导读:要想撰写一篇出色的信息安全论文,相信大家应该都知道并不是那么简单的,必定也会提前做好很多的准备工作,比如说大量的参考文献资料,这样才能在写作的时候有方向,本文分类为计算机论文,下面是小编为大家整理的几篇信息安全论文范文供大家参考。
信息安全论文6600字(一):电力系统智能终端信息安全防护技术研究框架论文
0引言
为应对全球节能减排、能源综合利用效率提升的挑战,发展能源互联网成为推动后危机时代经济转型、发展低碳经济的重要手段[1]。能源互联网的建设使得现代电网向开放、互联、以用户为中心的方向发展,实现多类型能源开放互联、各种设备与系统开放对等接入。2019年,国家电网有限公司提出了“三型两网”的战略发展目标,在建设坚强智能电网的基础上,重点建设泛在电力物联网,以构建世界一流能源互联网。
针对电力系统信息安全防护问题,自2002年起中国提出了以网络边界隔离保护为主的电力二次安全防护体系[4],有效保障了电力监控系统和电力调度数据网的安全稳定运行。电力二次安全防护体系制定了“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略,重点强调了通过内网隔离保护的方式确保电力二次系统的安全防护[5],然而对新形势下电力系统智能终端的安全防护并未考虑。一方面,与传统信息安全相比,泛在电力物联网中各环节数亿规模终端具有异构与分散特性,后天标准化的终端自身安全防护理论与技术难以获得,如何兼顾实时性和安全性双重约束进行电力系统终端自身安全防护成为需要考虑的问题,电力系统智能终端自身安全性保证需求迫切。另一方面,随着泛在电力物联网建设推进,电力系统智能终端广泛采用无线传感网络等公共网络与电网主站系统进行通信[6],在电力二次安全防护体系隔离保护边界外形成具有泛在互联、开放共享特性的边缘计算网络。这必然会将网络攻击威胁传导至电力系统本体,使得因网络攻击造成的大停电风险陡增。
为应对以上安全威胁,2014年国家发改委和能源局发布了《电力监控系统安全防护规定》[7],要求电力生产控制大区设立安全接入区,对使用无线通信网等方式纵向接入生产控制大区的电力系统智能终端进行网络隔离。因此,在当前网络攻击手段呈现高级定制化、特征不确定化的严峻形势下,如何解决异构多样、数量庞大的电力系统智能终端边缘接入过程中的网络攻击实时监控发现和防渗透成为需要考虑的另外一项重要问题。
为此,本文围绕电力系统智能设备安全互联需求,首先分析电力系统智能终端业务特征和信息安全风险,明确电力系统智能终端信息安全防护特性;在此基础上,本文总结提出了电力系统智能终端信息安全防护面临的关键技术问题;然后,设计构建了覆盖芯片层、终端层、交互层的电力系统智能终端信息安全防护研究框架;最后,对电力系统智能终端信息安全防护关键技术进行了展望。
1电力系统智能终端信息安全风险
近年来网络空间安全事件频发,国家级、集团式网络安全威胁层出不穷[8-10]。电力等重要基础设施领域成为“网络战”的重点攻击目标之一,信息安全形势异常严峻[11]。2010年“震网”病毒事件中,西门子可编程逻辑控制器(PLC)终端受病毒攻击导致1000多台离心机损毁,使得核电站瘫痪。2015年乌克兰停电事件,以终端为攻击跳板瘫痪电力控制系统导致,成为全球首例公开报道的因黑客攻击导致大范围停电事件[12]。
1)芯片层:电力系统智能终端芯片自主可控性和安全性不足,在非受控环境下面临后门漏洞被利用风险。
2018年Intel芯片漏洞事件,爆出Intel芯片存在融毁漏洞以及幽灵漏洞,利用该漏洞进行攻击,可获取用户的账号密码、通信信息等隐私,智能终端均受波及,电力系统智能终端芯片同样面临漏洞、后门隐患的巨大问题。随着电力系统智能终端的开放性逐渐增强,与外界交互范围逐渐扩大,电力系统智能终端芯片安全性的不足逐渐凸显,主要表现在电力系统智能终端芯片自主可控程度低、芯片安全设计不足,导致当前电力系统智能终端存在“带病”运行,漏洞隐患易被攻击利用造成安全事件。为此,需要在芯片层面提高电力系统智能终端芯片的安全性,从芯片层面提高电网的安全防护能力。
2)终端层:异构电力系统智能终端计算环境安全保证不足,存在终端被恶意控制破坏的风险。
据数据统计表明,目前中国电网已部署各类型电力系统智能终端总数超4亿,规划至2030年接入各类保护、采集、控制终端设备数量将达到20亿。各类电力系统智能终端覆盖了电力“发电、输电、变电、配电、用电、调度”等各个环节,终端形态各异且业务逻辑差异巨大。终端复杂多样的嵌入式硬件计算环境、异构的软件应用环境和多类型私有通信协议等特性,使得其安全防护尚未形成统一标准。各类终端安全防护措施和水平亦参差不齐,在面对病毒、木马等网络攻击时整体安全防护能力薄弱。同时,电力系统智能终端在研发、生产、制造等环节无法避免的漏洞后门隐患也存在被攻击者利用的巨大安全风险。
3)交互层:电力系统智能终端广泛互联互通导致网络开放性扩大,引入网络攻击渗透破坏风险。
泛在电力物联网的建设,其核心目标是将电力用户及其设备、电网企业及其设备、发电企业及其设备、供应商及其设备,以及人和物连接起来,产生共享数据,为用户、电网、发电、供应商和政府社会服务。以电网为枢纽,发挥平台和共享作用,为全行业和更多市场主体发展创造更大机遇,提供价值服务。因此,泛在电力物联网环境下的电力系统智能终端将广泛采用电力无线专网、NB-IoT、北斗定位、IPv6和5G等无线、公共网络与电网主站系统进行通信,使得电力系统智能终端的通信交互形式将呈现数量大、层级多、分布广、种类杂等特点,极大地增加了遭受网络攻击的暴露面。无论是电力系统智能终端,还是主站电力系统,被网络攻击渗透破坏的风险均进一步增大。
综上可知,电力系统智能终端面临的芯片层、终端层信息安全风险主要由终端芯片、计算环境安全性不可控和漏洞被利用等原因造成,可归纳为终端“自身安全”问题。交互层信息安全风险产生的原因主要为电力系统智能终端在互联接入过程中存在被渗透攻击可能性造成的,可归纳为“攻击防御”问题。
2电力系统智能终端信息安全防护技术问题剖析
为了解决电力系统智能终端“自身安全”和“攻击防御”问题,国内外学者开展了诸多信息安全防护技术研究,主要从传统信息安全的角度探索密码技术在终端自身数据保护、通信协议安全、安全接入传输方面的应用[16]。然而,受制于当前中国的芯片自主可控水平限制,以及电力系统智能终端异构多样的复杂计算环境和高安全、高实时运行特性限制,加之网络攻击特征不确定的混合约束,电力系统智能终端的整体安全防护尚存在待突破的技术问题,具体如下。
1)技术问题1:覆盖电路级、CPU内核及片上内嵌入式操作系统的芯片全通路安全防护机制及适应各类异构终端的普适性主动免疫问题。
根据安全风险分析可知,解决电力系统智能终端“自身安全”问题,必须实现芯片安全和终端计算环境安全。
在电力系统智能终端芯片层,面临的安全隐患表现为芯片各层次防护理论和技术无法满足安全需求。然而,当前电力系统智能终端采用了大量先进工艺条件制造的芯片,此类芯片主要由国外掌控,自主可控程度很低,其安全性保障技术更是存在空白。随着中国自主先进芯片技术发展,电力系统智能终端芯片在实现自主可控的同时应充分考虑芯片的安全防护,同步设计、同步发展。首先需从芯片设计理论的安全建模方面进行技术突破,确保理论层面的可证明安全。其次,应突破电路级、CPU内核以及片上内嵌入式操作系统等芯片核心组件的安全防护技术,从而构建芯片全通路安全防护技术体系。
2)技术问题2:攻击特征不确定、终端/业务/网络强耦合条件下,终端安全状态建模、精确感知及威胁阻断问题。
解决电力系统智能终端“攻击防御”问题,重点需突破电力系统终端远程接入交互过程中的攻击监测和防渗透技术。然而,电力系统智能终端点多面广、业务系统专业性强、互联网络组成复杂度高,且三者间相互耦合,而针对电力系统的网络攻击呈现定制化、隐蔽化和高级化等特点,难以清晰描述基于零日漏洞的高级持续性网络攻击的机理和特征,不同电力系统智能终端、系统、网络在攻击下的表现不一,因此无法单一根据攻击特征进行识别和阻断。传统监测手段缺少对电力业务场景的安全建模,监测数据源仅涉及CPU内存等基础资源状态和基础网络流量,未面向电网业务流、专用协议和应用特征进行深度监控与分析,难以精确、深入地感知电力系统智能终端系统安全状态,需要探索终端安全精确感知与攻击阻断技术。同时,在电力设备广泛互联后,边缘侧安全防护能力不足,需突破混合电力业务可信边缘接入与多级安全隔离技术。
3电力系统智能终端信息安全防护技术研究思路
针对电力系统智能设备安全互联的需求,以解决电力系统智能终端“自身安全”和“攻击防御”问题为核心,本文提出了覆盖“芯片层、终端层、交互层”的3层安全防护研究脉络,构建电力系统智能终端安全防护技术研究模型,如图2所示。
具体来说,首先需解决“覆盖电路级、CPU内核及片上内嵌入式操作系统的芯片全通路安全防护机制及适应各类异构终端的普适性主动免疫问题”,从芯片层安全和终端层安全开展关键技术研究,以确保电力系统智能终端自身安全。在芯片层,需开展芯片电路级安全、专用CPU内核、片上内嵌入式操作系统安全等3方面技术研究,为电力系统智能终端计算环境安全提供满足安全性、实时性要求的电力专用芯片,为终端主动免疫能力构建提供基础。在终端层,需从终端计算环境安全、应用安全、通信安全角度,重点研究具有主动免疫能力的电力系统智能终端内嵌入式组件和控制单元技术,并研制具备主动免疫能力的电力嵌入式组件、控制单元和终端。芯片层研究和终端层研究的成果共同解决终端主动免疫问题;同时,终端层将为交互层提供终端安全监测数据,并向交互层终端边缘接入防护提供业务场景和接入需求。
在此基础上,为解决“攻击特征不确定、终端/业务/网络强耦合条件下,终端安全状态建模、精确感知及威胁阻断”的问题,需从交互层安全开展关键技术研究以确保外部攻击防御。具体来说,面向主动免疫终端的互联应用场景,研究提供网络监控防御和安全交互保障技术;从终端状态感知、攻击识别、威胁阻断等3个监控与防渗透必要环节,研究终端、业务、网络多维融合状态感知、关联电力业务逻辑的深度攻击识别、终端网络联动的威胁阻断技术,实现终端安全威胁精确感知与阻断,为电力系统智能终端提供网络攻击防渗透决策控制服务。同时,研究电力系统智能终端的统一边缘接入场景安全防护,为终端的边缘接入安全、数据安全和隔离保护提供技术支撑,为具有自免疫能力的电力系统智能终端的边缘接入提供安全传输通道。
4电力系统智能终端信息安全防护关键技术
下文将从芯片层、终端层、交互层等3个方面对电力系统智能终端安全防护需突破的关键技术展开阐述。
1)芯片层安全防护关键技术:芯片电路级可证明安全防护技术和内核故障自修复技术。
针对复杂环境、先进工艺条件以及新型攻击模型带来的一系列芯片安全问题,研究覆盖电路级、CPU内核以及嵌入式操作系统的具有完全自主知识产权的电力芯片安全技术[17]。满足电力系统终端对电力专用芯片的高安全、高可靠、高实时性要求。
对研制的电力专用芯片和内嵌入式操作系统进行全套模拟测试,以确定满足后续电力智能终端的开发应用。通过芯片层安全研究方法确保电力专用芯片满足安全防护要求,实现功耗电磁隐藏、数据命令掩码、电路屏蔽,以抵御模板攻击、电磁注入攻击等新型信道攻击、故障攻击、侵入式攻击。具体研究框架如图3所示。
2)终端层安全防护关键技术:融合可信计算和业务安全的异构智能终端主动免疫技术。
针对电力智能终端异构、资源受限条件带来的终端易被恶意控制和破坏的风险,提出研究融合可信计算和业务安全的异构智能终端主动免疫技术。首先,根据电力多场景业务应用情况,分析各类电力系统智能终端的安全防护需求,提取异构智能终端的主动免疫需求特征;然后,根据异构终端的主动免疫需求特征,研究建立适应电力系统智能终端的普适性主动免疫安全架构。
3)交互层安全防护关键技术一:面向不确定攻击特征的终端威胁精确感知与阻断技术。
针对电力终端接入和互联过程中的攻击监测、异常处理与安全防护需求存在的问题,研究基于“异常监测—阻断响应—安全防护”的交互层安全技术。
首先,研究多级分布式监测与防渗透架构,构建监测布点机制和终端防渗透模型:①针对典型电力终端业务场景,分析不同场景的脆弱性和安全威胁,研究基于业务场景的终端网络渗透路径;②对终端系统中已有的安全防御措施进行建模;③综合防御模型与终端网络渗透路径,形成不同业务场景的监控与防渗透模型。
其次,针对网络渗透攻击特征的不确定性,需研究终端、业务、网络多维融合安全状态建模与感知方法,建立各维度安全状态基准,采用异常特征抽取技术获取各类攻击和异常特征的映射关系,反向推导可能发生的渗透攻击,实现异常识别。在终端安全状态感知方面,需分析多源异构嵌入式电力智能终端硬件资源、可信模块、配置文件、关键进程等运行状态特征,构建面向终端状态异常行为的分类和诊断模型,实现对多源异构终端的有效异常感知。在业务安全状态感知方面,开展基于协议深度分析的业务异常感知的研究。
最后需研究防渗透策略管理和隔离阻断技术,形成网络和终端设备的策略下发、执行和优化等综合管理方法;对于被入侵的高风险终端,产生终端隔离策略或网络阻断策略,对于受影响终端,生成风险规避策略。并需要研究策略优化、冲突检测、冲突消除算法,实现融合“终端隔离”与“网络阻断”的多层协同防御策略,最终基于攻击危害评估的隔离阻断技术实现攻击的抵御和消解。具体研究框架如图5所示。
4)交互层安全防护关键技术二:电力系统智能终端互联场景下终端边缘安全接入和混合业务隔离保护技术。
首先研究电力系统智能终端边缘接入体系架构和安全防护体系,为电力监控系统、智慧能源系统、能源计量系统的终端互联安全提供基础支撑。
5电力系统智能终端信息安全防护能力测试验证技术
电力系统智能终端信息安全防护需要多方面的关键技术,目前国内外尚无适用于电力系统智能终端业务环境的安全性测评验证技术。本文尝试从安全防护技术集成优化、实验室测试验证、多业务综合试验验证等3个方面,对电力系统智能终端信息安全防护技术有效性进行分析和展望。
1)安全防护关键技术集成优化。电力系统智能终端安全防护涉及了芯片层、终端层、交互层3个方面,相关技术在应用过程中需兼容电力不同业务系统应用场景、防护要求及措施的差异。同时,需要兼顾与各业务系统在功能模型、性能指标、安全策略等方面的匹配性,考虑与已有防护策略的优化集成应用需求,以支撑芯片层—终端层—交互层安全防护技术的整体研发与应用。
2)安全性实验室测试验证。为满足电力系统智能终端信息安全防护技术有效性验证需求,需基于电力业务系统运行场景模拟,研究安全防护能力的实验室测试技术,构建终端安全性检验测试平台,实现安全功能符合性、穿透性测试。此外,需研究考虑不同攻击密度、攻击特征及目标定位的攻击用例,构建安全攻防验证平台,实现主动免疫电力系统智能终端及安全监测与防渗透系统安全功能的有效性测试。
3)安全性综合验证评估。综合考虑实际业务环境中的负荷特点、供电可靠性要求等因素,在安全防护技术应用到生产环境后,为对相关安全技术有效性以及业务影响性进行测评验证。需考虑通过红队攻击和专家组验证等方式,采用终端自身攻击、纵向通信攻击、主站下行攻击等方式,验证主动免疫电力终端、终端安全监测与防渗透系统、边缘计算安全接入设备的安全功能有效性,并评估对业务系统实时性、正确性、可靠性等方面的影响及对现有防护体系的提升能力。
6结语
本文对泛在电力物联网环境下电力系统智能终端安全防护面临的风险和技术问题进行了剖析,设计了覆盖芯片层、终端层、交互层的电力系统智能终端安全防护框架,以进一步扩充完善现有电力二次系统的安全防护体系。本文所展望的芯片电路级可证明安全防护和内核故障自修复、异构终端主动免疫、终端威胁精确感知与阻断、互联环境下电力系统智能终端安全边缘接入和业务隔离等关键技术,在未来仍有较长的路要走,需要综合考虑电力系统高实时性、高连续性要求,在不影响电力业务的情况下开展针对性安全防护。
信息安全毕业论文范文模板(二):输电线路分布式故障诊断系统的信息安全防护设计及应用论文
摘要:输电线路分布式故障诊断系统作为特高压输电故障位置定位服务的关键产品应用,对电力系统的安全、可靠与经济运行具有重要意义。文中结合实际系统的研制与应用,提出了一种基于安全防护的分布式故障诊断监测终端系统的安全链路应用方法。该方法通过监测终端嵌入加密芯片接入安全网关,通过安全网关过滤后接入监控运维中心,监控运维中心通过正向单向隔离与App服务器单向通信,App服务器通过身份认证、数字签名与手持移动终端建立安全通道。通过全链路的可信改造,有效地阻止恶意程序攻击、恶意代码植入攻击、网络窃听以及嗅探攻击。通过监控运维中心的身份校验和主备机双机数据备份,保障了监控运维中心的数据安全和运维操作安全。所述系统产品已顺利通过安全测试与认证并在陕西省特高压交流1000kV输电线路上挂网运行,取得了安全稳定运行的实际效果。
关键词:特高压输电线路;故障诊断系统;监测终端;安全防护;监控运维中心
0引言
随着中国电网建设的飞速发展,特高压输电线路投运或在建的总长度已超30000km,由于其电压等级高,输电距离长,跨越山区、河流、高铁、高速公路及重要电力线路的区段多,其故障的性质、定位及诊断分析对电力系统的安全、可靠、经济运行具有重要意义。
近年来,特高压输电线路分布式故障诊断系统逐步在各网省公司投入运行,目前已经投运的分布式故障系统的网络安全体系存在着数据的使用权易被人窃取、关键信息易遭到修改、病毒通过网络侵入中心站造成系统瘫痪等安全风险。随着信息技术发展和各国信息安全政策的不断演变,信息安全形势日益严峻,国内外由此造成的电网等相关事故时有发生,造成的危害越来越大,而对工控系统的攻击威胁逐步增多,防御难度增大。电力系统在网络安全体系架构[1]方面已有较多研究,主要集中在调度系统安全防护[2]和数据采集与监控(SCADA)系统防网络攻击[3]可靠性方面,近些年在配电网的系统脆弱性和安全域[4-6]方面有较深入的理论研究。攻击防御策略[7-8]、密钥管理[9]、密钥协商[10-11]、加密算法[11-13]和身份可信认证[14-15]等安全技术在信息通信领域应用较为成熟,但在投运的分布式故障诊断系统中安全技术基本没有落地实施。
本文根据文献的研究成果,结合特高压输电线路分布式故障诊断系统的研制与应用,提出了一种基于安全防护的输电线路故障诊断安全链路应用方法。通过加密芯片、安全网关、隔离装置以及数字签名等一系列措施,对系统链路的各个环节进行信息安全防护设计与应用。
1故障诊断系统安全体系结构
本系统由分布式线路监测终端、安全接入平台、监控运维中心站和App服务器和手持移动终端组成,如图1所示。各个线路监测终端直接安装在输电线路导线上,采用分布式布置,大约每隔30km安装一套。线路监测终端实时检测导线电流行波信号、工频电量及导线温度等参数,在输电线路故障或遭受雷击时自动记录高频和低频电流采样波形并经确认后通过无线通信链路将数据发送到监控运维中心站进行分析处理。
1.1故障诊断系统安全威胁分析
本系统分为三层网络,即接入点名称(accesspointname,APN)专网、电力数据专网和用户级数据传输公网,如图1所示。APN专网主要负责传输监测数据报文、控制数据报文以及工作状态报文等数据,电力数据专网负责将处理过的数据由监控运维中心站传送至移动终端应用服务器,用户级公网负责将信息推送至移动终端。各层网络的结构和安全要求各不相同,环节多且网络内部和网络之间都存在着安全链接隐患,因此整个网络的安全问题就变得非常复杂。输电线路分布式故障诊断系统主要面临4G网络攻击者监听、篡改、插入甚至删除网络链路上的数据、服务攻击、中间人攻击和IP欺骗攻击等威胁。
1.2故障诊断系统安全体系
分布式故障诊断整体安全防护方案重点解决上述的网络环节和服务器网络安全威胁。从链路源端开始,层层防护,直到链路终端App应用保证整体链路不受网络安全的威胁与攻击,维护系统专网安全。本文结合分布式故障诊断网络链路的特点,根据国家电力监管委员会5号令[16]设计了一种基于输电线路分布式故障诊断系统的安全体系结构。监控运维中心站部署在生产控制Ⅰ区。线路监测终端与监控运维中心站两端分别采用安全加密芯片与安全加密网关,对数据进行加密解密。移动终端App应用服务器部署在生产控制Ⅲ区,提供基于移动终端的相关应用服务。Ⅰ区和Ⅲ区之间采用电力专用正向隔离加密装置提供安全防护。安全系统整体结构如图2所示。
2线路监测终端的安全防护
本方案的防护目标是确保监测终端和中心站之间的通信链路安全,保障终端和中心站之间传输数据的保密性和完整性,同时实现中心站和终端之间的双向身份鉴别。重点防范伪造中心站身份、重放攻击等攻击形式对终端的恶意破坏和攻击以及其他非法操作,以防止由此导致的电网事故,本文主要从终端本体、终端对外通信两个维度进行防护。
2.1监测终端本体的安全加固
区别于常规二次设备,监测终端本体安装在户外,开放式的运行环境对其自身安全等级要求有所提升。为确保本体自身安全,引入了可信计算体系,从数据源头对其安全进行加固,因此必须从芯片、硬件结构和操作系统等方面综合采取措施,以提高整体的安全性。
2.1.1含可信模块的本体固件安全防护
为防止监测终端本体加载的固件被篡改,采用基于板卡熔断机制和内置可信密码模块(trustedcryptographymodule,TCM)芯片,上电时通过国密可信平台模块(trustedplatformmodule,TPM)对外存储区进行程序验证并控制CPU启动,实现可信加载,如图3所示。
基于板卡熔断机制和内置TPM芯片,改造固件和操作系统,实现从芯片到系统启动的逐级可信校验以及高效的全盘加密,防止设备被离线或在线注入恶意代码,以及敏感数据的泄露。
有别于传统的安全技术,可信计算从系统启动开始防护,逐级验证,形成可信链。为了从根本上提高安全性,必须从芯片、硬件结构和操作系统等方面综合采取措施,由此产生出可信计算的基本思想,其目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高整体的安全性。
2.1.2基于可信链的软件设计安全防护
当监测终端本体上电启动后,引导程序与可信芯片交互实现对操作系统的可信加载和启动,操作系统再对平台程序进行可信加载和启动,平台程序再对各进程进行可信加载和启动,形成一个依赖于可信根的可信链,如图4所示。
基于数字证书体系,实现轻量化的可信度量框架,既可保障只有经过认证的应用软件可以在操作系统中安装运行,又不影响系统的可用性,解决恶意病毒木马的安全威胁。
2.2终端对外的通信安全
由于终端与中心站间的数据交互基于无线公网,首先应启用公网自身提供的安全措施。
采用硬件防火墙进行有效隔离,对应用层数据流进行有效的检测和控制;同时防火墙配置访问控制策略,实现双向访问控制、网络安全隔离、应用过滤等功能,保护内网资源,实现边界安全隔离,防止非法链接穿透内网直接进行访问;通过部署安全检测的探针,配合安全检测平台,实时发现网络异常和恶意软件感染情况。
本系统已通过第三方网络安全检测与认证,分别从身份鉴别、访问控制、安全审计、软件容错、系统资源、数据完整性、数据保密性、备份和恢复、入侵防范、漏洞扫描和抗拒绝服务以及网络协议健壮性等各个方面进行了安全检测。
1)加密认证技术:在监测终端中增加电力专用安全芯片,用于实现中心站与终端之间的安全认证及传输数据的保护。加密算法采用非对称密码算法,消除终端用户交换密钥的需要,适用于分布式系统。
2)白名单管控技术:维护允许系统运行的可执行文件列表以及每个可执行文件对应的标准值,通过进程管控只允许白名单中的合法软件运行,禁止其他未知或恶意程序执行,从而将平台运行环境控制在预期可控的范围内,从根源上杜绝嵌入式平台安全风险的出现。另外白名单由硬件安全模块进行保护,可防止攻击者对其进行篡改。
3)主动预警技术:对系统内已经运行的进程进行动态完整性监控,验证进程完整性是否与白名单标准完整性值一致,如果出现完整性异常情况,表明该进程被篡改,将该异常事件写入报警日志,主动向管理员报警。
3多服务器系统的安全存储与安全隔离
分布式故障诊断系统网络切换较频繁,包含有从外网接入内网安全区,内网安全区同步数据到外网发布服务器,外网发布服务器通过无线发布到手机终端App。监控运维中心处于本系统安全防护的核心,位于电力专网内,不允许接入不可信的终端,不允许其他服务器或者通过网络服务协议直接访问数据库,在监控运维中心的边界上通过安全网关过滤不可信监测接入,对于外网发布服务器通过正向隔离装置,技术上隔离所有反向连接,保障服务器的安全。
3.1可信终端识别
监测终端通过4G网络多跳接入监控运维中心,沿途存在通过路由器窃取IP包,替换攻击、攻击者监听,篡改或者插入等多种风险,或者随机产生大量假冒源IP,恶意请求造成监控运维中心服务站瘫痪。
为了保障中心服务器的安全,增加了安全网关,终端通过安全接入平台接入监控运维中心系统,通过安全接入平台来隔离第三方网络边界和电力信息网络,实现对终端和监控系统业务网络的物理隔离,通过身份认证防止非法可疑链接穿透内网进行访问,通过国密加密芯片完成对报文基于SM2算法的加密和解密。利用基于数字证书的双向认证技术,实现终端和监控中心的双向身份鉴别。加密芯片通过国密局安全和性能认证,监测终端与安全网关间最大加密隧道大于2048条,支持安全策略大于100条,加密隧道协商时间小于1ms,满足监测终端设备接入中心站监控系统的安全性和实时要求。监控中心与监测终端的业务流程如图5所示。
3.2监控运维中心系统的安全运维
监控系统对终端具有设备复位、参数设置、参数读取和程序升级等控制操作,尤其是程序升级对操作身份和操作过程要求极高,一旦误操作即引起装置崩溃,且失去在线维护能力。为了保证监控系统服务器的运维操作可追溯,登录身份可识别,登录操作采用双因子登录技术,将电子口令卡与权限认证相结合,将监控系统操控操作引入安全防护体系中。基于电子口令卡的身份校核是操作人员应持有电子口令卡,电子口令卡为文本文件,内含操作设备的身份识别代码。
当操作人员需要在中心站升级终端程序时,需首先用电子口令卡管理系统将对应装置的电子口令文件写入其个人专用的电子口令射频卡中,写入内容包括登录员身份ID、操作监测终端装置ID、操作内容(装置复位、修改参数、升级程序)和操作有效期。监控系统读取并校核射频卡中存储的电子口令文件,核对登录身份ID,操作监测终端装置ID以及操作类型。
3.3监控运维中心与App服务器安全隔离
监控系统与App服务器的横向正向网络隔离,在网络方向上,仅允许数据流从生产控制大区到管理信息大区传输。严格禁止各类风险等级较高通用网络服务(Ftp,Telnet,Web)和数据库网络访问穿过网络边界逆向传输。
终端和中心站之间通过双向认证进行身份鉴别,同时实现数据加密传输。本系统设计有如下3种防护技术。
通过正向隔离后的监控运维中心服务器和App服务器不能使用需要交互控制类报文的文件服务协议。根据App服务器与监控运维中心服务器需要同步的数据内容,结合电力系统规范协议,设计了一种单向IEC60870-5-104协议。单向IEC60870-5-104协议删去控制类报文和应答类反向报文,增加了故障定值传输、带故障参数的故障信息传输以及波形传输文件等报文格式。
3.4移动终端App安全应用技术
电力移动手持设备接入请求电力专网内部数据,容易引入潜在的安全威胁,对电网的内部关键信息泄露,攻击电网系统都存在不小的风险,相对于通用的移动终端,在安全防护方面具有最高等级。
移动终端App应用服务器采用了用户身份准入认证、用户访问权限管理、通信数据对称加密、各省中心服务器物理隔离等安全机制,保证了数据访问的安全性。认证的关键是服务器验证客户端的身份,确认接入App服务器的手机是有效的,认证流程如图6所示,其中CA表示证书颁发机构。
4实验与验证
本文所述的安全防护链路以生产大区监控站为中心分别向广域网和信息大区延伸,由于信息大区通过正向隔离后,没有接收报文,所以只需验证来自终端方向的数据通信安全隔离和健壮性。
根据文献[17-18]的建模方法以及文献[19-21]提出的系统安全性以及隔离度的评估方法,在OPNET平台下对各种网络攻击进行建模,对SYNflood,ICMPFlood,Smurf,Pingofdeath,以太网单播风暴,以太网多播风暴,以太网广播风暴等风暴攻击进行仿真,对TCPFuzzer,TCP上下文无效包和TCP语法—头域等非法报文或者畸形报文攻击进行仿真,测试监控中心与终端通信的安全性和稳定性。
终端正常运行时只发送心跳报文,每日定期上送一次工况数据,网络带宽空闲。终端故障发送时,产生行波发送数据约40KB,在10s完成交互发送,每秒流量约4KB。连续产生10次故障事件,完整行波报文在100s内到达监控中心。
同时本系统进行攻击测试验证,方案主要包括:①在100Mbit/s网络标称值99.996%流量攻击下,测试行波报文的正确率和延时时间;②构造各种非法的TCP报文,对报文进行攻击,验证业务连接是否中断。测试结果如表1所示。
正向隔离装置通过内网两个网卡隔离内外卡,同时通过虚拟IP以及网络地址转换(networkaddresstranslation,NAT)技术,分解内外区域的两个应用直接传输控制协议(transmissioncontrolprotocol,TCP)连接,建立虚拟TCP连接。报文协议中只允许应用层报文单向传输,应答报文禁止携带应用数据(最多只能通过1B的数据,并且只能为0或者0xff)。
5结语
所研制的输电线路分布式故障诊断终端系统已在陕西省境内的交流1000kV横洪Ⅰ/Ⅱ线同时挂网运行,线路全长共计299km,在线路上分段安装故障诊断终端,共安装分布式诊断终端12套(36台),监控运维中心站1套。系统2017年8月实际运行至今,监测终端和监控中心都受到大量的DoS攻击和非法攻击,通信业务未受影响,未发生通信中断,系统安全稳定运行。随着互联网技术的发展,加密技术在不断发展,破解技术和攻击能力也在不断增强,同时分布式输电线路自然条件恶劣,相应的通信基础设施较差,后续在通信链路稳定性和可靠性仍然需要进行相应的研究和应用开发。