǒng)的終端用戶而言,其實際上只是負(fù)責(zé)采集電力用戶數(shù)據(jù)、將數(shù)據(jù)傳輸?shù)街行恼痉?wù)器中,保證不會出現(xiàn)強行、越權(quán)訪問信息的狀況[3]。因此,如果想要高效防范無線終端的信息安全漏洞,就要全面結(jié)合身份認(rèn)證技術(shù),為該項工作提供有力的技術(shù)支持。
在開展網(wǎng)絡(luò)加密設(shè)計工作時,有多種不同方式可以選擇,現(xiàn)階段應(yīng)用率較高的方式,就是端端加密、混合加密、鏈路加密方式。從我國傳統(tǒng)電力通信自動化系統(tǒng)加密設(shè)計的角度,進(jìn)行細(xì)致分析,可知大部分都是以應(yīng)用鏈路加密方式為主,主要就是因為能夠防止流量分析對系統(tǒng)信息安全造成攻擊,但是這種設(shè)計方式卻不適用現(xiàn)階段的電力通信系統(tǒng)設(shè)計工作?;诖?,不論是在傳輸速度方面,還是在傳輸容量方面,都存在無法滿足要求的問題,甚至還存在較多的節(jié)點。如果想要高效落實加密管理工作,就要嚴(yán)格按照標(biāo)準(zhǔn)要求實施解密算法,這樣就會嚴(yán)重影響整體管理工作順利開展。此外,這種方式也非常容易受到攻擊,一旦節(jié)點被攻破,就會對整體電力通信系統(tǒng)運行安全造成威脅。
目前電力通信系統(tǒng)構(gòu)建過程中,要以應(yīng)用“應(yīng)用層加密”方式為主,在防止產(chǎn)生鏈路加密問題的基礎(chǔ)上,能夠在服務(wù)器和客戶端等多個方面,全面覆蓋加密算法,甚至還可以顯著提升整體傳輸速度和質(zhì)量。此種類型的加密設(shè)計方案,也支持軟件加密的應(yīng)用,具體表現(xiàn)為在網(wǎng)絡(luò)層和應(yīng)用層之間進(jìn)行通信加密,這是符合現(xiàn)代化社會對電力通信方面要求的一種重要方式。
即便目前在應(yīng)用層加密過程中,有多種不同類型的形式,但是其中應(yīng)用效果非常顯著的一種算法就是摘要算法。在對這種算法進(jìn)行細(xì)致分析之后,可知其在數(shù)據(jù)流方面發(fā)揮重要作用,既支持分段摘要計算,也能夠保證數(shù)據(jù)傳輸具備完整性[4]。在電力系統(tǒng)SCADA中,能否做好實時數(shù)據(jù)傳輸工作非常關(guān)鍵,即便在此期間產(chǎn)生信息泄露問題,也不會對信息數(shù)據(jù)傳輸質(zhì)量造成影響;但是需要格外注意的一項內(nèi)容,是要注意數(shù)據(jù)是否存在被篡改、冒名重發(fā)等問題。如果發(fā)現(xiàn)實際發(fā)動的信息為N、共享秘鑰為B,那么接收方在信息加密校驗過程中,就可以將MD5(n+b)丟棄,這也同樣不會對數(shù)據(jù)信息安全造成威脅。
在開展這項工作期間,應(yīng)用秘鑰計算方式,需要將MD5算法作為基礎(chǔ)條件進(jìn)行優(yōu)化創(chuàng)新,主要就是指要開展摘要計算工作,否則就會對數(shù)據(jù)完整性和獨立性造成嚴(yán)重影響。因此,在將MD5與其他方式進(jìn)行對比之后,就會發(fā)現(xiàn)其具有諸多應(yīng)用優(yōu)勢,其中較為顯著的特征就是效率高、操作簡單、符合電力信息在實時性方面的要求。正是因為這種加密算法在應(yīng)用期間,充分發(fā)揮應(yīng)用作用,使其被各個領(lǐng)域接受和應(yīng)用,所以MD5算法是目前電力信息系統(tǒng),眾多信息安全漏洞防范模式中最受歡迎的一種方法。
一是優(yōu)化負(fù)控管理規(guī)約的體系結(jié)構(gòu)。
細(xì)致分析“電力自動化無線控制方式”,可知其主要應(yīng)用負(fù)控制管理系統(tǒng)中,通常狀況下將這一系統(tǒng)應(yīng)用管理、調(diào)節(jié)電力負(fù)荷工作中,經(jīng)過長時間的優(yōu)化,電力自動化無線控制方式,已經(jīng)成為了管理信息系統(tǒng)安全穩(wěn)定運行的重要保障。
例如:應(yīng)用層規(guī)約數(shù)據(jù)單元,一般是由服務(wù)數(shù)據(jù)、規(guī)約控制信息單元共同組建而成。在標(biāo)準(zhǔn)要求下,鏈路規(guī)約控制信息內(nèi)容較多,如鏈路地址域、控制域、結(jié)束字符等都包括在內(nèi)。不僅如此,鏈路規(guī)約數(shù)據(jù)單元的報文,由服務(wù)數(shù)據(jù)單元、鏈路規(guī)約控制信息組合而成。數(shù)據(jù)鏈路層又指“數(shù)據(jù)通道”。在連接的生存期內(nèi),收發(fā)兩端可以進(jìn)行多次或是一次數(shù)據(jù)通信, 但是每一次都要通過拆通信聯(lián)絡(luò)、建立通信聯(lián)絡(luò)的方式進(jìn)行通信。采取此種措施構(gòu)建出的“數(shù)據(jù)收發(fā)”關(guān)系,被稱為“數(shù)據(jù)鏈路”,但是如果將物理媒體作為主要依據(jù),開展數(shù)據(jù)傳輸工作,極易受到多項不可靠數(shù)據(jù)的影響,進(jìn)而就會產(chǎn)生偏差和信息安全漏洞等問題。因此,
在明確具體內(nèi)容之后,在為上層提供無法數(shù)據(jù)期間,非常關(guān)鍵的一項工作就是的采取針對性措施,彌補物理層的各項不足,保證數(shù)據(jù)糾錯和檢錯工作順利開展??傊鸪徒?shù)據(jù)鏈路工作不能忽視,其是數(shù)據(jù)鏈路層中非常關(guān)鍵工作,會對數(shù)據(jù)精準(zhǔn)性和信息安全性產(chǎn)生直接影響。
二是依據(jù)協(xié)議中的各個層次選擇針對性的加密方法。
比如:選擇滿足應(yīng)用層信息安全防范要求的加密方法,應(yīng)用層中的數(shù)據(jù)種類較多,如具體包括復(fù)位、確認(rèn)、設(shè)置參數(shù)、查詢等多個方面的數(shù)據(jù)。在將AFN作為數(shù)據(jù)區(qū)分依據(jù)之后,在實際開展信息安全防范工作時,就要保證具體選用的加密方法符合標(biāo)準(zhǔn)要求,并且也要對應(yīng)用層中的所有字節(jié)做好統(tǒng)一加密處理。此外,發(fā)送端依據(jù)級別高效落實數(shù)據(jù)加密工作,比且也要在與之對應(yīng)的接收端,做好數(shù)據(jù)解密工作。不可否認(rèn),各個程序都是在合理嵌入到通信控制程序之后,完成相應(yīng)工作。數(shù)據(jù)鏈路層具體應(yīng)用的加密方法具有一定的特殊性,因為數(shù)據(jù)鏈路層幀的結(jié)構(gòu)復(fù)雜,并且鏈路層協(xié)議在時效方面提出的要求非常嚴(yán)格,如結(jié)束字符和開始字符在實際傳輸期間,需要正確界定幀的結(jié)束和開始,這樣無需參與到數(shù)據(jù)加密這項工作中。此外,將加密算法應(yīng)用在控制域、報文長度、校驗等多項工作中,既能提高應(yīng)用層的數(shù)據(jù)加密有效性,也能合理壓縮加密和解密時間,對于滿足時效性方面的要求具有重要幫助。
為了保證電力通信系統(tǒng)長期處于安全穩(wěn)定運行狀況,為了防止產(chǎn)生信息安全漏洞問題,就要總結(jié)產(chǎn)生安全隱患的原因,在細(xì)致分析之后,明確電力信息系統(tǒng)安全運行與我國電力通信領(lǐng)域之間的關(guān)系,保證信息服務(wù)質(zhì)量,優(yōu)化電力通信自動化系統(tǒng)。電力通信系統(tǒng)較為常見的信息安全漏洞,體現(xiàn)在電力自動化中心站、電力信息無線終端等方面,針對這兩方面存在的漏洞進(jìn)行深入研究,提前制定科學(xué)有效的基本防范措施,掌握針對性的加密方案設(shè)計要點,在保證電力通信系統(tǒng)充分發(fā)揮作用的基礎(chǔ)上,為社會整體提供質(zhì)量達(dá)標(biāo)和安全性強的電力通信服務(wù)。