电力物联网终端网络安全监测技术研究

根据电力物联网终端网络监测技术提出的安全性和可靠性更高要求,加快电力物联网终端网络安全管理平台的建设,尽快实现网络终端的实时监测和闭环管理。因此,本文重点研究和分析了电力物联网终端的网络安全监测技术,从而确保了电力物联网终端的网络安全,避免了各种病毒和网络安全漏洞对电力系统的网络安全造成严重威胁。     

基于广义污点传播模型的操作系统访问控制

动态调整安全级是目前提高强制访问控制模型可用性的主要途径,它大致包括两类方法.其中,安全级范围方法对主体权限最小化的支持不够,而污点传播方法存在已知隐蔽通道.提出了保护操作系统保密性和完整性的广义污点传播模型(generalized taint propagation model,简称GTPM),它继承了污点传播在最小权限方面的特点,拓展了污点传播语义,以试图关闭已知隐蔽通道,引入了主体的降密和去污能力以应对污点积累;还利用通信顺序进程(CSP)语言描述了模型的规格,以明确基于GTPM的操作系统的信息流控制行为的形式化语义;基于CSP的进程等价验证模型定义了可降密无干扰,并借助FDR工具证明形式化构建的抽象GTPM系统具有可降密无干扰安全性质.最后,通过一个示例分析了模型的可用性提升.     

统一身份鉴别与校验服务技术在电力监控系统中的应用研究

电力监控系统为“发输电变配电”等电力环节提供了很大的帮助。在电力监控系统中统一身份鉴别与校验服务技术极其关键和重要,也是最直观有效的网络防护手段。因此,本文研究了电力监控系统身份鉴别与验证统一服务的关键技术途径和应用,有效降低电力监控系统运行中存在的安全风险,提高运营质量和效率。     

泛在电力物联网可信安全接入方案

为全面提高全业务泛在电力物联网安全综合防御能力,解决目前全业务泛在电力物联网安全防护指导和终端认证机制的缺失和不足,本文提出一种泛在电力物联网可信安全接入方案。首先给电力物联网终端层设备确定一个唯一标识的指纹信息;然后结合该指纹信息,采用身份标识密码技术实现终端层设备的接入认证,阻断非法终端的接入;最后设计合法终端的身份信息安全传递机制,根据身份信息对合法终端的异常行为进行溯源。     

基于可信计算的主动配电网信息安全防护研究

针对智能电网重要组成部分的主动配电网信息安全防护问题,首先对主动配电网"发、输、配、用"电环节中存在的信息安全问题进行分析;然后参考配电自动化系统设计针对区域能源互联网提出总体安全可信防护方案,依据方案建立可信链条,保障节点、网络连接及应用的可信;最后对方案进行示例验证,数据传输、存储主要采用SM2和SM4加密算法。考虑到下行数据会有大量重复密码运算过程,采用批量认证方法,通过使用Merkle哈希树合并多认证请求,提高了数据处理效率。     

智能变电站主动安全防御体系构建探索

针对目前智能电网的网络安全和数据隐私问题,构建了新型的智能变电站主动安全防御体系.采用改进卷积神经网络计算方法,实现智能变电站通信网络中的异常流量检测.通过concatenate技术,实现平均值和最大值结果聚合.采用全同态数据加密技术,实现智能变电站中的数据加密.通过一种实数取模方法将全同态数据加密方法从整数运算范围扩展到实数范围,实现数据的传递.试验表明:方法的入侵检测精准度提高了9.58％左右,召回率提高了5.26％左右,实数全同态的加密效率3％左右,运算效率提高了 2％左右.     

基于网络流的攻击图分析方法

攻击图是一种基于模型的安全分析技术,将不同的原子攻击关联起来,用图的形式描述所有可能的攻击路径,在网络和系统的安全性分析中得到广泛的应用.研究了攻击图中的最优原子攻击修复集问题和最优初始条件修复集问题.针对这2个问题,定义了原子攻击拆分加权攻击图和初始条件拆分加权攻击图,将最优原子攻击修复集问题和最优初始条件修复集问题分别归结于原子攻击拆分加权攻击图中的最小S-T割集问题和初始条件拆分加权攻击图中的最小S-T割集问题,并证明其等价性.在此基础上提出了基于网络流的具有多项式复杂度的算法.模拟实验表明,与已有成果相比,该算法具有较高的实际运行效率和很好的可扩展性,能应用于大规模攻击图的分析中.     

工控系统服务安全运行技术研究

针对工控系统信息安全风险日益增加的问题,给出基于CNN-Focal入侵检测模型和状态监测防火墙的可行性解决问题方法,实现对工控系统的服务安全正常运行.试验表明:状态监测防火墙流量数据包丢包率低至16.6％,受攻击状态下工控系统吞吐量与正常情况下几乎相同;与支持向量机方法相比,基于CNN-Focal入侵检测模型的损失函数综合指标更好.     

等保2.0下的电力监控系统安全运行环境设计

针对电力监控系统运行环境安全性问题,设计一种数据通信框架.架构采用虚拟私有网络技术在互联网中进行数据通信,实现数据的高保密通信.采用可信网络连接技术和数据加解密技术对用户和通信信息进行处理,实现数据的加密和解密,设计出对电力监控系统进行安全性因子评价的模型,实现数据安全性验证.安全性因子平均提高了 30％左右,信息防攻击性能好.     

基于保信系统签名技术的电力监控系统主站下发指令身份验证方法

为了提升身份验证精度,确保电力监控系统数据安全,提出了基于保信系统签名技术的电力监控系统主站下发指令身份验证方法。在电力监控系统主站下达指令给子站时,利用基于身份和MCRSA的多重数字签名方案,通过建立Setup算法、获取私钥、签名算法等步骤实现下发指令的数字签名,并将指令数字签名传输给子站,起到指令签名或盖章的作用,指令数字签名经子站解密后分别获取指令摘要和数字签名摘要,通过判断两份摘要的一致性,验证下达指令用户身份,并通过可验证性、不可抵赖性、无法伪造性实现方案安全性分析。实验结果表明：该方法可验证下发指令用户身份,可抵御攻击者的攻击行为,错误拒绝率、错误接受率均较低,身份验证性能突出。