电力系统自动化 第一次讨论报告 电力系统自动化 第二次讨论报告-一关于互动用电的通信问题和对策 本次组长: 5120309407姚益剑 组员: 5120309357许嘉轩 5120309363黄森 5120309351徐熙林 5120309362杨宇尘 2015.4.30
电力系统自动化 第一次讨论报告 电力系统自动化 第二次讨论报告--关于互动用电的通信问题和对策 本次组长: 5120309407 姚益剑 组员: 5120309357 许嘉轩 5120309363 黄森 5120309351 徐熙林 5120309362 杨宇尘 2015.4.30
电力系统自动化 第一次讨论报告 关于互动用电的通信问题和对策 本次讨论组长:姚益剑 组员:许嘉轩黄森杨宇尘徐熙林 摘要:互动用电是智能电网的基本特征之一,针对因互动用电方式而引入的信息 安全风险和安全需求展开研究。首先,从风险分析的角度,将互动用电方式下的 信息安全与广域环境下的电力信息安全进行定性比较,重点论述了二者在威胁产 生的客观条件、主观动机和事故后果等方面的差异。在此基础上,结合互动用电 的业务流程和高级量测体系的特点,从保密性、完整性和可用性等信息安全需求 出发, 我们小组提炼出可用性评估、密钥管理和异常行为检测等3个方面的难点问题。 关键词:智能电网;互动用电;信息安全;风险;安全需求 问题分析: 我们小组经过两个小时的小组讨论,共总结出三个观点: 观点一:需要从互动用电的保密性出发。 保密性需求可以从互动用电的双方来分析。用户侧存在个人隐私问题,一些 用户不希望公开他们所使用的负荷数量、类型和其他信息,因此,智能电表的 计量数据需要保密,通过网络传输时也需要有合适的保密机制。运营商侧主要从 市场的角度来考虑,一些重要的运行数据需要保密,同时也有责任来保障用户的 用电行为隐私 观点二:需要从互动用电的完整性需求出发。 完整性需求是电力系统中最重要的信息安全需求,互动用电方式下这种需求 同样存在。计量数据和控制指令是AMI系统中传输的2类关键信息,必须防止 它们被篡改或伪造。对于智能电表,首先需要有能力对控制指令进行鉴别,判断 指令是否被篡改、伪造:其次,智能电表的物理保护未必完善,很难阻止对户外 电表的物理攻击,其存储芯片有可能被替换或修改,需要有及时的补救措施,防 止该电表在AMI系统中造成不良影响。用户网关需要传递对智能家电的控制指 令,也存在完整性需求,同时,由于用户网关部署的灵活性,有可能安装在连接 因特网的计算机上,加大了控制命令被篡改、伪造的风险。通信过程将遵循IE C61850体系,基于开放的TCP/IP来构建应用层协议,也需要确保信 息的完整性 观点三:需要从互动用电的可用性需求出发。 过去,自动抄表(AMR)系统的可用性并不是太大的问题,运营商在难以 获取计量数据时可以延迟获取,或通过估算的方法获取。但互动用电方式下, 量测值和控制指令需要实时或准实时地双向传输,对运营商与用户之间信息交换 的可用性提出了很高的要求。需要考虑特定信息不可用时,其对系统究竟有多大 影响,具体多大的延时是可以接受的。智能电表和用户网关的可用性,一方面要 考虑客观因素的影响,如软、硬件故障,另一方面要考虑人为因素,如物理入 侵、网络入侵和拒绝服务攻击等的影响。通信系统的可用性不仅要考虑客观存在
电力系统自动化 第一次讨论报告 关于互动用电的通信问题和对策 本次讨论组长:姚益剑 组员:许嘉轩 黄森 杨宇尘 徐熙林 摘要:互动用电是智能电网的基本特征之一,针对因互动用电方式而引入的信息 安全风险和安全需求展开研究。首先,从风险分析的角度,将互动用电方式下的 信息安全与广域环境下的电力信息安全进行定性比较,重点论述了二者在威胁产 生的客观条件、主观动机和事故后果等方面的差异。在此基础上,结合互动用电 的业务流程和高级量测体系的特点,从保密性、完整性和可用性等信息安全需求 出发, 我们小组提炼出可用性评估、密钥管理和异常行为检测等3个方面的难点问题。 关键词:智能电网;互动用电;信息安全;风险;安全需求 问题分析: 我们小组经过两个小时的小组讨论,共总结出三个观点: 观点一:需要从互动用电的保密性出发。 保密性需求可以从互动用电的双方来分析。用 户侧存在个人隐私问题,一些 用户不希望公开他们 所使用的负荷数量、 类型和其他信息,因此,智能电表的 计量数据需要保密,通过网络传输时也需要有合适的保密机制。运营商侧主要从 市场的角度来考虑,一些重要的运行数据需要保密,同时也有责任来保障用户的 用电行为隐私 观点二:需要从互动用电的完整性需求出发。 完整性需求是电力系统中最重要的信息安全需求,互动用电方式下这种需求 同样存在。计量数据和控制指令是AMI系统中传输的2类关键信息,必须防止 它们被篡改或伪造。对于智能电表,首先需要有能力对控制指令进行鉴别,判断 指令是否被篡改、伪造;其次,智能电表的物理保护未必完善,很难阻止对户外 电表的物理攻击,其存储芯片有可能被替换或修改,需要有及时的补救措施,防 止该电表在AMI系统中造成不良影响。用户网关需要传递对智能家电的控制指 令,也存在完整性需求,同时,由于用户网关部署的灵活性,有可能安装在连接 因特网的计算机上,加大了控制命令被篡改、伪造的风险。通信过程将遵循IE C61850体系,基于开放的TCP/IP来构建应用层协议,也需要确保信 息的完整性 观点三:需要从互动用电的可用性需求出发。 过去,自动抄表(AMR) 系统的可用性并不是太大的问题,运营商在难以 获取计量数据时可以延迟 获取,或通过估算的方法获取 。但互动用电方式下, 量测值和控制指令需要实时或准实时地双向传输,对运营商与用户之间信息交换 的可用性提出了很高的要求。需要考虑特定信息不可用时,其对系统究竟有多大 影响,具体多大的延时是可以接受的。智能电表和用户网关的可用性,一方面要 考虑客观因素的影响,如软、硬件故障,另一方面要考虑人为 因素, 如物理入 侵、网络入侵和拒绝服务攻击等的影响。通信系统的可用性不仅要考虑客观存在
电力系统自动化 第一次讨论报告 的故障因素,还要考虑光纤终端、电磁干扰和流量变化等因素。AMI前端系 统的可用性除考虑软、硬件故障的影响外,还需要考虑拒绝服务攻击的影响。 对解决对策的思考: 观点一:AMI的可用性评估问题 就是检测在规定的时间内,AMI所能处理信息的数量的多少的一个评估方式。 观点二:大规模实时智能设备的密钥管理问题 对于用户的个人密码等等,不仅仅用户自身需要去保护,系统方面也要加强自己 的防侵略功能,最大限度的提升安全性。 如: ①规模大,某些城市电网将需要数以千万的数字证书或密钥,以满足用电需求: ②对象以嵌入式系统为主,计算能力和资源有限; ③密钥更新和分发机制是密钥管理的核心,从信息安全的角度,密钥的生存期越 短,破译的机会越小,但过多的密钥分发又会占用系统的网络带宽,很可能对 信息交换过程的实时性产生影响: ④不同类型的用户对用电的可靠性要求存在差异,对密钥管理也提出不同的要 求。 观点三:互动用电过程的异常行为检测问题 在被攻击时,能够及时检测到危险的能力。在计算机网络中,用户可以通过计算 机的状态或防病毒软件来判断计算机是否被感染,但智能电表如果存在长期潜 伏的病毒或木马,用户和运营商都很难直观地判断出来或察觉到。因此,就引出 了互动用电过程的异常行为检测问题,这是一个未知但又充满风险的领域。 总结: 通过这次小组的讨论,我们能够更深的体会到未来互动用电将成为主流,对于其 的分析和原理需要更深入的去研究,要清楚分析问题并且以此得到更好的解决方 法是十分重要的,这也是我们不得不去面对的问题。 通过需求分析可知,研究难点体现在密钥管理、异常行为检测和可用性评估等3 个方面。如何就这3个方面的难点问题展开应用基础研究,是智能电网建设中亟 需解决的问题
电力系统自动化 第一次讨论报告 的故障 因素,还要考虑光纤终端、电磁干扰和流量变化等因素。AMI前端系 统的可用性除考虑软、 硬件故障的影响外, 还需要考虑拒绝服务攻击的影响。 对解决对策的思考: 观点一:AMI的可用性评估问题 就是检测在规定的时间内,AMI 所能处理信息的数量的多少的一个评估方式。 观点二:大规模实时智能设备的密钥管理问题 对于用户的个人密码等等,不仅仅用户自身需要去保护,系统方面也要加强自己 的防侵略功能,最大限度的提升安全性。 如: ①规模大,某些城市电网将需要数以千万的数字证书或密钥,以满足用电需求; ②对象以嵌入式系统为主,计算能力和资源有限; ③密钥更新和分发机制是密钥管理的核心,从信息安全的角度,密钥的生存期越 短,破译的机会越小,但过多的密钥分发又会 占用系统的网络带宽, 很可能对 信息交换过程的实时性产生影响; ④不同类型的用户对用电的可靠性要求存在差异,对密钥管理也提出不同的要 求。 观点三:互动用电过程的异常行为检测问题 在被攻击时,能够及时检测到危险的能力。在计算机网络中,用户可以通过计算 机的状态或防病毒软件来判断计算机 是否被感染,但智能电表如果存在长期潜 伏的病毒或木马,用户和运营商都很难直观地判断出来或察觉到。因此,就引出 了互动用电过程的异常行为检测问题,这是一个未知但又充满风险的领域。 总结: 通过这次小组的讨论,我们能够更深的体会到未来互动用电将成为主流,对于其 的分析和原理需要更深入的去研究,要清楚分析问题并且以此得到更好的解决方 法是十分重要的,这也是我们不得不去面对的问题。 通过需求分析可知,研究难点体现在密钥管理、异常行为检测和可用性评估等3 个方面。如何就这3个方面的难点问题展开应用基础研究,是智能电网建设中亟 需解决的问题