张同凯

摘 要：电力通信自动化系统是相当复杂的，它不但承担着海量的网络数据传输任务，也在不断过滤着网络信息内容，但百密一疏，随着社会发展对信息需求的越来越高，网络信息安全漏洞依然是目前电力通信自动化系统所最关注的问题。本文希望简要探析在该系统中有关信息安全漏洞的问题，并为其设计了基于电力自动化无线信息通信的加密方案。

关键词：电力通信自动化系统 信息安全漏洞 无线终端

电力通信系统的自动化与智能化等特殊属性也决定了其管理进程，尤其是对数据的全面加密处理也规避了安全漏洞风险，使电力通信自动化工作能够顺利运转，为社会各个领域提供有力技术支撑。

一、电力通信自动化系统的信息安全漏洞问题

电力通信自动化系统要承担诸如电力负荷、电能量等多重管理任务，它的具体网络结构框架如图1。

如图1所示，一般电力通信自动化系统中比较容易出现信息安全漏洞的位置是中心站和无线终端，本文也就这两大环节来探讨系统的安全漏洞及防范相关问题。

1.中心站的安全漏洞及防范对策。中心站是电力通信自动化系统的核心部分，它主要包括了服务器、前置机等硬件设备，同时配套相应功能的管理型软件。中心站的功能就是负责接收通信自动化系统中所有子工作站所上传的数据，利用管理软件进行相关数据分析和归纳处理，最后保存。再者，它也能够起到维护子工作站常规化安全运转的作用，并随时发布命令来操作管理子工作站。一般中心站的数据接口都是衔接子站与系统的有线、无线数据传输关键，所以可以将其视为是电力通信自动化系统内外部通信数据集中的关键节点，而这一节点也恰好是外部攻击者或黑客入侵的重要位置，它将整个系统的数据都暴露在危险环境下，是系统最脆弱的环节。对中心站的保护要强调节点保护，目前比较常见且有效的网络信息安全漏洞保护措施一般采用的是防火墙，它可以由用户实现制定相关对策方案来控制信息的流入和流出，具有监督控制双向功能。从目的性角度讲，防火墙技术主要为电力通信自动化系统搭建了一个基于节点连接的内外部网络安全控制平台，它会将系统节点的数据流进行重新规制，允许或拒绝它们的流动动作及范围，同时实现对内外部网络访问服务的审计目的，是整个系统网络数据交换以及通信授权许可的主要门户。具体来说，防火墙的目的只有两个：隔离与访问控制，围绕这两项功能进行扩展，本文主要分析它的4点信息安全漏洞防范技术策略。第一，防火墙具备多层过滤控制技术。一般防火墙都会采用三层过滤，并配合一定的鉴定手段，分别为分组过滤层、应用级网关层以及电路网关层。其中分组过滤层主要用于过滤所有存在于源路的假冒IP源地址，而应用级网关层则主要运用SMTP、FTP等等网关类型来控制和监测Internet所提供的全部通信通用服务，最后的电路网关层能够实现对主机内外部站点的透明衔接，从而对通信服务实现进一步的严格审查控制。第二，防火墙具备NAT技术。NAT技术即网络地址转换技术，它可以实现系统及子网站中所有内部地址的自由转换，同时确保外部网络无法知晓内部网络运作过程中的拓扑信息，也允许内部网络使用自己编程的专用网络IP。在这里，防火墙会详细记录每一台子机器的通信过程，保证分组信息能够传输送达正确的内部IP地址和设备。第三，为了确保防火墙产品在FTP等等服务与远程管理方面的安全稳定，遏制安全风险事故发生，防火墙是会提供鉴别功能的。它的鉴别功能一般所采用的是随机一次性口令系统，它不但能对子网站系统进行加密与鉴别，还能实现对所传输邮件的加密，具备极高的安全防护性。最后，防火墙也能对网络事件实施审计，对一切入侵系统的行为以声音、邮件等形式发出报警信号，提醒管理员及时审计处理，快速解决不良行为及信息入侵问题。目前电力企业所采用的都是公网通信模式，它的系统自动化特性很强，而且具有与其它应用系统相连接的多个接口，尤其是子站在采集数据时需要与中心站进行联系传输，这就为外来入侵者提供了可乘之机。所以严格来说中心主站与子站都要安装防火墙设备，才能确保系统的安全稳定运行。但是在专网通信过程中，由于它是一个贯穿于整个通信网络的独立系统，所以在它的中心站与通信子站之间就没有加装防火墙的必要了。

2.无线终端的安全漏洞及防范对策。无线终端是电力通信自动化系统中必不可少的部分，而且它的数量很多。正是通过这些无线通信终端与中心站的通信联系才实现了数据的活跃传输，但同时这里的信息安全漏洞也是最多的，外来黑客很容易就可以窥视到系统中的重要信息，甚至予以操作，行使各种盗窃、截获行为，为电力企业带来信息流失损失。所以在应用系统看来，保护系统安全也要保护系统业务安全。目前的电力企业所采用的是访问控制技术与身份认证技术，这两种技术手段能够有效解决上述系统中所存在的安全漏洞问题，考虑到自动化系统中其终端只用来采集电力用户数据并实现服务器数据传输功能，所以并不存在任何越权访问信息的问题，因此本文主要介绍身份认证技术来解决无线终端中存在的各种安全漏洞隐患。身份认证的关键就是认证对象向系统所出示的身份证明，这也是电力通信自动化系统安全防护的首道关卡。为了确保识别有效性，所有参与访问系统的用户身份标识符都是不同的，也就是除身份验证的二次验证。在这里，标识符是公开的，但验证信息是绝对保密的。除此之外，比较严谨的电力企业还会在自己的通信自动化系统中设置三方认证，当前两项认证结束后还会继续实施第三方仲裁认证，仲裁者是双方都信赖的第三方平台，在这一平台上还会建立一个身份认证系统，它能够满足以下5项条件：对身份认证可识别率的最大化、可欺骗率的最小化、身份认证数据的不可传递性、计算有效性以及安全存储功能。满足了上述5项条件，电力自动化系统就会向用户完全开放，辅助其实施各种数据传输活动。这种多重防护也是为了杜绝入侵者伪装成内部用户，获取系统数据的恶劣行为出现。

二、电力自动化无线信息通信的加密方案设计

1.多层次加密方案设计。网络加密方式众多，包括端端加密、混合加密和链路加密等等。传统电力通信自动化系统采用的是链路加密，它能够实现在网络中两相邻节点传输数据实时加密保护。链路加密的优势还在于能够实现数据流在各个节点之间的任意流动，它并非端端流动，这就有效规避了流量分析攻击问题。但在目前更为先进的电力信息系统中则不推荐链路加密，这是因为如果采用该方法就需要在每个节点间实施解密算法，这非常影响数据交换及传输速度，而且由于每个节点都存在密钥，非常不利于管理。更重要的是一旦节点被攻破，整个通信系统安全都会受到严重影响。所以本文为电力系统所采用的是应用层加密方法，它的优势就在于能确保服务器及客户端都被加密算法覆盖进而嵌入到通信源程序当中，这就让任何程序与数据流都实现了软件加密，尤其是在网络层与应用层之间实现了通信加密。

2.加密算法。在应用层加密中所采用的是摘要算法，这种算法可以对数据流实施分段摘要计算，同时将摘要附着于明文后的完整性校验说明书中。因为电力系统SCADA在实时数据传输过程中是不在意信息系泄密的，所以更要注意的是信息数据是否被篡改或冒名重发，这里所作出的处理是基于MD5消息摘要的数据段校验。举例来说如果发送消息n，设置通信双方的共享密钥为b，那么接收方在信息加密校验过程中就可以丢弃MD5（n+b），也能确保对数据信息的安全保护。如果采用的是密钥计算，则要基于MD5进行摘要计算，切实确保数据的完整独立性。相比较而言，MD5的计算方法效率更高，还可以运用在不具备完全加密的一般算法场合中，所以该算法是可以满足电力信息实时性需求的，再加之其不需要特殊密钥管理，它已经成为了目前比较受欢迎的电力通信系统信息安全漏洞防范模式之一。

三、结语

本文主要研究了当前电力通信自动化信息系统所存在的安全漏洞问题，并主要分析了几种防范对策。可以见得，电力自动化无线通信技术由于其自身特性的不同，所要求的安全防范对策及加密方案也是不同的。所以在未来的进一步实践研究中还应该在确保系统网络带宽的基础上来设法提高系统的加密强度，多元化安全防范对策，以应对目前越来越高的系统信息安防需求。

参考文献：

[1]曾琪.电力通信自动化信息安全漏洞及防范措施探討[J].新媒体研究，2014（2）：72-72，49.

[2]王荣志.电力自动化无线通信中的信息安全研究[D].华北电力大学（北京），2007.22-28.

[3]程雪.电力自动化无线通信中的信息安全系统构建和分析[J].中国新技术新产品，2014（22）：178-179.

[4]陈厢.电力无线通信网络安全方案研究[J].科技资讯，2014（30）：84-85.