安装在连接因特网的计算机上，加大了控制命令被篡改、伪造的风险。通信过程将遵循 IEC61850体系，基于开放的TCPP来构建应用层协议，也需要确保信息的完整性。 3.可用性需求 过去，自动抄表系统的可用性并不是太大的问题，运营商在难以获取计量数据时可以延 迟获取，或通过估算的方法获取。但互动用电方式下，量测值和控制指令需要实时或准实 时地双向传输，对运营商与用户之间信息交换的可用性提出了很高的要求。需要考虑特定信 息不可用时，其对系统究竟有多大影响，具体多大的延时是可以接受的。智能电表和用户网 关的可用性，一方面要考虑客观因素的影响，如软、硬件故障，另一方面要考虑人为因素， 如物理入侵、网络入侵和拒绝服务攻击等的影响。通信系统的可用性不仅要考虑客观存在的 故障因素，还要考虑光纤终瑞、电磁干扰和流量变化等因素。AMI前端系统的可用性除考 虑软、硬件故障的影响外，还需要考虑拒绝服务攻击的影响。 解决方法及难点分析 针对上述信息安全需求，解决方法可分为2类。 (一)一类是属于典型的工程技术问题，根据现有的安全标准和研究成果，结合具体的应用 对象，可设计相应的解决方案。包括： 1.通信过程的保密性需求、完整性需求，可根据1EC61850标准和安全通信机制的设计方法， 结合计量数据和控制指令的传输需求，设计具体的认证与保密协议： 2.对于智能电表和量测数据管理系统的保密性需求和完整性需求，可参照变电站智能电子设 备ED和常规数据库的访问控制方法，设计相应的权限模型和访问安全模型。 (二)另一类是由互动用电特性而引入的难点问题，从现有的研究成果中难以找到可直接应 用的方法。总结起来包括如下3个方面。 1.AM1的可用性评估问题。 从宏观上来说，可用性的定义是指：网络在给定的时间间隔内，处理阈值以上工作参数 的能力。多数情况下可量化为概率指标。AMI的可用性可定义为：在规定的时间间隔内，收 集量测值和执行控制指令的能力。AMI的可用性评估是一个非常复杂的问题，主要原因包括： (1)AM系统中涉及的对象很多，包括软件、硬件和通信系统： (2)传输的报文数量很大，不同的类型有不同的时间要求，而且重要程度也存在差异： (3)报文产生和传输过程表现出并发性、随机性等特点： (4)不同的安全防御措施，对系统的可用性影响很大。 2.大规模实时智能设备的密钥管理问题。 密钥管理是解决保密性需求和完整性需求的基础，通常包括密钥生成、密钥存储和保护、 密钥更新、密钥使用和销毁等。互动用电方式下的密钥管理以用户侧的智能电表或用户网关 为主要对象，存在如下典型特点： (1)规模大，某些城市电网将需要数以千万的数字证书或密钥，以满足用电需求： (2)对象以嵌入式系统为主，计算能力和资源有限： (3)密钥更新和分发机制是密钥管理的核心，从信息安全的角度，密钥的生存期越短， 破译的机会越小，但过多的密钥分发又会占用系统的网络带宽，很可能对信息交换过程的实 时性产生影响： (4)不同类型的用户对用电的可靠性要求存在差异，对密钥管理也提出不同的要求。 3.互动用电过程的异常行为检测问题。 即使采用了严格的访问控制机制和安全通信机制，仍难以保证操作系统自身的安全漏安装在连接因特网的计算机上，加大了控制命令被篡改、伪造的风 险。通信过程将遵循 IEC61850 体系，基于开放的 TCP/IP 来构建应用层协议，也需要确保信息的完整性。 3.可用性需求 过去，自动抄表系统的可用性并不是太大的问题，运营商在难以获取计量数据时可以延 迟 获取，或通过估算的方法获取。但互动用电方式下，量测值和控制指令需要实时或准实 时地双向传输，对运营商与用户之间信息交换的可用性提出了很高的要求。需要考虑特定信 息不可用时，其对系统究竟有多大影响，具体多大的延时是可以接受的。智能电表和用户网 关的可用性，一方面要考虑客观因素的影响，如软、硬件故障，另一方面要考虑人为 因素， 如物理入侵、网络入侵和拒绝服务攻击等的影响。通信系统的可用性不仅要考虑客观存在的 故障 因素，还要考虑光纤终端、电磁干扰和流量变化等因素。AMI 前端系统的可用性除考 虑软、硬件故障的影响外，还需要考虑拒绝服务攻击的影响。 ——————————————————————————————————————————— 解决方法及难点分析 针对上述信息安全需求，解决方法可分为 2 类。 （一）一类是属于典型的工程技术问题，根据现有的安全标准和研究成果，结合具体的应用 对象，可设计相应的解决方案。包括： 1．通信过程的保密性需求、完整性需求，可根据 IEC61850 标准和安全通信机制的设计方法， 结合计量数据和控制指令的传输需求，设计具体的认证与保密协议； 2.对于智能电表和量测数据管理系统的保密性需求和完整性需求，可参照变电站智能电子设 备 IED 和常规数据库的访问控制方法，设计相应的权限模型和访问安全模型。 （二）另一类是由互动用电特性而引入的难点问题，从现有的研究成果中难以找到可直接应 用的方法。总结起来包括如下 3 个方面。 1.AMI 的可用性评估问题。 从宏观上来说，可用性的定义是指：网络在给定的时间间隔内，处理阈值以上工作参数 的能力。多数情况下可量化为概率指标。AMI 的可用性可定义为：在规定的时间间隔内，收 集量测值和执行控制指令的能力。AMI 的可用性评估是一个非常复杂的问题，主要原因包括： (1)AMI 系统中涉及的对象很多，包括软件、硬件和通信系统； (2)传输的报文数量很大，不同的类型有不同的时间要求，而且重要程度也存在差异； (3)报文产生和传输过程表现出并发性、随机性等特点； (4)不同的安全防御措施，对系统的可用性影响很大。 2.大规模实时智能设备的密钥管理问题。 密钥管理是解决保密性需求和完整性需求的基础，通常包括密钥生成、密钥存储和保护、 密钥更新、密钥使用和销毁等。互动用电方式下的密钥管理以用户侧的智能电表或用户网关 为主要对象，存在如下典型特点： (1)规模大，某些城市电网将需要数以千万的数字证书或密钥，以满足用电需求； (2)对象以嵌入式系统为主，计算能力和资源有限； (3)密钥更新和分发机制是密钥管理的核心，从信息安全的角度，密钥的生存期越短， 破译的机会越小，但过多的密钥分发又会占用系统的网络带宽，很可能对信息交换过程的实 时性产生影响； (4)不同类型的用户对用电的可靠性要求存在差异，对密钥管理也提出不同的要求。 3.互动用电过程的异常行为检测问题。 即使采用了严格的访问控制机制和安全通信机制，仍难以保证操作系统自身的安全漏