电力监控系统内生安全技术及应用探讨

电力监控系统内生安全技术及应用探讨

徐晓明

国网山东省电力公司泰安供电公司，山东省泰安市 271000

摘要：随着经济的发展和城市化进程的加快，人们对电能的需求逐渐增加。电力是国民经济和人民生活的重要基础设施。其电力监控系统和调度数据网络的安全是电力系统安全稳定运行和社会可靠供电的重要保障，直接影响到我国其他行业的发展和社会稳定。《中华人民共和国网络安全法》规定，应当采取监测、记录网络运行状况和网络安全事件的技术措施，对网络安全监控提出明确要求。本文就电力监控系统内生安全技术及应用展开探讨。

关键词：电力监控；内生安全；可信计算；拟态防御

引言

随着国家能源互联网发展新战略的出台，电力监控系统网络空间的边界正在扩大和模糊，网络攻击的未知性和不确定性大大增加，以往主要依靠边界保护的网络空间缺乏安全深度，缺乏基于“已知风险”或“已知未知风险”的获得性安全防护能力的主动安全设计，因此，电力监控开始探索内生安全。

1提升电力监控系统网络安全的具体要求

整个电力监控系统存在着各种各样的问题。网络安全防护是网络安全的重要问题之一。要保证电力监控系统的网络安全，必须根据相关要求进行网络安全防护。事实上，电力监控系统的网络安全保护就是为了确保相关数据不被侵犯或窃取，确保所有重要信息完整保存。管理人员必须事先制定网络安全防护方案，防止黑客或非法分子入侵，并采用一系列保护技术，确保电力监控系统的安全。

2内生安全的需求背景

内生安全契合了现在电力监控安全防护的时代需求，不管是国家政策法律法规，还是关键基础设施国产化浪潮，以及电力监控系统网络空间的新变化新发展，都为开始研究和探索设备的内在安全性提供了环境。国家政策和法律法规层面，《国家网络空间安全战略》、《网络安全法》均提出了对可信安全的产品和服务的需求，等保2.0更是从每一个级别都提出了对可信安全的明确要求，这为研究设备内生安全提供了合规性依据。国产化自主可控的研究成为热点，并且国产化应用形成积极的趋势，这为设备内源性安全的技术研究提供了安全信任的起点和落脚点。电力监控系统在能源互联网架构下越来越有开放性，海量分布式电源节点以及智能电网向配电用电侧发展，使得电力监控安全防护的边界在外延甚至模糊，传统“监控+安全”的外壳式的安全防护变得生硬和效能低下，从而“安全的监控”这种设备自身的安全性设计变得越来越迫切。电力监控设备的功能定制化专用特性也为较为确定的安全设计定制化提供了可能。监控设备的业务场景明确，设备内计算逻辑明确，并且能够较长时期不发生变化，这为内生安全设计尤其是可信安全的融入奠定较好的基础。

3电力监控系统网络安全技术的应用研究

3.1应用数据传输加密技术，加强电力系统网络安全性

设备作为一个物理单元，内生安全比较容易理解，其实作为系统同样可以构建内生安全能力。目前，数据加密是保证电力系统各类信息数据不被泄露的一种非常有效的方法。数据传输加密是指应用加密密钥和加密算法来保护电力系统信息，将重要信息转化为不重要或不易理解的符号，从而起到保护电力监控系统安全的作用。加密由三个元素组成，包括明文、密文和密钥。实际上，数据加密技术的应用意味着在电力监控系统运行过程中，发送方必须使用密钥发送密文，然后提取信息的人员必须使用相应的技术来解锁密文。密钥也分为私钥和公钥。虽然相关的技术要求各不相同，但应该适用于电力监控系统的网络安全防护。具体来说，国内的电力监控生产系统，必须选择纵向加密认证装置。调整数据网络结构以增强网络的安全系数，在不影响用户网络设置的情况下，应用唯一密文来增强数据的安全性、可靠性和完整性，是垂直加密认证设备。一般而言，数据网络的保安区应选择垂直加密方案，利用相关设备将明文转为密文，为数据传输提供保安。垂直加密技术包括了许多技术，其中RSA算法在国内外得到了广泛应用。目前，国内的电力监控系统必须选择国内的国家机密算法。在电力监控系统的各个方面都进行了加密，以确保信息不被犯罪分子窃取，即使被窃也不知道内容是什么。垂直加密技术的应用是先将设备恢复到初始状态，在初始化过程中将密钥集合进入。

3.2虚拟局域网设置及系统安全分区访问

将电力监控系统的虚拟局域网和电力监控系统的安全区域划分为若干子网段，子网段之间的通信必须逻辑上由防火墙或硬件防火墙隔开，并根据业务系统的功能要求，划分为不同的安全区域，从而满足《电力监控系统安全防护规定》的相关保护要求，采用硬件防火墙将控制区域与非控制区域分开，以达到安全分区的目的。

3.3强化入侵检测技术，加强电力系统网络安全性

入侵检测技术是指对电力监控系统中的重要信息和数据进行日常的分析和检测。在分析和研究的过程中，我们会知道电力系统是否有异常，或者是否有恶意代码。入侵检测技术最重要的作用是发现电力监控系统中的各种异常情况，并向工作人员发出警报。这和防火墙一样，是提高网络安全的有效手段。入侵检测技术有两种，一种是检测主机，另一种是检测网络。应用入侵检测技术，可以明确电力监控系统主机的具体情况，查看信息数据是否被入侵。此外，检测网络安全相关技术也比较简单方便，只要检测登录、审计等环节，就可以了解网络安全状况。入侵检测技术不同于其他安全检测技术，属于主动安全防护技术。完整的入侵入侵预防系统是根据各种入侵活动的实际特点和所制定的对策而制定的入侵预防系统。它可以实时监控网络运行的安全性，会尽快发出警报。

4融合内生安全的安全防护实践

内生安全设计为设备和系统的安全防护提供了内源性的主动安全思路，但并不是说就抛弃边界防护，实际上，在划分安全区并部署边界防护措施的基础上，再融合内生安全设计，并对网络空间持续监测评估和预警，进而构建“结构性边界防护+设备内生安全+实时安全监测”的综合性安全防护方案可能是较优的。对于一个电力监控系统，由若干监控设备通过网络交换机连接构成一个监控系统，这个系统网络是相对独立的有边界的，但系统和外界也有通信交互，则其综合性防护设计为：（1）结构性边界安全防护。将监控网络根据业务性质不同划分为不同的安全区，并在安全区出口通信的边界上部署专门的安全设备，如负责纵向远程通信身份认证和加密传输的加密认证装置，负责不同安全区之间横向传输的网络隔离装置和防火墙。（2）设备内生安全防护。按照设备本体的内生安全要点将安全设计集成到设备开发和制造中，并根据工程实际现场配置安全策略。（3）系统内生安全防护。通过网络连接构建系统的时候考虑网络结构双星型冗余设计、设备间通信采用基于公钥的身份验证和加密传输。（4）安全监测。可以对交换机交互的通信进行流量监测和分析，并可考虑对所有网络节点设备建立安全状态的监测和日志审计。

结语

总而言之，电力监控系统中有非常多重要的信息，网络安全现有基于威胁特征感知的精确防御，在机理上属于“后天获得性免疫”，这种被动防御机制本身实际上已经成为网络空间日益明显的脆弱性。因此我们用主动性思维对网络空间尤其是关键基础设施领域的安全防护思路进行研究和探索，将内源性安全技术和安全设计融入到关键设备和系统中去，构建内生安全能力，并作为系统安全防护整体解决方案的有力补充，为有效提高安全防护效果提供积极的借鉴和参考。

参考文献

[1]徐恪,付松涛,李琦,等.互联网内生安全体系结构研究进展[J].计算机学报,2021,44(11):2149-2172.

[2]张通.沈昌祥:打造安全可信工业互联网主动免疫新生态[J].中国工业和信息化,2021,(11):52-55.

[3]罗兴国,仝青,张铮,等.拟态防御技术[J].中国工程科学,2019,18(6):69-73.

[4]刘建兵,王振欣,石永杰.主动安全网络架构设计[J].信息安全研究,2021,7(8):694-703.