智能電網信息安全風險及防范對策

汪利敏

（上海正泰智能科技有限公司，上海 201600）

1 智能電網信息安全風險概述

1.1 風險類型及成因

智能電網運行期間面臨的風險多種多樣（如圖1），其中典型的信息安全風險事件包括信息泄露、網絡攻擊、數據文件損毀、計算機病毒入侵4 種。

圖1 電網信息安全風險

（1）信息泄露風險。在輸、配、變電等環節持續產生海量數據，部分數據涉及到電網核心運行情況和電力企業機密。由于系統軟件的兼容性較差，容易出現違規操作行為，或是在數據文件遠距離傳輸期間遭受第三方攻擊，導致電網運行數據或是用戶隱私數據外泄。

（2）網絡攻擊風險。智能電網本地數據庫存儲大量高價值數據，部分不法分子通過偽裝用戶身份、數據文件夾帶病毒程序等手段入侵智能電網信息系統，銷毀或篡改重要數據，強制癱瘓系統軟件程序。這不但會出現信息泄密等安全問題，還會引發電網癱瘓等連鎖問題的出現。

（3）數據文件損毀風險。智能電網運行期間會持續產生、收集大量的多源異構數據，各類數據的屬性特征與格式存在明顯差異，由于沒有搭建配套數據庫、采取分類存儲方式，數據存儲和處理期間時常出現沖突問題，致使數據文件損毀，無法正常打開。

（4）計算機病毒入侵風險。外部網絡中分布大量的計算機病毒，具備隱蔽性、繁殖性、主動攻擊的特征，如果未經審查直接在智能電網系統內接收外部數據文件，則文件上有可能會附著計算機病毒，病毒在智能電網內部網絡中持續擴散，一段時間后攻擊系統平臺，將造成嚴重損失。

1.2 風險危害

根據同類信息安全風險案例來看，風險事件造成的危害后果主要體現在威脅控制性能和破壞控制功能2 個方面。第一，在威脅控制性能方面，在平臺系統遭受網絡攻擊或是計算機病毒入侵時，系統會占用智能電網本地運行資源。在風險危害程度較低的情況下，雖然不至于出現電網整體癱瘓、程序并發無序運行等嚴重后果，但是會因占用過多運行資源而造成網絡傳輸延遲、系統卡頓、終端設備響應不及時的后果。第二，在破壞控制功能方面，新型計算機病毒有著極為強烈的攻擊性和破壞性，如Stuxnet 超級病毒等。如果智能電網信息系統內部傳播此類新型病毒，則會對移動存儲介質、內部網絡、軟件程序、數據庫等組成部分造成嚴重破壞，在短時間內限制智能電網控制功能的正常發揮。

2 智能電網信息安全風險的防范對策

2.1 物理隔離

智能電網有著調度跨度大的特征。為切實滿足電網控制需要，普遍選擇在電網項目中規劃若干安全區域，在各區域內安裝傳感器、控制器等終端設備，搭建控制子系統，保持各區域系統的遠程通信狀態。然而，根據實際運行情況來看，各區域數據傳輸是信息安全風險事件的高發部位，時常出現數據泄密、傳輸信息被篡改等安全問題。因此，電力企業需要在智能電網信息系統中加裝物理隔離裝置。電力生產安全區域和管理信息安全區域間保持數據單向傳輸方式，由單向傳輸取代原有的雙向傳輸。這樣在信息系統出現計算機病毒入侵等安全問題后，也無法通過傳輸攜帶計算機病毒的數據文件來攻擊電力生產安全區域，起到控制信息安全問題影響范圍、避免干擾電力生產活動正常開展的作用[1]。

2.2 加密傳輸

在加密傳輸環節，當前主要采取對稱密鑰和非對稱密鑰2 種算法，提前將數據文件的明文轉換為無實際意義的密文，接收者再使用密鑰對密文進行解密處理獲取明文。如果在傳輸期間出現數據文件遭受第三方攔截的問題，則可以保證數據信息不會泄密。對稱密鑰算法強調發送者、接收者使用相同密鑰，具體采取流加密、塊加密等技術手段，有著易于操作的優勢，但安全系數偏低，有可能因工作人員不規范操作行為導致密鑰外流、數據文件失竊，原理如圖2 所示。非對稱密鑰算法強調將密鑰分解為加密密鑰和解密密鑰2 種，由數據文件的發送者、接收者各持一種密鑰。根據應用情況來看，非對稱密鑰算法存在流程煩瑣、低效等問題，但安全系數更高，適用于信息安全要求嚴格的智能電網項目，原理如圖3 所示[2]。

圖2 對稱密鑰

圖3 非對稱密鑰

2.3 入侵檢測

早期的智能電網項目缺乏成熟的網絡安全檢測手段，主要依賴管理人員的工作經驗，不定期查閱系統運行日志，判斷系統運行狀況是否穩定，從中識別信息安全風險。這種模式既無法有效識別全部的安全隱患問題，也無法在第一時間發現問題并采取有效的處理措施。

因此，電力企業需要在智能電網信息系統中應用到入侵檢測技術，搭建主動防御機制，持續采集系統運行數據來識別異常活動，在發現信息安全風險隱患后立即向管理人員發送報警信號，基于程序準則自動執行隔離異常數據和其他正常數據等處置措施。同時，根據信息安全防護要求來選擇檢測方法，常用方法包括統計方法、專家系統、預測模型生成和模型匹配4 種。其中，統計方法是對系統實時數據進行統計分析，如果實時數據和同類歷史數據偏差程度過大，則表明系統出現異常狀況；專家系統是提前搭建專家知識庫，收集各類信息安全風險案例作為樣本進行自學習，逐漸具備強大的邏輯分析與風險識別能力，再由專家系統實時監控信息系統運行情況，判斷是否存在安全隱患，如圖4 所示；預測模型生成是提前假定審核事件序列，再將系統實時數據導入模型內進行檢測；模型匹配是提前掌握計算機病毒入侵等各類風險事件的特征，再根據風險特征進行編碼處理，使用編碼文件來審核系統數據文件。如果二者的相似度較高，則判定系統出現異常狀況。

圖4 專家系統

2.4 信息系統縱深防護

面對愈發復雜的信息安全形勢，如果在智能電網項目中僅設置單道安全防線，則無法徹底杜絕計算機病毒入侵、網絡攻擊等安全問題的出現，而這也是早期智能電網項目普遍存在的問題。

因此，電力企業必須重點體現出智能電網信息系統防護機制的縱深性，搭配應用防火墻、入侵檢測、用戶認證、權限管理等多項安全措施形成多道防線。上道防線被突破后，立即啟動下道防線，避免平臺系統的安全防護機制被徹底擊穿。正常情況下，信息系統縱深防護體系依次由網絡安全防線、系統安全防線、物理冗余防線以及容災中心防線組成。

（1）網絡安全防線。此道防線由防火墻和入侵檢測2 項技術組成。其中，防火墻搭建在內部網絡和外部網絡的邊界區域，負責審查數據文件是否攜帶計算機病毒等安全隱患，阻擋未知身份人員訪問內網，其中未通過審核的數據文件無法發送至內部網絡。入侵檢測負責跟蹤監控信息系統的運行情況，有效查找系統安全漏洞，避免出現繞開防火墻的安全隱患[3]。

（2）系統安全防線。此道防線由用戶認證和權限管理2 項技術組成。其中，用戶認證是提前建立用戶數據庫，存儲用戶賬戶密碼、生物特征信息等數據。用戶訪問系統時識別真實身份，從而攔截未知身份人員。隨后，系統持續記錄用戶操作過程，判斷用戶操作習慣與歷史習慣是否一致。權限管理是綜合分析用戶職級職務、工作崗位等因素，向其賦予一定的操作權限，未經批準，用戶無法開展超出自身權限范圍的操作行為。

（3）物理冗余防線。此道防線由冗余數據采集裝置和冗余通信通道2 部分組成，負責在信息系統出現安全問題后仍舊維持智能電網平穩運行。其中，冗余數據采集裝置是在生產區域和電網沿線額外加裝一定數量的傳感器等裝置，如果主用采集裝置出現大面積癱瘓情況，則立即投入冗余裝置，不間斷采集電網的運行數據。冗余通信通道是在通信系統內額外布置多條通信通道，在主通道遭受外部攻擊時，通過備用通道來完成數據傳輸任務。

（4）容災中心防線。在智能電網運行期間，盡管采取了多項安全防護措施，但是仍舊存在出現數據文件損毀問題的可能性。為避免重要數據永久丟失造成嚴重損失，管理人員需要借助當地容災中心，在信息系統運行期間持續將重要數據上傳至容災中心備份。后續在主數據庫丟失文件后，通過容災中心來復制數據。

2.5 軟件鑒簽

軟件鑒簽是采取軟件算法對報文進行鑒簽、認證報文發送者真實身份的一項技術手段，避免因接收未知身份人員發送的數據文件而導致信息系統遭受網絡攻擊。在智能電網項目中，此項技術也可用于解決無法通過硬件加密處理的配電自動化終端設備問題[4]。

2.6 規范操作

根據同類項目信息安全風險案例來看，部分風險事件的形成原因在于安全違規操作行為，如管理人員隨意訪問未知鏈接、使用個人U 盤等，致使系統形成安全漏洞。因此，為減小操作行為對系統安全系數造成的影響，電力企業應規范操作行為，具體從系統檢測和安全培訓2 個方面著手[5]。在系統檢測方面，系統跟蹤檢測用戶操作行為，如果發現安全違規行為，立即提醒用戶，必要時臨時剝奪用戶操作權限；在安全培訓方面，定期對管理人員進行安全培訓，以典型風險事件的形成原因、出現征兆、正確處理方法以及安全操作要求作為培訓內容，幫助管理人員逐步掌握信息系統正確操作方法，提高自身專業素養。

3 結 論

隨著智能電網的推廣普及，如何妥善處理信息安全問題，預防風險事件出現，已成為當前亟待解決的重要問題。電力企業必須提高對智能電網信息安全風險管理的重視程度，掌握風險脈絡成因，編制專項風險應對方案，積極采取高效的防范對策，最大限度消除信息安全隱患。