如何解决电力系统的信息安全问题引言电力行业是关系到国计民生的基础性行业。

目前，我国电力行业正朝着市场化运作逐渐过渡，围绕着“厂网分开、竞价上网”的指导思想，电力行业新的市场竞争机制正在逐步建立。

在这种格局中，电力信息化的建设也将在新环境下面临新的变化。

随着电子技术的发展，信息化使公司的管理更加高效，使产品的成本可有效控制。

但是同时，信息化系统的安全问题日益成为管理者必须面对的重要问题。

电子签名法的出台，为网络安全认证及信息安全传输提供了法律的保障，也为电力信息安全系统的建设带来了新的契机。

电力信息化是指计算机技术、信息技术及自动化技术等现代科学技术在电力工业应用全过程的统称。

电力信息化建设主要分为三个方向：1）用于对外招标采购的电子商务平台；2）用于办公和管理的管理信息系统；3）用于电力生产和电网管理的软件系统。

其中任何一个方向的信息化建设都离不开安全稳定的网络安全系统。

我国电力行业的信息化建设从二十世纪六十年代初开始到目前已经成为电力生产、建设、经营、管理、科研、设计等领域的重要组成部分，在电力安全生产、节能降耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的经济效益和社会效益。

二十世纪六十年代初至七十年代，我国电力工业的信息技术应用从电力生产过程自动化起步，主要是为了提高电力生产过程的自动化程度，改进电力生产和输变电监测水平，提高工程设计计算速度，缩短电力工程设计的周期。

从八十年代起，我国电力信息化进入专项业务应用阶段。

电网调度自动化、电力负荷控制、计算机辅助设计、计算机仿真系统等的建设与应用深入开展，管理信息系统（MIS）的建设则刚刚起步。

九十年代以后，我国电力信息化进入到加速发展时期，由操作层向管理层延伸，从单机、单项目向网络化、整体型和综合型应用发展。

为了实现管理信息化，各级电力企业也建立了管理信息系统。

1.我国电力信息化建设现状目前，我国电力系统信息化建设硬件环境已经基本构建完成，硬件设备数量和网络建设状况良好，电力系统的规划设计、基建、发电、输电、供电等各环节均有信息技术的应用。

电力信息化的具体应用主要包括电网调度自动化系统、厂站自动控制、电力市场技术支持系统、电力营销信息系统、电力负荷管理系统、企业ERP、管理信息系统（MIS）等。

办公自动化系统、财务管理信息系统、客户服务支持系统、远程教育培训系统、供应链管理（SCM）系统等应用信息系统也在建设之中。

在电力信息化建设的推动下，我国电力行业的电网管理水平、企业管理水平、发电生产管理信息化水平、电力规划设计能力和电力营销管理信息化都得到了显著提高。

2.电力信息化发展中的信息安全问题2.1电力系统信息安全概述电力系统是一个复杂的网络系统，其安全可靠运行不仅可以保障电力系统的正常运营与供应，避免安全隐患所造成的重大损失，更是全社会稳定健康发展的基础。

随着我国电力信息化建设的不断推进，对于电力安全建设中的信息安全问题国家有关部门给予了高度重视。

2003年，国家电网公司将国家电力信息网络的安全运行纳入到电力安全生产管理的范畴，把信息网络的安全管理纳入电力安全生产体系，实行了信息网络安全运行报表制度和监督管理制度。

2004年3月9日，国家电力监管委员会颁布实施的《电力安全生产监管办法》中，对于电力安全生产信息报送做了明确的规定，要求“各电网经营企业、供电企业、发电企业要按照电监会关于电力安全生产信息报送的规定报送电力安全生产信息；当发生重大、特大人身事故、电网事故、设备损坏事故、电厂垮坝事故和火灾事故时，要立即向电监会报告，时间不得超过24小时，同时抄报国家安全生产监督管理局和所在地政府有关部门；电力安全生产信息的报送应当及时、准确，不得隐瞒不报、谎报或者拖延不报”。

国家科技部也已将电力系统信息安全列入国家信息安全示范工程之一。

很多电力企业已经开始加强电力信息网络身份认证、防病毒和防攻击的安全系统硬件和软件建设。

电力信息网络的信息安全建设重点在网络安全系统建设和网络安全管理制度建设，尤其是要防止有害信息和恶意攻击对电力实时系统的干扰而引发重大生产事故，保证电力生产的安全、稳定、经济、优质运行，保证调度自动化系统的安全运行，同时确保信息系统在符合国家保密要求范围内安全运行，防止失密。

电力系统信息安全是一项技术及管理高度复杂的大型系统工程，包括要重点研究信息安全体系总体结构框架的构建、信息安全技术方案的研究及实施、信息安全运行管理策略以及各有关子系统的安全保障措施等。

2.2电力系统信息安全分析电力系统信息安全是电力系统安全运行和对社会可靠供电的保障。

国富安公司通过多年的经验积累，认为目前电力系统信息安全存在的问题主要包括以下几个方面：第一，许多电力系统的网络应用系统只是安装了防病毒软件和防火墙，而未对网络安全进行统筹规划，网络中存在许多的安全隐患；第二，在计算机安全策略、安全技术和安全措施等方面投入较少。

为保证电力系统安全、稳定、高效运行，急需建立同电力行业特点相适应的电力信息安全体系。

随着电力OA系统、ERP系统和MIS系统的互通互联，尤其在局域网接入广域网后，基于网络的众多电力信息应用系统面临着巨大的网络安全威胁，作为一家知名的安全厂商，国富安公司就接到过诸多此类案例，如电力公司网站被篡改，网上身份难以确认，电力敏感信息在网络传输中被窃取等。

这些事件的发生，严重影响了电力企业的日常管理，带来了较大的经济损失。

针对这一现状，国富安将网络安全的实施和管理主要分为用户安全、信息安全、网络安全和物理安全等四个层次，如下图所示。

在用户安全方面，在发、供、用等各个环节，涉及信息采集、记录、报送、处理和备案，在每个环节都要保证数据的安全性，做到责任到人、不可否认；在事后分析的时候，可以清楚地界定责任人和责任事件，为网络管理人员提供强有力的保障。

在信息安全方面，电力关键信息在局域网和公网上的传输，需要保证信息的传输安全和存储安全，有效保障电力营销系统，电量计费系统，负荷管理系统等系统的安全运营；在电力专用网络的互联接入方面，需要有效保障网络的安全，为此需要引入访问控制、网络安全实时监测、入侵检测、漏洞扫描等安全机制，为电力企业的办公自动化系统（OA）、管理信息系统（MIS）和ERP等系统提供信息安全支持；在物理安全方面，需要建立有效的监控机制，可以通过数据传输加密技术，对数据的传输进行加密，保证数据在传输过程中无法被窃取、篡改，从而解决了数据传输层面的安全。

网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都可能会导致大范围的安全问题。

根据数据显示，目前的网络安全问题多发生在应用层。

传统的基于用户名、密码的方式使得系统可以轻松的攻破，从而非授权用户可以自由地浏览保密的信息。

同时，大量WEB应用系统的部署，使的越来越多的数据开始在网上明文传输。

随着计算机知识的普及和黑客工具的泛滥，越来越多的普通人有能力获取这些未加密的信息，从而导致大量泄密事件的发生。

要避免这类事件的发生，就必须解决好身份认证、信息加密传输和权限访问控制等问题。

2005年4月1日，中华人民共和国第一部电子商务领域的法律《电子签名法》正式实施，标志着我国在电子商务发展上又迈出了重要的一步。

同时该法的实施也确立了PKI技术在保证电子商务安全上的法律地位，使得使用CA签名技术得到的电子信息有了法律依据。

电子签名法要求电子签名具有以下特点：电子签名法的可靠性要求1.签名数据为签名人专有；2.签名数据仅由签名人控制；3.对签名的改动可以被发现；4.对数据电文的改动可以被发现；而传统的加密算法为对称加密算法，加解密使用同一个密钥，这就使得密钥的分发和管理变得极为困难，网上传输的密钥很容易被黑客截取，也无法解决电子签名法的可靠性要求。

而国富安多年来专注于安全加密领域的研究，通过采用PKI（公钥基础设施）技术的非对称加密算法解决了以上问题，使用公私钥对来完成对身份的认证和信息的加密，即认证双方均拥有两个相关联的密钥：一个公开发布的密钥（公钥）和一个仅为自己拥有的密钥（私钥），私钥的出现使得其满足签名数据仅为签名人专有，仅为签名人所控制的要求。

信息的加解密使用不同的密钥来完成。

当A需要向B发送一段保密信息时，A首先使用B的公钥对信息进行加密，然后再用自己的私钥对已加密信息进行签名。

当B收到A发送的加密信息后，首先使用A的公钥来验证A的签名，从而得出发送方身份。

验证无误后再使用自己的私钥来解密A加密的信息，得出信息原文，从而任何对数据电文和签名的改动可以被发现。

非对称加密算法很好地解决了电子签名法对可靠性的要求。

这样一来，任何一方只需要保管好自己的私钥，就能够与对方进行高效安全的信息传输。

3.案例分析下面将以国富安最近实施的电力招标采购系统为例，介绍信息安全在电力信息化建设中的应用。

电力行业在线招标采购系统，改变了传统的招标方式，利用基于互联网的应用平台发布招标信息，收取应标书，以时间戳统一开标时间，以电子签名确认招标文件，充分的体现了国家电力物资采购的公开、公正、公平原则，是电力系统信息化应用的一个热点。

开展网上招投标的好处主要体现在以下方面：大大降低企业的投标成本和招标机构的招标成本；通过电子商务平台实现异地办公，提高办事效率；企业无需增加成本即可接入在线招投标系统。

浙江省电力系统专业招投标网站率先实现了网上全流程自助招投标。

在系统建设前，就已对其在线招投标系统的信息安全进行了规划，以保证系统的安全运行。

通过大量的实地考察与比较，商务部中国电子商务中心直属的北京国富安电子商务安全认证有限公司以其全面的产品线与解决方案，加上多年来对信息安全的深入研究，最终赢得了与浙江电力物资的合作。

国富安通过对浙江电力物资网需求的详细分析，结合多年成功案例的经验，为其设计并实施了高效、经济的信息安全解决方案。

正是国富安专业的信息安全背景与实力的保障，使得该系统自应用以来，为用户创造了良好的经济效益。

自2003年7月开始正式运营，已拥有数百家核心注册集体会员。

截至2004年底，网站会员单位通过本网完成招投标的电力设备总价超过30多亿。

3.1招投标应用业务流程中存在的安全漏洞现有的很多在线招投标系统都存在着非常大的安全隐患，从其业务流程（如下图）中可以明显看出存在安全隐患的环节。

下图中红色圆点标示只为示例，表示需要提供安全服务和安全管理的环节。

3.2招投标网站安全需求分析经过以上分析，招投标网站的安全性目标可以归纳为以下几个方面：从图中可以看出，这些安全需求环节包括：招投标双方身份认证，操作行为不可抵赖，投标文件放篡改和伪造，数据传输及存储安全等。

归结到技术层面，安全性设计方案必须实现以下需求：授权合法性、不可抵赖性、信息的完整性、安全性和保密性。

3.2招投标系统的安全业务流程北京国富安公司通过对浙江电力物资网在线招投标系统的各个环节进行了充分的分析和评估后，根据实际应用环境，推出了以iPass3000这样一款SSL VPN产品为核心，综合了电子签名、安全隧道等技术的全面解决方案。