摘要:近年来,随着电力行业的不断发展,信息化应用也逐渐增强,网络系统中的应用越来越多。各级供电企业纷纷建立信息系统,以提高劳动生产率和管理水平,加强信息反馈,提高决策的科学性和准确性,提高企业的综合竞争力。同时,随着Inter-net技术的发展,建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立,网上应用着各种电力业务及办公系统。目前电力信息网络已不仅是单一的局域网络,已建设成为包括财务管理网、人事管理网、用电营销网、调度自动化网等的大型企业管理信息平台。但是,电力企业网络的发展,也面临日益突出的信息系统安全问题。
关键词:电力系统;网络安全;应用分析
随着智能电网的发展,电力信息网络日益完善,各种电力应用系统的使用在带来方便的同时,也导致其网络结构复杂,电力应用系统繁多。这些电力应用系统各自拥有不同的身份认证方式和访问权限管理方式,且不同电力应用系统的设计和实施策略各不相同,导致同一机构内存在多种权限管理的现状。用户身份认证方式各异,不同管理策略的安全强度不同,使系统的安全存在隐患。以公钥基础设施(Public Key Infrastructure,PKI)技 术 为 基 础的信息安全防护措施可以有效地解决电力信息系统中用户身份认证问题,对敏感信息进行传输,而且可以通过 Web 进行安全访问,但是各安全应用之间各自为政,缺乏安全的沟和协调,造成资源的浪费。随着电力信息网络的发展,电力应用系统原有的基于内部网络的相对安全将被打破,无法满足业务发展的安全需要。因此,需要重新制定安全策略,整合访问手段和管理方式,建立一个集身份认证、访问控制、用户管理、安全审计功能为一体的安全服务器,从根木上避免资源浪费和由于缺乏协调而产生的安全漏洞。
一、电力系统信息网络的安全分析
电力系统信息安全问题已威胁到电力系统的安全、稳定、经济、优质运行,影响着“数字电力系统”的实现进程,已经成为电力企业生产、经营和管理的重要组成部分。
近年来,计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是,在计算机安全策略、安全技术、和安全措施投入较少。计算机网络化使过去孤立的局域网在联成广域网后,面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止意外破坏或者内部人员的安全控制,但现在必须面对国际互联网上各种安全攻击。在这种情况下,对网络攻击的方式主要有两种:主动攻击和被动攻击。主动攻击中,Hacker可利用多种病毒进入系统,窃取或篡改数据;被动攻击是通过网络监听等方式截取数据并加以分析理解。无论主动或被动攻击,最终造成数据的丢失、篡改或删除,导致电力系统受到极大影响,甚至造成事故。电力行业中网络管理与一般网络管理相比有其特殊性,例如其中的发电报价系统等电力市场信息系统要求做加密和隔离处理。电力系统信息安全的防护对网络设备、数据备份及容错、病毒防范比较重视,但对应用层的防扩重视不够,主要的信息安全隐患有;(1)身份认证:“用户名+口令”的传统认证方式安全性较弱,用户口令易被窃取而导致损失;(2)信息机密性:在内、外部网络上传输的敏感信息和数据有可能在传输过程中被非法用户截取;(3)信息的完整性:敏感、机密信息和数据在传输过程中有可能被恶意篡改;(4)信息的不可抵赖性:财务报表、采购清单、生产计划等电子文件一旦被一方所否认,另一方没有已签名的记录来做为仲裁的依据。根据上面的分析,本文设计一个基于PKI安全系统平台,提供身份认证、访问控制、数据传输加密和安全管理等服务,以加强电力系统信息络的安全防护。
期刊文章分类查询,尽在期刊图书馆
PKI主要由4部分组成:策略批准中心PAA,策略证书中心PCA、证书认证中心CA以及注册中心ORA 。PKI可提供加密服务,Microsoft PKI的基础是它的加密API—CryptoAPI2.0,该API为公钥安全机制提供了加密服务和证书管理服务。Win-dows2000 PKI的组成部件有:密码服务提供者(Cryptographic Service Provider , CSP、证书服务器(Certificate Server、安全通道、认证码((Authen-ticode)加密文件系统(Encrypting File System,EF S ) , Microsoft Exchange Server密钥管理(KeyManagement,KM)服务器和PKI应用程序。Win-dows2000 PKI的基本构架。
二、安全系统平台的设计
1、基本框架
为加强系统的身份认证,设计基于信息共享机制的系统平台,在这个管理平台中,首先必须经过提交数字证书,通过身份认证后,才可以进入系统;进入系统之后,要求具备响应的权限才能对各个功能模块进行操作。
系统主要使用Microsoft ActiveServer Pages与Microsoft SQ L Server相结合,构筑标准化三层B/ S结构应用系统,采用数字证书系统作为身份认证的通道。安全系统平台是基于Microsoft提供的PKI部件设计的,同时使用CryptoAPI和数字证书以加密和认证应用程序中的消息。系统运行中,可以很好地完成身份认证和其它加密功能。
2、数字证书的实现
系统在设计时,使用W indows2000提供的证书服务器,设置证书颁发者,其它用户可向证书颁发者申请证书,当用户登陆系统或者在系统中要实施某些操作时,需进行身份认证。基于证书的身份认证过程为:当用户想对重要服务器(如Web、数据库服务器等)进行读、写操作时,系统首先需对用户进行身份认证,检查该用户是否是合法用户(即设定的颁发者签发证书的用户)。由用户的操作引发系统请求,服务器接到请求后,向用户发送消息,请求用户的证书。用户接到请求后,用自己的私钥对证书做一个签名,并将签名证书发送给服务器。服务器首先验证证书的合法性。证书合法性验证通过后取出证书中的公钥,验证用户对证书所做的签名,验证通过后,即实现了对用户的身份认证,用户就可登陆页面。
3、数字签名及认证的实现
为了加强信息系统的安全性,利用基于数字证书的用户身份认证技术对文档数据进行数字签名,可以确保文档数据信息的完整性,确认文档数据的真实来源,防止出现抵赖行为或他人冒充伪造篡改数据,发送方首先用哈希函数从明文文件中生成一个数字摘要,用自己的私钥对这个数字摘要进行加密以形成发送方的数字签名;选择一个对称密钥对文件加密,然后通过网络传输到接收方,最后通过网络将该数字签名作为附件和报文密文一起发送给接收方;用接收方的公钥给对称密钥加密,并通过网络把加密后的对称密钥传输到接收方。
对一个数据签名进行验证,就是最后对数据摘要的比较。签名的认证用到了CAPICOM控件中的SignedData对象的SignedData,Verify方法。此方法可以验证签署在数据上的签名是否有效,如果是有效签名,方法自动从签名者的证书中调出公钥,去验证被H ash函数作用了的数据内容,如果内容匹配,此方法返回验证成功值。为了保证电力企业信息网络的安全,建议采取基于PKI的身份认证和数据传输加密机制,这样,能构筑完善的安全体系,更好地服务于经济建设。
三、总结
文章主要介绍了电力系统信息化建设中所遇到的的安全问题及相应的防护措施。在借鉴信息安全领域中 PKI 技术的基础上,设计一种具有身份认证、权限管理与访问控制、安全审计和用户管理功能的 AAAA 服务器,为电力企业综合信息网络的建立提供安全服务支撑,保证电力系统信息网络中重要资源的安全,具有理论和应用价值。
参考文献:
[1]赵文清、王德文,PKI在电力系统信息网络安全中的应用,电力科学与工程,2013年09月。
[2]骆钊、金均华,基于PKI/PMI的AAAA服务器在电力系统信息安全中的应用研究,电力信息化,2012年12月。
[3]龙玉江、白雪,PKI/CA技术在电力信息系统安全保障方面的应用研究,电力信息化,2008年11月。
论文作者:王辉
论文发表刊物:《防护工程》2017年第7期
论文发表时间:2017/7/26
标签:系统论文; 身份认证论文; 证书论文; 电力系统论文; 用户论文; 电力论文; 数据论文; 《防护工程》2017年第7期论文;