基于數據防泄漏技術的電網信息化安全控制研究

劉雪松

摘要：由于傳統安全控制方法缺少對不同層次電網信息的研究，導致控制延遲時間較長，控制效果較差等問題。針對該問題，提出基于數據防泄漏技術的電網信息化安全控制研究。結合數據防泄漏技術應用原理，設計訪問層、防護層、對象層的3層電網信息化安全控制防泄漏體系框架，攔截對信息自行操作請求，并采取隔離策略。檢查信息內容、信息分類、訪問權限矩陣列表、分類結果以及信息具體輸出形式后，設計4層技術防護，并采取電網敏感信息閉環管理策略，實現電網信息化安全控制。在VS-20型號虛擬服務器上搭建的實驗環境進行實驗分析，由得出結果可知，該方法控制延遲時間短且控制效果良好，最高控制效果可達到90%，對于提高電網信息化建設是具有可行性的。

關鍵詞：數據防泄漏;電網信息;安全控制;虛擬

中圖分類號：TP309文獻標志碼：A

文章編號：2095-5383（2020）04-0048-05

Research on Security Control of Power GridInformation based

on Data Leaking Prevention Technology

LIU Xuesong

（CollegeofContinuingEducation，Wuhu Institute of Technology，Wuhu 241000，China）

Abstract：

Due to the lack of research on different levels of power grid information in traditional security control methods， the problems such as long control delay time， and poor control effect are caused. In order to solve this problem， the research on security control of power grid information based on data leaking prevention technology was proposed. Combined with the application principle of data leaking prevention technology， a three-tier grid information security control and leaking prevention system framework composed of access alyer， protection layer，and object layer was designed， andthe frame can intercept request for information self-operation and adopt the isolation strategy. After checking the information content， information classification， access permission matrix list， classification results and specific information output form， four layers of technical protection was designed， and a closed-loop management strategy for power grid sensitive information was adopted to realize the security control of power grid information. The experimental analysis was conducted on the experimental environment built on the VS-20 model virtual server. The experimental results show that the methods has short control delay timeand good control effect.， The highest control effect can reach 90%， which is feasible to improve the power grid information construction.

Keywords：information leaking prevention; power grid information; security control; virtual

社會各行各業應用智能電網業務系統進行信息存儲與傳遞，電網業務信息系統主要依靠電力行業運行工作。電力行業不僅對智能電網發、輸、變、配、用電各環節業務起著重要作用，同時也保障了人們生活用電需求，促進了國民經濟快速增長[1]。電網信息系統安全問題非常關鍵，信息系統一旦出現漏洞，就會造成嚴重后果。現階段我國網絡安全形勢十分嚴峻，敏感信息安全問題屢次發生，信息保護成為當今急需解決的問題[2]。為確保智能電網的安全穩定運營，電網數據防泄漏技術起到了管控和防護作用。智能電網業務系統把信息進行統一存儲，利用數據防泄漏技術對存儲敏感信息加以防護，避免敏感信息泄漏，使智能電網的運營更加安全穩定。由于智能電網業務系統基本運用移動智能終端進行信息的傳輸、存儲以及產生與銷毀，部分機密信息在通過移動終端通信與交換過程中，難免出現泄漏情況。如何在電網信息化建設中制定科學有效的防泄漏措施，是電力行業與電網公司面臨的嚴峻問題。

相關研究有文獻[3]針對企業核心信息泄漏問題，提出企業核心數據防泄漏的數據加密方法，分別分析了DES加密方法和ECC加密方法應用于企業核心數據防泄漏的優缺點，將二者結合在一起進行改進，設計一種綜合二者優點的數據加密方法。將其應用于企業核心信息的加密。該方法能開銷較小，執行效率較高，但存在加密控制延時長的問題。文獻[4]針對移動智能終端信息泄漏問題，提出一種移動智能終端數據防泄漏安全存儲模型。以Android客戶端、云存儲服務器端為例，研發基于上述安全存儲模型的應用系統。當文件離開移動智能終端就以密文形式存在，當文件重新回到移動智能終端時才能被解密成明文，實現了對用戶文件的全生命周期保護，但該方法的控制效果較差。

針對傳統安全控制方法控制延遲時間較長、效果較差的問題，提出基于電網信息化安全控制的方法，數據防泄漏技術是一種高科技的防護技術，通過對網絡存儲的信息、終端形成的信息采取措施進行保護，能較好地解決信息泄漏問題。數據防泄漏技術在電網信息化建設中，起到了重要的保障與防護作用，使電網信息化更加安全。

1 數據防泄漏技術應用原理

數據防泄漏技術在應用過程中，先對存儲的全部信息資源進行保護，采用綜合技術手段對電網信息開展防泄漏措施[5]。網絡信息在傳輸過程中經常出現違反安全規定的敏感信息，需防止這些非規定的流出形式，避免敏感信息在傳輸過程中產生泄漏。進而使防漏技術起到有效保護，避免信息泄漏的同時還保障了存儲信息正常使用。

信息泄露防護技術是我國電網信息化安全保護的主要技術，在應用中根據需防護企業的實際情況，制定具體的信息安全防護的措施。為防止企業內部的機密信息泄漏，信息泄漏防護技術發揮了保護作用，通過對企業內重要信息的有效存儲，采用防護技術避免機密信息在網絡傳輸過程中泄漏，給企業造成嚴重的損失[6]。

在電力企業信息化建設中，信息泄露防護技術起到了安全和保密作用。企業在電力信息化建設中，信息泄漏防護技術的實用性可以有效保護企業大范圍內的信息，確保大量信息的安全，避免企業機密信息泄漏[7]。

2 電網信息化安全控制防泄漏體系框架

在電網信息化建設過程中，針對敏感信息存在的泄漏風險，結合數據防泄漏技術的特點和原理，建立電網信息化安全控制防泄漏體系框架。在構建防泄漏框架時，將防泄漏體系結構按層次分為訪問層、防護層和對象層。對象層是智能電網業務系統的終端設備，負責文件服務器和存儲信息文件;防護層是體系結構中最為繁瑣的中間層，負責文件過濾驅動、信息數據存儲標記和措施方案管理以及系統虛擬化防護技術，其體系框架如圖1所示。

1）保護層的文件過濾驅動防護具有控制信息操作的功能。在文件系統中設置文件過濾驅動，對部分機密和敏感信息采取訪問控制，并對信息文件的安全策略進行實時監控，在文件系統驅動前阻止攔截對文件操作的請求，有效避免重要信息泄漏[8-10]。

2）

數據防泄漏防護技術通過對整理收集的敏感信息進行標記，并對各類不同的敏感信息分別制定不同的防護策略。結合制定的方案策略采取相應的措施，起到全方位防護作用，保障敏感信息的安全[11]。

3）保護層的虛擬化技術對信息起隔離作用。通過在終端原有的內核操作系統虛擬多個邏輯隔離的軟件，設置虛擬空間操作的應用態軟件。兩種軟件在操作進程中形成一個虛擬層，使信息有效的隔離防止信息泄漏。

3 基于數據防泄漏技術安全控制方案的實現

3.1 業務檢查

在電網信息化建設中，實施數據防泄漏技術安全控制方案前，需要對電網信息系統業務進行檢查：

1）對電網信息化建設過程中的業務信息內容進行整理分類，針對一些需要保護的敏感信息，制定有效的防護策略并采取應對措施，實現安全保護的目標;

2）根據電網信息系統業務信息的各類內容，進行分別標記分類;

3）訪問權限把業務信息分類的結果進行分類矩陣列表;

4）對業務信息的分類結果進行分析，把敏感信息進行分類;

5）根據電網業務信息輸出形式，采取有效的管控與防護措施[12]。

對電網業務信息檢查工作完成后，開始設計數據防泄漏解決方案。

3.2 技術防護

電網敏感信息在移動終端產生時難免出現泄漏，在網絡存放、訪問、傳播和使用過程中也會產生信息泄露，針對產生的各種泄露渠道，數據防泄漏技術起到了技術防護的作用[13]。

第一層防護針對網絡安全問題采取的一系列防護措施。網絡信息內外網分為各種不同的業務區，根據不同業務類型和防護等級進行安全隔離，采取不同的業務系統防護措施。通過防護技術進行訪問控制和流量控制禁止非法訪問，檢測非法入侵和惡意代碼傳播，防止信息泄露造成人身攻擊。

第二層防護對終端一系列系統設置安全措施，防止信息通過系統設備泄露。防護技術通過對信息內外網與桌面終端計算機分別設置安全范圍，并在計算機終端安裝客戶軟件，使桌面終端的保密檢測、管理和防病毒等系統軟件，能夠有效限制各種外部設備的使用范圍，防止信息通過設備外泄[14]。

第三層防護對主機的操作系統和信息庫系統用戶采取的安全措施，通過對用戶身份識別確定，并進行訪問權限隔離，保證操作系統和信息庫補丁升級正常安全。

第四層防護由一系列應用安全措施組成，通過信息系統對用戶身份認證、授權、輸入輸出驗證、配置管理、會話管理、加密管理等，保證用戶業務信息的保密性和完整性[15]。

3.3 管理防御

對敏感信息管理體系進行防御，設計的電網敏感信息閉環管理體系如圖2所示。

敏感信息管理體系采取的是事先防范、事中審批和通知、事后審計環節的閉環防護管理措施，各管理環節的作用如下：

1）事先防范，規劃管理。對電網企業建立信息安全防范管理系統，針對敏感信息分類規劃，將敏感信息放在信息庫規劃的安全區域，使信息庫存儲的信息分類清晰。對用戶信息訪問進行審批管理，限制授權范圍禁止非法訪問，對規則訪問和多因素的訪問采取事先防范措施，起到有效的控制和防護。

2）事中審批，關鍵操作授權和審批。設置專職人員負責關鍵敏感信息的訪問操作，通過識別非法訪問敏感信息和惡意篡改操作行為，采取事中審批和操作授權的工作流程，對不合理訪問進行隔離阻斷，保障敏感信息的安全。

3）事中通知，告警通知。對非法訪問關鍵敏感信息的行為采取預警告警通知，并及時對非法訪問或操作進行控制管理。對非法訪問的地點、時間及應用進行記錄，并在第一時間通知信息管理者，對非法訪問采取警告干預的方式，使其終止非法訪問，防止信息泄露。

4）事后審計，報表化審計追溯。對主機、信息庫、業務應用等多個層次進行集中全面的審計，并對行為能力審計的實際情況登記報表。操作管理者通過對審計信息的分析，能夠準確定位非法訪問事件，并采取有效的控制措施。

4 實驗與分析

為了驗證基于數據防泄漏技術的電網信息化安全控制研究方法的有效性，需進行實驗分析。將文獻[3]方法與文獻[4]方法作為對照組，對比控制延遲及控制效果。

4.1 環境參數

該實驗是在VS-20型號虛擬服務器上搭建的實驗環境，具體相關設置如表1所示。

4.2 性能測試

4.2.1 控制延遲對比

為了驗證研究方法的控制延遲，基于上述實驗環境，使用內部網絡主機進行測試，腳本循環執行40次HTTP請求，共執行5次取頁面響應延遲的時間平均值作為性能測試衡量標準。分別對大型（100 Kb），中型（50 Kb）和小型（1 Kb）電網頁面請求進行測試，結果如圖3所示。

分析圖3可知，（a）大型（100 Kb）：當響應次數為5次（即實驗序號為1）時，采用文獻[3]方法的延遲時間為21 ms，文獻[4]方法延遲時間為18 ms，而基于數據防泄漏技術控制方法的延遲時間為6 ms，研究方法平均時延明顯低于傳統方法。在大型（100 Kb）電網頁面請求中，傳統控制方法最大延遲時間為27 ms，而研究控制方法最小延遲時間為5 ms。

（b）中型（50 Kb）：當響應次數為10次（即實驗序號為2）時，采用文獻[3]方法的最長延遲時間為12 ms，文獻[4]方法延遲時間為9 ms，而基于研究控制方法的延遲時間僅為4.5 ms。并且，在中型（50 Kb）電網頁面請求中，傳統控制方法最大延遲

時間為16 ms，而研究控制方法最小延遲時間為6 ms。

（c）小型（1 Kb）：當響應次數為30次（即實驗序號為6）時，采用文獻[3]方法的延遲時間為0.38 ms，文獻[4]方法的延遲時間為0.64 ms，而基于數據防泄漏技術控制方法的延遲時間僅為0.17 ms;當在小型（1 Kb）電網頁面請求中，傳統控制方法最大延遲時間為0.67 ms，而研究控制方法最大延遲時間為0.10 ms。

綜合以上結果可知，在小型（1 Kb）、中型（50 Kb）以及大型（100 Kb）電網頁面進行請求，研究方法都具有最小時延，最高響應效率。

4.2.2 控制率對比

根據上述內容，分別對2種控制方法的控制效果進行對比分析，結果如圖4所示。

由圖4可知，在不同類型電網網頁請求下研究控制方法控制效果均優于傳統方法。由此可知，采用基于數據防泄漏技術控制方法控制效果更好，也證實基于數據防泄漏技術的電網信息化安全控制研究方法是具有有效性的。

5 結束語

針對傳統安全控制方法控制延時時間長、效果較差的問題，提出基于數據防泄漏技術的電網信息化安全控制研究。依據數據防泄漏技術應用原理，設計電網信息化安全控制防泄漏體系框架。采取隔離策略，檢查信息內容、信息分類等信息具體輸出形式后，通過4層技術防護，同時結合電網敏感信息閉環管理策略，實現電網信息化安全控制。對比實驗結果表明，研究方法較傳統方法控制效果好、延時時間短，更具有實際應用意義，為電網信息化安全控制提供了有利依據。

參考文獻：

[1]席禹，鄒俊雄，蔡澤祥，等.基于報文識別與流量管控的智能變電站保護控制信息安全防護方法[J]. 電網技術，2017，41（2）：624-629.

[2]張超.綜合能源并網CPS模型及信息化安全防護方案研究[J].電工電能新技術，2019，38（6）：68-73.

[3]陳超群，李志華，閆成雨，等.移動智能終端信息防泄漏模型的研究及應用[J].計算機工程與設計，2016，37（10）：2632-2638.

[4]梁志宏.一種企業核心信息防泄露的數據加密方法改進[J].科學技術與工程，2016，16（27）：204-208.

[5]杜博.云計算環境下的智能電網光通信網絡安全的研究[J].自動化與儀器儀表，2018（1）：19-22.

[6]許鵬程，陳啟，劉宗歧.基于優化卷積法和靜態安全約束的電網外受電分析[J].現代電力，2017，34（2）：8-13.

[7]孫丹.小規模電網安全穩定實時控制系統研制與應用[J].電力系統保護與控制，2018，46（18）：67-73.

[8]戚湧，郭詩煒，李千目.電網融合泛在網信息平臺設計及安全威脅分析[J].計算機科學，2017，44（3）：150-152，174.

[9]鄒曉峰，肖遠興.基于SM2的配電網Modbus報文安全性研究[J].電力系統保護與控制，2018，46（12）：151-157.

[10]宋軍.新形勢下的電網安全自動裝置精益化管理實踐[J].科學技術創新，2018，41（30）：172-173.

[11]牛文楠，鮑鵬飛，唐會東，等.基于數據挖掘的智能電網安全漏洞挖掘模型[J].電源技術，2018，42（4）：22-25.

[12]馬進，趙大偉，錢敏慧，等.大規模新能源接入弱同步支撐直流送端電網的運行控制技術綜述[J].電網技術，2017，41（10）：3112-3120.

[13]尹璐，易姝嫻，張凱，等.基于柔性環網控制裝置的10kV配電網運行方式[J].電力自動化設備，2018，38（1）：137-142.

[14]王玉，馬靜，侯玉強，等.提升直流受端電網動態穩定性的緊急控制方法[J].電子設計工程，2019，27（2）：155-159，171.

[15]杜家兵，陳衍鵬，梁滿發.基于分布式實時調度策略的智能電網控制系統的設計與實現[J].電子設計工程，2018，26（7）：119-122.