摘要:本文对安全技术在电力通信信息网的应用进行了探讨,旨在为安全技术在电力通信信息网中的应用提供一些参考。
关键词:电力通信;数据网;安全技术
引言
随着我国电力系统的快速发展,电力二次系统的安全防护关系到整个电网的供电稳定和安全,对人们的生产生活有着重要的影响。如今网络安全问题愈演愈烈,对电力通信信息网的安全造成了很大的威胁。因此,必须应用相应的安全技术,对电力通信信息网的网络设备进行安全防护,保障电力通信信息网的平稳、安全运行。
一、影响电力通信信息网安全性的因素
1、操作不当引起的安全隐患
电力通信信息网是由专门人员进行管理的,因此在管理和操作的过程中也会存在一些安全隐患,对电力通信信息网造成威胁。特别是电力通信网的系统非常庞大,操作和管理起来有一定的困难。一些电力通信信息网的操作人员和管理人员安全意识薄弱,很多员工随意将账号信息告诉他人,在口令的选择上没有进行规范等,这些行为的背后都隐藏着安全隐患,一旦发生泄漏事件,则会给电力通信信息网带来很大的风险。
2、非授权访问引起的安全隐患
非授权访问,顾名思义就是在使用计算机资源或网络资源之前,并没有得到相应的授权。非授权访问的类型有很多,例如越权访问信息、擅自扩大访问权限、绕过系统访问机制来访问网络资源等。非授权网络可以通过非法用户、违法操作、身份攻击、身份假冒和合法用户越权访问等方式进行。非授权访问是电力通信信息网安全性的直接威胁。
3、数据破坏和信息泄露引起的安全隐患
业务数据被丢失或者泄露主要有:存储介质丢失或泄露、传输过程中的信息丢失或泄露、数据使用权被非法窃取、重要信息遭到删除或修改、应用系统设计时被插入了隐蔽通道或者后门。
4、配置和操作错误引起的安全隐患
在配置和操作之前,没有详细研究网络结构和配置,没有深入了解网络设备的功能,在日常操作中没有严格按照安全操作规范进行操作,都会对电力通信信息网络的安全带来隐患。
二、电力通信信息网安全技术应用
1、数字签名技术
数字签名和加密的基本工作模式很类似,只不过在签名时用自己的私钥加密而不是用对方的公钥。数字签名是指附加在数据单元上的一些数据,这种数据能使数据单元接受者确认数据单元的来源和数据的完整性,从而保护数据。一个数字签名只有签名者的私有信息(私钥)才能产生,它的主要方式是:
消息m的发送方用hash函数,如MD5算法对m进行处理,生成128bit的散列值一一MD5(m)。发送方用自己的私钥对MD5(m)进行加密,创造一个数字签名EA(MD5(m)),作为消息的附件和消息一起发送到接收方。接收方对接受的消息m’进行MD5散列计算,与接收的数字签名经过发送方公钥解密后的散列值DA(EA(MD5(m')))进行比较。如果两个散列值相同,那么就能确认该消息是发送方发出的。同时由于私钥的唯一性,可以防止发送方否认曾经发送过该消息。
数字签名能够保证数据完整性和不可否认性,将在电力市场决策支持系统中会得到广泛的应用。
2、加密技术
密码体制从原理上可以分为两类:对称密码体制和非对称密码体制。
在对称加密(或叫单密钥加密)中,只有一个密钥用来加密和解密信息。目前最常用的加密算法是DES,3DES、IDEA和RC-5,其加密系统的安全性主要在于密钥的安全性。
期刊文章分类查询,尽在期刊图书馆
一般地,对称加密由于其加密的开销很小,几乎不会影响生产控制类数据的实时性。
对称算法应用于大量数据的加密,速度上要比相同密钥长度的非对称算法快一个数量级左右,因此实时数据的加密必须采用对称加密算法。常用的加密算法有DES,IDEA和RC4,本文推荐使用标准长度的密钥,算法程序简单:DES有效密钥长度56bit,IDEA密钥长度128bit。最快速的算法是RC4,比DES算法要快10倍多,密钥长度40bit。常用的摘要算法有MD4,MD5和SHA等,实时数据加密过程中可采用MD4或MD5,两者的消息压缩输出为128bit。MD5比MD4复杂,且运算速度较慢,但安全性高,输入消息长度不限。
非对称加密(公钥体制)在加密的过程中使用一对密钥,其中用来向外公布的叫做公钥,另一半需要安全保护的是私钥。公钥可以任易地传播,私钥必须在用户手中小心保护。想从公钥推导出私钥在计算上是不可行的。拥有公钥的人可以加密信息却不能将其解密,只有拥有对应私钥的人才能解密信息。RSA是最常用的非对称密码体制,其它公钥体制还有Rabin,El Gamal椭圆曲线密码体制等等。非对称加密由于需要进行大数的模运算,非常耗时,但是其公用体制可以有效地避免密钥在传输过程中的问题。可以用来进行数据量小且安全性要求高的数据加密,比如握手、认证和加密传输对称密码密钥等。
非对称算法一般用于认证,通常使用RSA算法生成证书公钥信息。一般商业证书采用1024bit长度的密钥,可以保证在电力系统中认证的需要。
3、辅助网络安全措施
实时数据的加密传输方案是在已有的安全防护方案的基础上实现的,包括防火墙技术、VPN隧道安全通信、VLAN划分、路由器安全、查杀病毒技术和系统安全接入等技术。这些技术已经纳入计算机网络安全范畴,本文仅做简单的说明。
防火墙技术是数据网络的第一道防线,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。电力系统数据通信网络的防火墙对硬件性能要求较高,至少应该具有1Gbps以上的加密流量和NAT(地址翻译转换)能力,至少应该能够监控100000个会话连接。
虚拟专用网在Internet上实现了隧道技术、加密、密钥管理和身份认证技术,可以很好的保证准实时数据传输的安全性。但是用户必须通过VPN客户端软件才能接入,同时由于电力通信用户和设备分布情况比较复杂,搭建一个VPN平台比较困难。VPN比较适合简单、单一的应用,对大规模的电力信息系统数据通信来说,在技术和管理上过于复杂,成本也太高
VLAN(VirtualLAN,虚拟局域网),通常是路由器或交换机中划分。VLAN最主要的功能就是能够分割广播域,一个VLAN就是一个广播域。VLAN有4种:基于端口分组、基于MAC地址分组、基于协议分组、基于IP的分组。VLAN技术简单、易行,可以比较安全的划分开不同的数据流,在基于Ethernet的局域网有广泛的应用。
路由器、交换机安全属于网络管理的内容,是网管的工作,包括IOS设置、路由协议设置、链路协议设置、接口设置、VLAN设置和ACL设置等,这些内容在设备的用户操作说明中有详细的介绍。
系统的安全接入是指合法用户能且只能获得相应的接入权限,而非法用户不能接入系统。目前电力系统的高级应用软件的接入大部分都是采用用户一密码对的方式,而且通常都是以明文数据库的方式存放在系统的某一个目录下,也有进行一定程度的加密处理的,其安全性可想而知。本文建议,对应用软件的接入控制的密码管理应该统一到专门的密钥管理服务器。采用单点接入技术和用户授权管理,不仅可以大大的增强系统的安全性,还可以对用户活动进行日志记录。
结语
目前我国电网公司已经根据电网通信数据网安全性要求加大对安全性技术的研发力度,配套部署了部分安全防护型产品及安全防护技术,但是做好电力通信信息网的安全技术管理依然是任重而道远,需要我们付出不懈的努力。
参考文献:
[1]王晓英.电力通信信息网安全防护设计及实现[J].信息安全与通信保密,2012,06:76-77+80.
[2]缪胜.浅谈二次系统安全防护在电力通信信息网中的作用[J].电子制作,2013,18:98.
论文作者:熊毅平
论文发表刊物:《电力设备》2017年第30期
论文发表时间:2018/3/13
标签:密钥论文; 数据论文; 技术论文; 电力通信论文; 信息网论文; 算法论文; 数字签名论文; 《电力设备》2017年第30期论文;