• 變壓器直阻測試儀專(zhuān)用電源
• 回路電阻測試儀專(zhuān)用恒流源
• 開(kāi)關(guān)機械特性測試儀專(zhuān)用電源
• 電力自動(dòng)化保護裝置專(zhuān)用電源
• 基板式開(kāi)關(guān)電源
• 開(kāi)放式模塊電源
• 帶殼電源
• 定制類(lèi)電源
• 逆變電源

• 您的當前位置：首頁(yè)->新聞中心

文章認為智能電網(wǎng)的信息安全問(wèn)題必須在智能電網(wǎng)部署的過(guò)程中充分考慮。智能電網(wǎng)的信息安全主要包括物理安全、網(wǎng)絡(luò )安全、數據安全及備份恢復等方面;智能電網(wǎng)還會(huì )面對由多網(wǎng)融合引發(fā)的新的安全問(wèn)題，如智能電網(wǎng)感知測量節點(diǎn)的本地安全問(wèn)題、智能電網(wǎng)感知網(wǎng)絡(luò )的傳輸與信息安全問(wèn)題、智能電網(wǎng)業(yè)務(wù)的安全問(wèn)題。文章基于智能電網(wǎng)在信息采集、信息傳輸和信息處理3個(gè)層面所采用的信息安全技術(shù)，指出未來(lái)智能電網(wǎng)將會(huì )融合更多的先進(jìn)的信息安全技術(shù)，如可信計算、云安全等。
通過(guò)數字化信息網(wǎng)絡(luò )系統將能源資源流通的各個(gè)環(huán)節、終端用戶(hù)的各種電氣設備和其他用能設施連接在一起，通過(guò)智能化控制，提高能源利用效率和保障能源供應安全，這就是智能電網(wǎng)思想的起源[1]。

關(guān)于智能電網(wǎng)，目前國際上尚無(wú)統一明確的定義。美國電力科學(xué)研究院將智能電網(wǎng)[2-3]定義為：一個(gè)由眾多自動(dòng)化的輸電和配電系統構成的電力系統，以有效和可靠的方式實(shí)現所有的電網(wǎng)運作，具有自愈功能;能快速響應電力企業(yè)業(yè)務(wù)需求;具有智能化的通信架構，以實(shí)現實(shí)時(shí)、安全和靈活的信息流管理，并為用戶(hù)提供可靠、經(jīng)濟的電力服務(wù)。

智能電網(wǎng)是一種高度自動(dòng)化的數字化電網(wǎng)。位于其中的用戶(hù)端以及各個(gè)節點(diǎn)均可實(shí)現實(shí)時(shí)監控，采集到的雙向功率流信息貫穿在整個(gè)發(fā)、輸、配、用過(guò)程當中。智能電網(wǎng)在開(kāi)放系統和共享信息模式的基礎上，可以通過(guò)寬帶通信系統、自動(dòng)控制系統以及分布式智能設備等，實(shí)現電網(wǎng)中各部門(mén)的協(xié)調和實(shí)時(shí)互動(dòng)，以及實(shí)時(shí)市場(chǎng)化交易，以達到優(yōu)化電網(wǎng)的管理和運營(yíng)目的。

整合后的智能電網(wǎng)的體系架構從設備功能上可以分為4個(gè)層次，分別是基礎硬件層、感知測量層、信息通信層和調度運維層[4]。

(1)基礎硬件層

基礎硬件主要分布在“發(fā)、輸、配、用”4個(gè)環(huán)節中。發(fā)電涵蓋風(fēng)電、分布式電源、光伏電源、接入電源等;輸電涵蓋互濟、超導、特高壓、網(wǎng)架等;配電涵蓋微網(wǎng)、虛擬電廠(chǎng)、高級電表設施等;用電涵蓋電器、用電自動(dòng)控制設備、分布式電力供應站、電力儲能設備等。

(2)感知測量層

感知測量層主要通過(guò)智能測控設備來(lái)實(shí)現智能感知，以評估阻塞情況和電網(wǎng)穩定性，監控設備健康情況，防止竊電，以及實(shí)現控制策略支持等。該層由智能計讀數裝置、相角測量單元、廣域測量系統、動(dòng)態(tài)線(xiàn)路定級系統、電磁信號測量與分析系統、用電時(shí)間實(shí)時(shí)定價(jià)設備、數字繼電器等組成。這些儀器儀表采用射頻識別、傳感器和短距離高速無(wú)線(xiàn)通信技術(shù)，實(shí)時(shí)與智能電網(wǎng)相連接。

(3)信息通信層

信息通信層采用的技術(shù)涵蓋變電站自動(dòng)化、配電自動(dòng)化、監控和數據采集、需求響應、能量管理、無(wú)線(xiàn)網(wǎng)絡(luò )、數字移動(dòng)通信以及光纖通信等領(lǐng)域，能夠實(shí)現實(shí)時(shí)控制、信息和數據交換，以保障達到最佳的系統可靠性、最好的資產(chǎn)利用率，實(shí)現最高的安全性。

(4)調度運維層

智能電網(wǎng)的災備能力除面對電力系統外，還涉及自然和社會(huì )諸多因素，必須精確管理控制，因此需要與人工智能技術(shù)相結合。為了實(shí)現整個(gè)系統范圍內的協(xié)調控制，分布式智能代理及網(wǎng)狀控制結構等形式的設計將融入到系統建設中。系統可以被用來(lái)實(shí)施分布式?jīng)Q策控制，也可以進(jìn)行集中協(xié)調。信息通信層將為調度運維中心的運行提供堅實(shí)的技術(shù)支撐。

在智能電網(wǎng)中，數字化、網(wǎng)絡(luò )化、信息化技術(shù)主要分布于感知測量層、信息通信層和調度運維層中，因此本文對智能電網(wǎng)的信息安全技術(shù)的分析將主要圍繞這3層展開(kāi)。

1 智能電網(wǎng)的信息安全需求

智能電網(wǎng)作為物聯(lián)網(wǎng)時(shí)代最重要的應用之一，將會(huì )給人們的工作和生活方式帶來(lái)極大的變革，但是智能電網(wǎng)的開(kāi)放性和包容性也決定了它不可避免地存在信息安全隱患。和傳統電力系統相比較，智能電網(wǎng)的失控不僅會(huì )造成信息和經(jīng)濟上的損失，更會(huì )危及到人身和社會(huì )安全。因此，智能電網(wǎng)的信息安全問(wèn)題在智能電網(wǎng)部署的過(guò)程中必須充分考慮。針對智能電網(wǎng)的運營(yíng)特點(diǎn)，其安全需求主要包括物理安全、網(wǎng)絡(luò )安全、數據安全及備份恢復等方面。

(1)物理安全

智能電網(wǎng)的物理安全是指智能電網(wǎng)系統運營(yíng)所必需的各種硬件設備的安全。這些硬件設備主要包括智能計、測量?jì)x器在內的各類(lèi)型傳感器，通信系統中的各種網(wǎng)絡(luò )設備、計算機以及存儲數據的各種存儲介質(zhì)。物理安全主要指保證硬件設備本身的安全和智能電網(wǎng)系統中其他相關(guān)硬件的安全，是智能電網(wǎng)信息安全控制中的重要內容。物理安全的防護目標是防止有人通過(guò)破壞業(yè)務(wù)系統的外部物理特性以達到使系統停止服務(wù)的目的，或防止有人通過(guò)物理接觸方式對系統進(jìn)行入侵。要做到在信息安全事件發(fā)生前和發(fā)生后能夠執行對設備物理接觸行為的審核和追查。

(2)網(wǎng)絡(luò )安全

在傳統電力系統基礎上，智能化的通信網(wǎng)絡(luò )架構的智能電網(wǎng)應具有較高的可靠性。該通信網(wǎng)絡(luò )必須具備二次系統安全防護方案。防護的原則是：安全分區、網(wǎng)絡(luò )專(zhuān)用、橫向隔離、縱向認證。根據這個(gè)原則，智能電網(wǎng)的通信網(wǎng)絡(luò )可劃分為4個(gè)分區：安全區I(實(shí)時(shí)控制區)、安全區II(非控制生產(chǎn)區)、安全區III(生產(chǎn)管理區)、安全區IV(管理信息區)。其中，安全區I、安全區II和安全區III之間必須采用經(jīng)相關(guān)部門(mén)認定核準的電力專(zhuān)用安全隔離裝置，必須達到物理隔離的強度。網(wǎng)絡(luò )縱向互聯(lián)時(shí)，互聯(lián)雙方必須是安全等級相同的網(wǎng)絡(luò )。要避免安全區縱向交叉，同時(shí)在網(wǎng)絡(luò )邊界要采用邏輯隔離。信息系統網(wǎng)絡(luò )運行過(guò)程中要充分利用防火墻、虛擬專(zhuān)用網(wǎng)，采用加密、安全隔離、入侵檢測以及網(wǎng)絡(luò )防殺病毒等技術(shù)來(lái)保障網(wǎng)絡(luò )安全。

(3)數據安全及備份恢復

在智能電網(wǎng)中，數據安全的含義有兩點(diǎn)：其一，數據本身的安全。即采用密碼技術(shù)對數據進(jìn)行保護，如數據加密、數據完整性保護、雙向強身份認證等。其二，數據防護的安全，即采用信息存儲手段對數據進(jìn)行主動(dòng)防護，如通過(guò)磁盤(pán)陣列、數據備份、異地容災以及云存儲等手段保證數據的安全。

智能電網(wǎng)整體的信息安全不能通過(guò)將多種通信機制的安全簡(jiǎn)單疊加來(lái)實(shí)現。除了傳統電力系統的信息安全問(wèn)題之外，智能電網(wǎng)還會(huì )面臨由多網(wǎng)融合引發(fā)的新的安全問(wèn)題[5-7]。

(1)感知測量節點(diǎn)的本地安全問(wèn)題

由于智能電網(wǎng)中的智能設備可以取代人來(lái)完成一些復雜、危險和機械的工作，所以智能電網(wǎng)的感知測量節點(diǎn)多數部署在無(wú)人監控的環(huán)境中。攻擊者可以輕易地接觸到這些設備，從而對他們造成破壞，甚至通過(guò)本地操作更換機器的軟硬件。

(2)感知網(wǎng)絡(luò )的傳輸與信息安全問(wèn)題

感知測量節點(diǎn)通常情況下功能唯一、能量存儲有限，使得復雜的安全保護技術(shù)無(wú)法應用。而智能電網(wǎng)的感知網(wǎng)絡(luò )形式多樣，從功率測量到穩壓監控，再到電價(jià)實(shí)時(shí)控制，它們的數據傳輸沒(méi)有特定的標準，所以沒(méi)法提供統一的安全保護體系。

(3)核心通信網(wǎng)絡(luò )的傳輸與信息安全問(wèn)題

核心通信網(wǎng)絡(luò )具有相對完整的安全保護能力。但是由于智能電網(wǎng)中節點(diǎn)數量龐大，且以集群方式存在，因此會(huì )導致在數據傳播時(shí)，由于大量機器的數據發(fā)送使網(wǎng)絡(luò )擁塞，產(chǎn)生例如拒絕服務(wù)攻擊等一系列安全威脅。此外，現有通信網(wǎng)絡(luò )的安全架構都是從人與人之間通信的角度設計的，并不適用于機器之間通信。簡(jiǎn)單套用現有安全機制不符合智能電網(wǎng)的設備之間的邏輯關(guān)系。

(4)智能電網(wǎng)業(yè)務(wù)的安全問(wèn)題

由于智能電網(wǎng)中的設備可能是先部署后連網(wǎng)，同時(shí)又會(huì )面臨無(wú)人看守的情況，所以如何對智能電網(wǎng)中的設備進(jìn)行身份認證和業(yè)務(wù)配置就成了難題。龐大且內部多樣化的智能電網(wǎng)需要一個(gè)強大而統一的信息安全管理平臺來(lái)統一管理，否則獨立化的子平臺會(huì )被各式各樣的智能電網(wǎng)應用所淹沒(méi)。另外，如何在對智能電網(wǎng)中設備的日志等安全信息進(jìn)行管理的同時(shí)，不破壞通信網(wǎng)絡(luò )與業(yè)務(wù)平臺之間的信任關(guān)系也是必須研究的問(wèn)題。

2 智能電網(wǎng)信息安全關(guān)鍵技術(shù)

智能電網(wǎng)體系架構的4個(gè)層次中，除了不涉及到信息通信的基礎硬件層以外，上面3層均有著(zhù)對應的信息安全技術(shù)。感知測量層對應信息采集安全技術(shù)，信息通信層對應信息傳輸安全技術(shù)，調度運維層對應信息處理安全技術(shù)。

信息采集安全主要保障智能電網(wǎng)中的感知測量數據。這一層需要解決智能電網(wǎng)中使用無(wú)線(xiàn)傳感器、短距離超寬帶以及射頻識別等技術(shù)的信息采集設備的安全性。信息傳輸安全主要保障傳輸中的數據信息安全。這一層需要解決智能電網(wǎng)使用的無(wú)線(xiàn)網(wǎng)絡(luò )、有線(xiàn)網(wǎng)絡(luò )和移動(dòng)通信網(wǎng)絡(luò )的安全性。信息處理安全主要保障數據信息的分析、存儲和使用。這一層需要解決智能電網(wǎng)的數據存儲安全以及容災備份、數據與服務(wù)的訪(fǎng)問(wèn)控制和授權管理。

2.1 信息采集安全

2.1.1 無(wú)線(xiàn)傳感器網(wǎng)絡(luò )安全

無(wú)線(xiàn)傳感器網(wǎng)絡(luò )中最常用到的是ZigBee技術(shù)。ZigBee技術(shù)的物理層和媒體訪(fǎng)問(wèn)控制層(MAC)基于IEEE 802.15.4[8]，網(wǎng)絡(luò )層和應用層則由ZigBee聯(lián)盟定義。ZigBee協(xié)議在MAC層、網(wǎng)絡(luò )層和應用層都有安全措施。MAC層使用ABE算法和完整性驗證碼確保單跳幀的機密性和完整性;而網(wǎng)絡(luò )層使用幀計數器防止重放攻擊，并處理多跳幀;應用層則負責建立安全連接和密鑰管理。ZigBee技術(shù)在數據加密過(guò)程中使用3種基本密鑰，分別是主密鑰、鏈接密鑰和網(wǎng)絡(luò )密鑰。主密鑰一般在設備制造時(shí)安裝。鏈接密鑰在個(gè)域網(wǎng)絡(luò )(PAN)中被兩個(gè)設備共享，可以通過(guò)主密鑰建立，也可以在設備制造時(shí)安裝。網(wǎng)絡(luò )密鑰可以通過(guò)信任中心設置，也可以在設備制造時(shí)安裝，可應用在數據鏈路層、網(wǎng)絡(luò )層和應用層。鏈接密鑰和網(wǎng)絡(luò )密鑰需要進(jìn)行周期性地更新。

2.1.2 短距離超寬帶通信安全

短距離超寬帶(UWB)協(xié)議在MAC層有安全措施。UWB設備之間的相互認證基于設備的預存的主密鑰，采用4次握手機制來(lái)實(shí)現。設備在認證過(guò)程中會(huì )根據主密鑰和認證時(shí)使用的隨機數生成對等臨時(shí)密鑰(PTK)，用于設備之間的單播加密。認證完成之后，設備還可以使用PTK分發(fā)組臨時(shí)密鑰(GTK)用于安全多播通信。數據完整性是通過(guò)消息中消息完整性碼字段實(shí)現的。UWB標準通過(guò)對每一個(gè)PTK或者GTK建立一個(gè)安全幀計數器實(shí)現抗重放攻擊。

2.1.3 射頻識別安全

由于射頻識別(RFID)的成本有嚴格的限制，因此對安全算法運行的效率要求比較高。目前有效的RFID的認證方式之一是由Hopper和Blum[9]提出的HB協(xié)議以及與其相關(guān)的一系列改進(jìn)的協(xié)議。HB協(xié)議需要RFID和標簽進(jìn)行多輪挑戰——應答交互，最終以正確概率判斷RFID的合法性，所以這一協(xié)議還不能商用。由于針對RFID的輕量級加密算法現在還很少，因此有學(xué)者提出了基于線(xiàn)性反饋移位寄存器的加密算法，但其安全性還需要進(jìn)一步證明。

2.2 信息傳輸安全

2.2.1 無(wú)線(xiàn)網(wǎng)絡(luò )安全

無(wú)線(xiàn)網(wǎng)絡(luò )安全[10]主要依靠802.11和Wi-Fi保護接入(WPA)協(xié)議、802.11i協(xié)議、無(wú)線(xiàn)傳輸層安全協(xié)議(WTLS)。

(1)802.11和WPA協(xié)議

802.11中加密采用有線(xiàn)等效保密協(xié)議(WEP)。由于使用一個(gè)靜態(tài)密鑰加密數據，所以比較容易被破解，現在已經(jīng)不再使用。WPA協(xié)議是對802.11的改進(jìn)。WPA采用802.lx和臨時(shí)密鑰完整性協(xié)議(TKIP)來(lái)實(shí)現無(wú)線(xiàn)局域網(wǎng)的訪(fǎng)問(wèn)控制、密鑰管理和數據加密。802.lx是一種基于端口的訪(fǎng)問(wèn)控制標準，用戶(hù)只有通過(guò)認證并獲得授權之后才能通過(guò)端口訪(fǎng)問(wèn)網(wǎng)絡(luò )。

(2)802.11i協(xié)議

802.11i協(xié)議是對802.11協(xié)議的改進(jìn)，用以取代802.11協(xié)議。802.l1i協(xié)議的認證使用可擴展認證協(xié)議(EAP)�；�本思想是基于用戶(hù)認證的接入控制機制。具體內容包括用戶(hù)認證、密鑰生成、相互認證、數據包認證及防字典攻擊等�？梢允褂酶鞣N接入設備，并且可以有效支持未來(lái)的認證方式。802.11i的數據保密協(xié)議包含TKIP和計數器模式/密文反饋鏈接消息認證碼協(xié)議(CCMP)。TKIP采用RC4作為核心算法，包含消息完整碼和密鑰獲取與分發(fā)機制。CCMP的核心加密算法采用128位的記數模式高級加密標準(AES)算法，不僅能夠抵抗重放攻擊，而且使用密碼分組鏈接模式也可以保證信息的完整性。

(3)無(wú)線(xiàn)傳輸層安全協(xié)議

WTLS位于國際標準化組織(ISO)7層模型的傳輸層之上。WTLS基于安全套接層(SSL)并對傳輸層安全協(xié)議(TLS)進(jìn)行了適當的修改，加入了對不可靠傳輸層的支持，減小了協(xié)議開(kāi)銷(xiāo)，使用了更先進(jìn)的壓縮算法和更有效的加密方法，可以用于智能電網(wǎng)的無(wú)線(xiàn)網(wǎng)絡(luò )部分。WTLS主要應用于無(wú)線(xiàn)應用協(xié)議(WAP)，用于建立一個(gè)安全的通道，提供的安全特性有：鑒權、信息可信度及完整性。同SSL一樣，WTLS協(xié)議也分為握手協(xié)議和記錄協(xié)議兩層。

2.2.2 有線(xiàn)網(wǎng)絡(luò )安全

有線(xiàn)網(wǎng)絡(luò )安全[11]主要依靠防火墻技術(shù)、虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)、安全套接層技術(shù)和公鑰基礎設施(PKI)。

(1)防火墻技術(shù)

防火墻技術(shù)最初的原型采用了包過(guò)濾技術(shù)，通過(guò)檢查數據流中每個(gè)數據包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)或它們的組合來(lái)確定是否允許該數據包通過(guò)。在網(wǎng)絡(luò )層上，防火墻根據IP地址和端口號過(guò)濾進(jìn)出的數據包;在應用層上檢查數據包的內容，查看這些內容是否能符合企業(yè)網(wǎng)絡(luò )的安全規則，并且允許受信任的客戶(hù)機和不受信任的主機建立直接連接，依靠某種算法來(lái)識別進(jìn)出的應用層數據。

(2)虛擬專(zhuān)用網(wǎng)

虛擬專(zhuān)用網(wǎng)是指在一個(gè)公共IP網(wǎng)絡(luò )平臺上通過(guò)隧道以及加密技術(shù)保證專(zhuān)用數據的網(wǎng)絡(luò )安全性。VPN是一種以可靠加密方法來(lái)保證傳輸安全的技術(shù)。在智能電網(wǎng)中使用VPN技術(shù)，可以在不可信網(wǎng)絡(luò )上提供一條安全、專(zhuān)用的通道或隧道。各種隧道協(xié)議，包括網(wǎng)絡(luò )協(xié)議安全(IPSec)、點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)和二層隧道協(xié)議(L2TP)都可以與認證協(xié)議一起使用。

(3)安全套接層

安全套接層技術(shù)提供的安全機制可以保證應用層數據在智能電網(wǎng)傳輸中不被監聽(tīng)、偽造和竄改，并且始終對服務(wù)器進(jìn)行認證。SSL還可以選擇對客戶(hù)進(jìn)行認證，提供網(wǎng)絡(luò )上可信賴(lài)的服務(wù)。SSL可以用于智能電網(wǎng)的有線(xiàn)網(wǎng)絡(luò )部分。SSL是基于X.509證書(shū)的PKI體系的一種應用，主要由紀錄協(xié)議和握手協(xié)議構成。SSL記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上，為高層協(xié)議提供數據封裝、壓縮、加密等基本功能支持;SSL握手協(xié)議建立在SSL記錄協(xié)議之上，用于在實(shí)際的數據傳輸開(kāi)始前，通信雙方進(jìn)行身份認證、加密算法協(xié)商、加密密鑰交換等。

(4)公鑰基礎設施

公鑰基礎設施能夠為所有網(wǎng)絡(luò )應用提供加密和數字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系。PKI可以為不同的用戶(hù)按不同安全需求提供多種安全服務(wù)，主要包括認證、數據完整性、數據保密性、不可否認性、公正和時(shí)間戳等服務(wù)。

2.2.3 移動(dòng)通信網(wǎng)絡(luò )安全

移動(dòng)通信網(wǎng)絡(luò )安全[12-13]包括GSM網(wǎng)絡(luò )安全、3G網(wǎng)絡(luò )安全、LTE安全。

(1)GSM網(wǎng)絡(luò )安全

在GSM網(wǎng)絡(luò )中，基站采取詢(xún)問(wèn)-響應認證協(xié)議對移動(dòng)用戶(hù)進(jìn)行認證，制止非授權用戶(hù)使用網(wǎng)絡(luò )資源。在無(wú)線(xiàn)傳輸的空中接口部分對用戶(hù)信息加密，防止竊聽(tīng)泄密。

(2)3G網(wǎng)絡(luò )安全

在3G網(wǎng)絡(luò )中，終端和網(wǎng)絡(luò )使用認證與密鑰協(xié)商(AKA)協(xié)議進(jìn)行相互認證，不僅網(wǎng)絡(luò )可以識別終端的合法性，終端也會(huì )認證網(wǎng)絡(luò )是否合法，并在認證過(guò)程中產(chǎn)生終端和網(wǎng)絡(luò )的通信密鑰。3G網(wǎng)絡(luò )還引入了加密算法協(xié)商機制，加強了信息在網(wǎng)絡(luò )內的傳送安全，采用了以交換設備為核心的安全機制，加密鏈路延伸到交換設備，并提供基于端到端的全網(wǎng)范圍內的加密。

(3)LTE安全

在長(cháng)期演進(jìn)/3GPP系統架構演進(jìn)(LTE/SAE)中將安全措施在接入層(AS)和非接入層(NAS)信令之間分離開(kāi)，無(wú)線(xiàn)鏈路和核心網(wǎng)需要有各自的密鑰。這樣，LTE系統有兩層保護，第一層為用戶(hù)層安全，第二層是EPC中的網(wǎng)絡(luò )附加存儲(NAS)信令安全。用戶(hù)和網(wǎng)絡(luò )的相互認證和安全密鑰生成都在A(yíng)KA流程中進(jìn)行。該流程采用了基于對稱(chēng)加密體制的挑戰-響應機制，產(chǎn)生128比特的密鑰。

2.3 信息處理安全

2.3.1 存儲安全

存儲可以分為本地存儲和網(wǎng)絡(luò )存儲。本地存儲需要提供文件透明加密存儲功能和加密共享功能，并實(shí)現文件訪(fǎng)問(wèn)的實(shí)時(shí)解密。本地存儲嚴格界定每個(gè)用戶(hù)的讀取權限。用戶(hù)訪(fǎng)問(wèn)數據時(shí)，必須經(jīng)過(guò)身份認證。網(wǎng)絡(luò )存儲主要分NAS、存儲區域網(wǎng)絡(luò )(SAN)與IP存儲3類(lèi)。在文件系統層上實(shí)現網(wǎng)絡(luò )存取安全是最佳策略，既保證了數據在網(wǎng)絡(luò )傳輸中和異地存儲時(shí)的安全，又對上層的應用程序和用戶(hù)來(lái)說(shuō)是透明的;SAN可以使用用戶(hù)身份認證和訪(fǎng)問(wèn)控制列表實(shí)現訪(fǎng)問(wèn)控制，還可以加密存儲，當數據進(jìn)入存儲系統時(shí)加密，輸出存儲系統時(shí)解密;IP存儲安全需要提供數據的機密性、完整性及提供身份認證，可以用IPSec、防火墻技術(shù)等技術(shù)實(shí)現，在進(jìn)行密鑰分發(fā)的時(shí)候，還會(huì )用到PKI技術(shù)[14]。

2.3.2 容災備份

容災備份[15]可以分為3個(gè)級別：數據級別、應用級別和業(yè)務(wù)級別。從對用戶(hù)業(yè)務(wù)連續性的保障程度來(lái)看，它們的可用級別逐漸提高。前兩個(gè)級別都僅僅是對通信信息的備份，后一個(gè)則包括整個(gè)業(yè)務(wù)的備份。智能電網(wǎng)業(yè)務(wù)的實(shí)時(shí)性需求很強，應當選用業(yè)務(wù)級別的容災備份。備份不僅包括信息通信系統，還包括智能電網(wǎng)的其他相關(guān)部分。整個(gè)智能電網(wǎng)可以構建一個(gè)集中式的容災備份中心，為各地區運營(yíng)部門(mén)提供一個(gè)集中的異地備份環(huán)境。各部門(mén)將自己的容災備份系統托管在備份中心，不僅要支持近距離的同步數據容災，還必須能支持遠程的異步數據容災。對于異步數據容災，數據復制不僅要求在異地有一份數據拷貝，同時(shí)還必須保證異地數據的完整性、可用性。對于網(wǎng)絡(luò )的關(guān)鍵節點(diǎn)，要能夠實(shí)時(shí)切換。網(wǎng)絡(luò )還要具有一定的自愈能力。

2.3.3 訪(fǎng)問(wèn)控制和授權管理

訪(fǎng)問(wèn)控制技術(shù)[16]分為3類(lèi)：自主訪(fǎng)問(wèn)控制、強制訪(fǎng)問(wèn)控制、基于角色的訪(fǎng)問(wèn)控制。自主訪(fǎng)問(wèn)控制即一個(gè)用戶(hù)可以有選擇地與其他用戶(hù)共享文件。主體全權管理有關(guān)客體的訪(fǎng)問(wèn)授權，有權修改該客體的有關(guān)信息，而且主體之間可以權限轉移。強制訪(fǎng)問(wèn)控制即用戶(hù)與文件都有一個(gè)固定的安全屬性系統，該安全屬性決定一個(gè)用戶(hù)是否可以訪(fǎng)問(wèn)某個(gè)文件�；�于角色的訪(fǎng)問(wèn)控制即授予用戶(hù)的訪(fǎng)問(wèn)權限由用戶(hù)在組織中擔當的角色來(lái)確定。根據用戶(hù)在組織內所處的角色進(jìn)行訪(fǎng)問(wèn)授權與控制。當前在智能電網(wǎng)中主要使用的是第三類(lèi)技術(shù)。

授權管理的核心是授權管理基礎設施(PMI)。PMI與PKI在結構上非常相似。信任的基礎都是有關(guān)權威機構。在PKI中，由有關(guān)部門(mén)建立并管理根證書(shū)授權中心(CA)，下設各級CA、注冊機構(RA)和其他機構。在PMI中，由有關(guān)部門(mén)建立授權源(SOA)，下設分布式的屬性機構(AA)和其他機構。PMI能夠與PKI和目錄服務(wù)緊密集成，并系統地建立起對認可用戶(hù)的特定授權。PMI對權限管理進(jìn)行了系統的定義和描述，完整地提供了授權服務(wù)所需過(guò)程。

3 結束語(yǔ)

未來(lái)的信息安全技術(shù)必須要與智能電網(wǎng)信息通信系統相互融合，而不僅僅是簡(jiǎn)單的集成。在制訂智能電網(wǎng)標準的時(shí)候就需要考慮到可能存在的各種信息安全隱患，而不能先制訂標準再去考慮信息安全，否則就會(huì )重蹈互聯(lián)網(wǎng)的覆轍。

未來(lái)智能電網(wǎng)作為物聯(lián)網(wǎng)在電力行業(yè)的應用，將會(huì )融合更多的先進(jìn)的信息安全技術(shù)，如可信計算、云安全等。智能電網(wǎng)將會(huì )發(fā)展成基于可信計算的可信網(wǎng)絡(luò )平臺。智能電網(wǎng)中的可信設備通過(guò)網(wǎng)絡(luò )搜集和驗證接入者的完整性信息，依據安全策略對這些信息進(jìn)行評估，從而決定是否允許接入，以確保智能電網(wǎng)的安全性。同時(shí)，可信計算還可以協(xié)助智能電網(wǎng)建立合理的用戶(hù)控制策略，并依據用戶(hù)的行為分析數據來(lái)建立統一的用戶(hù)信任管理模型。智能電網(wǎng)還將會(huì )融合云安全技術(shù)，借助于云端的數據信息，在病毒未危害到設備時(shí)就提前阻止危害發(fā)生。云端數據信息的實(shí)時(shí)更新將會(huì )是物聯(lián)網(wǎng)時(shí)代應對病毒的有效手段。