论文部分内容阅读
【摘 要】物联网主要是通过传感技术、计算机技术以及通信技术实现实体与网络的对接,是在信息通信新时代中发展而成的一种崭新网络形式,实体特征的感知、无线的信息传输以及智能化的信息处理是物联网的主要特征,这使得快速通讯与信息处理成为可能。但同时,这种信息感知与传输方式的独特性也使得其在传输信息的过程中较容易受到外界因素侵袭,從而造成信息泄露、重放,进而威胁整个系统的基本安全。
【关键词】电力物联网;风险;安全措施;分析
1导言
在衡量社会用电量时,电力供应的可靠性、质量和盈利能力都在不断提高。电网规模不断扩大,形式不断变化,供电压力不断增大。电力市场逐步开放,电力供应逐步分散:电价下降,能源消耗下降,电网活动面临激烈的市场竞争。先进的人工智能和计算支持了完整的检测、完整的在线线路的使用以及所有元素之间的相互连接。这需要新技术。
2物联网的安全风险
2.1一般安全风险
2.1.1信息窃听与篡改
信息窃听与篡改是对物联网中所包含的信息进行非法操作以实现非法目的的过程,尤其是对于电气企业这一社会性部门来说,信息窃听与篡改会带来极大的影响,很容易造成电力企业信息系统的瘫痪。通常情况下,由于物联网的硬件设备构成较为复杂、且体量庞大,因此多为单独放置,且很少派驻专门的人员进行看守,信息传送则主要依托基于无线或有线网络的专用型的传感器,传感过程中也并无明显的人工干预,为非法攻击留下了一定的空间。不法分子主要通过信息干扰的介入形式,干扰原本处于正常传送状态的数据或是节点数据,那么该过程就难以平稳实现预期效果,也为非法攻击者留出了窃取、篡改以及做出其他破坏的空间,进而引发较为严重的恶劣后果。一般情况下,如果信息传送采用无线网络形式,那么数据遭受窃取的概率会更大。
2.1.2物理设备破坏
与信息窃听及篡改不同,物理设备的典型特征在于硬件设备受到攻击而陷入破坏乃至瘫痪状态。如上所述,物联网的基础性设备以及信息传送的主要设备——传感器通常并没有人特别值守,那么非法攻击者就很容易对这些硬件设备进行破坏,这虽然不会达到窃取信息的目的,但可以中断正常的数据传送流程,那么电力企业日常运转需要依托的庞大网络系统就会收到较大程度的冲击,其后果也十分恶劣。值得注意的是,除了人为破坏之外,一些突发性的自然灾害也会对物理设备造成破坏,这种破坏具有难以预测、突然发生的特点。
2.2针对性的物联网安全风险
2.2.1跨网攻击
物联网系统的构成较为庞大,且其体系相对繁杂,特别是其中的实体更是具有种类多、分布广的特点,因此在实践应用中为了提高工作效率,在数据传输中不可能使用单独的专用网络,这也使得跨网配合传输成为物联网的一种主流数据传输形式。从理论上来说,这一形式大大提高了风险隐患的概率。在跨网攻击中,异构边界通常是“重灾区”,且其攻击点分布众多,表现形式较为隐蔽,具有极强的破坏性。
2.2.2数据标签攻击
该攻击的立足点在于物联网本身的数据标签,攻击者可能通过窃听或是诱骗等形式,掌握物联网数据标签包含的内容与形式,进而通过一系列破坏行为导致数据识别受阻。
3电力物联网信息安全防护体系
3.1感知层安全防护
该层主要面向感知设施层面,针对包括感知设备、智能终端和设备物理防护。一是感知设备、智能终端和设备的物理防护。采取防盗窃、防破坏、用电安全的物理保护装置,保证智能终端和设备不受物理的分析、操控和破坏。二是感知设备和智能终端的安全存储和运算。对于智能终端或传感器采用基于标准安全算法的安全模块保存关键业务数据、鉴别信息等,保证原始数据的安全,根据数据安全级别,可采取不同的安全算法进行保护,避免信息泄露或被篡改。
3.2网络层安全防护
一是短距离无线通信网络安全。感知设备通常组成无线传感器网络,因其设备量大、资源有限、信道开放容易受到各种攻击,因此,通常建立数据链路层或网络层安全机制,采用加密算法,建立多渠道密钥管理系统,实现设备采集、传输安全;利用消息认证码(MAC)等机制完成认证。同时建立路由安全机制,采用无线多路径或信道过滤模式,防止Do S等攻击。二是无线公网/专网网络安全。无线传输具有便捷、易部署等优势,但由于无线传输信道开放,因此如何进行安全接入、安全传输非常重要。如果关键设施确需采用无线公网传输业务数据时,应采用VPN或APN服务,采用端到端的安全密码算法,保障无线公网上传输数据的机密性、完整性和新鲜性。三是服务器端与通信网络层边界安全。通信网络负责数据传输,在系统服务器端与通信网络层的边界经常受到各种网络攻击。为了保证边界安全,通常要部署独立的安全设备,进行网络安全接入认证、边界访问控制、信息内容过滤。同时,采取审计算法,进行网络连接限制、入侵防范、恶意代码防范等安全机制,实现边界安全控制。
3.3应用层安全防护
一是用户账户安全。限制可登录终端的网络地址范围,对接入设备的用户进行身份鉴别并控制用户对资源的访问。建立用户行为审计制度,对用户登录/登出、连接超时、配置变更、时间变更等重要事件进行审计等。同时,建立接口访问控制协议,通过共享口令等保证用户安全接入,实现物联网系统与其他系统间的数据交换安全。二是操作系统/中间件级安全。操作系统及中间件负责系统级功能,必须按照信息安全等级保护要求,参照操作系统/中间件系统安全等级,选用安全操作系统或实施操作系统安全机制配置,采用最低可用原则,结合身份鉴别、访问控制、安全审计、剩余信息保护等安全功能和机制,进行安全防护。三是数据库系统级安全。数据是重要资源,数据库系统安全也应按照相应的信息安全保护等级要求,依据数据库安全级别,选用合适的安全数据库或实施数据库安全机制配置。同时,鉴于数据的特殊性和重要性,必须对数据进行合理备份。制定切合实际的数据备份策略、采用灾难恢复技术及相适应的存储介质进行备份。四是业务应用安全。业务应用纷繁复杂,从业务自身、业务运行、业务存储访问多方面进行防护。包括进行身份认证、访问控制及权限限制、安全审计、剩余信息保护等方面依次进行安全设计、开发及上线运行。
4结论
电力物联网覆盖了智能电网的状态感知、信息传输及智能处理各个环节,在电网建设、电网安全生产管理、运行维护、信息采集、安全监控、计量及用户交互等方面发挥巨大作用,可以全方位提高智能电网各个环节的信息感知深度、广度以及密度。但是,由于网络应用模式的演变,网络技术的发展,物联网技术的深入使用给电网调度自动化、继电保护和安全装置、发电厂控制自动化、变电站自动化、电力负荷控制、电力市场交易、电力用户信息采集、智能用电等领域带来新的安全隐患。随着电力物联网的不断深入应用,新的安全问题会不断出现,未来可以通过引入量子安全传输等新技术,进一步提升电力物联网安全。
参考文献:
[1]曲朝阳,董运昌,刘帅,沈志欣,于建友,李育发.引入生物免疫学方法探讨泛在电力物联网安全技术[J/OL].电力系统自动化:1-12[2019-11-19].
[2]夏文龙.泛在电力物联网的关键技术与应用前景[J].中国新通信,2019,21(19):115.
[3]李苏秀,刘林,王雪,代红才,赵留军.泛在电力物联网商业模式理论体系与设计架构[J/OL].中国电力:1-9[2019-11-19].
[4]赵宪中,侯梓浪,张佳业,罗康宁,陈炫安.基于电力物联网的安全防护技术[J].电子技术与软件工程,2019(16):194-195.
[5]孟祥甫,郭志华,芮光辉,薛晓慧.关于泛在电力物联网二重性的探讨[J].青海电力,2019,38(02):64-67.
[6]陈麒宇.泛在电力物联网实施策略研究[J].发电技术,2019,40(02):99-106.
(作者单位:江苏省电力有限公司镇江分公司)
【关键词】电力物联网;风险;安全措施;分析
1导言
在衡量社会用电量时,电力供应的可靠性、质量和盈利能力都在不断提高。电网规模不断扩大,形式不断变化,供电压力不断增大。电力市场逐步开放,电力供应逐步分散:电价下降,能源消耗下降,电网活动面临激烈的市场竞争。先进的人工智能和计算支持了完整的检测、完整的在线线路的使用以及所有元素之间的相互连接。这需要新技术。
2物联网的安全风险
2.1一般安全风险
2.1.1信息窃听与篡改
信息窃听与篡改是对物联网中所包含的信息进行非法操作以实现非法目的的过程,尤其是对于电气企业这一社会性部门来说,信息窃听与篡改会带来极大的影响,很容易造成电力企业信息系统的瘫痪。通常情况下,由于物联网的硬件设备构成较为复杂、且体量庞大,因此多为单独放置,且很少派驻专门的人员进行看守,信息传送则主要依托基于无线或有线网络的专用型的传感器,传感过程中也并无明显的人工干预,为非法攻击留下了一定的空间。不法分子主要通过信息干扰的介入形式,干扰原本处于正常传送状态的数据或是节点数据,那么该过程就难以平稳实现预期效果,也为非法攻击者留出了窃取、篡改以及做出其他破坏的空间,进而引发较为严重的恶劣后果。一般情况下,如果信息传送采用无线网络形式,那么数据遭受窃取的概率会更大。
2.1.2物理设备破坏
与信息窃听及篡改不同,物理设备的典型特征在于硬件设备受到攻击而陷入破坏乃至瘫痪状态。如上所述,物联网的基础性设备以及信息传送的主要设备——传感器通常并没有人特别值守,那么非法攻击者就很容易对这些硬件设备进行破坏,这虽然不会达到窃取信息的目的,但可以中断正常的数据传送流程,那么电力企业日常运转需要依托的庞大网络系统就会收到较大程度的冲击,其后果也十分恶劣。值得注意的是,除了人为破坏之外,一些突发性的自然灾害也会对物理设备造成破坏,这种破坏具有难以预测、突然发生的特点。
2.2针对性的物联网安全风险
2.2.1跨网攻击
物联网系统的构成较为庞大,且其体系相对繁杂,特别是其中的实体更是具有种类多、分布广的特点,因此在实践应用中为了提高工作效率,在数据传输中不可能使用单独的专用网络,这也使得跨网配合传输成为物联网的一种主流数据传输形式。从理论上来说,这一形式大大提高了风险隐患的概率。在跨网攻击中,异构边界通常是“重灾区”,且其攻击点分布众多,表现形式较为隐蔽,具有极强的破坏性。
2.2.2数据标签攻击
该攻击的立足点在于物联网本身的数据标签,攻击者可能通过窃听或是诱骗等形式,掌握物联网数据标签包含的内容与形式,进而通过一系列破坏行为导致数据识别受阻。
3电力物联网信息安全防护体系
3.1感知层安全防护
该层主要面向感知设施层面,针对包括感知设备、智能终端和设备物理防护。一是感知设备、智能终端和设备的物理防护。采取防盗窃、防破坏、用电安全的物理保护装置,保证智能终端和设备不受物理的分析、操控和破坏。二是感知设备和智能终端的安全存储和运算。对于智能终端或传感器采用基于标准安全算法的安全模块保存关键业务数据、鉴别信息等,保证原始数据的安全,根据数据安全级别,可采取不同的安全算法进行保护,避免信息泄露或被篡改。
3.2网络层安全防护
一是短距离无线通信网络安全。感知设备通常组成无线传感器网络,因其设备量大、资源有限、信道开放容易受到各种攻击,因此,通常建立数据链路层或网络层安全机制,采用加密算法,建立多渠道密钥管理系统,实现设备采集、传输安全;利用消息认证码(MAC)等机制完成认证。同时建立路由安全机制,采用无线多路径或信道过滤模式,防止Do S等攻击。二是无线公网/专网网络安全。无线传输具有便捷、易部署等优势,但由于无线传输信道开放,因此如何进行安全接入、安全传输非常重要。如果关键设施确需采用无线公网传输业务数据时,应采用VPN或APN服务,采用端到端的安全密码算法,保障无线公网上传输数据的机密性、完整性和新鲜性。三是服务器端与通信网络层边界安全。通信网络负责数据传输,在系统服务器端与通信网络层的边界经常受到各种网络攻击。为了保证边界安全,通常要部署独立的安全设备,进行网络安全接入认证、边界访问控制、信息内容过滤。同时,采取审计算法,进行网络连接限制、入侵防范、恶意代码防范等安全机制,实现边界安全控制。
3.3应用层安全防护
一是用户账户安全。限制可登录终端的网络地址范围,对接入设备的用户进行身份鉴别并控制用户对资源的访问。建立用户行为审计制度,对用户登录/登出、连接超时、配置变更、时间变更等重要事件进行审计等。同时,建立接口访问控制协议,通过共享口令等保证用户安全接入,实现物联网系统与其他系统间的数据交换安全。二是操作系统/中间件级安全。操作系统及中间件负责系统级功能,必须按照信息安全等级保护要求,参照操作系统/中间件系统安全等级,选用安全操作系统或实施操作系统安全机制配置,采用最低可用原则,结合身份鉴别、访问控制、安全审计、剩余信息保护等安全功能和机制,进行安全防护。三是数据库系统级安全。数据是重要资源,数据库系统安全也应按照相应的信息安全保护等级要求,依据数据库安全级别,选用合适的安全数据库或实施数据库安全机制配置。同时,鉴于数据的特殊性和重要性,必须对数据进行合理备份。制定切合实际的数据备份策略、采用灾难恢复技术及相适应的存储介质进行备份。四是业务应用安全。业务应用纷繁复杂,从业务自身、业务运行、业务存储访问多方面进行防护。包括进行身份认证、访问控制及权限限制、安全审计、剩余信息保护等方面依次进行安全设计、开发及上线运行。
4结论
电力物联网覆盖了智能电网的状态感知、信息传输及智能处理各个环节,在电网建设、电网安全生产管理、运行维护、信息采集、安全监控、计量及用户交互等方面发挥巨大作用,可以全方位提高智能电网各个环节的信息感知深度、广度以及密度。但是,由于网络应用模式的演变,网络技术的发展,物联网技术的深入使用给电网调度自动化、继电保护和安全装置、发电厂控制自动化、变电站自动化、电力负荷控制、电力市场交易、电力用户信息采集、智能用电等领域带来新的安全隐患。随着电力物联网的不断深入应用,新的安全问题会不断出现,未来可以通过引入量子安全传输等新技术,进一步提升电力物联网安全。
参考文献:
[1]曲朝阳,董运昌,刘帅,沈志欣,于建友,李育发.引入生物免疫学方法探讨泛在电力物联网安全技术[J/OL].电力系统自动化:1-12[2019-11-19].
[2]夏文龙.泛在电力物联网的关键技术与应用前景[J].中国新通信,2019,21(19):115.
[3]李苏秀,刘林,王雪,代红才,赵留军.泛在电力物联网商业模式理论体系与设计架构[J/OL].中国电力:1-9[2019-11-19].
[4]赵宪中,侯梓浪,张佳业,罗康宁,陈炫安.基于电力物联网的安全防护技术[J].电子技术与软件工程,2019(16):194-195.
[5]孟祥甫,郭志华,芮光辉,薛晓慧.关于泛在电力物联网二重性的探讨[J].青海电力,2019,38(02):64-67.
[6]陈麒宇.泛在电力物联网实施策略研究[J].发电技术,2019,40(02):99-106.
(作者单位:江苏省电力有限公司镇江分公司)