SQL注入攻击技术研究

随着Web应用技术发展,技术人员愿意使用其来开发应用程序。但Web应用的安全防护知识基本不被重视,最终出现SQL注入攻击[1]。OWASP发布的最新Web应用十大关键风险中,按漏洞风险排序,注入攻击排名第一位。正是由于SQL注入漏洞的广泛存在、危害多以及黑客的攻击手法的多样性。对SQL注入的攻击原理和SQL注入检测和防范方法的研究具有重要的现实意义。正是针对这些安全关注点对多种注入攻击技术的实验分析,并同时提出几种全新的注入技巧。内容包括攻击准备阶段的检测、扫描方式,攻击实施阶段的猜解、时间延迟函数、数据库表应用和后期处理阶段的网络后门等技术分析。     

电力信息系统Web应用程序攻击与安全防护

在电力信息系统中,Web应用广泛存在SQL注入．跨站脚本攻击、弱口令等安金隐患。主要分析SQL注入与跨站脚本攻击的原理,给出特殊字符串过滤与数据库加固的方法,保障电力信息系统Web应用的安全与稳定运行。     

电力信息网络系统漏洞扫描分析

针对电力信息网络系统存在的安全漏洞带来安全隐患的问题,进行了信息安全漏洞扫描工作的需求分析。对内蒙古电力(集团)有限责任公司电力信息网络系统的网站程序及承载应用系统的主机、中间件等系统软件进行了漏洞扫描,并对扫描结果进行统计分析,据此提出漏洞扫描工作的加固方案,以确保电力信息网络系统安全运行。     

电力监控系统安全漏洞管控策略优化方法

介绍了当前电力监控系统网络安全面临的严峻形势,针对电力监控系统安全漏洞管控工作存在的问题,提出从漏洞扫描、验证确认、安全评级、漏洞消缺、消缺复测、登记入库6个方面进行优化,并详细介绍了优化方法的具体做法。将该方法应用于某省电网公司电力监控系统安全漏洞管控工作,漏洞消缺速度得到大幅提升,漏洞修复率达到99.94%。结果显示该方法对缩短漏洞修复时间,降低安全漏洞被利用风险,提升电力监控系统安全防护整体水平具有重要作用。     

基于边缘计算的电表计量系统数据协同检测方案

虚假数据注入攻击以破坏电力数据采集与监控系统的数据完整性和可用性为目标,其检测方案对智能电网的安全与稳定运行具有重要意义。针对智能电网中庞大的数据带来的许多安全问题和漏洞,提出了基于边缘计算的一种虚假数据注入攻击协同检测模型,该模型基于边缘计算的框架,改进传统计量系统的网络结构,利用边缘服务器来提供全局的监控能力和虚假数据检测功能。该方案针对计量系统中的虚假数据注入问题不仅提出了检测规则,还对采集器进行了信誉评分。该方案在测试系统上进行了仿真实验,验证了该模型的有效性。     

电力生产控制区业务系统漏洞修补研究

电力生产控制区二次系统漏洞修补属于安全防护工作中必不可少的重要组成部分.文章重点研究了漏洞修补策略在电力行业的应用,为在漏洞半衰期内将高危漏洞修补,对电力生产控制区内部业务系统的系统漏洞提出了5条修补策略,并介绍了广西电网研究建立的基于漏洞资产管理、漏洞分析、漏洞修补和修补审计4个部份的全网漏洞管理流程和工作成果.     

智能电网背景下信息化应用于电力营销管理的有效策略

智能电网背景下,充分利用信息化技术建立电力营销信息化管理系统,能有效提高电力企业的工作管理效率,有利于电力企业实现高效的工作统筹和安排,是智能电网建设的重要内容。为此,对智能电网与电力营销信息化进行综合分析,总结智能化背景下在电力营销管理中应用信息化存在的问题,并提出相关的优化策略,以期为智能电网背景下信息化技术应用于电力营销管理的相关工作提供有效参考。     

通过建设企业信息集成平台实现信息资源整合的方法

阐述了北京电力试验研究院信息化的现状及其存在的问题,提出了基于Web服务的企业信息集成平台实现信息资源整合的方法。     

基于Web服务的电力信息化监管系统的构建

电力监管作为电力市场建设的重要组成部分,对电力市场的良性发展起着重要作用。文中针对南方电监局电力监管工作中信息采集管理存在严重制约的现状,提出了电力信息化监管系统的设计与实现方案,该系统以异构数据采集为着眼点,采用面向对象的Web Service技术对所监管信息系统中的异构数据进行集成,以XML作为统一的数据格式,构成数据综合管理平台,填补了电力监管工作中信息采集机制的空白,解决了南方电监局各所监管信息系统跨平台的难题。     

电力系统数据仓库Web服务的研究与设计

围绕电力系统数据仓库对外提供的Web服务,结合电力企业数据仓库系统进行了应用分析,总结出目前数据仓库系统需要向外界提供的服务,研究了电力数据仓库系统Web服务的实现技术,提出了基于SOA的数据仓库Web服务解决方案,为电力企业的信息化集成提供了便利。     

网络攻击影响电力基础设施的原因与实例分析

随着电力技术、信息技术和军事技术的发展,网络攻击对电力基础设施的影响逐渐成为国内外关注的热点问题。文章首先从3个方面分析了网络攻击对电力基础设施产生影响的主要原因:由于电力基础设施对信息基础设施的依存性,使得信息域的网络攻击问题有可能影响到电力域;对于潜在的威胁源,向电力基础设施发动网络攻击具有可观的效益;电力基础设施面对网络攻击存在脆弱性。在此基础上,对各种网络攻击方式的特点,及其发生在电力基础设施上的可能性进行了分类论述。最后,针对近年来公开报道的网络攻击实例,从威胁源、脆弱性和攻击方式等方面进行分析总结。     

A review of cyber security risks of power systems: from static to dynamic false data attacks

With the rapid development of the smart grid and increasingly integrated communication networks, power grids are facing serious cyber-security problems. This paper reviews existing studies on the impact of false data injection attacks on power systems from three aspects. First, false data injection can adversely affect economic dispatch by increasing the operational cost of the power system or causing sequential overloads and even outages. Second, attackers can inject false data to the power system state estimator, and this will prevent the operators from obtaining the true operating conditions of the system. Third, false data injection attacks can degrade the distributed control of distributed generators or microgrids inducing a power imbalance between supply and demand. This paper fully covers the potential vulnerabilities of power systems to cyber-attacks to help system operators understand the system vulnerability and take effective countermeasures.     

Real-time cyber physical system testbed for power system security and control

The existing electric power grid is upgraded into a smart grid through an intelligent communication infrastructures, layers of information, extensive computing and sensing technologies. These cyber and physical components of grid together constitute a complex cyber-physical system (CPS), and this integration increases the risk from cyber attacks and introduces new vulnerabilities to the power system. Researchers need a power system testbed which can provide a platform for realistic experiments. This paper presents the development of a real-time cyber-physical system testbed for cyber security and stability control. We use SEL 351S protection system with OPAL-RT including control functions and communications to build a cyber-physical environment. In this testbed, we conducted power grid security experiment by knocking down two transmission lines in a row and analyzed the impact of failures. Meanwhile, we provided two mitigation strategies for this failure using optimal power flow. In addition, we conducted load fluctuations for multimachine power system, and provide timely adaptive control strategies.     

基于ODBC技术的数据导换在异构电力信息系统中的应用

大多数电力信息系统会包含很多"自动化孤岛",而且多数电力信息系统软件的开发只是为了服务于某个部门,很少考虑到对系统整体的影响,这导致很多数据的重复录入以及资源的浪费.异构电力信息系统集成技术逐渐被电力信息领域所接受,但此项集成技术对软件硬件的要求极高,工作量也相当大.针对这一问题,作者提出了基于ODBC技术、利用Delphi的面向对象的数据库编程技术,以及并用Sybase数据库和MS SQL Server数据库,对不同系统的异构数据库进行数据导换,实现数据共享,提高集成系统的整体性能和实用性,为以后的系统集成打下了基础.该方法已在襄樊供电局电能量采集与分析系统及负荷控制系统中应用.     

电动汽车充电桩自动化渗透测试系统的研究和设计

信息物理系统（cyber physical systems，CPS）是集计算、通信与控制于一体的智能系统。电动汽车充电设施是一种典型的信息物理系统，但当前大量部署在现场的充电桩终端存在着用户入侵充电桩系统导致系统异常等安全隐患，亟须研究设计一套针对充电桩的自动化渗透测试系统。从指纹扫描、漏洞检测和漏洞挖掘3个方面对充电桩自动化渗透测试系统进行研究与设计，旨在检测已知漏洞和挖掘未知漏洞，有效地对电动汽车充电桩进行全方位的自动化安全检测，提高充电桩的安全防护等级，加强充电桩的安全防护能力，减少针对充电桩安全攻击所造成的信息泄露和经济损失。     

虚假数据注入攻击下的微电网分布式协同控制

交流微电网信息物理系统(CPS)是有源配电网的重要组成部分。由于信息技术和电力技术的深度融合,微电网CPS很容易受到虚假数据注入(FDI)攻击,导致控制目标无法实现,扰乱系统的正常运行。文中在分析了注入量为常值的FDI攻击对微电网分布式协同控制的不利影响的基础上,提出了一种抵御FDI攻击的微电网分布式协同控制算法。该算法能够在FDI攻击下恢复由下垂控制引起的频率偏差。最后,通过仿真实验证实了算法的有效性。     

一种基于脆弱性指标的电力系统动态安全评估模式

为了实现有效的电力系统动态安全评估目标,提出了一种基于脆弱性评估指标的电力系统动态安全评估模式。该评估模式基于系统非故障潮流状态运用三类脆弱性指标来评估电力系统的动态安全,即求取电力系统在非故障潮流变化过程中的脆弱支路集合;评价系统在任一潮流状态下经受故障冲击的脆弱程度指标;评价系统在当前潮流状态下发生连锁故障的可能路径集合及其发生概率。文章对此三类脆弱性指标的建立进行了初步探讨。在该评估模式中,系统当前的潮流状态通过广域测量得到,这可以充分发挥广域测量技术的特点,使得动态安全评估能够反映系统的实际场景,同时,本评估模式依据系统非故障潮流状态中评价系统在当前运行场景下的脆弱性,及早地发现电力系统存在的问题,可为运行人员提前消除危机提供分析依据,因而具有一定的应用前景。