电力网络安全防护原则精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的电力网络安全防护原则主题范文，仅供参考，欢迎阅读并收藏。

第1篇：电力网络安全防护原则范文

0 引言

电力二次系统安全防护工作是通过技术手段和管理措施做好监控系统及调度数据网络的安全传输，并保证电气量和监控实时数据免受攻击，实现各种电气设备可靠运行；总体目标是通过建立完善的电力二次系统安全防护体系，保证在正常的安全策略范围内系统能够安全可靠运行，即使受到攻击时也能够迅速恢复绝大部分功能，保证系统免受损坏，或者即使受到损坏也能尽快恢复来保证电网的安全运行。1 目前电力二次系统安全防护存在的问题

1.1 操作系统和网络防护措施单一

目前我国的电力系统安全防护措施主要是利用防火墙和网闸进行安全防护，这两种方式的共同点是按照系统提前设定的方式对电力系统参数进行匹配，达到控制网络信息流向和信息包的目的。但是这种防护方式，不能完全确保电力系统的网络安全性。加之，现今的网络信息防护技术的更新落后于黑客攻击的形式，在操作系统和网络防护方法相对单一的前提下，直接导致电力二次系统安全运行工作存在极大的风险。

1.2 电力系统内防水平低于外防水平

电力系统内防水平低于外防水平，也是电力系统安全防护中存在的问题之一。在电力系统的实际运行中，大多数的网络安全装置都是限制外部网络信息安全的。相对而言，企业的电力系统内部遭受攻击，而无法得到有效的解决。电力系统内防水平低于外防水平，已经逐渐影响了电力二次系统安全运行工作，并对提高电力二次系统安全运行水平造成了一定的负面影响。因此，为了确保电力二次系统安全运行工作，重视电力系统内防水平低于外防水平这一问题非常重要。

2 电力二次系统安全防护

2.1 安全防护分区的总体设计

电网调度、电厂和变电站的业务系统根据网络安全防护可分为生产控制区和管理信息区，生产控制区又分为实时控制区即安全区Ⅰ和非控制生产区即安全区Ⅱ，管理信息区可分为生产管理区即安全区Ⅲ和管理信息即安全区Ⅳ，如图1。

2.2 VLAN技术的应用

虚拟局域网是建立在LAN网基础上，对LAN工作站进行再次划分，其用途如下：

对多余的报文信息进行过滤防止扩散；根据功能划分组，对组之间信息进行过滤；提高网络传输的安全性。

2.3 MPLS-VPN技术的应用

MPLS-VPN技术就是把网络中的地址按照逻辑的不同分解成互相隔离的网络，用在解决企业之间互连或者提供新的业务，如：MPLS-VPN用在大型企业联网中，可以实现业务不同的子公司之间的系统进行隔离及互相访问，提升工作效率。

2.4 防病毒措施

电力二次系统本身具备防病毒控制措施，能及时发现网络的不安全因素和病毒的入侵并及时查杀，消除威胁系统的隐患。

2.5 电力数字证书技术

电力数字证书系统在公钥技术开发的分布式系统基础上发展起来的，专用于生产控制大区，只为电力监控系统及调度数据网上的重要用户和重要设备提供专用的网络服务，实现安全性较高的安全数据传输、身份认证以及行为审计。

电力系统的公钥技术是公钥密码技术与数据加密以及数字签名防护技术的融合应用在电力网络中。公钥加密技术和数字签名技术是公钥技术中最主要的安全技术，公钥加密技术是信息的保密性和访问控制电力系统数据网络的有效方法，而数字签名技术则在网络通信之前对信息相互认证的方法。

3 电力二次系统安全风险评估研究

3.1 安全防护的P2DR模型

安全防护工程是一个不断循环螺旋式前进的动态过程，以安全策略为核心的动态安全防护模型如图2所示。它是经过防护、检测、反应不断循环呈现螺旋上升趋势促使安全防护不断完善的。

3.2 风险评估

安全风险评估就是对电力二次系统防护所面临的危险、系统存在的薄弱环节、采取的安全策略进行综合分析来判断整个系统面临的危险因素。首先是系统自身存在的脆弱性，就是我们经常提到的系统漏洞或者后门，黑客或者病毒通过多次攻击或者尝试达到破坏系统或者窃取信息的目的，这种先天问题只能通过不断完善系统或者加装防护策略来避免。

3.3 风险评估意义及作用

通过对信息安全风险评估可以加强信息安全管理和强化网络安全策略同时能够发现信息安全存在的问题和漏洞，找到解决问题的办法。其意义如下：

风险评估的过程就是科学分析并确定风险并解决问题的过程，更是加强信息安全工作必须进行的步骤，是信息安全建设和安全管理的重要枢纽。

3.4 风险评估模式

信息安全评估可以有多种方式，根据评估方与被评估方的关系，我们以风险评估作为评估的核心和基础。

①强制性检查评估：强制性检查评估标准由国家评估委员会确立并组织相关部门根据已执行的评估法规或标准进行监督和检查，被评估单位只能由信息评估相关主管单位进行评估，具有强制性，单位自身不能进行干预，它是通过行政手段加强信息安全的重要手段。②自评估：信息系统评估单位把业务评估相关人员安排在一起对自己的信息系统开展的风险评估活动。自我评估由于是本单位自己开展的不涉及其他单位或部门，因此可以实现信息的保密性，提升参与单位成员的业务评估水平，降低风险评估的成本，增强单位的相关人员和信息安全知识的风险评估能力。然而，由于自我评估单位或上级领导部门或其他人员参与或保护思想的危害，导致风险评估结果不客观或评估结果信誉低，总之，评估单位经常开展自评估对整个信息系统安全存在较大的提升。③委托评估：委托评估是指被评估单位聘请具有风险评估能力或者资质的专业评估机构实施的评估活动。

第2篇：电力网络安全防护原则范文

关键词：电力；信息化；安全问题

1 电力系统网络信息安全的概述与现状分析

电力系统的信息安全不仅可以保障电力生产运行的安全性，还是电力企业对用户供电可靠性的重要保证。电力系统网络信息安全是一项涉及到电力的生产、经营和管理等多方面的系统工程，它控制着电力系统中电网调度自动化、继电保护装置自动化、配电网自动化、变电运行智能化、电力负荷控制、电力市场交易以及电力营销等环节性能的正常发挥。根据电力工业的特点，再结合电力工业信息网络系统和电力运行实时控制系统，对电力系统信息安全问题进行分析，发现许多电力系统中的信息工程没有建立一个完整的安全体系，只是以防病毒软件和防火墙来作为安全防护，有的甚至连信息安全防护设施也没有，从而给电力系统网络信息安全埋下了许多安全隐患。针对此现象，电力企业必须尽快对电力系统建立一个计算机信息安全体系以保护电力系统网络信息的安全。

2 电力企业网络信息安全问题概述

2.1 电力企业中信息化部门的建设不健全

在电力企业中，电力信息部门没有受到应有的重视，它既没有配备专门的机构设施，也没有设立专门的岗位进行作业，更没有规范的制度进行管理，从而根本无法满足电力系统信息化对人才和机构的要求。

2.2 电力企业的信息化管理还跟不上信息化发展的速度

信息技术在电力系统中的应用与发展已越来越广泛，然而电力企业针对电力信息化的管理还比较落后，无法跟上发展速度，从而导致信息系统的功能无法完全的发挥出来，对电力系统的作用也不尽如意。

2.3 电力企业安全文化建设中网络信息安全管理所处的地位不恰当

现在，信息安全管理在电力企业安全文化建设中仍然是处于从属地位，从而阻碍了信息安全在电力行业中的发展。因此，电力企业要重视信息安全管理的发展，使其成为企业安全文化的中坚力量。

2.4 电力企业网络信息安全中存在着多方面的风险

电力企业网络信息和其他的企业网络信息一样，存在着多方面的安全风险，例如：网络结构设计不合理的风险、来自互联网的信息干扰风险、来自企业内部的操作不当风险、病毒的侵害的风险、管理人员素质低风险、系统的安全风险等。

3 电力企业网络信息安全问题的原因分析

3.1 电力企业对网络信息安全防护的意识薄弱且管理不够

技术人员对电力系统网络信息的安全意识薄弱，经常性的忽视了对其安全性的管理与防护，并且电力企业更侧重于网络效应，对信息安全的重视还远远不够，管理和投入也达不到安全防范的要求。因此，电力企业的网络信息安全一直都处在被动的封堵漏涮状态。

3.2 电力企业中网络信息安全的运行管理机制不完善

现今我国电力行业中对电力系统的运行管理机制还存在着一些缺陷和不足，如网络安全管理方面的人才欠缺、网络信息安全防护措施的不完善及实施不到位、缺乏综合性的安全解决方案。

4 电力企业网络信息安全管理内容的介绍

4.1 网络信息安全风险的管理

对于网络信息安全风险的管理首先得识别企业的信息资产，再对威胁这些资产的风险进行预估与统计整理，最后假定这些风险的发生给企业所带来的灾难和损失进行评估，从而达到对风险实施降低、避免、转嫁等多种管理方式，为管理部门企业信息安全策略的制定奠定基础。

4.2 企业信息安全策略的制定

信息安全策略要作为电力企业安全管理的最高方针，它的制定必须由企业的高级管理部门进行审核通过，并要以书面文档的形式进行保存与企业员工之间的传阅。

4.3 企业员工的网络信息安全教育

信息安全意识和信息安全管理技能的培训是企业安全管理中的重要内容，其实施的力度将直接影响到企业安全策略的认知度和执行度。因此，电力企业的高级管理部门要对企业的各级管理人员、技术人员以及用户等多加开展安全教育活动，使他们能够详细的了解企业信息安全策略，并执行到位，从而有效的保证电力企业网络信息的安全。

5 电力企业网络信息安全问题的解决措施

5.1 加强电力系统网络信息的安全规化

企业网络安全规划的目的就是为了对网络的安全问题有一个全方位的认识与了解，培养人们能够以系统的观点去考虑与解决安全问题。因此，电力企业要加强对电力系统网络信息安全的规划，建立一套系统全面的信息安全管理体系，从而达到对网络信息安全的有效管理。

5.2 加强电力企业信息网络安全域的合理划分

电力企业的信息网络实施的是特理隔离法，因此在其内网上要加强安全域的合理划分。这就需要结合电力系统的整体安全规划和信息安全密级进行逻辑上的安全域划分，其一般划分为核心重点防范区域、一般防范区域和开放区域，其中的重点防范的区域是电力企业网络安全管理的中心部分。

5.3 加强企业信息安全管理制度的建立

电力企业网络信息安全的管理需有安全管理制度作为其基础与依据。因此，要加强对电力企业信息安全管理制度的建立并将其落实到位，例如，加强企业对网络信息安全的重视程度，加强网络安全基础设施和运行环境的建设，坚持安全为主、多人负责的管理原则，定期进行安全督导检查。另外，还需加强电力系统运行日志的管理与安全审计，建立一套企业内网的统一认证系统，以及建立一套适合电力企业的病毒防护体系等。

5.4 加强企业工作人员的网络信息安全教育

加强企业工作人员的网络信息安全教育对电力企业的信息化安全来说也十分重要。企业在开展网络信息安全教育工作时要注意其层次性，特定人员要进行特别的安全培训。对信息安全工作的高级负责人和各级管理员的安全教育工作重点是要加强他们对企业信息安全策略和目标的充分了解，加强他们对企业信息安全体系和企业安全管理制度的建立与编制工作的完成。对于信息安全运行的管理维护人员的教育工作则是要加强他们对信息安全管理策略的充分理解、安全评估基本方法的熟练掌握、安全操作和维护技术运用能力的大力提升。对于那些关键、特殊岗位的人员可以将他们送往专业机构进行专业特定的安全知识和技能的学习和培训。

6 结束语

电力网络信息安全的管理问题是一个全面系统的工程，网络上的任何一处风险都有可能导致整个电力网的安全问题，我们要用系统的观点进行电力网络安全问题的分析与解决。网络信息安全问题的解决可以利用行政法律手段和各种管理制度以及专业措施来进行，其中技术与管理相辅相成。电力系统网络信息安全问题的解决需建立一个有效的运行管理机制，加强网络风险的认知和人员安全意识的培训，将有效的安全管理贯彻落实到信息安全中来。另外，在电力企业中建立安全文化，并将网络信息安全管理在整个企业文化体系中贯彻落实好，使其成为中坚力量才是电力信息化安全问题的最基本解决办法。

参考文献

[1]周冰.电力信息化切入核心[J].信息系统工程，2003.

第3篇：电力网络安全防护原则范文

关键词：信息技术 电力信息系统 安全性

中图分类号：TM769 文献标识码：A 文章编号：1007-3973（2013）010-040-02

1 引言

电力系统在国民经济中的影响与日俱增，人们的日常生活已经与电力紧密相连，任何一处的电力系统的发生不稳定现象都将对该范围人们的生产生活产生重大的影响。伴随着信息技术的出现，电力监控系统逐步转化为分布式监控，每部分地区发生电力系统的不安全、不稳定现象，都能通过该系统进行监控，进而在最短时间内解决问题。随着电网规模的扩大、电力需求度的急速增长，各行业对电力系统的各方要求越来越高。信息技术的出现可以很好地对电网整体情形进行高效地控制，相比以往的配人值守等方式，准确性与安全性得到了很大的提高。利于信息技术可以把电力系统中分布遥远的发电厂、调度中心以及变电站等子系统紧密有序地联系起来，使电力系统的整体性更加稳定。信息化程度的深化，可以将电力中的调度业务和市场业务升级到因特网层面上，使业务处理显得更加灵活有序。然而，信息化技术的深入在充分提高电力效率、保持系统性能稳定等作出巨大贡献的同时，也对电网的系统网络安全产生了一定的影响。因此，本文以电力信息系统中的网络与信息安全防护为对象，全面分析电力信息系统安全风险及需求，提出了电力信息系统安全防护方案和改进措施。

2 电力信息系统安全体系现状

电力系统是一个与社会稳定、人民生活息息相关的复杂体系，保证期安全、稳定地运行是保证国民经济正常运行的基础。做好安全防护工作的内容通常包括以下几个方面，例如信息安全管理策略的运行、信息安全体系总体框架的建立、信息安全技术方案的研究及实施、总系统下的各有关子系统的安全故障排除等方面。2003年，电力信息网络的安全运行被国家电网正式纳入电力安全生产管理范畴，电力系统信息安全同时也被国家科技部列入国家信息安全示范工程之一，可见电力系统的网络安全问题也由此被相关部门所重视。2008年是电力系统经受了重重考验的时期，例如年初的雨雪冰冻灾害、5月发生了汶川大地震、8月举办了北京奥运会和残奥会等等。即使我国加大了在电网的现代化建设中引入信息化技术，但我国对电力系统安全性的研究相对而言尚处于发展探索阶段。电力系统的信息化现状主要体现在以下几个方面：

2.1 初步完成了信息化基础设施建设

信息技术在电力系统中广泛应用的背景下，我国初步完成了信息化电力系统的基础设施建设，同时，电力系统的各个子系统的管理水平得到了很大的提高，包括发电生产管理信息化水平、电网管理水平、企业管理水平等。电力信息基础设施的广泛建设，使得信息技术得到了飞速发展。以电力通信网为基础的调度数据网络系统、信息网络系统等已经初步形成，为电力的高效管理奠定了坚实的基础。信息技术的深入发展使得电力通信网已发展成为集光纤、卫星、数字微波等手段为一体的电力信息网络系统，覆盖了包括发电、输电、配电等多个环节。

2.2 独立自主地坚持了创新之路

纵观国内外电力系统信息化的发展历史，可以发现我国的电力系统信息化水平已经处于高速发展阶段。通过技术引进和自主开发，配电系统自动化领域总体达到国际先进水平，一些国际领先的、独立的研究的能源管理系统和其他关键控制系统已在电力电网调度系统中得到了广泛地应用。其中，SG186等多个应用系统平台、电力信息安全专用装置在开发完成之后，已经投入到实际运行当中，产生了巨大的经济效益。由此可见，我国在电力行业信息产业道路上取得了丰硕的成果。

2.3 信息安全技术取得了重大突破

由于电力系统逐步升级为自动化管理，信息在处理过程容易发生偏差，造成各种损失，因此，我国在信息安全方面加大了投入。经过多年的研究探索，电力信息安全取得了很大的进展，主要体现在以下几个方面：（1）基本完成了第一批电力企业信息系统的安全防护工作。（2）开展了以网络安全为主的电力行业信息安全的基础性工作。（3）初步建立了有关电力行业信息安全的法律法规，使信息安全逐渐变得合法化、规范化。（4）建立了电力行业网络与信息安全的管理制度，完善了信息安全责任体制。

3 电力系统信息安全的有关防护方案

由于信息系统安全是一个复杂的系统工程，且电力处于国民经济产业中的重要位置，更应系统地、全面地进行分析和把握，从全局角度加以设计和实施。按照安全风险类别及安全建设原则，电力信息系统的安全防护方案大致可分为以下几个方面：数据安全、系统安全、网络安全、物理安全等四个方面。

3.1 数据安全

数据安全的核心工作是做好数据的安全存储、信息鉴定、安全传输等三方面内容。信息安全存储是要保证企业业务安全运行的关键，日常生活中最安全、最有效的方法就是采用数据备份，一旦发生操作系统瘫痪、或者数据库系统的数据丢失等情形，备份的数据可以及时弥补。数据在传输过程中容易发生被非法窃取、篡改等威胁，信息鉴定技术可以保证数据完整。由于电力系统在国民经济生活中起着重要作用，因而其传输的都是重要信息，实际操作中可以结合传输加密技术实现数据的机密性。最后，信息传输安全主要指的是为了保护数据信息传输过程的安全。

3.2 系统安全

系统安全方案设计中主要包括安全评估、病毒防护、操作系统安全等三方面内容：（1）安全评估是为了减轻因系统的安全漏洞而导致的黑客攻击，安全评估系统可以有效地对系统进行扫描，搜索并修补安全漏洞，增强系统对网络攻击的防护能力。（2）病毒防护必须通过防病毒系统来实现。一个完整的防毒系统应该包含从网络、服务器、应用平台到桌面的多级结构，此种体系下才能有效地防治病毒，从而保证整个体系范围内病毒防护体系的有效性和完整性。（3）由于操作系统是整个安全系统的核心控制部位，因此要应该行之有效地进行防护，尽量采用安全性较高的操作系统，关闭存在安全隐患的程序和文件，严格限制用户使用权限，及时修补系统安全漏洞。

3.3 网络安全

网络安全方案设计中应该主要注意安全检测和网络结构安全两个方面：（1）作为防火墙的合理补充，安全检测须在内部核心部位配备入侵检测系统，以对抗来自系统系统内部和外部透过防火墙的各种攻击，在入侵检测系统和防火墙的共同作用下，可有效地减小系统的损害程度。（2）网络结构布局的合理布置也影响着网络的安全性。对于电力系统内部的各种联系，例如办公网络、业务网络和外单位互联网等接口之间应该设置保密程序，避免安全系数较低的其他网络对其构成威胁。

3.4 物理安全

一般意义上的物理安全主要指的是环境安全、设备安全、媒介安全等三个方面：（1）应注意环境安全保护，以确保电力系统的信息设备不因环境问题而出现故障。（2）加强设备的安全保护，防止发生设备被盗、损毁现象，也要限制设备防护人员的数量，限制设备出现损毁的客观条件。（3）媒介安全方案的设计主要是加强场地基础设施建设，严格制止信息通过辐射、线路截获等方式造成泄露。

4 电力系统信息化过程中的安全防护措施

由于电力系统信息安全是社会可靠供电的保障，因而需要严格控制。笔者根据多年从事电厂管理工作的经验，综合国内外学者的相关研究，提出以下几条措施建议：

4.1 加强安全管理

除了电力网络系统自身的不稳定因素外，内部的人为因素也占有很大比例。因此，加强内部的安全管理可减少人为风险的产生。具体措施如下：

（1）适时进行安全教育。安全知识和相关技能的教育是企业安全生产的保证，各个从业人员须了解并严格执行企业安全策略，并且防止重技术轻管理的倾向，加强对人员的管理和培训，否则无法建立一个真正安全的网络信息系统。

（2）建立安全管理制度。电力行业中，管理的各方面主要包括人员管理、机房管理、设备管理、技术资料管理、操作管理、应急事件管理、开发与维护管理等。

（3）完善安全技术规范。主要包括信息维护、数据保护、软件安全开发、数据备份规范等，保证后续电力信息系统的开发安全。

（4）建立安全保证体系。其中明确各有关部门的工作职责，包括落实责任制，实行信息安全责任追究制度。

4.2 加强防护措施

基于电力系统信息技术的防护措施应立足于风险可能发生的部位。主要包括以下几个方面：（1）加强数据防御，即保证数据在存储、使用过程中的完整性，同时也要保证系统出现意外故障时数据依然能够及时恢复。（2）完善系统自身物理防御，包括主机防御和边界防御，主要指的是对系统漏洞进行扫描、对主机加固，利用防火墙等安全设备来保护网络入口点等。（3）增强应用防御，因为应用程序中完整的应用开发安全规范可以实时控制应用程序的各种功能，在此基础上生产的产品可消除已知安全漏洞，因而风险最低。

以上几项措施的核心技术体现在以下几点：

（1）物理隔离。主要用于电力信息网不同区之间的隔离，由于其隐蔽性，使得该系统不易遭受攻击。

（2）数据备份。电力企业的数据需经常进行备份，建立企业数据备份中心，制定详尽的应用数据备份预案，从而保证信息系统的可用性和可靠性。

（3）网络防火墙。防火墙是用于将信任网络与非信任网络隔离的一种技术，它可以阻断攻击破坏行为，分权限合理享用信息资源。

5 结束语

随着信息技术在电力系统中的应用日益广泛，其风险问题的研究不容忽视的主题。本文通过分析了我国电力信息系统当前的现状和主要构成，综合已有学者及笔者自身从事电厂管理的经验，提出了包括管理措施和技术措施等两方面的措施建议，主要针对电力信息系统中存在的威胁系统安全的因素，提出合理化的建议，设立严格的安全管理制度，增强人员的技术水平和安全意识，以此保障电力信息系统的安全与稳定。

参考文献：

[1] 王建永.电力系统信息安全应用研究[J].硅谷，2008（12）.

[2] 谢翔.如何解决电力系统的信息安全问题[J].电力安全技术，2008，10（1）.

[3] 梁永华，谈顺涛.安全技术在地区电网计量计费系统中的应用[J].电网技术，2004，28（20）.

[4] 陈思勤.华能上海石洞口第二电厂实时系统安全分析及防护对策[J].电网技术，2004，28（11）.

[5] 余贻鑫，赵义术，刘辉，等.基于实用动态安全域的电力系统安全成本优化[J].中国电机工程学报，2004，24（6）.

第4篇：电力网络安全防护原则范文

工业控制系统是承担国家经济发展、维护社会安全稳定的重要基础设施，电力行业作为工业控制领域的重要组成部分，正面临着严峻的信息安全风险，亟需对目前的电力工业控制系统进行深入的风险分析。文章从电力终端、网络层、应用层、数据安全4个方面分别考察系统的信息安全风险，确定系统的典型威胁和漏洞，并针对性地提出了渗透验证技术和可信计算的防护方案，可有效增强工控系统抵御黑客病毒攻击时的防护能力，减少由于信息安全攻击所导致的系统破坏及设备损失。

关键词：

电力工业控制系统；信息安全；风险；防护方案

0引言

随着工业化和信息化的深度融合以及物联网的快速发展，工业控制系统（IndustrialControlSystem，ICS）获得了前所未有的飞速发展，并已成为关键基础设施的重要组成部分，广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造等行业中。调查发现，半数以上的企业没有对工控系统进行过升级和漏洞修补，部分企业的工控系统与内部管理系统、内网甚至互联网连接。此外，由于国内技术研发水平的限制，一些存在漏洞的国外工控产品依然在国内的重要装置上使用。伴随着信息化与电力工业[1-4]的深度融合，使得原本相对独立的智能电网系统越来越多地与企业管理网互联互通，电力系统的网络信息安全问题日益突出。工业控制网络[5-6]一旦出现特殊情况，后果将不堪设想，可能会对能源、交通、环境等造成直接影响，引发直接的人员伤亡和财产损失，重点行业的智能电网系统甚至关系到一个国家的经济命脉。“震网”、“棱镜门”以及乌克兰电力系统被攻击导致大范围停电等ICS安全事件，也预示了智能电网信息安全已经不再是简单的技术问题。对安全防护方案进行研究已经成为国家基础设施领域亟需解决的问题。

1国内外电力工业控制系统信息安全现状

美国很早就已在国家政策层面上关注工业控制系统信息安全问题，美国政府于近几年了一系列安全防护的战略部署，主要针对关键基础设施和工业控制系统的信息安全防护。美国国家研究理事会于2002年将控制系统攻击列入紧急关注事项，于2004年防护控制系统相关报告，2009年公布了国家基础设施保护计划，2011年了“实现能源供应系统信息安全路线图”等。除此之外，在国家层面上，美国还了两个国家级专项计划，用于保护工控系统的信息安全，包括能源部的国际测试床计划和国土安全部的控制系统安全计划。我国工业控制系统信息安全相关研究仍处于起步阶段，工业控制系统还不成熟，不同行业的安全防护水平参差不齐，安全防护能力不足，潜在的安全风险相当大。电力行业作为工业控制领域信息安全防护建设的先行者，已在信息安全防护建设方面积累了大量经验：电力企业在电力监控系统安全防护体系建设过程中始终坚持自主可控的原则，研究信息隔离与交换、纵向加密认证等多项专用安全防护技术，进而形成了多项信息安全行业技术规范和标准；针对关键产品进行自主研发，并统一组织进行严格测试，保证关键系统的安全自主可控；各电力企业相继建立了信息安全相关组织体系，建成了较为完善的信息安全管理制度，包括信息安全总体安全防护策略、管理办法、信息通报和应急处置制度，涵盖了信息安全活动的主要方面；总结形成了“安全分区、网络专用、横向隔离、纵向认证”的信息安全防护策略，建立了多技术层面的防护体系，做到了物理、网络、终端和数据的多角度、全方面保护。

2电力工业控制系统的概念和特点

电力工业控制系统主要由数据采集及监控系统（SupervisoryControlandDataAcquisition，SCADA）、分布式控制系统（DistributedControlSystem，DCS）以及其他配置在关键基础设施上的控制系统如可编程逻辑控制器（ProgrammableLogicController，PLC）等组成，具有实时性、可靠性、分布性、系统性等特点。SCADA系统的主要功能是采集通信和遥测数据，下发遥控和调度命令，多用于输电调度、变电站及发电厂监控、电力市场运营、用电信息采集及配电自动化系统等[7-8]。电力工业控制系统涉及的电力、信息和业务高度统一。电力的传输过程包括：电厂发电、线路输电、变压器变电、用户配电及用电组成，电力通信网络己经覆盖了电力控制系统的各个环节，在控制原则上采用“安全分区、网络专用、物理隔离、纵向认证”的方式，且具有以下特点。1）系统响应速度快。电力工业控制系统与传统工业系统相比，不允许出现过大的延迟和系统震荡，响应必须准时可靠，以应付现场不同的工控情况。2）系统威胁源更多。如恐怖组织、工业间谍、恶意入侵者等，攻击者通过多种形式的网络攻击对工控系统网络进行破坏和入侵，包括后门攻击、IP碎片攻击、畸形包攻击、DoS攻击、暴力破解、通信抓包等，一旦攻破工控系统的安全防线，将会对工业通信网络和基础设施造成严重破坏。3）系统数据量大。电力工业控制系统涉及大量电力数据的采集、传输以及信息共享，包括系统的输变电参量、用电终端的用电量等，需要通过这些实时信息来确保电力调度的精确、快速。

3影响电力工业控制系统信息安全的风险分析

3.1电力终端的风险分析

与传统信息控制系统相比，电力工业控制系统的安全防护主要集中在终端生产设备及其操作过程。终端生产设备（如PLC、操作员工作站、工程师操作站等）作为电力系统最终的控制单元，直接控制生产运行，监控系统的运行数据信息。终端服务器的安全是计算机设备在操作系统及数据库系统层面的安全[9]。在电力工控系统网络中，缺乏合适的终端物理安全防护方法。地震、强风、暴雨等自然灾害是影响信息系统物理安全的重大威胁，易造成设备损毁、网络瘫痪、数据丢失等工业事故。除此之外，由于接地不良引起的静电干扰以及电磁干扰也会造成系统不稳定，同时机房安全设施自动化水平低，不能有效监控环境和信息系统工作状况。终端部署位置要谨慎考量，安排在高层时存在消防不易达、雨水渗透等安全隐患，部署在地下则易出现水蒸气结露、内涝、积水等隐患。工控系统应设置避雷装置，雷电容易引起强电流或高电压，极易击穿电子元件，使设备直接损毁或瘫痪。另一方面，电力设备的损坏、检修、改造等都可能导致外部电力供应中断，电力供应的突然中断除了会造成系统服务停止外，还有可能产生电力波动，如果控制系统不能把电力波动的范围控制在10%内，或没有部署稳压器和过电压保护设备，极有可能对系统电子设备带来严重的物理破坏。强电电缆和通信线在并行铺设时，可能会产生感应电流和干扰信号，极易导致通信线缆中传输的数据信息被破坏或无法识别。除了电磁干扰之外，还应防止设备寄生耦合干扰，设备耦合干扰会直接影响工控设备的性能，使得无法准确量测或采集当前信息。

3.2网络风险分析

建立安全的网络环境是保障系统信息安全的重要部分，因此必须对工控网络进行全面深入的风险分析。信息网络的安全稳定可以保障工控设备的安全运行，为企业提供可靠、有效的网络服务，确保数据传输的安全性、完整性和可用性。对于电力工业控制系统内的网络基础设施环境，基于业务和操作要求常有变动，且通常很少考虑潜在的环境变化可能会造成的安全影响，随着时间的推移，安全漏洞可能已经深入部分基础设施，有的漏洞可能通过后门连接到工控系统，严重威胁到工业控制系统的稳定运行[10]。由于安全设备配置不当，防火墙规则和路由器配置不当也易造成通信端风险。缺乏正确配置的防火墙可能允许不必要的网络数据传递，如在控制网和企业网之间的数据传输，可能导致对系统网络的恶意攻击和恶意软件的传播，敏感数据容易受到监听；网络设备的配置应进行存储或备份，在发生意外事故或配置更改时，可以通过程序恢复网络设备的配置来维持系统的可用性，防止数据丢失；若数据在传输过程中不进行加密或加密等级不够，极易被窃听或拦截，使得工控系统受到监视；另外，在通信过程中使用的通信协议通常很少或根本没有内置的安全功能，导致电力工控系统存在极大的安全风险。电力工控系统本身对可靠性、稳定性及兼容性的要求都很高，如果发生破坏或安全事故，造成的国民经济损失将不可估量。

3.3应用风险分析

应用层运行着工控系统的各类应用，包括网络应用以及特定的业务应用，如电子商务、电子政务等。对应用风险进行分析就是保护系统各种业务的应用程序能够安全运行。很多电力工控设备没有身份验证机制，即使有，多数也为设备厂商默认的用户名和密码，极易被猜出或破解，通常不会定期进行密码更换，风险极大。同时要防止应用系统的资源（如文件、数据库表等）被越权使用的风险。对关键部件缺乏冗余配置，导致应用程序对故障的检测能力、处理能力、恢复能力不足，缺乏对程序界面输入格式的验证以及注入攻击的验证，如SQL注入攻击等，系统面临暴露数据库的风险。

3.4数据安全风险分析

虽然电力系统内外网已进行了物理隔离，但在管理信息大区中积累了大量的电力敏感数据，如电力市场的营销数据、居民用电数据、电力企业财务报表、人力资源数据等，内部人员、运维人员或程序开发人员过多地对电力数据库进行访问，易造成这些敏感数据的泄露或被篡改。当前数据库中，不仅仅包含用电数据，居民的个人信息也都存储在内，居民的人身财产风险越来越大。电网资源、调度、运维、检修等数据容易被批量查询，进而导出敏感信息，缺少对敏感字符的过滤将带来极大的风险。这些电力数据往往缺乏定期备份，如果人为误操作或删除、更改数据，或者数据库本身发生故障、宕机、服务器硬件故障，数据易丢失。

险应对方案

针对电力工控系统面临的安全风险，可首先采用渗透技术模拟黑客攻击，在完成对工控系统信息收集的基础上，使用漏洞扫描技术，以检测出的漏洞为节点进行攻击，以此来验证系统的防御功能是否有效。当发现系统存在漏洞或安全风险时，应主动采取安全防护措施，使用可信计算技术以及安全监测技术抵御来自系统外部的恶意攻击，建立工控系统安全可靠的防护体系。

4.1渗透验证技术

4.1.1信息收集

1）公共信息采集首先分析网站的结构，查看源文件中隐藏的连接、注释内容、JS文件；查看系统开放的端口和服务；暴力探测敏感目录和文件，收集网站所属企业的信息，采用的手段包括查询DNS、查询Whois信息、社会工程学等。2）使用搜索引擎目前比较常用的搜索引擎为GoogleHacking，其搜索关键字符的能力非常强大，例如：①Intext字符：可用于正文检索，适用于搜索较为明确的目标，使用某个字符作为搜索条件，例如可以在Google的搜索框中输入:intext:工控，搜索结果将显示所有正文部分包含“工控”的网页；②Filetype字符：可以限定查询词出现在指定的文档中，搜索指定类型的文件，例如输入:filetype:xls.将返回所有excel文件的URL，可以方便地找到系统的文档资料；③Inurl字符：Inurl字符功能非常强大，可以直接从网站的网址挖掘信息，准确地找到需要的信息及敏感内容，例如输入:inurl:industry可以搜索所有包含industry这个关键词的网站。

4.1.2漏洞扫描

漏洞扫描是指通过手动输入指令或使用自动化工具对系统的终端通信及控制网络进行安全检测。1）使用基于主机的漏洞扫描技术对系统终端进行检测。基于主机的漏洞扫描器由管理器、控制台和组成。漏洞扫描器采用被动、非破坏性的检测手段对主机系统的内核、文件属性、系统补丁等可能出现的漏洞进行扫描。管理器直接运行在网络环境中，负责整个扫描过程；控制台安装在终端主机中，显示扫描漏洞的报告；安装在目标主机系统中，执行扫描任务。这种扫描方式扩展性强，只需增加扫描器的就可以扩大扫描的范围；利用一个集中的服务器统一对扫描任务进行控制，实现漏洞扫描管理的集中化，可以很好地用于电动汽车充电桩、自动缴费机、变电站系统及用电信息采集等终端上。2）利用特定的脚本进行扫描，以此判断电力系统是否存在网络中断、阻塞或延迟等现象，以及严重时是否会出现系统崩溃；另一方面，漏洞扫描还可以针对已知的网络安全漏洞进行检测，查明系统网络端口是否暴露、是否存在木马后门攻击、DoS攻击是否成立、SQL注入等常见漏洞及注入点是否存在、检测通信协议是否加密等。3）考虑到需要对系统具体应用的漏洞状态进行检测，因此可由前台程序提供当前系统应用的具体信息与漏洞状态，由后台程序进行具体的监听及检测，并及时调用漏洞检测引擎。需要注意的是，在电力生产大区中，尤其是安全I区中，为了避免影响到系统的稳定性，一般不使用漏洞扫描，具体防护方式需要根据安全要求而定。

4.1.3渗透攻击验证

1）暴力破解。暴力破解是指通过穷举不同的用户名及密码组合来获得合法的登录身份，只要密码不超过破译的长度范围，在一定时间内是能够破解出来的，但破解速度过慢，是效率很低的一种攻击方式，并且攻击不当可能会造成系统的过载，使登录无法被响应。此外，如果系统限制了登录次数，那么暴力破解的成功率则会非常低。2）DoS攻击。DoS攻击即拒绝服务，指的是通过耗尽目标的资源或内存来发现系统存在的漏洞和风险点，使计算机或网络无法正常提供服务。这种攻击会使系统停止响应或崩溃，直接导致控制设备宕机。攻击手段包括计算机网络带宽攻击和连通性攻击、资源过载攻击、洪水攻击、半开放SYN攻击、编外攻击等，其根本目的都是使系统主机或网络无法及时接受和处理请求信息，具体表现为主机无法实现通信或一直处于挂机状态，严重时甚至直接导致死机。

4.2安全防护技术

4.2.1可信计算技术

可信计算技术[12-14]是基于硬件安全模块支持下的可信计算平台实现的，已广泛应用于安全防护系统中。国际可信计算组织提出了TPM（TrustedPlatformModule）规范，希望成为操作系统硬件和软件可信赖的相关标准和规范。可信计算从微机芯片、主板、硬件结构、BIOS等软硬件底层出发，在硬件层为平台嵌入一个规范化且基于密码技术的安全模块，基于模块的安全功能，建立一个由安全存储、可信根和信任链组成的保护机制，从网络、应用、数据库等方面实现可信计算的安全目标。在保证主机系统信息安全的前提下，为企业提供安全可靠的防护系统。TPM芯片包含CPU、RAM、算法加速器等，应用时首先验证系统的初始化条件是否满足，然后在启动BIOS之前依次验证BIOS和操作系统的完整性，只有在确定BIOS没有被修改的情况下才可启动BIOS，然后利用TPM安全芯片内的加密模块验证其他底层固件，只有平台的可靠性认证、用户身份认证、数字签名以及全面加密硬盘等所有验证全部通过后，整个计算机系统才能正常启动。构建软硬件完整信任链是建立可信环境服务平台的关键。可信工控环境由以下几个模块组成：可信工控模块、度量信任根、验证信任根。可信工控模块是可信服务平台功能架构的核心，作为工控系统的信任根，主要用来存储信任根和报告信任根的作用，并为系统其他组件提供存储保护功能；度量信任根以及验证信任根利用可信工控模块提供的安全环境及保护机制实现相应的验证和度量功能。要构建可信工控安全环境，首先要加载度量信任根和验证信任根，并与可信工控模块中的完整性证书相匹配，完成对自身系统的安全诊断；然后对度量验证的完整性进行度量，将实际度量值与参考证书中的值进行比较，度量通过后将执行控制权交给度量验证，度量验证对操作系统进行度量、验证以及存储；最后通过与标准值的对比来验证工控系统相应设备引擎、通信引擎、应用引擎的运行是否可信。工控可信服务平台从硬件到软件的完整信任链传递为：系统启动后首先执行固化在ROM里的安全引导程序，该程序通过ARM硬件技术确保不会被篡改；然后，由安全引导程序计算安全区操作系统内核的RIM值，并与其对应的RIM值进行比较，验证通过则加载操作系统，并将控制权传递给可信工控模块；可信工控模块对安全区应用层进行进程验证，即加载初始进程、可信工控模块主进程及相应的辅助进程等的RIM值进行比较验证；最后，可信工控模块对非安全区域的程序进行初始化，如操作系统、可信应用程序等，对其RIM值进行比较验证。

4.2.2安全监测技术

安全监测技术[15-19]是指通过全面、丰富的数据采集，对信息进行分析和预处理，解析监控得到的数据，并与设定参数进行比对，根据结果采用相应的防护策略对系统进行全面监管。针对目前电力工控系统存在的安全风险，基于对工控网络数据的采集和协议分析，可使用数据分析算法提前处理安全威胁，使针对工控网络及关键设备的攻击得到有效监管和处理。1）数据采集。电力工控系统的数据采集不同于一般的IT系统，需要在保障系统稳定运行的前提下进行，不能因为操作不当造成链路堵塞。根据采集方式的不同可以将数据采集分为3类：通过采集采集数据、通过协议直接采集、通过抓包工具获取数据。一般来说，需要采集的信息为防火墙、路由器、交换机、IDS/IPS、网络审计设备、正/反向隔离装置以及纵向加密认证装置的具体数据，包括IP地址、MAC地址、出厂型号、配置信息、用户管理信息、权限等级设置等。除此之外，还应对含有攻击信息的数据进行监测，包括DoS攻击、重复扫描攻击、数据包攻击等。抓包分析是指使用抓包工具抓取协议数据包，再利用相关协议和规范对抓取的数据包进行解析。2）数据处理。数据处理主要是对采集到的数据和工控协议数据包进行解析和处理，剔除不需要的多余数据和垃圾数据，将与安全事件相关的数据从中选取出来，如配电自动化等业务的上传数据、下载数据，电力数据流量信息和电压、电流参数信息等，对采集到的数据进行关联分析，对分析得到的威胁进行确认，并对结果进行二次过滤，最后将解析得到的数据使用统一格式保存，用于后续的风险监测。3）构建安全监测系统。安全监测系统基于以上数据分析，设定监测参数的阈值，通过监测数据及操作的一致性来实现对工控系统的异常监控、运行管理、配电网分析等。当工控系统中的流量遭到非法抓包或者系统指令遭到恶意篡改时，应及时对数据进行过滤并发出告警信息，具体流程为：基于函数库编写相关脚本程序，抓取网络数据包；按照工控协议和标准对数据参数进行解析；根据监测系统的安全等级要求，设置系统的风险阈值；将解析得到的参数与设置的阈值相比较。电力工业控制系统采用安全监测技术，针对工业控制网络中出现的数据及进行的操作，采用网络抓包、数据分析及参数比对的方式进行风险监测与分析，对工控系统信息安全风险中典型的指令篡改、畸形数据包和异常流量等安全威胁进行全面监测。

5结语

随着工业化和信息化的发展和融合，电力工业信息化的趋势已不可阻挡，保障系统信息安全是维护电力工业控制系统稳定运行的重要前提，是开展电力工业建设的坚实基础。针对相应的工控安全需求及系统运行状况，选择合适的安全防护技术，全方位地对电力工业控制系统的风险进行分析和考察，才能确保电力网络的安全、可靠，减少由于信息安全风险造成的设备损失。

作者：张盛杰 顾昊旻 李祉岐 应欢 单位：中国电力科学研究院 安徽南瑞继远软件有限公司 北京国电通网络技术有限公司

参考文献：

[1]邹春明,郑志千,刘智勇,等.电力二次安全防护技术在工业控制系统中的应用[J].电网技术,2013,37(11):3227-3232.

[2]李鸿培,忽朝俭,王晓鹏,等.工业控制系统的安全研究与实践[J].计算机安全,2014(5):36-59,62.

[3]李文武,游文霞,王先培,等.电力系统信息安全研究综述[J].电力系统保护与控制,2011,39(10):140-147.

[4]王继业,孟坤,曹军威,等.能源互联网信息技术研究综述[J].计算机研究与发展,2015,52(5):1109-1126.

[5]王刚军.电力信息安全的监控与分析[J].电网技术,2004,28(9):50-53.

[6]王保义.电力信息系统信息安全关键技术的研究[D].保定:华北电力大学,2009.

[7]王栋.新一代电力信息网络安全架构的思考[J].电力系统自动化,2016,40(2):6-11.

[8]党林.电力企业网络病毒防御方案分析[J].科技传播,2012(7):175-176.

[9],秦浩.防病毒系统在青海电力调度数据网中的设计与应用[J].青海电力,2012,31(3):61-63.

[10]高昆仑,赵保华.全球能源互联网环境下可信计算技术研究与应用探讨[J].智能电网,2015,3(12):1103-1107.

[11]王欢欢.工控系统漏洞扫描技术的研究[D].北京:北京邮电大学,2015.

[12]张向宏,耿贵宁.基于可信计算的工业控制安全体系架构研究[J].保密科学技术,2014(8):4-13.

[14]周晓敏,李璇,黄双.工业控制系统信息安全仿真平台的设计与实现[J].可编程控制器与工厂自动化,2015(4):35-40.

[15]彭勇,江常青,谢丰,等.工业控制系统信息安全研究进展[C]//信息安全漏洞分析与风险评估大会,2012.

[17]俞海国,马先,徐有蕊,等.电网工业控制系统安全威胁监测系统设计及应用[J].电力信息与通信技术,2016,14(7):76-80.

第5篇：电力网络安全防护原则范文

电力二次系统是指各级电力监控系统和调度数据网络以及各级管理信息系统和电力数据通信网络构成的大系统，也是电力异构二元复合网络的关键节点。当电力信息网受到有意或者无意攻击时，信息网的故障可能会通过电力二次系统穿越信息网边界，波及电力物理网，进而导致故障在电力网出现连锁反应，在一些极端情况下，故障在两者之间交替传播，严重威胁电网安全运行。

随着电力二次系统安全防护系统工作的深入开展，众多学者在安全防护体系方面做了大量的研究工作。然而，现行支撑电力信息网的电力二次系统都具有自己的安全防护体系，对用户身份认证、资源授权、安全审计、用户管理等难以统一。一方面，当用户角色以及资源需要改变时，电力公司业务运作变得不够顺畅，导致业务流程被割裂，需要过多的人工介入，效率下降，数据一致性降低，使电力二次应用系统失去了应有的作用。另外一方面，安全防护体系公钥算法大多采用RSA算法。随着全球范围内密码技术的发展和计算能力的提升，现有的基于1024bit的RSA算法的密码体系已不能满足当前和今后的安全应用需求，尽管增加RSA算法密钥长度可以提高原有系统的安全性，但是密钥长度的增加会导致加解密速度降低、硬件实现复杂、基于RSA的传输协议在实际应用中存在不可忽视的时延，影响了服务质量，除此之外，欧美等国也限制密钥长度大于1024bit的RSA程序出口。全面采用国产通用算法，这是国家的要求，建立和发展基于国产通用算法的商用密码支撑体系和应用体系是关系国家信息安全的重要措施。2011年国家密码管理局下发了《关于做好公钥密码算法升级工作的函》(国家密码管理局函〔2011〕7号），规定2011年7月1曰以后投入运行并使用公钥密码的信息系统应使用SM2算法；同时，规定从2011年2月28日起在建和拟建公钥密码基础设施的电子认证系统和密钥管理系统应使用SM2算法，新研制的含有公钥密码算法的商用密码产品必须支持SM2算法，实现SM2算法逐步取代RSA算法，建立基于国产算法的密码支撑体系。因此，针对电力公司这种关系国计民生、社会稳定的企业，更加需要采用国产算法密码支撑体系，增强电力信息网的安全，防止有害信息和恶意攻击对电力网的干扰而引发的重大生产事故，保证电力生产和调度自动化系统的安全运行。

为此，本文提出了一种基于SM2算法密码体系的安全支撑平台的设计和实现方案。由于当前处于RSA算法向SM2算法过渡的时期，为了节约用户的硬件投资，减少系统的管理工作量，该平台同时支持RSA和SM2两种算法的密码体系混合使用，这样既不影响现有的业务，又可以满足政策的要求，并逐步淘汰RSA算法的密码体系，最终符合国家密码管理局密码管理规范的要求。基于该方案设计开发的安全支撑平台已经在某省级电网成功投入应用。

1椭圆曲线加密

椭圆曲线密码学(ellipticcurvecryptography，ECC)是基于椭圆曲线离散对数问题的一种公钥密码算法，国产SM2算法是具有中国自主知识产权并由国家密码管理局的公钥密码算法，是ECC算法的一种。相对于RSA算法，SM2算法具有以下优点:①安全性能提高，160bit的SM2算法的安全性与1024bit的RSA算法相当，而210bit的SM2算法的安全性则与2048bit的RSA算法相当在速度方面，不论是在密钥生成、认证及密钥协商方面，SM2算法相比RSA算法都有非常突出的优势；③存储空间小，SM2算法的密码一般为192〜256bit，RSA算法的密码一般需要为1024〜096bit；©国产算法，无国外可利用的后门。SM2算法和RSA算法的安全性能和速度性能如表1和表2所示，其中破译所需时间的单位年表示运算速度为106次/s的计算机连续运行一年。

    

为了提高电力二次系统认证平台的安全性，现行的及下一代认证平台和密钥管理系统必须使用国产SM2算法。下文涉及的加密设备（USBKey及加密卡）中都内置SM2算法，实现对用户身份的认证，杜绝密钥在客户端内存中出现的可能性。

2安全支撑平台的设计

针对电力二次系统缺乏集中管理和审计，本文设计了一种安全支撑平台，通过在电力二次系统之前部署一个这样的安全支撑平台作为应用网关，由平台提供安全可靠的身份认证、严格有效的访问控制与权限管理以及进行安全审计日志记录，并对用户信息及系统资源进行管理等功能。安全支撑平台系统结构和部署如图1所示。图中所示的轻量目录访问协议（LDAP)数据库用来存取用户信息和访问控制策略信息；①，②，③分别表示可信的第三方证书授权中心（CA)为用户、管理员和安全支撑平台颁发公钥证书；©表示安全支撑平台身份认证模块查询用户信息；⑤表示安全支撑平台授权管理模块查询用户角色信息表示安全支撑平台安全审计模块查询用户访问日志信息；⑦表示安全支撑平台资源管理模块查询电力二次系统的资源域等相关信息。用户通过电力信息网访问电力二次系统应用服务时，首先要通过安全支撑平台的身份认证并根据用户角色确定其访问权限后，才能访问相应的电力二次系统应用服务。系统管理员通过电力信息网来配置安全支撑平台和用户信息，完成添加、删除用户等操作，第三方CA为用户、管理员和服务器颁发公钥数字证书（PKC)，并提供证书撤销列表（CRL)服务。LDAP数据库一方面为安全支撑平台提供用户信息和访问控制策略，另一方面实时更新CRL以确保用户身份的有效性。MySQL数据库一方面存储审计日志以及各个电力二次系统应用授权码等相关信息，另一方面实时更新应用授权码等信息，确保电力二次系统与用户身份映射的有效性。

安全支撑平台应用WebServices技术将身份认证、授权管理、安全审计及用户管理等功能封装为Web服务，利用LDAP数据库存储的用户身份、角色和访问控制等信息和MySQL数据库存储安全审计曰志以及各个电力应用系统的信息，方便电力二次应用系统的整合集成调用，从而实现统一认证、统一管理、统一授权和统一审计。

3安全支撑平台中SM2算法的应用

3.1 存在的问题

上述构建的安全支撑平台要支持国家商用SM2算法的数字证书，需要考虑两个方面的内容，即电力公司的公钥基础设施（PKI)系统是否可以发放支持SM2算法的数字证书，以及电力二次应用系统是否可以使用支持国家商用SM2算法的数字证书。对于是否可以发放支持国家商用SM2算法的数字证书，主要与可信第三方CA中心关联；对于是否可以使用支持国家商用SM2算法的数字证书，主要与数字证书和电力系统应用业务的整合集成相关。

1) 电力公司PKI系统是否可以发放支持SM2算法的数字证书。目前根据国家商用密码建设来看，支持SM2椭圆曲线算法的加密卡和USBKey以及加密设备的标准调用接口、证书格式等相关的标准规范基本制定完成，对于发放支持SM2椭圆曲线算法的数字证书的条件已完全具备。

2) 电力二次系统是否可以使用支持国家商用SM2算法的数字证书。现有基于RSA算法的安全支撑平台与电力应用系统集成整合，可以细分为客户端和服务器端两个部分：①对于客户端而言，应用环境是基于浏览器/服务器（B/S)架构，用户通过IE浏览器访问系统资源时，通过调用Microsoft定义的加密应用程序接口（CryptoAPI)调用加密服务提供者（CSP)组件接口，对客户端USBKey硬件加密设备进行调用，实现客户端的加密、解密、签名、验证等操作丨②对于服务器端（安全支撑平台或电力二次应用系统）而言，其Web服务器（例如Apache、互联网信息服务（IIS)等）可以通过安全套接层（SSL)协议与客户端实现传输信息的加解密，间接地实现身份认证，服务器一般调用标准的PKCS#11接口实现硬件加密卡的访问，提供加密、解密、签名、验证的服务。然而CSP和PKCS#11两类标准的接口中每个密码算法均是以国际标准化组织（ISO)建立的对象标识符（OID)值来进行区分，应用系统通过传递不同的OID值对不同的密码算法进行应用。因为国家密码管理局颁布的SM2算法是中国自有算法，加之Microsoft的Windows操作系统的垄断，SM2算法还没有被CSP和PKCS#11等标准接口包容，电力二次应用系统无法利用SSL安全传输通道传递算法OID值的方式实现对SM2算法的调用，使得支持SM2算法的数字证书无法直接在上述应用环境中使用，进而给现有安全支撑平台升级实现SM2算法带来了相应的困难。

    3.2 解决方案

电力二次系统业务资源需要操作系统作支撑，然而主流的办公操作系统是Microsoft的Windows操作系统。Windows操作系统目前还不支持SM2算法数字证书的OID值，所以要求Windows操作系统支持中国颁布的SM2算法数字证书，使SM2算法数字证书得到全面的应用还比较困难。针对SM2算法数字证书的特殊性，结合对原有数字证书系统进行少量代码改造的原则，在客户端通过国家密码局颁发的加密设备应用接口规范实现客户端USBKey的调用，通过浏览器插件的方式实现接口包的下载，而不再借助Microsoft的CSP接口或国际PKCS#11标准接口。在服务器端，因为SSL协议不支持SM2算法，如果安全传输通道继续采用SSL协议，需要而且只能对OpenSSL(支持SSL协议的一种开源软件库）进行改造，虽然通过改造OpenSSL可以实现安全支撑平台升级SM2算法数字证书，但是会带来以下两个问题。

1) 改造OpenSSL需要修改大量源代码，工程量极大，而且这种方案只针对Apache架构的服务器，对IIS服务器或者其他服务器不适用。

2) 基于SM2算法的加密卡是国家密码管理局制定的接口标准，OpenSSL需要调用PKCS拈11标准接口的加密设备，因此，需要对加密接口进行相应的转换，需要相应组件对加密设备进行调用。

鉴于上述情况，加密通道不采用标准的SSL协议实现，而是基于组件技术自行设计安全传输通道，实现现有的安全支撑平台升级支持SM2算法。通过这种改变调用的方式，从而使电力应用系统可以使用SM2椭圆曲线算法的数字证书。

基于组件的开发技术是以嵌入后可立即使用的即插即用型概念为核心，以可重用为目的设计、封装的软件技术。通过采用安全组件技术改变对加密设备的调用方式，完成电力二次应用系统的PKI系统升级，实现SM2算法的数字证书。下面重点介绍客户端、应用系统及安全支撑平台部署相关安全组件的设计。

3.2.1客户端的iMidWare安全组件

iMidWare安全组件主要实现对SJK1134型USBKey进行调用完成用户身份认证，主要功能包括:建立用户端与平台的可信会话，管理用户认证会话及重定向，实现对加密设备的访问。

客户端部署iMidWare安全组件之后，客户端如图2所示包括SJK1134型USBKey和iMidWare安全组件、浏览器。

3.2.2电力二次应用系统的iAccount安全组件

iAccount安全组件主要实现对SJK0817-B型加密卡调用和对访问用户进行身份认证。iAccount组件为各种电力二次应用系统提供安全可靠的应用接入开发接口，是实现各种异构电力二次应用信息系统的基础。iAccount组件主要实现建立电力应用服务器与安全支撑平台的可信加密通信，管理用户认证会话及重定向，维护用户认证用户信息，为电力应用系统提供安全审计接口及资源授权接口。

系统管理员将电力应用服务资源映射成应用授权码，并将应用授权码存储于安全支撑平台及电力二次应用系统中，当用户对服务发起访问时，Account组件通过资源授权接口将应用授权码传递给安全支撑平台进行验证，确保授权用户能合法访问。

电力二次应用系统部署iAccount安全组件之后，电力二次应用系统如图3所示，包括SJK0817-B型加密卡、iAccount安全组件、电力二次应用系统Web服务资源。

3.2.3安全支撑平台及iServer安全组件

iServer组件是Web服务提供者对服务请求者的身份验证的接口程序，是一个能够处理用户访问的底层服务程序模块，主要实现处理用户对计算机或网络资源访问的请求，对用户身份和操作授权进行验证，通过检索资源授权库来决定用户的资源访问权限，同时对用户在电力应用系统中的活动进行行为记录。

部署iServer安全组件之后，安全支撑平台如图4所示，包括SJK0817-B型加密卡、iServer安全组件、核心服务模块。核心服务模块除了包括AAAA服务引擎之外，还包括支撑服务程序。支撑服务程序是其他基本功能模块的安全控制程序，负责其他模块之间的调度，同时又是远程网络安全访问的提供者。

3.3安全支撑平台的升级

采用SM2算法的安全支撑平台进行单点登录设计时，通过客户端浏览器部署iMidWare组件，安全支撑平台部署iServer组件，电力二次应用系统部署iAccount组件，实现自行设计安全传输通道替换原有安全支撑平台两个链路上的SSL协议加密通道，完成安全支撑平台升级，支持SM2算法数字证书。

1) 安全支撑平台与客户端的安全传输通道。客户端通过iMidWare组件和统一安全支撑平台Server组件，替换这条链路上的SSL协议加密通道。两者在安全传输通道进行双向身份认证，安全支撑平台将根据当前用户会话信息、用户基本信息、随机序列值等生成一次性凭证票据，由安全支撑平台证书签名后传递给用户端iMidWare安全组件。

2) 安全支撑平台与电力应用系统的安全传输通道。为了达到平台升级支持SM2算法，在安全支撑平台与电力应用系统分别部署iServer组件和iAccount组件，电力应用系统调用iAccount安全套件的证书认证接口来首先验证一次性凭证签名的合法性以及应用授权系统授权码的合法性。验证通过，安全支撑平台将用户属性信息和应用扩展信息(如账号、组织、单位等）签名加密后返回给电力二次应用系统。

基于SM2算法的安全支撑平台的架构及访问流程如图5所示。

1) 访问用户在客户端插入带SM2算法的USBKey，通过HTTP协议及数字证书登录电力二次系统，发起对电力二次系统的访问。

2) 电力二次系统服务器调用iAccount 套件证书，认证接口判断此访问是否经过认证，如没有通过认证，通知客户端的iMidWare组件自动重定向至安全支撑平台。

3) 安全支撑平台将根据提交的SM2算法数字证书验证用户，检查CRL、证书有效性、用户角色、用户权限等信息，并在认证日志中记录用户名、IP地址、时间、电力二次系统名称、登录方式、认证状态等信息。

4) SM2算法数字证书认证通过后，安全支撑平台将根据当前用户会话信息、用户基本信息、随机序列值等由服务器证书签名生成一次性凭证，传递给客户端。

5) 客户端通过iMidWare组件自动重定向客户端至电力二次系统，并提交这个一次性签名凭证。

6) iAccount套件证书认证接口首先验证一次性签名凭证，验证通过以后，将应用授权码和一次性签名凭证传递给安全支撑平台，以验证当前会话用户访问签名凭证的合法性以及电力二次应用系统授权码的正确性。

7) 验证通过后，安全支撑平台获取用户信息并进行加密，将加密用户信息签名后返回给电力二次应用系统，随即销毁一次性签名凭证。应用系统得到签名的用户信息后，验证该信息的真实性，通过后，解密用户信息，然后根据该用户信息登录电力二次系统。

8)确认用户身份，允许用户正常访问。

4集成应用及功能测试

该平台已在多个某省级电网投入运行，下面以为电网公司的电力营销支撑系统（包括营销信息管理系统、客户服务管理系统、营销质量管理系统、营销决策支持系统等）及周边的其他电力应用信息系统(负荷管理信息系统、能量采集系统等）构建“大营销”背景下的电力营销综合应用平台为例，说明安全支撑平台是如何在实际应用中解决多个电力信息系统集成问题，并对集成整合后的电力营销综合应用平台进行前后台功能测试。

电网公司的营销支撑系统及周边信息系统按照图5所示，分别调用lAccount组件接口，实现营销支撑系统及周边异构信息系统集成，完成电力营销综合应用平台的建设。构建的电力营销综合应用平台如图6所示。

4.1集成整合前台登录测试

本文是基于数字证书的认证方式对访问用户进

行身份认证，对电力营销综合应用平台进行前台登录测试，主要是验证访问合法用户是否能正常登录电力营销综合应用平台、防止非法用户进入，验证是否可以实现SM2数字证书的认证方式和用户在登录及操作时产生的用户信息能否正常保存在数据库中。通过获取链路中数字证书的公钥参数值，即OID值1.2.156.197.1.301(如附录A图A1所示），说明构建的电力营销综合应用平台可以升级实现SM2数字证书认证方式。

4.2 安全支撑平台功能测试

安全支撑平台借助于Web方式，对平台的身份认证、授权管理、安全审计、用户管理等功能进行测试，验证是否达到预期设计的安全应用需要。

4.2.1后台登录测试

安全支撑平台的后台登录测试主要包括对合法用户的正常识别和杜绝非法用户，其认证的Web界面如附录A图A2所示。通过查看平台的审计中心的访问认证日志（如附录A图A3所示)，用户在访问电力应用系统或者安全支撑平台时，必须先通过安全平台的认证，才能对相应的资源进行访问和操作。

4.2.2 授权管理测试

安全支撑平台的授权管理测试包括资源域的添加、资源域的编辑、资源域状况等内容。授权管理通过管理员对用户角色添加资源域，实现资源的访问权限控制，其授权的Web界面如附录A图A4所示，对用户授权的资源经测试用户能正常访问，反之则不能访问。

4.2.3安全审计测试

安全支撑平台的安全审计功能测试主要包括查看和管理访问认证、资源授权等日志功能。经测试合法的安全审计员可以查看访问用户对系统资源的访问情况或管理员对用户授权管理情况等日志，而非审计人员不能操作安全审计中心的任何资源，进而无法篡改审计日志。附录A图A3描述了访问认证曰志情况，图A5描述了资源授权日志情况。

4.2.4 用户管理测试

安全支撑平台用户管理功能测试主要包括对角色管理、用户组管理及用户信息管理功能进行测试，用户管理员通过角色管理模块为系统管理员提供增加新角色、删除角色、修改现有角色的描述等操作。

实践表明，安全支撑平台为电力二次系统安全防护监管提供了有效的技术手段。一方面，运行人员可以通过安全支撑平台全面掌握电力二次系统安全状态，及时发现安全隐患；另一方面，安全支撑平台为电力二次系统提供了完备的、标准化的基础信息，便于进行安全审计。