")); (1)网络隔离
采用“双机非网”的结构模式来实现“网络隔离”,“内网主机”与内网(安全区I、II)以网络或串口的方式连接,“外网主机”与公网以网络连接,“内网主机”与“外网主机”以高速串口结合非网络协议方式连接,从而达到既能保证应用程序之间进行双向数据通信,又能保证网络层面公网与内网之间的网络隔离。
(2)身份认证
电力调度系统数字证书系统是为电力调度系统的用户、关键网络设备、服务器提供数字证书服务。通过数字证书实现高强度的身份认证、安全的数据传输以及可靠的行为审计,确保电力实时闭环监控系统及调度数据网络的安全,防止由此引起电力系统故障。
公网安全防护采用电力调度系统数字证书系统颁发的设备证书进行身份认证,以验证身份是否可以信任,从而确定对方身份的真实性、数据通信保密性、完整性及不可否认性,提高安全防护强度。
(3)传输加密
经过公网传输的数据必须进行加密,考虑到经济成本等因素可以采用软加密,加密算法可以采用成熟通用的算法,例如:DES、3DES、AES、SHA、RSA等,对于成本控制比较宽松的场合也可采用国密办认证的商业密码算法。
(4)权限受控
①对网络层面的数据采用基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
②对应用层的通信规约数据增添各种通讯协议的分析(如104规约等),根据通信连接建立的状态以及应用数据包的结构,对带控制命令的通信数据包可以根据策略设置允许或限制其通过;
③对执行命令的数据包记录以供日后查询审计。
4.2 主机安全加固设计与实现
(1)使用专业漏洞扫描仪(漏洞库升级到最新)对主机系统进行全面的扫描,确保主机系统只能开启应用系统所需的服务,关闭系统非必需的服务,并根据漏洞扫描结果进行主机系统安全加固。
(2)安装正版防护病毒和防木马等安全软件,并确保安全软件系统能正常生级。
(3)通过修改主机系统组策略中的帐号策略和审核策略,确保主机系统密码、登录安全,并对主机系统的登录日志进行审核。
5 电力系统公网的安全漏洞及解决方案
由于电力二次系统公网通信的绝大部分数据是采用明文传输,数据容易受到监听、修改、删除、伪造等攻击。如果不采用任何加密措施,电力信息系统即使采用了最完备的防黑客软件,修改了所有的系统漏洞(基本上是不可能的),明文传输的数据也会带来巨大的安全风险。
5.1 公网通信的多层次加密
网络加密的方式有链路加密、端-端加密和混合加密三种。链路加密是对网中两个相邻节点之间传输的数据进行加密保护,任一节点和相邻节点之间有相同的密码机和相应的密码,不同节点的密码机和密钥不一定一样。端-端加密是对通信应用双方进行的数据是连续的。它要求各对用户(而不是各对节点)采用相同的加密算法和密钥。混合加密是两者的结合,对报文两次加密,对报头只在链路方式进行加密。
链路加密方式的优点是数据是在各个节点间流动,而不是端对端流动,这样避免了流量分析攻击。但是本文不推荐在电力信息系统中采用链路加密方式,因为:
(1)需要在每个节点进行加解密算法,影响速度;
(2)每个节点都有自己的密钥,不容易管理;
(3)节点被攻击,影响整个通信网络系统的安全。
但是在电力信息系统中,由于服务器端和客户端链接比较多,实体数目增加了许多(数以千计的用户和进程需要生成和分配、管理更多的密钥)。因此在应用层加密,产生很多的链接都需要密钥,大大增加服务器的负担。同时,应用层加密设计到通信双方的源程序修改,在系统编译运行之后,一般不容易修改,如果系统保留接口,其安全性又大打折扣。
如果采用网络层加密,需要对路由信息,如整个IP包进行加密管理,因此,每个节点路由器都需要获得密钥,给密钥安全传输和管理,以及对解密速度也提出了较高的要求。
根据各种加密方式和电力信息系统的特点,本文建议自动化数据的加密采用端对端加密的方式,通信加密的位置位于网络层与应用层之间。
5.2 加密算法方式的选择
数据安全有三个要素,不同的要素具有不同的特性,需要采用的安全措施也不同。
(1)完整性
信息未经授权不能改变的特性,信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
(2)保密性
网络信息不被泄露给非授权的用户、实体,或供其利用的特性。
(3)可用性
信息可被授权实体访问并按需求使用的特性。
数据的完整性和保密性是两个不同的概念,是信息安全的两个方面。在不同的网络环境和数据安全需求下,有两种不同算法的选择:
①在网络层和应用层之间引入SSL层,进行数据流的完全加密,加密的内容只包括应用数据,还包括传输协议内容。该过程将数据流分成数据段进行加密,加密后明文变成密文;
②采用摘要算法,该过程对数据流进行分段做摘要算法,将摘要附在明文后面,用于完整性校验。电力系统SCADA实时数据传输通常并不在意消息是否泄密,关键在于数据是不是被篡改或者被冒名重发。因此可以不对整个数据段进行加密,可以考虑使用MD5消息摘要附加在数据段后作为校验。比如,发送信息M,通信双方共享密钥K。接收方接受后,如果不采用加密校验方式,可以丢弃MD5(M+K),共128bit。如果使用密钥校验,对接受的消息M,加上共享密钥K,进行MD5摘要计算。如果和接受的128bit吻合,就可以保证数据的完整性。另外,MD5算法非常快,可使用在不具备完全加密算法的场合。众所周知,大流量数据的加密对服务器的速度是一个严峻的考验,因此算法和密钥长度的选择必须满足电力信息的实时性要求,后一种加密算法不仅速度快,而且不需要进行密钥管理,是比较简单易行的加密模式。
6 应用案例
(1)贵阳地区小水电调度信息管理自动化系统(见图2)
贵阳地区下辖诸多的小水电厂,各电厂的技术实力和自动化水平参差不齐,大多数电厂与贵阳地调之间没有专门的光纤通道或电力调度专网,如果电厂之间全部租用光纤专线通道,则每年的租用费用成本较高,考虑到电厂均已向电信/移动/铁通等运营商开通了普通宽带上网(带宽1M或2M),用于办公和收发邮件。本次小水电系统采用具有“网络隔离、身份认证、传输加密、权限受控”HRYD-3000远动通信安全网关来加密网络通道,该远动网关具有内置的VPN功能,可以和VPN电厂客户端建立加密隧道进行加密通信,同时支持NET地址转发,通过与VPN电厂客户端配合使用,生成加密证书,配置通信端口与传输规约,即可实现利用普通宽带虚拟为加密专用通道,实现安全通信传输,同时还不影响电厂原有的办公宽带网络应用。通道从稳定性和经济性考虑,均满足调度业务需要,便于后续系统扩充接入其他电厂。
(2)贵州都匀供电局应急通信应用案例(见图3)
2008年初,贵州雪灾导致了麻尾变电站远动通信通道中断,主站EMS系统无法接收数据,电网调度人员失去对相应电网的实时监视,严重影响电网安全运行。南网自动化处就通道紧急恢复制定了以“HR YD-3000远动通信安全网关”为基础,增加远程互拨及串口支持等功能,承担紧急数据通道的任务,经过7天时间的努力,在都匀麻尾变电站及都匀供电局分别接入,恢复了正常通信。南网总调自动化处积极响应国家号召,结合自身专业优势,科学安排、精心组织,加强与电力设备厂家沟通合作,适时开展远动应急通道项目的研发工作,在科技减灾方面取得了新突破,提高了电网防灾抗灾水平,图3是现场接入示意图。
7 结束语
安全网关提供的应急通道对调度自动化系统连续、安全、稳定运行提供了有利的保障。也使得远动信息中断的故障处理进行快速应急恢复,缩短故障的时间,使调度自动化系统的运行指标:远动设备运行率、远动系统运行率、调度自动化系统运行率都相应的得到提高,对增强电力通信抗灾能力,确保重要通信业务畅通有极大的意义,实践表明该设备具有实用性和有效性。
作者简介
张迎秋,男。大学本科,工程师。主要研究方向为电力系统自动化。(游米儿)