電力系統信息通信網絡安全防護措施探討

朱鑫泉，張 藝，張澤宇

（1國網電科院檢測認證技術有限公司 江蘇 南京 211106）

（2網絡安全與通信紫金山實驗室 江蘇 南京 211106）

（3安徽農業大學 安徽 合肥 230031）

0 引言

跟隨時代發展節奏，電網建設蔓延至我國各地區，隨著服務面積的擴大，電力系統網絡通信的作用及重要性愈發凸顯，特別是在信息時代背景中，數據安全受到的關注持續增加。信息化網絡技術的應用，使電力系統信息通信更加便利與高效，全面提升了電力系統的運行水平及對客戶的服務能力，但信息通信面對著諸多風險，為避免電力企業遭受損失，應當積極落實網絡安全防護措施。

1 電力系統信息通信網絡安全防護的意義

電力信息系統運行中會涉及許多數據鏈接，若遭受外部網絡攻擊或病毒入侵，將會導致信息傳輸異常，影響到電力系統的正常運行，并造成大量的關鍵數據丟失、被竊取，使電力企業遭受經濟損失外，在市場上的口碑也大幅降低。特別是在社會經濟高速發展，電力系統大面積覆蓋的背景下，電力信息通信網絡安全防護愈發重要[1]。

2 電力系統信息通信網絡的特點與風險

在當前社會背景下，電能覆蓋全國各地區，智能電網隨此趨勢迅速擴大，電力系統的維護與日常運行向著信息化靠攏，對通信網絡的依賴性越來越大。因此，加強通信網絡的安全防護顯得十分必要。

2.1 專業性特點

電力系統的信息通信網絡需要具備相關專業知識的人才可以承擔起應有的責任，非專業人員處于其中只會覺得毫無頭緒。電力系統信息網絡技術涵蓋領域較廣，包括計算機、自動化、電力技術等，對通信系統工作人員提出了較高要求[2]。

2.2 通信網絡內容多且有地域性特點

電力系統通信網絡中包含配電、用電等內容，這些內容之間有著緊密的關聯性。此外，眾所周知我國各地區發展程度相差較大，電力系統在各地區所面對的問題和需求也不盡相同，這也造成各地區通信網絡建設水平不一[3]。

2.3 信息通信網絡的風險

2.3.1 網絡病毒

指有高危害性、高傳播性的程序，這種程序在傳播進入計算機后，便會按照程序設定對計算機造成不同程度破壞，一般會導致數據丟失、系統損壞等。若是電力系統通信網絡遭遇網絡病毒的侵害，造成的損失不可估算，在造成經濟損失外，還會引起大面積停電，這對電力企業口碑造成重創（表1為當前常見的病毒類型）。

表1 常見的病毒

2.3.2 網絡攻擊

網絡攻擊與網絡病毒的不同之處在于，網絡攻擊由人實時控制，而網絡病毒則是設計好的一種“機械”程序。進行網絡攻擊的人被稱為黑客，他們使用的手段包括但不限于網絡病毒，往往有針對性地竊取某部分重要數據信息，同時對通信網絡造成破壞，產生的損失非網絡病毒所能并論。

3 電力系統信息通信網絡安全防護具體措施

根據我國當前電力領域網絡通信系統狀態，借鑒國外先進的安全管理模式與管理理念，結合我國電力系統的基本情況，從這幾方面提出防護措施。

3.1 設置有效的防火墻

增加通信建設的資金投入，引進國外先進技術，優化更新通信網絡安全機制，提高信息通信的安全性。其次，設置訪問權限及配置防火墻，防火墻是每臺計算機中都會附帶的一種網絡安全防護程序，它可以有效地對用戶信息進行保護（其結構原理如下圖1） 。計算機防火墻的運行機制有多種形式，以代理防火墻和過濾防護這兩種應用較為普遍運行機制為例，代理防火墻是通過對計算機系統進行“體檢”，尋找其中可能存在問題，在發現問題的第一時間關停該軟件的運行，并對相關數據進行記錄，以便之后的病毒庫更新。過濾防護技術是防火墻運行的主要工作原理，它可以及時地察覺到計算機中存在的安全問題，并進行隔離，需要注意的是，這無法有效地屏蔽病毒或者來自漏洞的影響[5]。

圖1 防火墻結構原理圖

3.2 提高數據保密等級

采用保密技術為系統通信再加防護層，并定期更換訪問密碼，確保電力信息的安全性。電力系統通信網絡中數據傳遞時極易被攔截，為避免這類情況，便需要建立信息傳遞線路的保護機制，以信息加密形式對數據施加保護層，防止不法分子的惡意網絡攻擊，持續提高數據保密等級，可以使信息通信愈加安全?，F階段，在我國內電力系統的通信網絡采取的分布式模式，網絡中存儲有大量數據信息，且數據類型繁雜，這也間接提升了信息數據的處理難度、安全管理難度。為保護通信網絡中的數據，可選擇現階段十分流行的公開密鑰技術加密信息，通過實際應用效果來看，較為理想。比如，信用卡資金的交易使用都是被嚴格機密的，銀行在設計信用卡時便采用了加密算數，加密算數使卡中數據結構更加多樣性、復雜性，有效達到了對資金數據的保護，規避了信用卡數據被惡意竊取的風險[6]。

3.3 建設網絡管理系統

網絡管理系統分為四層，分別為：網元層、網絡層、服務層、業務層。網元層：著重管理單個網元組件，并為上層網絡提供相應的支持，以通信系統為基礎標準，對各方面進行監管、維護。網絡層：此層次主要通過達成對于網絡管理系統的構建、調整以及終結等功效，來實現構建其網絡管理層，進而提高其安全性，在對網元組件進行調整時，可以充分地對其網絡所具有的功效以及運用率等方面實施全面深入剖析，以此作為調整的參考數據。服務層：主要為通信網絡的服務對象與維護者，這兩者間，通過為服務者供應接口以及組織通道等，實現接口性能數據及其他數據的收集、存儲，以及服務費用信息的收集、整理等。業務層，此層面主要在于通過聯合電力通信來對相應的管理人員實施調度，從而對電力系統其通信網絡的判定方向來實施管理[7]。通過這四個管理層構建而成的管理體系，不僅可對各類數據進行充分監督、控制，還可及時發現通信網絡中存在的問題，精確定位、捕捉問題數據，并采取針對性措施處理。此外，這一管理體系，在實現各項數據的自用收集與整理傳輸外，還可對部分風險進行預測，在某種程度上可以做到防患于未然。因此，這一管理系統建立，對電力系統的發展有著深遠的意義，就現狀而言對電力系統整體安全性的提升也有較大幫助[8]。

3.4 關注物理層防護

物理層防護可從兩個方向入手：（1）避免雷電自然因素對電力系統產生影響，造成巨額損失。若是雷電預防措施的建設不符合實際需求或實際條件，那么將會使系統的各設備、線路受到安全威脅。為避免相關安全風險，電力系統相關人員需要定期檢查系統的各項防護設置，若是發現異常應當立即上報，并采取修正措施處理問題，防止雷電災害對電力信息通信網絡系統產生影響，促使電力系統的正常運行。（2）維護通信設備機房環境，確保機房整潔、通風效果良好，這可很大程度上規避電磁干擾風險、電磁輻射風險。同時，加裝濾波器，進一步管控電磁干擾，將其產生影響縮小至最低范圍。此外，對部分特殊設備來講，電力企業需要對設備操作權限人進行嚴格篩選，并實施身份驗證機制，避免由人為問題導致出現安全事故。（3）為了保證設備安全，要結合信息通信網絡設備的特點制定安全管理制度和規范，對設備防盜防毀、電源保護等建立維護檢查制度，定期檢查相關設備，并針對不同設備合理采取防護手段，如設備防盜可以設置移動報警器、部件上鎖等手段；對電源保護可以采用連續性保護、穩定性保護等手段；對設備防毀可以設置防砸外殼，達到防護效果。

3.5 身份認證

在信息通信網絡中，終端服務器識別訪問計算機的身份，可有效規避違法分子獲取高權限數據而使企業遭受經濟損失，這可在一定程度上確保通信網絡的安全。CA身份認證是當前廣泛應用的一種，CA為認證證書，每個計算機網絡證書都由CA簽字并授權，證書中置有公開密匙，CA不僅授權計算機網絡證書，同時也可管理每臺計算機的網絡證書，CA身份認證技術為信息通信網絡提供了極高的安全性。

3.6 數據庫備份技術

為避免數據丟失對企業造成經濟損失，在信息通信網絡中可以采用數據庫備份技術，通過云技術將通信數據備份至云端，讓虛擬云和主服務器間保持數據同步，在電力系統信息網絡遭遇數據丟失事故時，就可以將云端數據重新下載至服務器，使系統恢復正常運行，最大程度挽回損失，其簡易結構圖如圖2。

圖2 云備份技術簡易結構圖

在數據庫備份技術的使用中，可以采用完整數據庫備份、差異備份、事務日志備份等方式，其中完整數據庫備份主要是對數據庫內所有數據進行重建，后結合所定義的時間定期對數據庫內的數據進行備份；差異備份主要是只對上一次的完整備份后所變化的數據備份，上次完整的備份后一些數據發生多次變化后，此差異備份僅僅對更改的最新數據存儲，數據錯誤或者發生風險后，只需要還原上一次的差異備份數據即可；事務日志備份能夠對從上次事務日志的備份后所發生的全部事務進行記錄和存儲，借助此備份技術，當信息通信網絡的數據發生變化或者錯誤后，數據庫能夠恢復至變化前的最后事務狀態，實現對電力信息數據的有效防護。

3.7 應用網絡防護專業技術

3.7.1冗余技術

冗余技術是指根據系統正常運行所需的資源數據再增加一部分，比如軟硬件、運行時間等，為系統運行提供容錯。冗余是容錯技術的基礎，冗余技術的應用，大幅提升了系統運行的穩定性。冗余技術有結構、時間、信息冗余三種（見表2）。冗余技術在計算機領域中極為常見，大多計算機活動中都可見冗余技術的影子，這是提高系統穩定性的最佳技術。在電力系統通信網絡中，電路組件的每組結構都有著獨立性，每組兩個不同操作系統形成一個冗余系統。一般而言，其中某個系統占據主導位置，在系統受到外部創傷或者內部產生問題時，主控便會發出指令，之后冗余系統發揮作用，利用動態冗余精確定位故障位置，之后檢測故障、修復故障，大幅提高了系統容錯率。

表2 結構、信息、時間冗余技術

3.7.2 物理隔離

顧名思義，物理隔離就是從物理層面實現通信網絡的內網、外網隔離，避免通信系統受到外界黑客的遠程攻擊、病毒植入。通過物理隔離把網絡通信內網規劃為多個區域，每個區域界限明顯，可以大幅度提高電力信息系統的安全性、可操作性，再借助監控系統及安全管理措施，能夠使管理人員快速定位出現問題區域，并采取相應的措施進行處理。物理隔離主要包含兩部分內容：（1）時間分隔，通過一系列的設置轉換，為內外網創造了交流平臺。（2）在計算機上設置安全分離卡，這一操作的目的是在計算機中開辟虛擬系統，使計算機具備兩種模式——公用狀態與安全狀態。在此模式下，可使一臺計算機同時連接內外網，實現雙端信息交互[9]。

4 總結

綜上所述，在電力系統運行中，若遭受外部網絡攻擊或病毒入侵，將會導致信息傳輸異常，影響到電力系統的正常運行。為避免這類問題發生，電力企業需要認識到信息通信網絡安全防護的意義，結合電力系統信息通信網絡的特點與風險，積極探索和合理采用電力系統信息通信網絡安全防護措施，從而有效確保電力系統通信網絡具有良好安全性。