电力物联网安全防护管理和技术分析

54

2019.10

■ 国网北京延庆供电公司 史文娟 刘 音

电力物联网做为国家关键基础设施之一，建成后将使网络空间中跨层跨域万物处于互联状态，一旦发生网络战争也极易成为网络攻击的首选目标，如通过攻击获取电力物联网价值数据，可分析出攻击目标所在地的用电分布、关键信息、基础设施位置，篡改关键节点监测预警信息、操作指令等关键数据，造成电力物联网系统故障或重大安全事故。

同时，电力物联网是公用能源事业基础网，服务社会大众，如果涉及客户的大数据因保护不当被攻击，客户电量、能源消费明细、电话号码、能源消费关联地理位置等敏感信息被泄露，均会对社会公众安全产生负面影响。因此，需构建系统防护体系，保障电力物联网安全运行。其中，数据高度管控是核心，“两网”智慧交互是关键，安全动态防御是底线。

物联网安全风险分析

普通风险

设备损坏。无论是互联网还是物联网，想要实现相关功能都要有硬件设施的支持。对于物联网来说，其设备包括基础硬件设施、传感器等，这些设施都安装在无人值守环境中，因此可能会受到自然灾害、人为破坏的影响。一旦硬件设施遭受损坏，数据连接就会被中断，直接影响整个物联

网体系的正常运转。

信息风险。电力物联网建设目标是实现无人值守，因此电力信息都是由传感器采集获取，通过有线、无线网络将信息传输至各个网络层、管理层。在此过程中，黑客可以利用信号干扰等方法对节点数据、传输数据进行窃听、篡改、拦截，导致数据无法正常传输和获取，甚至盗取商业机密。特别是在无线网络传输中，信息风险会更高一些。

分布式拒绝服务攻击。分布式拒绝服务攻击是黑客攻击企业的常用手段，可以让服务器、节点无法正常工作，黑客利用多种手段，如采用计算机僵尸（被控制的计算机）、恶意访问服务器等，都会大量消耗服务器资源，无法进行正常访问或提供服务。分布式拒绝服务器攻击可以破坏服务器系统或大量窃取服务器信息。

特有风险

物联网是一种物与物连接的网络，这一网络本身是适宜以互联网为基础的，但也有设备系统的局域网。物联网负责设备状态、环境温湿度、位置等信息传输，信息种类更加繁杂，也存在跨网传输的情况。这就让物联网有了其自身的特有风险。

数据标签攻击。物联网数据标签中包含着设备大量基础信息，该攻击手段是破解智能设备的数据标签，黑客可以通过窃听、诱骗等手段获取标

电力物联网安全防护管理和技术分析

签内容，实施攻击。还可以篡改标签格式、信息、重发内容、破坏信息，让服务器无法识别标签丧失部分功能，从而实现物联网的破坏。

跨网攻击。物联网分布范围广、种类繁多是其重要的特点，所以使用单独网络传输信息存在着很多局限性，多数用户都是采用组网或多网形式实现数据传输，这就形成了跨网、跨区域传输信息的情况，增加了数据出现风险的几率。跨网供给更多出现在异构网络边界，具有攻击点多、难以被发现、后果严重等特性。

隐私泄露风险。在大数据时代下，物联网可以将智能设备的信息传输到网络上，但是智能设备中的信息都是用户隐私，而大数据又是公开网络，一旦信息被公开会直接暴露企业隐私，甚至账号、密码被盗取，所以隐私泄露风险是非常大的。

电力物联网安全防护技术分析

安全防护体系架构

安全体系架构是保证物联网使用安全的重要框架，可以保证管理安全、通信安全、介质安全、软件环境安全、应急处理。管理安全是为了保证电力企业数据资产安全，避免被黑客盗取、破坏、篡改而制定的安全制度。通信安全是指信息通信软硬件的安全防护，避免信息通信中被黑客拦

55

2019.10

截或破坏造成网络停转，可以保障物

联网系统正常运行。介质安全也就是

物理安全，实体设备作为物联网的重

要组成部分，要免受自然破坏、人为

损坏问题。软件安全是确保功能实现

的安全性，包括数据认证与访问、授

权管理、身份识别、业务审计等，确

保数据完整性、安全性。应急处理是

在出现危险时，及时展开应急防护，

将损失降到最低，包括应急方案制

定、应急演练、容灾、紧急处理等。

加密技术

从本质上来说，RFID是无线通信

技术的衍生品，通过识别设备、无线

网络获取相关数据。RFID安全是保障

物联网数据安全的重要手段。有关于

RFID安全协议有很多。hash-lock协议

主要是采用metaID替换用户真实ID避

免信息泄露；分布式RFID问答协议作

为一种分布式数据库协议，自身安全

漏洞非常少；hash链协议作为一种公

开秘密协议（单向协议），只能对tag

身份认证；David数字馆协议采用了随

机函数认证RFID身份，该协议需要使

用高版本RFID系统，并无其他漏洞；

L C A P协议作为一种互动协议，但不

适用于在分布式数据库中。对于这些

协议来说，由于RFID作为一种无线信

号，信息容易被窃取或破坏，建议采

用分布式RFID问答协议，由于漏洞极

少（至今没发现漏洞）可以最大程度

保障物联网安全。

认证技术

认证技术主要是用于身份认证，

可以有效避免信息外泄。整体上可以

分为口令认证、X.590认证、域认证。

其中口令认证主要是通过登录、系统

口令实现身份认证，虽然操作更加便

捷，但是安全性不足。因此也衍生出

了动态口令认证技术，结合了智能技

术与人物特征，在一定程度上提升了

认证安全性。X.590认证是一种权威

认证方式，融入了加密算法让认证更

加简单，需要持有X.590证书用户才

可以得到CA认证。域认证可以分为域

内或跨域认证，该技术取消了认证服

务器，是一种点对点认证方案，需要

主体相互认证，降低了服务器运行压

力、提高了认证效率。整体上看，电

力物联网具有传输区域多、覆盖范围

广、信息量大等特点，集中认证方案

的安全性、效率性都有所欠缺，所以

建议采用X.590或域认证的方案。

电力物联网作为智能电网发展的

重要基础，为了能够保障电力物联网安

全，必须要结合电力物联网所面临的危

险因素，构建安全防护框架，积极采用

加密技术和认证技术，建议采用分布

式、点对点的认证方案，这样即可提高

电力物联网的安全等级。