电力监控系统内生安全技术及应用探讨

电力监控系统内生安全技术及应用探讨

雷宇

四川省紫坪铺开发有限责任公司 四川成都610000

摘要：近些年来，城市化进程加快，国民经济水平提升。在民众生活方式发生转变的情况下，民众生产生活中逐渐提高对电力能源的需求。电力作为关乎到国计民生的基础性设施，其监控系统受到国家相关部门的高度重视。目前，在多种因素对于影响下，电力监控系统网络安全威胁时有发生。电力监控系统网络安全问题，会造成大面积的停电或是病毒入侵，不利于电力系统的有序运行，也会影响民众的正常生产生活。基于此，文章首先阐述内生安全及需求背景。其次，分析设备、系统内生安全及内生安全技术。最后，研究电力监控系统内生安全技术的应用。

关键词：电力监控；系统；内生安全技术

前言：自进入到二十一世纪后，我国就开始致力于对电网监控系统安全防护的建设。历经二十余年的不断更新和发展，电力监控安全防护已经日趋成熟。结构性边界防护，成为电力监控系统经典构架的核心。在电力监控系统安全防护工作中，要始终坚持区域合理划分安全区，重视网络专用，横向与纵向的隔离、认证的核心内容。在电力监控系统运行期间，保护监控系统，关注网络安全和监控设备维度。电力监控系统网络空间边界在互联网发展的新形势下，呈现出模糊性特征，网络攻击未知性有所增加。随着信息技术的更新，电力监控系统内生安全技术的探索力度加大，并且被应用于电力监控系统运行中。综合来看，本研究有现实价值。

一、内生安全及需求背景

（一）内生安全

内生安全是借助内源性因素，以访问控制、白名单或是密码验证等多种机制，设计本体安全性功能。设备在设计开发之初，本身就具备内在安全性[1]。内生安全并不会对先验性特征库有所依赖，带有主动性的安全防护能力和带有融合性的安全设计，是内生安全的特征。借助内生安全，可有效实现对不确定性和未知网络攻击风险的应对。通过对内生安全的分析，其将传统设备与安全的分离部署形式打破，追求设备的安全性。从内生安全的技术内涵来看，涉及到比较宽泛的集合，包括软硬件、访问控制、操作系统等。

（二）内生安全需求背景

在新时代发展中，内生安全与新时代电力监控安全防护需求相符合[2]。目前，不管是基础设施国产化浪潮，还是国家政策法规，都为内生安全性的探索，提供了稳定环境。在基础设施研究方面，研究热点是国产化的自主可控，可为电力监控设备内源性安全技术的研发，提供安全出发点。国家关于网络相关的政策法规中，提出对可信产品的需求，对不同级别的产品提出更加明确的可信安全要求，为设备内生安全的研究，提供了保障。

二、设备、系统内生安全及内生安全技术

（一）设备内生安全

设备内生安全设计，可在满足业务性能与功能的同时，综合考虑基础组件、访问控制、数据保密、主动免疫等多种安全要素。其一，自主可控的基础组件。设备内生的安全基础性因子，是使国产化的关键组件，实现自主可控。以此种方式，实现对恶意潜在风险的解决，包括操作系统、数据库、协议等潜在风险[3]。其二，精简化的定制。设备内生安全业务得到满足后，要精简化的定制设备系统，将不必要的部件裁剪，将不必要的对外接口或是服务关闭，使设备的受攻击面缩减，比如裁剪操作系统、关闭USB口和光驱、关闭高危网络服务端口等，以此提高内生安全性。其三，访问控制。无论是使用设备内部资源，还是对设备进行维护，都离不开设备访问及交互。在此过程中，可安全配置设备系统，科学操作业务流程，对网络连接身份进行及时认证。通过多种举措，对访问进行控制，避免不必要的访问[4]。其四，保密数据和安全审计。电力监控系统中，数据保护是关键内容。设备中存在大量敏感数据，包括账户口令、配置或是关键参数等。对敏感数据使用时，要注意对数据的保护，可采用国密算法保护数据。此外，要重视安全审计。安全审计要保障信息的独立性，不可随意被删除或是篡改，要能够及时追溯信息来源。其五，主动免疫。在内生安全中，主动免疫是重要的能力。设计设备内生安全时，要重点考虑设备运行的内部和外部可信任环境，使设备从启动到运行，所有路径都处于预期可控范围。主动免疫技术，以可信免疫和拟态防御两种为主。其六，分级解耦保护。对于设备的硬件和软件来说，可出于安全考虑，设计分级和解耦[5]。具体来说，是在高安全区内设计核心逻辑模块，在低安全区设计外部通信管理模块。在物理层面上，解耦高安全区和低安全区两个区，使其在访问上受到限制。与此同时，可将安全累积效应设在设备外接口，实现对核心业务逻辑区域安全的保护。

（二）系统内生安全

作为物理单元的设备内生安全，相对容易理解。系统与设备内生安全比较相似，也可构建内生安全能力。从某种角度来说，系统是多个设备形成的集合，具有业务逻辑性。本质上，系统也有物理和逻辑的边界[6]。系统内源性，多集中体现在系统边界和网络空间两个方面。在系统边界上，以网络结构和设备单元为主；在网络空间上，以资源访问和通信互动为主。系统内生安全的关键点，是从安全角度上设计网络结构，对通信交互身份进行科学的认证，控制资源访问及过程行为审计的安全性。系统内生安全的设计思路，大致上与设备内生安全设计思路相同。

（三）内生安全技术

在电力监控系统内生安全中，关键技术是主动免疫能力。现阶段，可信免疫、拟态防御是比较常用的主动免疫技术。一方面，可信免疫。此种技术属于新型计算模式，在运算的同时，可对信息进行安全防护。将密码作为基因的抗体，对身份信息进行识别，对信息状态进行度量，对数据内容进行存储和保密。通过识别及存储等相应功能，对“自己”和“非己”成分进行有效识别。以此种方式，起到破坏有害物质进入机体的作用[7]。换句话来说，可信免疫能够为电力监控系统提供免疫能力。可信计算系统，包括可信硬件平台、可信任根、操作系统及应用等。另一方面，拟态防御。此种技术是在构建动态变化架构的基础上，从根本上在网络信息系统中，植入安全基因。通过此种方式，构建的免疫体系具有明显的内生效应，能够对防御难题加以解决，包括未知攻击难题或是未知漏洞难题等。在拟态防御中，要明确如下要点：其一，形成测不准效应；其二，获得内生安全功能；其三，达到提升防御增益效果；其四，发明动态异构冗余构造；其五，导入拟态伪装机制；其六，围绕不确定威胁前提；其七，基于相对正确的公理；其八，依据抵抗未知攻击的发现；其九，实现处理安全问题和获得控制属性目标；其十，借鉴可靠性与自动控制性理论。

三、电力监控系统内生安全技术的应用

在电力监控系统中，内生安全设计从内源主动性角度，为设备与系统的安全防护，提供了正确的安全思路。此种安全防护思路，并非将边界防护抛弃。具体分析来看，是通过对安全区的划分及边界防护措施的部署，将内生安全设计融合，持续监测网络空间，并对空间的安全环境进行评估。以此种方式，构建综合性安全防护方案，主要体现为结构性边界防护与设备内生安全、实施安全监测的融合。

就电力监控系统来说，是在网络交换机的支持下，多个若干监控设备共同组成统一监控系统。该系统网络，拥有独立边界，系统、外界的通信可交互，综合性防护设计，具体表现为如下三种。首先，结构性边界安全防护。依据业务的性质，将监控网络划分成不同安全区，将专门安全设备部署在安全区出口通信边界。包括部署加密认证装置、防火墙及网络隔离装置。其中，加密认证装置，主要负责的是纵向远程通信身份的认证，网络隔离装置，主要负责的是全区间信息横向传输。其次，设备内生安全防护。依据设备本体内生安全的要点，在设备开发及制造中，集成安全设计，依据电力工程实际情况，对施工现场安全策略进行合理配置。再次，系统内生安全防护。以网络连接方式，对系统进行构建时，需要对网络结构进行全面考虑，确定双星型冗余设计，验证公钥身份，确保数据信息的加密传输。最后，安全监测。以流量监测的方式，监测并且分析交换机交互通信内容，考虑对各网络节点的设备，构建日志审计与安全监测。

结语：在网络信息化时代中，电力系统运行受到国家的高度重视。电力系统网络安全，精确防御是将感知威胁特征作为基础的，防御具有被动性特征。此种现象，会使电力监控网络空间更加脆弱。在新的发展环境中，采用主动思维探索网络空间安全防护思路，重视内生安全技术的应用，对于提高电力监控系统安全防护水平，有重要的作用。通过对设备内生安全及系统内生安全技术的分析，使其充分与关键电力设备系统融合，强化内生安全能力，实现对电力系统安全防护问题的有效解决。期望在本次相关内容的探讨下，能够为日后提高电力监控系统内生安全技术应用水平提供相应建议。

参考文献：

[1]张亮，屈刚，李慧星，等.智能电网电力监控系统网络安全态势感知平台关键技术研究及应用[J].上海交通大学学报，2021，55(S02):7.

[2]杨志亮.电力监控系统在供配电设计中应用的探讨[J].城市建设理论研究(电子版)，2020，323(05):6-6.

[3]吴善庆，石成忠，李艳，等.风电场电力监控系统网络安全管理与技术研究[J].电力系统装备，2021(9):3.

[4]谢娟.电力监控系统网络安全应用实践——基于网络安全管理平台[J].水电水利，2022，5(11):28-29.

[5]罗靖，毛源睿.安全隔离技术在电力监控系统网络安全防护中的应用[J].电力系统装备，2021，29(24):2.

[6]许艾，刘刚，徐延明，等.电力监控系统通信安全技术研究与应用[J].自动化博览，2022，39(1):6.

[7]隋子鹏.探讨电力监控系统网络安全监测的现状与改进措施[J].电力系统装备，2021，22(7):2.