基于数据防泄漏技术的电网信息化安全控制研究

刘雪松

摘要：由于传统安全控制方法缺少对不同层次电网信息的研究，导致控制延迟时间较长，控制效果较差等问题。针对该问题，提出基于数据防泄漏技术的电网信息化安全控制研究。结合数据防泄漏技术应用原理，设计访问层、防护层、对象层的3层电网信息化安全控制防泄漏体系框架，拦截对信息自行操作请求，并采取隔离策略。检查信息内容、信息分类、访问权限矩阵列表、分类结果以及信息具体输出形式后，设计4层技术防护，并采取电网敏感信息闭环管理策略，实现电网信息化安全控制。在VS-20型号虚拟服务器上搭建的实验环境进行实验分析，由得出结果可知，该方法控制延迟时间短且控制效果良好，最高控制效果可达到90%，对于提高电网信息化建设是具有可行性的。

关键词：数据防泄漏;电网信息;安全控制;虚拟

中图分类号：TP309文献标志码：A

文章编号：2095-5383（2020）04-0048-05

Research on Security Control of Power GridInformation based

on Data Leaking Prevention Technology

LIU Xuesong

（CollegeofContinuingEducation，Wuhu Institute of Technology，Wuhu 241000，China）

Abstract：

Due to the lack of research on different levels of power grid information in traditional security control methods， the problems such as long control delay time， and poor control effect are caused. In order to solve this problem， the research on security control of power grid information based on data leaking prevention technology was proposed. Combined with the application principle of data leaking prevention technology， a three-tier grid information security control and leaking prevention system framework composed of access alyer， protection layer，and object layer was designed， andthe frame can intercept request for information self-operation and adopt the isolation strategy. After checking the information content， information classification， access permission matrix list， classification results and specific information output form， four layers of technical protection was designed， and a closed-loop management strategy for power grid sensitive information was adopted to realize the security control of power grid information. The experimental analysis was conducted on the experimental environment built on the VS-20 model virtual server. The experimental results show that the methods has short control delay timeand good control effect.， The highest control effect can reach 90%， which is feasible to improve the power grid information construction.

Keywords：information leaking prevention; power grid information; security control; virtual

社會各行各业应用智能电网业务系统进行信息存储与传递，电网业务信息系统主要依靠电力行业运行工作。电力行业不仅对智能电网发、输、变、配、用电各环节业务起着重要作用，同时也保障了人们生活用电需求，促进了国民经济快速增长[1]。电网信息系统安全问题非常关键，信息系统一旦出现漏洞，就会造成严重后果。现阶段我国网络安全形势十分严峻，敏感信息安全问题屡次发生，信息保护成为当今急需解决的问题[2]。为确保智能电网的安全稳定运营，电网数据防泄漏技术起到了管控和防护作用。智能电网业务系统把信息进行统一存储，利用数据防泄漏技术对存储敏感信息加以防护，避免敏感信息泄漏，使智能电网的运营更加安全稳定。由于智能电网业务系统基本运用移动智能终端进行信息的传输、存储以及产生与销毁，部分机密信息在通过移动终端通信与交换过程中，难免出现泄漏情况。如何在电网信息化建设中制定科学有效的防泄漏措施，是电力行业与电网公司面临的严峻问题。

相关研究有文献[3]针对企业核心信息泄漏问题，提出企业核心数据防泄漏的数据加密方法，分别分析了DES加密方法和ECC加密方法应用于企业核心数据防泄漏的优缺点，将二者结合在一起进行改进，设计一种综合二者优点的数据加密方法。将其应用于企业核心信息的加密。该方法能开销较小，执行效率较高，但存在加密控制延时长的问题。文献[4]针对移动智能终端信息泄漏问题，提出一种移动智能终端数据防泄漏安全存储模型。以Android客户端、云存储服务器端为例，研发基于上述安全存储模型的应用系统。当文件离开移动智能终端就以密文形式存在，当文件重新回到移动智能终端时才能被解密成明文，实现了对用户文件的全生命周期保护，但该方法的控制效果较差。

针对传统安全控制方法控制延迟时间较长、效果较差的问题，提出基于电网信息化安全控制的方法，数据防泄漏技术是一种高科技的防护技术，通过对网络存储的信息、终端形成的信息采取措施进行保护，能较好地解决信息泄漏问题。数据防泄漏技术在电网信息化建设中，起到了重要的保障与防护作用，使电网信息化更加安全。

1 数据防泄漏技术应用原理

数据防泄漏技术在应用过程中，先对存储的全部信息资源进行保护，采用综合技术手段对电网信息开展防泄漏措施[5]。网络信息在传输过程中经常出现违反安全规定的敏感信息，需防止这些非规定的流出形式，避免敏感信息在传输过程中产生泄漏。进而使防漏技术起到有效保护，避免信息泄漏的同时还保障了存储信息正常使用。

信息泄露防护技术是我国电网信息化安全保护的主要技术，在应用中根据需防护企业的实际情况，制定具体的信息安全防护的措施。为防止企业内部的机密信息泄漏，信息泄漏防護技术发挥了保护作用，通过对企业内重要信息的有效存储，采用防护技术避免机密信息在网络传输过程中泄漏，给企业造成严重的损失[6]。

在电力企业信息化建设中，信息泄露防护技术起到了安全和保密作用。企业在电力信息化建设中，信息泄漏防护技术的实用性可以有效保护企业大范围内的信息，确保大量信息的安全，避免企业机密信息泄漏[7]。

2 电网信息化安全控制防泄漏体系框架

在电网信息化建设过程中，针对敏感信息存在的泄漏风险，结合数据防泄漏技术的特点和原理，建立电网信息化安全控制防泄漏体系框架。在构建防泄漏框架时，将防泄漏体系结构按层次分为访问层、防护层和对象层。对象层是智能电网业务系统的终端设备，负责文件服务器和存储信息文件;防护层是体系结构中最为繁琐的中间层，负责文件过滤驱动、信息数据存储标记和措施方案管理以及系统虚拟化防护技术，其体系框架如图1所示。

1）保护层的文件过滤驱动防护具有控制信息操作的功能。在文件系统中设置文件过滤驱动，对部分机密和敏感信息采取访问控制，并对信息文件的安全策略进行实时监控，在文件系统驱动前阻止拦截对文件操作的请求，有效避免重要信息泄漏[8-10]。

2）

数据防泄漏防护技术通过对整理收集的敏感信息进行标记，并对各类不同的敏感信息分别制定不同的防护策略。结合制定的方案策略采取相应的措施，起到全方位防护作用，保障敏感信息的安全[11]。

3）保护层的虚拟化技术对信息起隔离作用。通过在终端原有的内核操作系统虚拟多个逻辑隔离的软件，设置虚拟空间操作的应用态软件。两种软件在操作进程中形成一个虚拟层，使信息有效的隔离防止信息泄漏。

3 基于数据防泄漏技术安全控制方案的实现

3.1 业务检查

在电网信息化建设中，实施数据防泄漏技术安全控制方案前，需要对电网信息系统业务进行检查：

1）对电网信息化建设过程中的业务信息内容进行整理分类，针对一些需要保护的敏感信息，制定有效的防护策略并采取应对措施，实现安全保护的目标;

2）根据电网信息系统业务信息的各类内容，进行分别标记分类;

3）访问权限把业务信息分类的结果进行分类矩阵列表;

4）对业务信息的分类结果进行分析，把敏感信息进行分类;

5）根据电网业务信息输出形式，采取有效的管控与防护措施[12]。

对电网业务信息检查工作完成后，开始设计数据防泄漏解决方案。

3.2 技术防护

电网敏感信息在移动终端产生时难免出现泄漏，在网络存放、访问、传播和使用过程中也会产生信息泄露，针对产生的各种泄露渠道，数据防泄漏技术起到了技术防护的作用[13]。

第一层防护针对网络安全问题采取的一系列防护措施。网络信息内外网分为各种不同的业务区，根据不同业务类型和防护等级进行安全隔离，采取不同的业务系统防护措施。通过防护技术进行访问控制和流量控制禁止非法访问，检测非法入侵和恶意代码传播，防止信息泄露造成人身攻击。

第二层防护对终端一系列系统设置安全措施，防止信息通过系统设备泄露。防护技术通过对信息内外网与桌面终端计算机分别设置安全范围，并在计算机终端安装客户软件，使桌面终端的保密检测、管理和防病毒等系统软件，能够有效限制各种外部设备的使用范围，防止信息通过设备外泄[14]。

第三层防护对主机的操作系统和信息库系统用户采取的安全措施，通过对用户身份识别确定，并进行访问权限隔离，保证操作系统和信息库补丁升级正常安全。

第四层防护由一系列应用安全措施组成，通过信息系统对用户身份认证、授权、输入输出验证、配置管理、会话管理、加密管理等，保证用户业务信息的保密性和完整性[15]。

3.3 管理防御

对敏感信息管理体系进行防御，设计的电网敏感信息闭环管理体系如图2所示。

敏感信息管理体系采取的是事先防范、事中审批和通知、事后审计环节的闭环防护管理措施，各管理环节的作用如下：

1）事先防范，规划管理。对电网企业建立信息安全防范管理系统，针对敏感信息分类规划，将敏感信息放在信息库规划的安全区域，使信息库存储的信息分类清晰。对用户信息访问进行审批管理，限制授权范围禁止非法访问，对规则访问和多因素的访问采取事先防范措施，起到有效的控制和防护。

2）事中审批，关键操作授权和审批。设置专职人员负责关键敏感信息的访问操作，通过识别非法访问敏感信息和恶意篡改操作行为，采取事中审批和操作授权的工作流程，对不合理访问进行隔离阻断，保障敏感信息的安全。

3）事中通知，告警通知。对非法访问关键敏感信息的行为采取预警告警通知，并及时对非法访问或操作进行控制管理。对非法访问的地点、时间及应用进行记录，并在第一时间通知信息管理者，对非法访问采取警告干预的方式，使其终止非法访问，防止信息泄露。

4）事后审计，报表化审计追溯。对主机、信息库、业务应用等多个层次进行集中全面的审计，并对行为能力审计的实际情况登记报表。操作管理者通过对审计信息的分析，能够准确定位非法访问事件，并采取有效的控制措施。

4 实验与分析

为了验证基于数据防泄漏技术的电网信息化安全控制研究方法的有效性，需进行实验分析。将文献[3]方法与文献[4]方法作为对照组，对比控制延迟及控制效果。

4.1 环境参数

该实验是在VS-20型号虚拟服务器上搭建的实验环境，具体相关设置如表1所示。

4.2 性能测试

4.2.1 控制延迟对比

为了验证研究方法的控制延迟，基于上述实验环境，使用内部网络主机进行测试，脚本循环执行40次HTTP请求，共执行5次取页面响应延迟的时间平均值作为性能测试衡量标准。分别对大型（100 Kb），中型（50 Kb）和小型（1 Kb）电网页面请求进行测试，结果如图3所示。

分析图3可知，（a）大型（100 Kb）：当响应次数为5次（即实验序号为1）时，采用文献[3]方法的延迟时间为21 ms，文献[4]方法延迟时间为18 ms，而基于数据防泄漏技术控制方法的延迟时间为6 ms，研究方法平均时延明显低于传统方法。在大型（100 Kb）电网页面请求中，传统控制方法最大延迟时间为27 ms，而研究控制方法最小延迟时间为5 ms。

（b）中型（50 Kb）：当响应次数为10次（即实验序号为2）时，采用文献[3]方法的最长延迟时间为12 ms，文献[4]方法延迟时间为9 ms，而基于研究控制方法的延迟时间仅为4.5 ms。并且，在中型（50 Kb）电网页面请求中，传统控制方法最大延迟

时间为16 ms，而研究控制方法最小延迟时间为6 ms。

（c）小型（1 Kb）：当响应次数为30次（即实验序号为6）时，采用文献[3]方法的延迟时间为0.38 ms，文献[4]方法的延迟时间为0.64 ms，而基于数据防泄漏技术控制方法的延迟时间仅为0.17 ms;当在小型（1 Kb）电网页面请求中，传统控制方法最大延迟时间为0.67 ms，而研究控制方法最大延迟时间为0.10 ms。

综合以上结果可知，在小型（1 Kb）、中型（50 Kb）以及大型（100 Kb）电网页面进行请求，研究方法都具有最小时延，最高响应效率。

4.2.2 控制率对比

根据上述内容，分别对2种控制方法的控制效果进行对比分析，结果如图4所示。

由图4可知，在不同类型电网网页请求下研究控制方法控制效果均优于传统方法。由此可知，采用基于数据防泄漏技术控制方法控制效果更好，也证实基于数据防泄漏技术的电网信息化安全控制研究方法是具有有效性的。

5 结束语

针对传统安全控制方法控制延时时间长、效果较差的问题，提出基于数据防泄漏技术的电网信息化安全控制研究。依据数据防泄漏技术应用原理，设计电网信息化安全控制防泄漏体系框架。采取隔离策略，检查信息内容、信息分类等信息具体输出形式后，通过4层技术防护，同时结合电网敏感信息闭环管理策略，实现电网信息化安全控制。对比实验结果表明，研究方法较传统方法控制效果好、延时时间短，更具有实际应用意义，为电网信息化安全控制提供了有利依据。

参考文献：

[1]席禹，邹俊雄，蔡泽祥，等.基于报文识别与流量管控的智能变电站保护控制信息安全防护方法[J]. 电网技术，2017，41（2）：624-629.

[2]張超.综合能源并网CPS模型及信息化安全防护方案研究[J].电工电能新技术，2019，38（6）：68-73.

[3]陈超群，李志华，闫成雨，等.移动智能终端信息防泄漏模型的研究及应用[J].计算机工程与设计，2016，37（10）：2632-2638.

[4]梁志宏.一种企业核心信息防泄露的数据加密方法改进[J].科学技术与工程，2016，16（27）：204-208.

[5]杜博.云计算环境下的智能电网光通信网络安全的研究[J].自动化与仪器仪表，2018（1）：19-22.

[6]许鹏程，陈启，刘宗歧.基于优化卷积法和静态安全约束的电网外受电分析[J].现代电力，2017，34（2）：8-13.

[7]孙丹.小规模电网安全稳定实时控制系统研制与应用[J].电力系统保护与控制，2018，46（18）：67-73.

[8]戚湧，郭诗炜，李千目.电网融合泛在网信息平台设计及安全威胁分析[J].计算机科学，2017，44（3）：150-152，174.

[9]邹晓峰，肖远兴.基于SM2的配电网Modbus报文安全性研究[J].电力系统保护与控制，2018，46（12）：151-157.

[10]宋军.新形势下的电网安全自动装置精益化管理实践[J].科学技术创新，2018，41（30）：172-173.

[11]牛文楠，鲍鹏飞，唐会东，等.基于数据挖掘的智能电网安全漏洞挖掘模型[J].电源技术，2018，42（4）：22-25.

[12]马进，赵大伟，钱敏慧，等.大规模新能源接入弱同步支撑直流送端电网的运行控制技术综述[J].电网技术，2017，41（10）：3112-3120.

[13]尹璐，易姝娴，张凯，等.基于柔性环网控制装置的10kV配电网运行方式[J].电力自动化设备，2018，38（1）：137-142.

[14]王玉，马静，侯玉强，等.提升直流受端电网动态稳定性的紧急控制方法[J].电子设计工程，2019，27（2）：155-159，171.

[15]杜家兵，陈衍鹏，梁满发.基于分布式实时调度策略的智能电网控制系统的设计与实现[J].电子设计工程，2018，26（7）：119-122.