电力系统自动化 第一次讨论报告 关于互动用电的通信问题和对策 本次讨论组长：姚益剑 组员：许嘉轩黄森杨宇尘徐熙林 摘要：互动用电是智能电网的基本特征之一，针对因互动用电方式而引入的信息 安全风险和安全需求展开研究。首先，从风险分析的角度，将互动用电方式下的 信息安全与广域环境下的电力信息安全进行定性比较，重点论述了二者在威胁产 生的客观条件、主观动机和事故后果等方面的差异。在此基础上，结合互动用电 的业务流程和高级量测体系的特点，从保密性、完整性和可用性等信息安全需求 出发， 我们小组提炼出可用性评估、密钥管理和异常行为检测等3个方面的难点问题。 关键词：智能电网；互动用电；信息安全；风险；安全需求 问题分析： 我们小组经过两个小时的小组讨论，共总结出三个观点： 观点一：需要从互动用电的保密性出发。 保密性需求可以从互动用电的双方来分析。用户侧存在个人隐私问题，一些 用户不希望公开他们所使用的负荷数量、类型和其他信息，因此，智能电表的 计量数据需要保密，通过网络传输时也需要有合适的保密机制。运营商侧主要从 市场的角度来考虑，一些重要的运行数据需要保密，同时也有责任来保障用户的 用电行为隐私 观点二：需要从互动用电的完整性需求出发。 完整性需求是电力系统中最重要的信息安全需求，互动用电方式下这种需求 同样存在。计量数据和控制指令是AMI系统中传输的2类关键信息，必须防止 它们被篡改或伪造。对于智能电表，首先需要有能力对控制指令进行鉴别，判断 指令是否被篡改、伪造：其次，智能电表的物理保护未必完善，很难阻止对户外 电表的物理攻击，其存储芯片有可能被替换或修改，需要有及时的补救措施，防 止该电表在AMI系统中造成不良影响。用户网关需要传递对智能家电的控制指 令，也存在完整性需求，同时，由于用户网关部署的灵活性，有可能安装在连接 因特网的计算机上，加大了控制命令被篡改、伪造的风险。通信过程将遵循IE C61850体系，基于开放的TCP/IP来构建应用层协议，也需要确保信 息的完整性 观点三：需要从互动用电的可用性需求出发。 过去，自动抄表(AMR)系统的可用性并不是太大的问题，运营商在难以 获取计量数据时可以延迟获取，或通过估算的方法获取。但互动用电方式下， 量测值和控制指令需要实时或准实时地双向传输，对运营商与用户之间信息交换 的可用性提出了很高的要求。需要考虑特定信息不可用时，其对系统究竟有多大 影响，具体多大的延时是可以接受的。智能电表和用户网关的可用性，一方面要 考虑客观因素的影响，如软、硬件故障，另一方面要考虑人为因素，如物理入 侵、网络入侵和拒绝服务攻击等的影响。通信系统的可用性不仅要考虑客观存在电力系统自动化 第一次讨论报告 关于互动用电的通信问题和对策 本次讨论组长：姚益剑 组员：许嘉轩 黄森 杨宇尘 徐熙林 摘要：互动用电是智能电网的基本特征之一，针对因互动用电方式而引入的信息 安全风险和安全需求展开研究。首先，从风险分析的角度，将互动用电方式下的 信息安全与广域环境下的电力信息安全进行定性比较，重点论述了二者在威胁产 生的客观条件、主观动机和事故后果等方面的差异。在此基础上，结合互动用电 的业务流程和高级量测体系的特点，从保密性、完整性和可用性等信息安全需求 出发， 我们小组提炼出可用性评估、密钥管理和异常行为检测等３个方面的难点问题。 关键词：智能电网；互动用电；信息安全；风险；安全需求 问题分析： 我们小组经过两个小时的小组讨论，共总结出三个观点： 观点一：需要从互动用电的保密性出发。 保密性需求可以从互动用电的双方来分析。用 户侧存在个人隐私问题，一些 用户不希望公开他们 所使用的负荷数量、 类型和其他信息，因此，智能电表的 计量数据需要保密，通过网络传输时也需要有合适的保密机制。运营商侧主要从 市场的角度来考虑，一些重要的运行数据需要保密，同时也有责任来保障用户的 用电行为隐私 观点二：需要从互动用电的完整性需求出发。 完整性需求是电力系统中最重要的信息安全需求,互动用电方式下这种需求 同样存在。计量数据和控制指令是ＡＭＩ系统中传输的２类关键信息，必须防止 它们被篡改或伪造。对于智能电表，首先需要有能力对控制指令进行鉴别，判断 指令是否被篡改、伪造；其次，智能电表的物理保护未必完善，很难阻止对户外 电表的物理攻击，其存储芯片有可能被替换或修改，需要有及时的补救措施，防 止该电表在ＡＭＩ系统中造成不良影响。用户网关需要传递对智能家电的控制指 令，也存在完整性需求，同时，由于用户网关部署的灵活性，有可能安装在连接 因特网的计算机上，加大了控制命令被篡改、伪造的风险。通信过程将遵循ＩＥ Ｃ６１８５０体系，基于开放的ＴＣＰ／ＩＰ来构建应用层协议，也需要确保信 息的完整性 观点三：需要从互动用电的可用性需求出发。 过去，自动抄表（ＡＭＲ） 系统的可用性并不是太大的问题，运营商在难以 获取计量数据时可以延迟 获取，或通过估算的方法获取 。但互动用电方式下， 量测值和控制指令需要实时或准实时地双向传输，对运营商与用户之间信息交换 的可用性提出了很高的要求。需要考虑特定信息不可用时，其对系统究竟有多大 影响，具体多大的延时是可以接受的。智能电表和用户网关的可用性，一方面要 考虑客观因素的影响，如软、硬件故障，另一方面要考虑人为 因素， 如物理入 侵、网络入侵和拒绝服务攻击等的影响。通信系统的可用性不仅要考虑客观存在