安亚刚,苏 欣,朱雅魁
(国网河北省电力有限公司 营销服务中心,河北 石家庄 050000)
近年来,随着社会电力能源需求量不断增加,促使电力行业实现快速发展。其中,电力物联网是其以现代智能电网技术为支撑,结合现代先进信息、通信以及感知技术,实现智能电网信息流、电力流以及业务流的深度融合,从而为电力行业稳定运行提供重要技术支持。同时,电力物联网的广泛应用,也促进了智能电网运行的实时监控与感知,为电网运行的安全稳定提供重要保障。但是,电力物联网应用覆盖范围广泛,很大程度上提高了电力系统的复杂性,使其安全风险上升。随着现代网络应用模式及环境的变化,网络技术的快速发展,电力物联网设施的开放性,导致发电厂各环节运行面临着新的安全隐患。在此背景之下,应加强对电力物联网面临的风险分析,采取有效安全措施构建电力物联网的安全架构,从而避免电力物联网遭受安全威胁,提高电网运行安全性,维护电力企业经济利益。
在电力物联网中,感知层是对电网运行各个方面,包括环境、设备、设施等进行感知的主要依据,是电力物联网的基础支撑。感知层主要由信息采集、物理感知等感知设备以及智能终端所组成,实现对电网运行的感知。感知层信息传播方式为无线或有线通信,并将所传输的信息汇总至一个节点中,进行统一的分析处理,并将数据处理结果上报至服务端,以实现数据交换,并作为决策依据应用。
电力物联网的网络层的主要作用是将感知层设备采集到的电力系统中的各项信息在感知层与应用层之间进行有效的传递,其主要功能是网络传输信息,为电力系统运行提供重要信息传输支持。在电力物联网中,网络层主要包括电力专网、无线专网等。对于距离较近的信息传输,网络层中通常运用有线通信或无线通信技术进行信息传递,对于距离较远的信息传输,则主要运用光纤专网来完成信息传输任务。同时,针对电力物联网所面临的电网环境越来越复杂,智能终端及设备的数量不断增多等方面的问题,还可以通过应用无线公网或专网,以及卫星通信等方式来完成补充通信。
在电力物联网中,应用层主要扮演着应用中心、服务中心或者控制中心的重要角色。在应用层中,其借助大数据、云计算以及虚拟技术等,接受网络层传输的感知层采集的各项数据信息,并对数据信息进行处理,完成数据的汇总、存储、分析及挖掘等,从而形成决策,或者为相关决策提供必要的依据,最终形成智能化服务,或者可视化呈现。
电力物联网感知层运行中所使用的设备,包括智能装置设备、GPS、传感器设备、信息采集设备等各类型设备,其自身功能简单,在数据存储空间、计算能力、电能使用等方面,都存在一定的局限性,并且设备数量巨大。因此,在部署无人监控,或者开发环境较为恶劣的情况下,设备遭受人为物理攻击的可能性较大,从而发生窃取数据信息,或篡改软件等安全风险。同时,随着无线通信的广泛应用,感知设备进行近距离无线通信采集信息的方式越来越多,而其开放性,极大地增加了无线网络被攻击的风险,如攻击者通过非法介入的方式,在未经许可的情况下介入网络,导致数据信息被窃听或篡改等。这种情况会导致感知层被错误指令控制而进行非正当操作[1]。
网络层主要负责数据信息的传输,网络层发生安全风险,则会直接阻碍感知层数据信息向应用层的及时有效传递,同时造成数据风险,从而严重威胁电力物联网的安全运行。在电力物联网中,网络层数据传输通道主要以光纤专网、无线专网、公网等方式整合。在电力物联网中,由于节点部署具有较强的随机性,存在较多的独立节点,并且其资源受限,因而会造成物联网基础网络架构与拓扑结构具有较为显著的动态变化,从而可能导致攻击者从中插入虚假的路由信息,导致安全风险[2]。通过非法获取或者克隆的方式,将已注册APN的SIM卡接入,也会对网络层服务端造成攻击。在数据信息传输过程中,若数据是未经过加密、校验等防护措施,则可能会遭受非法监听、篡改的安全风险。
在电力物联网的应用层,主要是大数据与云计算技术可能引发的安全风险。在运用大数据技术进行数据分析过程中,其不仅为数据分析与应用提供了共享的服务,也为数据隐私分析提供了技术支持,通过大数据技术,攻击者可以对一些隐含信息进行非法获取,从而造成数据信息安全风险。同时,当前针对大量数据采集与存储的管理与控制工具尚且存在漏洞,也增加了数据风险。在云计算技术使用中,由于其属于汇集型技术,可能会出现整合不均衡、关键数据信息泄露等风险,最终影响应用部署的安全性,引发数据权限访问风险[3]。
针对感知层安全风险设置安全防护措施,主要是对感知层各类型设备的安全防护。对于智能终端和设备进行物理防护,主要措施包括安装防盗、防破坏等安全保护装置,避免设备造成物理攻击。同时,对智能终端及设备的运算及存储安全方面,主要措施是以标准安全算法为基础进行安全模块设置,对关键数据信息进行存储及运算,确保原始数据的安全性。设置数据安全等级,对不同等级的数据实施差别化安全算法保护,避免数据信息被篡改或者遭到泄露。
网络层主要是实施通信安全防护,以确保系统数据汇总与传输通信的安全性。在近距离无线网络通信中,可以通过构建数据链路层,或者建立安全机制,借助加密算法,或多渠道密钥管理等途径,确保设备信息汇集与传输的安全性,同时还可以采取MAC等机制进行安全认证,避免信道开放和资源限制造成的安全风险。同时,还可以通过采取信道过滤等措施建立路由安全机制,以有效阻止路由遭受DoS等攻击。针对无线专用网络以及公网在数据信息传输中的信道开放特征造成的安全风险,则主要是采取有效措施保障其接入与传输的安全性。因此,在遇到关键设备确实需要通过无线网络进行数据传输时,可以应用VPN或APN服务,通过端到端的安全密码算法,有效保证无线网络数据传输具有较强的机密性和完整性,避免数据安全风险[4]。此外,针服务器与网络层边界存在的网络攻击风险,可以通过部署独立安全设备,对网络接入进行安全验证,对边界访问进行有效的控制与信息过滤,并建立限制网络接入等安全机制,提供网络层边界的安全性。
电力物联网应用层安全风险的防护首先要重视保障用户账户的安全性。通过划定网络地址,将可登陆终端限制在一定范围内,并鉴别与控制接入设备的用户身份和访问资源。通过审计算法,对用户行为进行审计,包括用户登录、连接超时、接入设备变更等。同时,通过设置接口访问控制协议,用户在进行接口访问过程中,需要输入共享口令,从而保证其接入的安全性,确保电力物联网系统在与其他系统进行数据交换过程中的安全性。对于操作系统中的风险防范,需要根据信息安全等级保护的具体要求,针对操作系统安全等级,选择相配适的安全操作系统,同时在进行安全机制建立与安全功能设置方面,要根据最低可用,进行身份识别、安全审计、信息保护等设置,提高安全防护有效性。对于数据库安全,同样需要根据其相应的安全保护等级,设置数据库系统安全机制配置,或者选择相应安全等级的安全数据库,以确保数据资源的安全性。同时,需要注意的是,数据是非常重要和特殊的资源,数据库的安全防护措施一定要有数据备份。制定与实际情况相适应的数据备份机制,通过合适的存储介质,或者应用灾难恢复技术,确保数据备份的完整准确。电力物联网应用层安全还需要保障业务应用的安全性,包括对业务本身的安全防护,以及业务运行与存储访问等方面的安全防护,可以采用身份认真、权限控制、安全审计等措施,实现业务应用安全防护。
现代社会对电力能源的巨大需求,不仅促使了电力行业的快速发展,也对电力物联网的应用水平提出了更高的要求。随着其面临的电网环境与网络应用模式的变化,电力系统规模不断扩大,复杂性不断增加,导致电力物联网面临的安全风险种类越来越多,也越来越复杂。因此,加深分析电力物联网风险类型,采取有效安全防护措施,是提升电力物联网安全、维护电力行业稳定发展的重要途径。