電力系統信息網絡安全防護及措施研究

◆張同偉 劉永琦

（云南電網有限責任公司迪慶供電局云南 6744400）

1 前言

現時期網絡環境日益復雜，電力系統信息網絡所面臨的不確定因素較多，具有較大的安全隱患。隨著電網規模日益擴大，在電力系統運營的過程中，對信息網絡依賴性逐漸提高。因此加強信息網絡的安全防護等級，避免發生較大的信息安全事故就成為目前網絡建設的重要任務。在電力系統信息網絡運營的過程中，主要存在以下幾種安全隱患：第一，網絡病毒的影響。網絡病毒是一種能夠傳播的惡意程序，具有傳播速度快，破壞力大的特性。如果入侵到電力企業的信息系統中，會導致機密數據的泄露以及流出，安全性受到極大的威脅，造成整個電網系統無法正常運營，帶來無法預計的損失；第二，部分別有目的的人員攻擊電網數據服務系統，以達到竊取資源的目的，對待這種攻擊防范措施不到位的話，可能會造成巨大的損失。電力系統機密文件或者是數據被黑客所盜取，會帶來嚴重的后果；第三，其他不可抗力的影響。電力系統信息網絡運營終端為計算機，計算機本身是弱電系統，在運營服務的過程中，可能會受到各種不可抗力的影響。比如說會遭遇雷電或者是地震洪水等不可抗力的自然災害，這些不可抗力對于信息網絡安全穩定性都會造成相應的威脅。因此為了有效保障電力系統信息網絡的安全性，需要建立健全網絡安全防護體系，提高安全防護的等級，維持電網系統運營的整體穩定性，是目前亟待解決的問題。

2 電力系統信息網絡安全防護的主要措施

2.1 網絡防火墻技術

在電力企業信息系統中增加網關的防火墻是非常常見的提升其安全防護等級的做法。它能夠有效減少網絡被非法入侵的概率。從防火墻的本質上來說，它是一種身份認證的訪問控制技術。通過在電力系統信息網絡與互聯網絡的邊界區域，搭建數據監控系統，有效實現電力系統內網與外網之間的物理隔離。網絡防火墻能夠有效減少外部數據的非法入侵。網絡防火墻主要有三部分組成，一部分是路由器，一部分是主機，另一部分是軟件系統。對于數據的過濾選擇時技術的核心，如果被檢測的數據與系統之前制定的安全訪問的規則相匹配，網絡防火墻就會允許這部分數據信息進入到系統中，如果被檢測的數據不符合相應的網絡安全的技術性規范標準，網絡防火墻會自動將其屏蔽，防止其進入電網信息網絡系統內部。除了使用包過濾技術之外，網絡防火墻技術還可以使用代理以及應用層技術。應用層的網關技術又被稱為代理防火墻技術，所使用的主機一般是雙重宿主主機，同時該主機也可是堡壘主機。代理防火墻技術所使用的服務器一般是內部用戶以及外部服務器之間，能夠有效提升網絡用戶的代理服務透明度。對于網絡服務器來說，并不與網絡用戶直接連接。代理型服務器在整個系統網絡中主要起到中間傳播的作用，對網絡用戶的訪問類型進行有效的控制。同時當互聯網向內部網絡申請網絡服務時，代理服務器也可以根據預先制定的安全訪問規則，決定是否接受外部網絡的服務申請?？梢詫⒎欠ㄈ肭殖绦蛞约安《咀韪粼谕饩W而無法進入內網，因此有效提升了電力系統信息網絡的安全防護性。

2.2 防病毒技術

網絡環境日益復雜，對電力系統信息網絡安全性造成威脅的病毒也變得日益高級和難以檢測，因此需要加強對病毒的防范。網絡病毒破壞性較強，一旦系統遭到病毒攻擊，可能會導致機密文件或者是數據泄露，甚至會導致電力系統信息網絡的癱瘓，使其無法正常運營。在目前較為常見的網絡安全病毒防范技術中，主要是基于服務器的病毒防范技術，基于工作站的病毒防范芯片以及其他反病毒的技術措施等等。在以上基礎措施中，服務器病毒防范技術是使用最為廣泛，并且比較適宜電力系統信息網絡安全的防護。在整個電力系統信息網絡中，核心的處理設備是服務器，如果服務器被網絡病毒所感染，將無法啟動正常程序，嚴重會導致整個系統的癱瘓?？梢酝ㄟ^NLM技術，對電網企業信息系統進行模塊化程序設計，將服務器作為整個系統構造的基礎，可以對入侵的網絡病毒進行實時的掃描，以降低被病毒感染的可能性，切斷病毒傳播的途徑，阻止其在電力系統信息網絡中蔓延。同時電力系統信息網絡安全維護管理人員需要安裝功能齊全的正版殺毒產品，可以對一些較為頑固的病毒，比如說木馬病毒或者是蠕蟲病毒進行查殺以及防范。殺毒產品并不能清掃所有的病毒，需要將病毒查殺軟件與基于服務器的病毒防范技術相互聯合使用，能夠取長補短，將兩者的優勢融合，對整個電力系統的網絡安全也起到重要的保護性作用。

2.3 身份認證技術

電力系統信息網絡由于自身規模比較大，應用人群比較多，因此每天都要面對海量的用戶訪問，這就帶來一定的安全性威脅。在電力系統網絡安全中，對于訪問用戶實行身份認證制度，能夠有效避免非法用戶對電力系統內部信息資源的非法訪問，以減少出現信息數據泄露或者是網絡中病毒的可能性，有效確保內部數據信息的安全。一般在實際中采用基于CA的身份認證制度，這種制度主要是將證書授權給使用者。每一個網絡證書都是由 CA中心進行簽發并且確認，在CA證書中一般有公開的密鑰。除了對證書進行簽發之外，還需要對密鑰進行管理。比如說，如果電力系統信息網絡內部a用戶向b用戶進行信息傳輸時，信息會被Hash函數轉變為相應的特征值，利用網絡用戶內部的密鑰可以將其加密，進行數字化的簽名。數字化簽名一般被放在信息文件的后部。b用戶可以借助于CA中心提供的a用戶密鑰對于密碼進行破解，然后再生成相應的特征數值。如果特征是如具有一致性，說明信息是由用戶所發出，因此可以予以接收，降低了網絡信息傳播的安全隱患。在網絡授權以及身份認證制度中引入CA證書，能夠有效提高網絡信息數據的安全性。

2.4 病毒防范措施

電力企業應該集中設置病毒防范管理系統，電力系統信息網絡安全網絡中，防范病毒的服務器不能同時管理電力系統的1區和2區；在電力系統中，全部服務器以及工作站都應該設置相應的防病毒產品，增加防病毒客戶端的安裝；電力系統的計算機網絡應該以電子郵件網絡獨立布置，在電子郵件網絡服務器前端設置相應的殺毒軟件，安裝完善的病毒網，這種做法能夠有效抑制病毒通過電子郵件的方式在電力系統信息網絡中的傳播；在電力信息系統以及互聯網端的接口處，需要設置病毒網關，這種網關能夠有效阻止蠕蟲或者是木馬病毒在電力系統信息網絡中的蔓延；需要不斷加強電力系統，信息管理的安全性，加強對于病毒的防范管理技術，及時更新庫內的病毒特征碼；對于防火墻以及網關所查到的病毒特征以及類型，需要重點分析給電力系統所帶來的威脅，從而能夠正確維護電力系統信息安全的穩定性和安全性。

2.5 采用物理隔離的措施

在電力系統信息網絡中，為了確保網絡具有較為安全的單向傳輸的性能，可以采用專用物理隔離措施，借助于物理隔離島以及雙處理器技術，外加電力系統信息網絡的單向傳輸控制技術，能夠有效實現電力系統信息網絡的安全防護。在這專用的隔離裝置可以設置在電力企業的DCS系統中，主要目的是實現兩者的相互隔離，達到物理區分的目的，有效實現整體的穩定性。對于非控制的生產區域和管理系統之間能夠實現網絡隔離，也可以將安全區域3和4之間進行物理隔離。有效確保電力系統不同的安全區域能夠實現及時有效的數據傳輸，確保物理隔離的實現。通過專有的電力系統信息網絡隔離措施，能夠有效防止黑客以及病毒對于系統所造成的危害，從而最大可能提升計算機信息網絡的安全性以及穩定性。

在電力系統中進行手機防護，能夠有效防止計算機病毒或者是其他惡意的軟件，減少病毒的預期。在進行互聯網進行連接時，減少病毒系統癱瘓的概率，不需要對系統進行重新啟動，只需要按鈕點擊就可以恢復到正常的狀態。加強主機的防護，對于維護服務器系統安全就有十分重要的作用。

2.6 其他信息安全技術

主動防御系統：主動防御技術主要從提升信息系統的安全性出發，以技術性手段作為主要的切入點，可以采用分區域進行安全記錄，動態進行系統感知，全面進行系統防護的原則，將原有的被動性防御轉變為主動性防御。

持續性的技術工作：安全運營維護人員需要對于國際信息安全發展趨勢以及行為進行持續性的追蹤，并且及時應用相關的先進技術。

超前的部署：在電力系統信息網絡安全防護中，需要立足于現實條件，從大局出發，也考慮到信息技術的超前性，可以使用云計算以及大數據和虛擬應用技術等實際成果，以提升電力系統網絡安全防護的等級。

及時更新計算機的設備：在電力系統安全預防中要加強計算機設備的更新，盡量使用相同的計算機設備，減少因為設備的兼容問題而產生的傳輸性障礙。

3 結束語

隨著信息技術的發展，電力系統信息網絡安全防護技術得到了飛速的發展，需要加強電力系統信息網絡安全的重視程度，增強網絡防火墻的攔截能力，增強病毒的防范措施，加強物理隔離措施，增強主動檢測的強度，加強組織的防護，確保整個電力系統安全防護等級。