科技手段保障電網(wǎng)信息安全——訪國家電網(wǎng)實驗室主任張濤
面臨復雜網(wǎng)絡環(huán)境挑戰(zhàn)
《亮報》:系統(tǒng)越復雜,保證安全的難度就越大。在信息安全方面,智能電網(wǎng)面臨著哪些風險和挑戰(zhàn)?
張濤:首先,智能電網(wǎng)規(guī)模的擴大,電力系統(tǒng)結構的復雜性將顯著增加,電網(wǎng)的安全穩(wěn)定性問題將會越發(fā)突出。復雜度的增加,將導致業(yè)務系統(tǒng)之間的交互增加,相互之間的耦合度更高,安全域的劃分更加困難。
其次,智能電網(wǎng)通信網(wǎng)絡環(huán)境將更加復雜。GPRS、CDMA、3G、WIFI、智能傳感網(wǎng)絡等無線通信技術和大量智能表計、移動終端的廣泛應用,造成攻擊手段更加多樣化和智能化,進一步加大了信息安全保障體系防護的難度。
中國傳統(tǒng)的電網(wǎng)實際上是一個半封閉的環(huán)境,不需要跟外界做更多的互動,隨著大量智能表計、智能家電的介入,雙向互動會更加頻繁,網(wǎng)絡邊界進一步向用戶側(cè)衍生,用戶側(cè)的安全危險將越來越突出,也會威脅到用戶的隱私,端對端的防護就顯得尤為重要,信息安全防御保障的防護范圍和網(wǎng)絡邊界的防護能力需要進一步增強。
智能終端的安全漏洞是一個需要重視的問題。智能終端的應用會越來越普及,有了操作系統(tǒng),有了智能化的操作軟件,可能就會存在漏洞。
智能電網(wǎng)的特征使得智能電網(wǎng)在發(fā)電、輸電、變電、配電、用電和調(diào)度中各業(yè)務系統(tǒng)對信息安全風險評估技術和等級保護標準提出了新的要求。
《亮報》:具體來說,可能會出現(xiàn)哪些信息安全遭到破壞的情況?
張濤:比如智能表計采集終端受到攻擊。攻擊者通過固件分析、熵分析等技術,可以恢復密鑰的內(nèi)容,有了密鑰,攻擊者能用解密和觀察發(fā)給標記的命令和控制消息,從而發(fā)現(xiàn)能夠使用戶停電的命令和控制技術,那么攻擊者為了達到自身的目的,就可以選擇攻擊區(qū)域?qū)嵤┕簟?/p>
比如對采集終端的攻擊、對一些移動的手持設備的攻擊,還包括在智能變電站中很多智能設備,因為他們現(xiàn)在已經(jīng)有一個系統(tǒng),具有信息處理的功能,這些設備都是在信息安全中重點要關注的。
《亮報》:從傳統(tǒng)電網(wǎng)到智能電網(wǎng)有很多變化,請您簡單介紹一下智能電網(wǎng)的信息安全問題。
張濤:智能電網(wǎng)信息安全主要體現(xiàn)在兩個方面,一個是用戶側(cè)信息安全問題,另一個是互動化信息傳輸安全及安全接入問題。
《亮報》:目前,國內(nèi)外對于智能電網(wǎng)信息安全的研究現(xiàn)狀如何?
張濤:信息化的風險和風險管理已經(jīng)成為各個國家和組織普遍關注的一個問題,這其中包括病毒攻擊、黑客攻擊等等。通信協(xié)議是電網(wǎng)很重要的一個組成部分,負責從現(xiàn)場設備收集信息和發(fā)送控制指令等。但是,現(xiàn)在在電力系統(tǒng)中還很少加入安全的因素,這其實很容易造成電力系統(tǒng)中一些功能的喪失,可能數(shù)據(jù)還會遭到一些非法的篡改。
美國的IEC(國際電工委員會)、IEEE(美國電氣和電子工程師協(xié)會)等組織都開展了對智能電網(wǎng)標準的研究。IEC62851現(xiàn)在有8個標準,第9個也正在討論當中,主要就是針對密鑰的管理,其中標準3、4、5、6都和電力系統(tǒng)的通信規(guī)約是有相對應的關系的。在智能變電站等領域我們可以把很多研究成果應用在里面。
隨著信息技術的發(fā)展,電信基礎設施已經(jīng)成為電網(wǎng)系統(tǒng)的關鍵,數(shù)據(jù)和傳輸?shù)陌踩远际侵悄茈娋W(wǎng)面臨的主要安全類型,但是在規(guī)范方面還是比較缺失的。國家電網(wǎng)公司目前承擔了中國的智能電網(wǎng)信息安全防護的規(guī)劃和方案制定工作,智能電網(wǎng)的技術規(guī)范目前迫切需要建立完善。
如何保障信息安全
《亮報》:對智能電網(wǎng)信息安全的保證,應該通過哪些方面來著手進行?
張濤:智能電網(wǎng)對信息安全提出了一些新的需求。
首先是物理安全。這是我們對智能電網(wǎng)終端進行保護時需要重點關注和考慮的問題,包括智能表計、測量儀器、傳感設備,要保證這些設備物理環(huán)境的安全,防止外界人為破壞的保護,需要進一步提高物理安全防護的強度。
第二是網(wǎng)絡安全。這對于國內(nèi)的傳統(tǒng)電網(wǎng)也是非常重要的一個環(huán)節(jié),比如采用邊界隔離的手段來阻止一些信息的入侵,包括防火墻的技術,VPN的技術等。隨著智能電網(wǎng)的發(fā)展,我們覺得還應該加強對整個網(wǎng)絡的監(jiān)控和審查,特別是設備接入時的狀態(tài)和身份認證,包括事后的一些審計,這是需要重點關注的一個需求。
第三是數(shù)據(jù)安全。在智能電網(wǎng)的環(huán)境中,數(shù)據(jù)安全有兩點含義,一是數(shù)據(jù)本身的安全,這其中需要采用密碼技術對數(shù)據(jù)進行保護,還有對數(shù)據(jù)完整性的保護等;第二是數(shù)據(jù)防護的安全,比如通過備份的機制、云計算、云搜索的一些機制來保證數(shù)據(jù)的安全。數(shù)據(jù)安全是目前我國智能電網(wǎng)研究中的一個熱點話題。
此外,重要的還有在安全管理方面,應該加強業(yè)務系統(tǒng)全生命周期的安全管控。這也是國內(nèi)外的一些大型軟件公司在做的一種設計,在開發(fā)階段、設計階段都要把對信息安全的需求考慮進去。在國家電網(wǎng)電力系統(tǒng)的信息安全開發(fā)中,我們也在設計階段就考慮系統(tǒng)的安全問題,很多的安全漏洞都是由于軟件的編碼人員編碼不當或是不規(guī)范造成的。
還有供應鏈的安全,在中國,我們提出整個智能電網(wǎng)自主可控,盡量采取國產(chǎn)的設備、操作系統(tǒng),這也是為了在源頭上保證信息安全的做法。
《亮報》:在終端方面,目前智能電網(wǎng)的終端接入主要有哪幾種形式?
張濤:智能電網(wǎng)終端接入主要分為兩種類型。一種是內(nèi)網(wǎng)終端接入,這是指各種內(nèi)網(wǎng)終端設備通過有線或無線的方式接入。另一種是外網(wǎng)終端接入,也就是各種外網(wǎng)終端設備通過有線或者無線的方式接入。
但是,現(xiàn)有的接入方式已經(jīng)不能滿足智能電網(wǎng)發(fā)展的需求。
《亮報》:那么,終端的安全接入該如何保證?
張濤:如何保證在智能電網(wǎng)環(huán)境中終端的安全接入是一個很重要的問題,目前國網(wǎng)公司已經(jīng)有一個統(tǒng)一的安全接入系統(tǒng)的研究。我們提出來“基于可信計算的電力終端安全接入”。從“接入者身份可信”“接入終端安全狀態(tài)可信”“接入行為可控”“網(wǎng)絡訪問通道可信”“網(wǎng)絡訪問內(nèi)容可控”“全面的檢測與審計”等七個層面構建了網(wǎng)絡接入全程可信、可控的立體防御體系,保證外部接入的訪問通道、身份、狀態(tài)和行為都是可控的。
《亮報》:除了終端方面,目前還在關注和進行研究的保障信息安全的措施有哪些?
張濤:近期主要做的兩個研究工作,一是如何保證終端的安全接入,二是如何防止一些敏感數(shù)據(jù)的泄露。這需要對數(shù)據(jù)安全性進行分級,從而考慮采取不同的安全措施。
國家電網(wǎng)信息網(wǎng)絡安全實驗室隸屬于國網(wǎng)電力科學研究院,位于南京,實驗室成立于2002年,是國家電網(wǎng)公司唯一一個從事信息安全主動防御的科研攻關團隊。實驗室目前的一個研究重點就是智能電網(wǎng)的信息安全,我們承擔了國家電網(wǎng)公司相關科技項目,也取得了豐富的成果,包括安全接入系統(tǒng)、云計算和物聯(lián)網(wǎng)安全研究等。
《亮報》:中國未來幾年投入巨資大規(guī)模建設智能電網(wǎng),您認為其中安全市場能有多少份額?
張濤:智能電網(wǎng)安全涉及面非常廣,信息與通信安全是智能電網(wǎng)的基礎支撐平臺,據(jù)我估計信息安全這一部分市場的投資大約能占到5%左右。
責任編輯:黎陽錦
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡何以可能
2017-02-24網(wǎng)絡
