打开文本图片集

摘要：本文旨在创立一个创新的、可编程的动态网络安全保障机制，以减少当前电网数据中心遭遇的安全威胁，同时也能够适应现代电网数据中心的虚拟化、便捷的迁移和多途径的转发需求。在当前电网数据中心的安全保障情况下，本论文给出了新的安全保障机制来解决安全难题的策略和手段，这不仅增强了传统的信息保障机制，也使国家电网公司的全业务统一数据中心得以全面建立。为优化其信息保密机制，给出参考和建议。

关键词：CP-ABE算法；电网变压器台帐；数据中心；安全防护架构

随着国家电网公司的全业务统一数据中心的完整实施，数据中心已经从传递信息的方式转型为以提供服务为主导的方式，展示了其动态性和复杂性。数据中心通过整合各种信息通信新技术应用的数据，使得物理网络实体能够集成众多的虚拟服务器和相关的虚拟网络以存储交互式电力大数据。这使得原本的物理网络实体的信息安全保护机制无法满足新兴信息技术快速进步的需求。这篇论文旨在探讨当前的电力系统数据库的保护情况，并建议采取CP-ABE算法的最新版电力系统变压器台账数据库的保护框架。通过运用先进的科学技术，我们可以智慧地理解并掌握信息和网络的安全趋势，并以积极、灵活的方式处理新兴的、复杂的危机以及不断变化的风险。

1电网数据中心安全防护现状

电力信息服务的关键在于电网数据中心，它是电力行业信息化的基础设施，具备信息的储存和处理功能。电力信息系统的运营能够确保其持续、稳定和安全地进行，这得益于电网数据中心提升了对基础数据的整合和共享能力[2]。

目前，电力网络的数据中心正在通过构建数据资源库以适应业务和数据的快速扩展。鉴于硬件资源的紧张，云计算虚拟机的使用减少了数据中心的开销。在保证现有基础设施的安全性的同时，我们也采取了增加安全保护元素或者将安全设备布置在虚拟机或者安全边缘等方式来提升云计算虚拟机的安全性。电力网络的数据中心的安全保护框架如图1所示。

由于当前的设备和安全特征库更新速度有限，这种安全保障方式不能有效抵御新兴的网络攻击和未来可能出现的威胁，从而给数据中心造成了安全问题和潜在危机。

2电网数据中心面临的安全风险

2.1内部交互共享的安全风险

在全面的业务数据管理、数据分享以及业务整合的推动下，数据资源池服务器和存储的数量大幅度提升。通过实施资源的虚拟池化和共享，我们能够减少硬件的配置和成本[3-4]，其中一个代价就是安全性的下降。伴随着数据中心内部的数据交换量以指数级别上升，为了确保业务的稳定性，其中一个成本就是减少了安全设施，这导致了巨大的信息安全威胁。

2.2遭受威胁和攻击的安全风险

云计算虚拟机的使用性受到了巨大的考验，而对于那些通过虚拟机资源实施的恶意网络攻击，如拒绝提供服务等，存在着巨大的潜力。随着新兴的如高级持久性威胁（APT）等威胁和攻击的频繁出现，传统的以缺陷为核心的安全监测手段已经难以满足需求。因此，我们必须在保护自身安全的前提下，结合外部防护措施和内部管理，才能有效地预防这些高级威胁和攻击。

2.3高度动态用户资源的安全风险

目前的实体安全设备无法为高度变化的用户资源提供保护。在数据中心的虚拟化环境下，需要将安全服务转变为资源，并以与计算、存储和网络资源一样的方式进行安全服务。如果安全服务未能达标，就会引发新的安全威胁。由于电力网络数据中心的这一创新形态，将现存的数据中心的信息保护机制大幅度滞后，对其自身的进步构成了巨大的威胁，从而对数据资产的安全性提出了极大的考验。所以，我们急需创建新型的数据中心安全保障系统。

3基于CP-ABE算法的电网变压器台帐数据中心安全防护架构

3.1 系统总体框架

（1）Fabric-CA证书发放机构的职责包括：颁发区块链网络用户的证书，以及吊销证书等。

（2） Fabric的主要功能包括：初始化系统数据、公开参数、生成主SK、增加分发机制、交易背书、交易排序、交易验证以及分布式存储等。

（3）客户端的职责包括：启动交易、获取用户认证、创建用户特性密码、进行数据保护等。

3.2 CP-ABE算法的特性解释和用户流程策略

只有当CP-ABE算法的策略属性得到满足时，才能对加密的文件或数据进行解密。在CP-ABE网络里，存在着Channel1、Channel2、Channel3等众多的路径，这些路径各自由许多个机构构成。这些机构的用户类型各异（例如User1、User2、User3等）并且数目众多。因此，利用CP-ABE算法构建的超级账本区块链系统，不只可以将最小的数据网络和用户信息进行划分，也可以对数据进行隔离防护，并提供最精确的集中性保护。

3.3 具体构建方案及实现

3.3.1 构建方案及流程

依托Fabric-CA的已有认证和Fabric的区块链网络，我们把Fabric-CA的网络体系和计算方式融合到CP-ABE里，从而创建了一个包含多个网络路径、各个网络阶段以及用户的CPABE区块定向控制系统。同时，我们根据Fabric的已有认证，开启了数字定向控制系统的初步设定，创建了用户的特征私钥，接着，我们在此基础之上添加了分发、网络互动以及访问管理等功能。

CP-ABE算法驱动的区块链位置控制系统的运行过程包括三个主要环节：生成SK、数据加密并上链以及进行访问控制，总计有六个主要环节，也就是Setup、KeyGen、Encrypt、 Update、Download以及Decrypt。这篇文章将以UserA与UserB的互动为研究对象，阐述这个系统的构建策略的执行步骤。在这个过程中，UserA需要使用CIientA来对隐私信息进行加密并连接到一起，而UserB则需要利用CIientB和Fabric网络来获取与密文相关的明文，从而达成交互。

3.3.2 方案实现

（1）创建密钥的步骤：也就是在用户和Fabric-CA进行交流的时候，接着是从用户核心产出全局参数、主要的密钥以及公开的参数，最终是通过对用户的身份进行验证来产出用户的证明和密文。

（2）数据加密上链阶段：在UserA和Fabric的网络连接过程中，我们必须为UserA所设置的数据实施加密并将其连接到一起。接着，创建明确的数据，并在此之上运用通信策略来保护秘密信息。终究启动交易，把交易资料以交易负荷的方式传输至区块链的网络体系，进一步达成对数据的访问管理。

（3）管理过程：也就是Fabric网络和UserB的相互作用过程。我们需要利用密文交易区块把同步通道的所有节点联系起来，并且根据客户端的请求，生成网络的密文信息和用户信息，进一步创建用户的属性SK。这样就能够解密密文，获取明文，从而达到数据访问的控制。

4安全性分析

4.1 用户属性私钥安全分发

这篇论文所建立的数据访问控制系统，是在已有的Fabric-CA网络的前提下，新添的密钥分配和用户认证管理系统，从而增强了用户特征和私钥的传递保护。CP-ABE算法构建的数据访问控制系统具备对各类加密文件和数据包进行处理的能力，并能够实现对通道策略的分布式管理。

4.2 数据隐私性保证

CP-ABE算法驱动的区块链访问管理系统可以执行对明文数据的保护和链接，并且具备创建、配置用户特征SK、变更SK以及特征核心SK的功能，进一步完善了各种网络路径和网络节点的数据信息的保护，以增强数据的保护效果。

5结束语

这篇文章根据当前的网络信息安全发展趋势和最新的研究成果，提出了一种新的电力网络数据中心的安全防护框架，它采用了全新的可编程的动态网络安全策略来取代传统的安全设备的安全策略，从而为数据中心提供了安全保障。这样做是为了满足现代数据中心对虚拟化、迁移和多路径数据传输的需求，并且能够为电力网络数据中心的信息安全防护体系的发展提供方向，这种方法具有很高的实施可能性。

参考文献

[1] 董理科，白鹭，武娜，等.基于知识图谱的电力变压器故障预测方法研究[J].高压电器， 2022.

[2] 郭小东，黄锦，肖锋.以变压器为例的电网主设备全生命周期成本分析方法研究[J].管理科学与工程， 2023， 12（4）：590-596.DOI：10.12677/MSE.2023.124071.

[3] 林永良，王超，张杰，等.自适应安全架构下的高校数据中心主机安全防护研究[J].网络安全技术与应用， 2022（7）：3.

[4] 王美丹，叶于林，魏富静.数据中心安全防护体系设计研究[J].网络安全技术与应用， 2023（2）：3.

[5] 宋东海，李忠鹏.云数据中心安全综合防护研究[J].信息系统工程， 2022（003）：000.