談電力系統(tǒng)信息網(wǎng)絡(luò)安全中PKI的應(yīng)用

何雪嶶　劉曦

【摘要】隨著科學(xué)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)的發(fā)展使網(wǎng)絡(luò)成為人們不可或缺的工具，信息網(wǎng)絡(luò)的安全越來越為社會各界人士所日益關(guān)注，采用何種技術(shù)確保信息網(wǎng)絡(luò)的安全成為人們必須解決的難題，電力系統(tǒng)由于自動化控制技術(shù)的采用，也面臨信息網(wǎng)絡(luò)安全問題，PKI作為信息網(wǎng)絡(luò)提供安全保障的基礎(chǔ)設(shè)施，為電力系統(tǒng)信息網(wǎng)絡(luò)所采用，本文就針對電力系統(tǒng)信息網(wǎng)絡(luò)安全中PKI的應(yīng)用進(jìn)行了探討。

【關(guān)鍵詞】電力系統(tǒng);信息網(wǎng)絡(luò);安全;PKI;應(yīng)用

1、電力系統(tǒng)信息網(wǎng)絡(luò)安全分析

電力系統(tǒng)的安全穩(wěn)定、經(jīng)濟(jì)優(yōu)質(zhì)運行離不開信息網(wǎng)絡(luò)安全系統(tǒng)的保障，對“數(shù)字電力系統(tǒng)”的建設(shè)和實現(xiàn)具有重要意義，所以當(dāng)前網(wǎng)絡(luò)安全系統(tǒng)在整個電力活動中具有相當(dāng)關(guān)鍵的地位。隨著計算機(jī)在系統(tǒng)中的廣泛應(yīng)用，在生產(chǎn)、經(jīng)營、管理方面都具有較大的作用，然而在計算機(jī)安全技術(shù)以及安全措施上的投入比較少，安全性得不到很好的保障。尤其是在計算機(jī)網(wǎng)絡(luò)化將傳統(tǒng)的局域網(wǎng)更改為聯(lián)成光宇網(wǎng)之后，存在著巨大的外部安全隱患和威脅，使網(wǎng)絡(luò)安全系統(tǒng)很有可能受到外來網(wǎng)絡(luò)攻擊。在電力系統(tǒng)中其實早期的計算機(jī)網(wǎng)絡(luò)采用的是內(nèi)部局域網(wǎng)，其計算機(jī)安全大多是防止意外破壞或者是內(nèi)部人員的控制，但在當(dāng)前新的計算機(jī)網(wǎng)絡(luò)環(huán)境下，必須要能夠應(yīng)對國際互聯(lián)網(wǎng)上的惡意攻擊。對電力系統(tǒng)的攻擊主要有兩種形式：一種是主動攻擊，即黑客利用多種計算機(jī)病毒進(jìn)入到電力系統(tǒng)的信息網(wǎng)絡(luò)中進(jìn)行竊取或者篡改數(shù)據(jù);另一種是被動攻擊，就是通過網(wǎng)絡(luò)監(jiān)聽等技術(shù)手段對電力系統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行截取并分析和理解。這兩種攻擊方式都會對電力系統(tǒng)的網(wǎng)絡(luò)安全造成極大的威脅，一旦數(shù)據(jù)被竊取或者篡改將會嚴(yán)重影響到電力系統(tǒng)的正常運行，甚至是損害電力設(shè)備發(fā)生安全事故等。另外由于電力系統(tǒng)的網(wǎng)絡(luò)化管理和其他網(wǎng)絡(luò)管理存在一定的差異，比如電力網(wǎng)絡(luò)信息系統(tǒng)要對發(fā)電報價等電力市場信息進(jìn)行加密和隔離處理等，具有特殊的安全性要求，也對電力企業(yè)的發(fā)展經(jīng)營有一定的影響。

當(dāng)前電力系統(tǒng)網(wǎng)絡(luò)管理人員對信息安全的防護(hù)要比對數(shù)據(jù)備份、網(wǎng)絡(luò)設(shè)備以及病毒防范還要重視，由于對應(yīng)用層的保護(hù)意識還不夠，因此也就會產(chǎn)生網(wǎng)絡(luò)信息安全隱患。比如傳統(tǒng)的“用戶名+口令”的身份認(rèn)證方式落后，安全等級比較弱，一旦用戶名和口令被竊取將造成嚴(yán)重的損失;電力系統(tǒng)網(wǎng)絡(luò)信息機(jī)密性和完整性較弱，在通過內(nèi)、外網(wǎng)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸時，個別敏感信息和數(shù)據(jù)很有可能被截取并惡意修改;網(wǎng)絡(luò)信息存在不可抵賴性，這是因為如果財務(wù)報表、采購清單和生產(chǎn)計劃等電子文件被一方否認(rèn)，則另一方就沒有已簽名的記錄作為仲裁判斷的依據(jù)。所以在電力系統(tǒng)中設(shè)計一個以PKI為基礎(chǔ)的網(wǎng)絡(luò)信息安全系統(tǒng)平臺是十分必要的，能夠為電力人員提供保密性更強(qiáng)的身份認(rèn)證方式和訪問控制，加強(qiáng)數(shù)據(jù)傳輸?shù)陌踩院蜋C(jī)密性，確保電力系統(tǒng)能夠正常穩(wěn)定的運行。

2、PKI結(jié)構(gòu)框架分析

PKI一般是指計算機(jī)網(wǎng)絡(luò)信息安全中的公鑰基礎(chǔ)設(shè)施，是由硬件、軟件和人員、策略、規(guī)程集合來實現(xiàn)以公鑰密碼體制的密鑰和證書的產(chǎn)生、管理以及存儲和分發(fā)、撤銷等功能，在電力系統(tǒng)中的應(yīng)用可以實現(xiàn)設(shè)備自動化服務(wù)，保障電力系統(tǒng)重要數(shù)據(jù)的安全。PKI只要是由四個主要部分組成，一是策略批準(zhǔn)中心，簡稱PAA，二是策略證書中心，簡稱PCA，三是證書認(rèn)證中心，簡稱CA以及注冊中心，簡稱ORA。PKI在網(wǎng)絡(luò)信息系統(tǒng)中主要的作用就是提供加密服務(wù)，以加密的應(yīng)用程序接口（API）作為基礎(chǔ)提供用戶所需的加密服務(wù)和證書管理服務(wù)。一般的PKI包括密碼服務(wù)提供者、證書服務(wù)器、安全通道、認(rèn)證碼、加密文件系統(tǒng)、密鑰管理服務(wù)器、PKI應(yīng)用程序等。

3、電力系統(tǒng)安全平臺設(shè)計

3.1基本框架

為了實現(xiàn)加強(qiáng)電力系統(tǒng)網(wǎng)絡(luò)信息安全的目的，就要在信息共享機(jī)制的基礎(chǔ)上設(shè)計安全系統(tǒng)平臺。在該管理平臺中，第一步必須要先提交數(shù)字證書，才能夠通過身份認(rèn)證，然后進(jìn)入到系統(tǒng)中;第二步在進(jìn)入系統(tǒng)之后，只有具有相關(guān)權(quán)限的人員才能夠?qū)Ω鱾€功能模塊進(jìn)行具體的操作和管理。該系統(tǒng)是在使用MicrosoftActiveServerPages與MicrosoftSQLServer相結(jié)合的基礎(chǔ)上實現(xiàn)構(gòu)筑標(biāo)準(zhǔn)化三層B/S結(jié)構(gòu)應(yīng)用系統(tǒng)的目的，從而利用數(shù)字證書系統(tǒng)作為網(wǎng)絡(luò)信息系統(tǒng)的身份認(rèn)證方式和通道。因此安全系統(tǒng)平臺是以Microsoft提供的PKI結(jié)構(gòu)框架部件進(jìn)行設(shè)計的，在此同時可以使用通過數(shù)字證書加密和應(yīng)用程序認(rèn)證中的消息，系統(tǒng)在運行的過程中也能夠有效地保障身份認(rèn)證等其他加密功能的實現(xiàn)。

3.2數(shù)字證書實現(xiàn)

在對安全系統(tǒng)進(jìn)行設(shè)計時，要使用計算機(jī)提供的證書服務(wù)器，對證書頒發(fā)者進(jìn)行設(shè)置，使其他用戶可以向已設(shè)置的證書頒發(fā)者申請證書。如果用戶登錄該系統(tǒng)要實施某項具體操作時，需要嚴(yán)格地加密身份認(rèn)證，這一過程是用戶有意愿對重要服務(wù)器進(jìn)行操作或者數(shù)據(jù)讀取時，安全系統(tǒng)首先要對用戶的身份進(jìn)行認(rèn)證，核查該用戶是否是通過證書頒發(fā)者簽發(fā)證書的用戶。然后用戶的相關(guān)操作請求會發(fā)送到服務(wù)器中，并向用戶發(fā)送消息請求用戶證書，通過私鑰對證書的簽名之后，服務(wù)器還要對簽名證書進(jìn)行檢查，確認(rèn)證書合法后取出證書中的公鑰，驗證用戶證書簽名，通過后即實現(xiàn)了對用戶的身份認(rèn)證，即可登錄頁面進(jìn)行相關(guān)操作。

3.3數(shù)字簽名及認(rèn)證實現(xiàn)

在電力系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)平臺中要加強(qiáng)安全性就要在數(shù)字證書的用戶身份認(rèn)證技術(shù)的基礎(chǔ)上對電子文件數(shù)據(jù)進(jìn)行數(shù)字簽名，能夠在一定程度上保障信息的完整性和確認(rèn)文檔數(shù)據(jù)真實性，避免出現(xiàn)抵賴行為和他人冒充合法用戶篡改數(shù)據(jù)。發(fā)送方首先用哈希函數(shù)從明文文件中生成一個數(shù)字摘要，然后再通過自己的私鑰對該數(shù)字摘要進(jìn)行加密并形成發(fā)送方的數(shù)字簽名;如果需要選擇一個對稱密鑰對電子文件進(jìn)行加密則要通過網(wǎng)絡(luò)傳輸?shù)姆绞桨l(fā)送到接收方，之后通過網(wǎng)絡(luò)將數(shù)字簽名作為附件和報文密文一同傳輸給接受方;然后接收方再利用公鑰給對稱密鑰進(jìn)行加密，直接通過網(wǎng)絡(luò)將加密過后的對稱密鑰傳輸?shù)浇邮辗?。實際上對數(shù)據(jù)簽名進(jìn)行驗證的過程就是對數(shù)據(jù)摘要的比較，這一過程中簽名的認(rèn)證運用到了CAPICOM控件中的SignedData對象的SignedData.Verify方法。該方法可以對數(shù)據(jù)上的用戶簽名是否有效進(jìn)行驗證，如果改簽名合法有效，則能夠從簽名者的整數(shù)中調(diào)出公鑰，進(jìn)而驗證被Hash函數(shù)作用后的數(shù)據(jù)內(nèi)容，如果內(nèi)容出現(xiàn)匹配則該方法返回驗證成功值。因此合理的使用數(shù)字簽名和證書能夠獲得極大的安全性，在應(yīng)用的過程中還要注重細(xì)節(jié)，嚴(yán)格按照操作規(guī)范就能夠最大限度地保障電力系統(tǒng)的網(wǎng)絡(luò)信息安全。

結(jié)語

總之，PKI在電力系統(tǒng)的應(yīng)用不是光靠說說，更是需要我們提高認(rèn)識，建立正確的系統(tǒng)安全防護(hù)的框架，來確保網(wǎng)絡(luò)信息安全，這不僅需要哪一個企業(yè)來做到，更是需要千千萬萬的企業(yè)來提高認(rèn)識，防患于未然，切實做好信息網(wǎng)絡(luò)安全工作，只有這樣，才能提高電力企業(yè)的效率和效益，未來才會發(fā)展的更好。

參考文獻(xiàn)

[1]董偉明，劉俐，羅時俊，張瑛，謝華.電力系統(tǒng)集中式電話錄音系統(tǒng)研究與應(yīng)用[J].電子世界.2013（17）

[2]胡福平.電力系統(tǒng)信息網(wǎng)絡(luò)安全防護(hù)及措施分析[J].通信電源技術(shù)，2018，035（010）：165-166.