电力集成应用平台的SAML单点登录

SAML是W eb单点登录重要的执行标准,能够提供安全方便的身份认证形式。在电力信息应用系统选择基于集成应用平台的软件系统模式下,SAML单点登录成为系统安全与方便使用的有效技术保证。电力集成应用平台的用户分省市2级,文章介绍了应用资源信息管理结构、自上而下进行角色权限审计与核准的角色权限管理策略以及SAML断言形式的身份认证。在构造统一的用户和应用资源信息目录树基础上,分析和设计了用户角色权限管理及SAML认证过程,实现了单点登录。     

电力数字证书服务系统的设计及应用

针对电力系统的信息安全需求,设计和实现了基于公钥技术的电力数字证书服务系统(PCSS),讨论了其技术特点,分析了该系统自身的安全性,并介绍了其在电力业务服务器身份认证中的应用。PCSS是一个安全支撑平台,能为它上面的应用系统提供强身份认证、加解密、签名验签、时间戳等安全服务,有效地解决了电力应用系统网络上用户身份认证和安全传输的问题。PCSS的实施将加速数字电力系统的实现进程。     

基于SM2密码体系的电网信息安全支撑平台开发

针对电力二次系统安全防护体系缺乏集中管理和审计,且现有的安全体系公钥算法均采用RSA算法的现状,提出了基于国产SM2密码体系的安全支撑平台的设计和实施方案。分析了安全支撑平台应用SM2算法存在的问题,提出了一个采用组件技术构建自行研制的安全加密通道的方案,使得安全支撑平台能支持实现SM2算法,并对集成整合后的安全支撑平台的应用功能进行了测试分析。结果表明,该平台可以实现电力二次系统应用之间的无缝整合,使它们相互间形成一个有机整体,提供安全的身份认证、有效的访问控制与权限管理、安全审计日志记录,并对用户信息及系统资源进行管理服务,实现对用户身份和访问权限的集中管理和控制。该平台已在某省级电网正式投运,得到了实际工程应用的验证。     

电力调度自动化系统中基于可信度的访问控制模型

针对电力调度自动化系统对访问控制的要求和基于角色的访问控制模型存在的缺陷,提出了一种基于可信度的角色访问控制模型。将用户身份可信与行为可信相结合,根据用户身份认证过程中捕获到的隐含信息,借助人工智能不确定性推理理论计算用户的可信度,并将可信度参与用户授权。对角色、权限分别设置可信度激活阈值,用户必须通过角色、权限的可信激活约束才能获得相应的权限。该模型能实现灵活的系统授权,保证了用户对系统资源安全访问,很好地适用于现有的电力调度自动化系统。     

一种专用公开密钥基础框架的研究与应用

本文提出了一种专用公开密钥基础框架(PPKI),用于解决大中型企业自建网络(Intranet)与Internet之间的身份认证、通信加密和权限管理等问题。通过研究和开发PPKI的资源管理、证书管理和通讯加密等组成模块。在企业Intranet中部署PPKI,由Internet网络中的客户端IE浏览器向PPKI服务器申请X.509数字证书,并登录网络服务器访问不同权限的资源。从而验证了PPKI的可行性。     

电力企业信息系统敏感资源安全管理研究与应用

国网甘肃省电力公司于2013年完成了统一权限平台的建设,实现了业务系统组织机构、用户、角色、菜单功能等数据的统一管理和业务系统的安全认证。在实现业务权限统一管理的同时,面对庞大的业务系统注册资源数据量,如何实现业务权限的安全管理,是统一权限平台需要研究的重点。结合甘肃电力业务应用实际情况及业务特点,着力于业务系统权限资源安全性及合规性管理方案,采用国家电网公司统一开发设计平台SG-UAP为基础平台,利用已经建成的统一权限平台中的敏感、互斥资源数据,通过采集业务系统用户行为日志进行分析及预警,以实现对甘肃电力业务系统权限的安全管理。     

基于HMAC算法的远程电力监控通信安全策略

针对我国远程电力监控通信系统的安全问题,提出了基于哈希认证码算法(HMAC)的安全方案.充分考虑了实时嵌入式电网终端设备的局限性,设计和实现了数据来源真实性和数据完整性验证、用户身份认证、基于角色的操作权限限制和基于用户ID的审计等重要的安全功能.通过实验验证了该方案的可行性和安全性,它可以抵御电网通信中存在的数据篡改...     

电力大数据安全体系架构研究与应用

随着电力系统智能化的不断深入,涵盖整个电力系统运行过程的信息系统已经逐步建立和发展,电力大数据将在电力系统的各个环节发挥重要的作用。由于电力大数据涉及大量的用户和企业资料,因此对信息安全具有较高的要求。本文针对大数据安全的关键点,采用建立完善的身份认证体系的方式,对用户权限进行了限制和保护,有效地确保了系统数据的安全。     

基于二代身份证的生物识别身份验证系统研究

在电网核心业务应用中缺乏对人员安全管控的强身份认证技术手段,针对人员真实身份验证问题,尚未有信息系统支撑。人员可信身份安全认证是守护电网核心业务资产的一道防线,为了解决身份盗窃、身份欺诈、身份冒用、隐私泄露等安全问题,提出基于二代身份证的生物识别身份验证系统在电网核心业务中的应用方案,该系统实现了身份认证、身份模型管理、凭证管理、属性管理、身份全生命周期管理、访问控制管理、签验管理和安全管理等功能,为电网核心应用系统和网络用户提供"实名+实人+实证"的真实身份管理服务和身份认证服务,有效解决实名认证、人证合一的问题,在保护用户隐私信息的同时,有效解决现有电力核心业务应用身份认证模式中易被"盗用"、"冒用"难题。     

基于短信动态口令的身份认证管理服务

针对配电馈线终端（FTU）智能手机人机交互接口MMI应用身份认证管理的技术要求,需要在配网调控制中心建设动态身份验证的服务器系统,以实现对手机MMI应用的安全防护。控制中心服务器侧的身份认证管理软件采用挑战/响应方式的动态口令身份认证技术,并使用手机短信实现认证信息的传输,微型加密算法TEA对短信内容进行加解密处理,从而实现MMI应用的异步双因子安全体系登录认证的目的。在分析研究相关理论、方法和实现技术的基础上,完成了身份认证管理软件的设计与实现,并在用户控制中心机房成功部署,达到了项目开发的目的。     

基于网络准入控制的内网安全防护方案探讨

为抵御来自内网的安全威胁,保障供电局网络信息安全,探讨内网安全防护方案.通过分析内网信息安全事件原因,对比两种802.1X认证的控制方式,根据内网安全现状和需求,采用NAC准入控制系统结合接入交换机基于端口的802.1x认证方式,设计了桂林供电局内网安全防护解决方案.给出了网络准入控制系统的总体系统架构及策略管理服务器、准入控制服务器、接入层交换机等系统组成部分的具体部署方式.应用效果表明,该方案在病毒防范等内网安全防护方面有积极作用.     

企业内部网用户接入的安全管理

目前企业信息安全建设较多关注信息系统重点区域的保护,忽视用户接入的安全管理。分析了传统用户接入管理存在的安全问题,提出在802.1x协议的基础上,综合采用802.1x验证、基于用户的VLAN划分和ACL、交换机二层安全机制、防IP盗用等多种安全措施,从验证、授权、审计3个层面将安全防御措施扩展到边缘接入层,从用户接入源头进行安全防护,从而有效构建企业信息安全立体防御体系。     

内蒙古电力信息网络用户安全管理体系建设

随着内蒙古电力各业务部门对信息系统需求的不断增加,信息应用系统不断建设,越来越多的用户信息安全管理问题亟需解决。企业繁多的业务信息系统中,很多都是专有的、独立的,由各个职能部门根据各自的业务需求建立的,缺乏统一的信息安全管理标准,虽然独立的信息系统也可以发挥作用,但对于整个企业来说,信息安全管理的目标重心应该从简单的架设防御型产品,延伸到以信息安全总控管理和以企业用户为核心的访问控制管理。内蒙古电力通过信息网络用户安全管理体系的建设,实现了安全认证的整合、安全信息的整合、安全策略的整合,为业务系统的稳定运行奠定了坚实的基础。     

基于PKI/PMI的变电站自动化系统访问安全管理

随着信息技术的发展,电力工业的信息安全已成为影响电力系统稳定运行的重要问题。IEC 61850标准的推出对变电站通信系统与网络提出了新的要求,其中有关智能电子设备(IED)的访问 安全管理是确保操作主体身份与授权合法的关键问题。IEC 61850要求使用虚拟访问视图实现 IED的访问安全,而公钥基础设施／权限管理基础设施(PKI／PMI)体制正在电力系统企业中广泛 推行,通过设计专用的认证访问处理模块实现二者的有机结合,采用基于角色的访问控制(RBAC) 模型设计了满足多用户、多角色需求的访问控制方法。通过对执行过程的实时性分析,证明该系统 能够满足IED的实时控制要求。系统设计紧扣IED虚拟访问视图设计标准和多类电力自动化应 用系统统一管理的实际需要,相关的密码算法遵循国家密码管理局的商用密码管理条例,设计内容 既符合国际标准的发展方向,为电力系统通信安全标准的制定提供了参考,又能满足国家对信息安 全方面的特殊要求。     

风电场SCADA系统安全接口单元设计

随着信息技术在风力发电中的应用,风电场SCADA系统的安全稳定运行已变得越来越重要。文章结合风电场SCADA系统的安全需求,提出在SCADA Server中设计一个SIU以实现网络环境下对该系统的安全访问。SIU采用证书方式实现身份认证,通过验证MAC保证数据的完整性,并通过IEC 61850的虚拟访问视图执行访问控制策略。文章还给出了SIU的实现与应用实例。     

双因素身份认证在网络信息安全管理中的应用

为了提高公司网络设备安全管理水平,预防及控制网络安全风险,通过RSA动态令牌认证系统,结合标准Radius网络协议,部署双因素身份认证解决方案来确保网络资源访问的合法性,从而达到在日常网络设备运行维护中,网络技术人员可利用令牌动态口令登录设备,避免了定期更新口令的繁琐性,并可以通过查看认证服务器日志记录,及时发现登录信息、审计相关登录失败、拒绝信息等,消除安全隐患,预防及控制网络安全风险.     

县级供电企业网络准入控制方案的设计与实现

探讨县级供电企业网络准入控制的实现方法。通过分析桂林网区县级供电企业网络的实际情况,对网关认证方式和802.1x接入认证方式从网络环境、部署形式、实施周期、维护成本等方面进行对比,提出部署接入网关与虚拟隔离接入控制系统结合的网络准入控制方案。该方案可实现终端准入网络控制、终端安全性检查和对内网用户私自接入外部网络的行为进行严格控制,并对不安全的PC终端以及没有经过注册验证的移动介质进行隔离,对计算机终端进行统一管理。网络准入控制方案的实现,从根本上减轻了终端维护工作量,提高了信息网络的安全性。     

基于IEC 61850的风电场SCADA系统安全访问控制模型设计

随着信息技术在风力发电中的应用,风电场SCADA系统的安全访问控制变得越来越重要。文章基于IEC 61850标准,结合实际应用需求,提出了网络环境下风电场SCADA系统的安全访问控制模型,并设计了一个安全接口单元。采用基于安全远程口令的安全口令认证实现用户访问时的身份认证,通过验证报文鉴别码保证了数据的完整性,并通过IEC 61850标准的虚拟访问视图执行访问控制策略。对该模型应用实例的具体分析表明,该方案能满足风电场的安全访问控制需求。     

一种基于键盘使用特征及神经网络技术的身份识别方法

随着电力信息化发展,特别是电力信息管理系统和电力自动化两部分之间的信息融合,电力企业的信息安全和网络安全越来越重要。为了弥补基于口令技术的身份认证的不足,完善网络安全系统之间的联动,提出利用键盘使用特征结合神经网络技术实现身份认证的新方法。该方法通过提取与用户有关的20个特征,再用反向传播(BP)神经网络建立分类器,实现用户辨别。实验结果表明,该方法具有较高的用户辨别能力,并具有隐秘性强、成本低廉的特点。