许强

摘要：近年来，随着我国电力技术的发展，智能电网建设逐步推进，计算机及相关网络技术在电力变电站领域中的应用也逐渐广泛，但实际应用中出现的信息安全问题也凸显出来，为更好保障智能变电站的信息安全，从智能变电站本体安全，通信安全，主动防御体系以及信息安全评估等方面进行了深入分析，并提出了一系列智能变电站信息安全加固技术，以供同行参考。

关键词：电力智能变电站;信息安全;技术探讨

引言

随着能源互联网的加速建设，计算机网络和通信技术在智能变电站中的应用呈现出前所未有的广度和深度。智能变电站作为信息化技术深度应用的结晶，是电力系统信息安全的关键节点。本文对智能变电站中信息安全问题进行了探索，对信息安全相关技术进行了有益的分析和总结。

1智能变电站信息安全问题

目前智能变电站主要采取的安全性防护方式是安全分配区域、互联网联合、横向隔开、纵向证明等，这些方式可以将变电站与外部网络进行隔离。但是，一些新型的攻击措施大量兴起，破坏力非常强，延伸面广，专业性强，能够最大化突破防护，这说明目前的防护方式并非是完美无缺的。这些攻击措施的具体表现有以下几个方面。1）智能变电站的通信技术是在传统TCP/IP技术基础上进行优化，强化了专业技能，攻击力加强。2）智能变电站内部装置中采用的安全防护方式不是最佳的，存在許多缺陷，运行系统和应用程序上问题较多。3）站内访问常见的情形是将智能变电站中的主机或网关与人机接口连接起来，其中恶意传播木马和病毒等软件的方式仍旧存在。4）无线网络等一些新颖连接意向和接入方式逐渐产生。因此，学者针对此种情况进行分析研究，总结出核心点：①变电站周安全强化措施。②变电站安全通信方案。③变电站优化防护措施。④变电站内部主要数据的安全强化措施。

2智能变电站信息安全分析

目前，我国智能变电站的网络建设都遵循“横向隔离”安全策略，即变电站内网与外部Internet从物理上完全隔离，包括许多电力部门人员在内都认为变电站网络是非常安全的，他们也不理解系统中增加安全措施的道理。事实上，网络化的普遍和额外信息访问需求的增长使得智能变电站通信网络远不是我们想象中的那样安全。一方面，智能变电站的通信基于TCP/IP网络，有可能会受到以网络为主要传播途径的病毒和黑客的攻击，且电力信息工作站的应用系统大多采用Windows平台，站内IED也没有安全内核，存在不少安全隐患;另一方面，人机接口（HMI）、控制、维护、规划和施工等应用系统可通过网关直接接入智能变电站站控层网络，直接访问站内相关信息。所以，无论是智能变电站站内通信还是外部通信，都面临着安全威胁，这些安全威胁可分为无意威胁和蓄意威胁。

3电力智能变电站信息安全技术探讨

3.1国产加密算法在智能变电站中的应用

通信报文安全性的核心是认证和加密。目前，国内使用的密码体系主要来自欧美，如RSA、MD5等，这些加密算法本身就存在一定的风险，如RSA算法就曾被指收美国政府千万美元在加密算法中安装后门。对此，国家商用密码管理办公室制定了一系列的国密算法标准。根据密码分类标准，对国密算法进行了概述和分析，分别介绍了对称算法SM1、SM4、祖冲之密码算法，非对称算法SM2、SM9以及SM3散列算法。国产算法的安全性相对高，已经具备替代国外密码的实力。在电力通信系统中使用国密算法具有重要的安全意义，学者们开展了大量研究。基于国产SM2的身份鉴别算法应用在电力信息系统，实现了更好的身份鉴别能力。针对TLS协议连接时间过长不利于通信安全的问题，学将SM2国密体系应用在TLS协议上，在远动通信中使用“长连接”与“短连接”相互配合的策略，并对该方法进行验证，结果显示其满足了智能变电站远动通信数据安全性和实时性的需求。基于FP-GA平台，研究了SM3算法IP核的设计与实现，并与SHA-256算法进行了对比，验证了其优越性。

3.2数字签名技术

数字签名类似传统纸上的笔迹或印章，采用了两种互补的算法，一种用于签名，另一种用于验证，包括密码生成算法、标记算法和验证算法。智能变电站过程层包含GOOSE和SV两类信息，过程网络数据的传输需要严格保证实时性和安全性。GOOSE和SV若采用加密或其他安全方法会使原始数据增加很多字节数，既增加了报文处理时间，也延迟了传输速度，采用数字签名技术则可兼顾过程层信息的安全性和实时性。

3.3存储加固

电力监控设备中进行数据存储的核心是数据库。数据库在运行系统时存在等级划分，一般有五大类，细分为20个指标，例如辨别用户的标注、登录和访问权限等。数据库具备安全性的作用是通过优化配置来获得数据库的访问权限和日志审查等，从而获取简单有效的应用效果。但是，配置安全软件不仅会降低运行系统的速度，也会占据系统内存，从而影响数据库的性能。并且在评估安全性时，事前检查、事中监察和事后审查是最必不可少的三大评估层面，根据这三大评估层面配置一系列保护数据库信息安全的设备，设计一种完整检测数据库安全的方案和应用平台，对电力通信的积极探索具有重要意义。

3.4主动防御技术

主动防御技术是一种在计算机系统中加入TPM（可信平台模块）的可信计算平台，通电之后，TPM可通过硬件信任根进一步延展信任信息，从而形成TPM主动防御网络系统。归纳出可信计算技术在安全系统中展示出的各项优势，专家们进一步探究了其在防御系统中实际应用效用，并提供了能够全面实现信息化计算平台、应用行为以及网络通信的精准方案。即使该技术目前属于一种更为安全的免疫化水平，实际应用范围广，但其内部芯片、固化算法和系统操作流程等必要专业技能还是没有办法全靠国产。因此，专家们共同探究出另外一种可控性高的计算平台，其中优质硬件主要来源于国内制造，比如核心处理器使用国产龙芯行，运行系统使用国产麒麟型等。

结语

本文对智能变电站面临的信息安全风险进行了分析，并从本体安全、通信安全、主动防御和信息安全评估等方面对当前智能变电站信息安全研究的相关内容进行了有益的探索。智能电网中智能变电站的信息安全问题直接关系到智能变电站的发展，通过促进智能变电站通信网络的组建将有利于智能变电站的发展，进而实现智能电网的高速、安全、可靠的发展。最终实现我国社会经济的高效、稳定、长远的发展。

参考文献

[1]周蓉.面向变电站数据通信的安全防护机制研究[D].北京：华北电力大学，2009.

[2]刘行.基于主机操作系统的安全加固研究和实现[J].华东电力，2010，38（10）：1586-1587.

[3]邱岳.操作系统安全加固技术研究与实现[C]//中国电机工程学会，2012年电力行业信息化年会论文集，北京，2012.

[4]罗佳，徐方艾，锁延锋.基于信息安全等级保护的安全操作系统解决方案[C]//公安部第三研究所，第二届全国信息安全等级保护技术大会论文集，合肥，2013.

[5]郭晋.基于可信计算的嵌入式Linux内核安全性加固的研究[D].成都：电子科技大学，2011.

[6]方兴东，张静，胡怀亮，等.安全操作系统”中国梦”———中国自主操作系统战略对策研究报告[J].中国信息安全，2014，5（4）：72-97.

[7]郭付财，刘志华.基于中标麒麟操作系统的串口调试方法研究[J].微型机与应用，2012，31（10）：12-14.