電力行業網絡安全現狀及解決方案探討

王云海

（云南電網公司臨滄供電局 云南 677000）

0 前言

電力行業是國民經濟發展的基礎產業，隨著電力行業的不斷發展，其關鍵業務不斷增加，因此各級供電企業紛紛建立信息系統和基于Internet的治理應用，其有利于加強信息反饋，提高電力行業的勞動生產率和綜合競爭力。但隨著計算機網絡應用的逐漸擴大，也導致諸多網絡安全隱患，因此電力信息網絡系統的網絡安全問題也成為我們必須重視的一個重要問題，必須從網絡、操作系統、應用程序和業務需求等各方面來保證系統的安全。加強對網絡安全問題的控制，應首先明確網絡安全存在的安全風險，并針對這些安全風險提出相應的解決方案，從而有效減少和避免其發生。

1 網絡安全現狀及安全風險分析

電力網絡系統中的安全防護應主要包括兩個方面的內容,即網絡系統中存儲、傳輸的信息數據和各類設備。當前電力行業計算機及信息網絡安全意識亟待提高，普遍缺乏統一的信息安全管理規范，亟需建立同電力行業特點相適應的網絡安全體系。具體而言，電力行業網絡安全風險主要包括以下幾個方面：

1.1 物理層安全風險

物理層安全是指各種服務器、路由器、交換機、工作站等硬件設備和通信鏈路的安全。網絡的物理層安全風險是指由于網絡周邊環境和物理特性引起的網絡設備和線路的不可用，而造成網絡系統的不可用。如設備自身的缺陷、電磁輻射、各種自然災害及人為的破壞和錯誤操作等。

1.2 網絡層安全風險

計算機網絡化使電力系統網絡由過去孤立的局域網轉化為廣域網，這種開放的網絡面臨巨大的外部安全攻擊，入侵者可以利用各種工具掃描其存在的安全漏洞，對其進行惡意攻擊，導致系統的拒絕服務、信息被竊取和篡改，甚至導致整個網絡的癱瘓。

1.3 系統安全風險

在電力系統的網絡中，包含的主要設備有各類服務器和路由器/交換機系統。這些系統都存在一定的安全漏洞，一旦被利用并攻擊，危害嚴重。如服務器配置錯誤、服務器軟件和操作系統的漏洞、網絡通訊的TCP/IP協議缺乏相應的安全機制等。另外電力行業應用系統基本上基于商業軟硬件系統設計和開發，其基本采用口令的鑒別模式進行用戶身份認證，其安全系數低，同時數據庫數據和文件的明文存儲，也容易導致信息的泄露。

1.4 網絡病毒的安全威脅

網絡病毒是指通過計算機網絡傳染網絡中的可執行文件，其具有極大的擴散能力，病毒會突破系統的訪問控制，易導致機器死機、信息泄漏、文件丟失、網絡癱瘓等問題。

2 電力行業網絡安全防護管理措施

安全管理是保證網絡安全的前提和基礎，因此電力企業應遵循分級保護、適度安全、管理與技術并重、全過程、動態調整的網絡安全防護原則，建立科學的安全管理框架，加強網絡安全的日常管理工作。在具體實施過程中，應注意:(1)要加強網絡管理人員的安全教育，提高其網絡安全意識，保持管理人員的穩定性，避免網絡機密泄露，做好計算機操作系統權限管理及密碼管理。(2)加強網絡安全技術管理，實施的網絡安全防護技術要切合電力行業的特點，并及時做好數據備份工作，建立集中和分散相結合的數據備份設施和策略。(3)加強網絡設備的物理安全管理，密切注意計算機、服務器、路由器、交換機、存儲介質等設備的防火、防盜、防水、防潮、防塵、防靜電等工作，有效防范物理層安全風險。(4)加強信息介質的安全管理，報廢介質應及時做好清除和銷毀工作，備份介質防止丟失和被盜用，對于需送出修理的設備應注意所存儲信息的安全問題。

3 網絡安全防護技術解決方案

3.1 網絡設施安全防護技術

合理配置電腦硬件、路由器等設備，有效避免對路由協議和遠程配置端口的攻擊。為確保網絡相關設備登陸的安全性，建議選用兩個特定的因素辨別，運用一次性的口令技術，并在登陸過程中，要求參與一些相關的認證硬件，以有效防止口令泄密。

3.2 防火墻

為保護電力系統內部網免遭外部攻擊，應分別在電力系統各級內部網與外部廣域網之間設置防火墻，將防火墻作為內外網之間的一道牢固的安全屏障，設置安全策略，有效控制電力系統內部網的訪問，建議可以配置基于狀態檢測、包過濾技術上的流過濾技術的防火墻--硬件防火墻系統，既防止內網資源被外部未授權用戶非法訪問和破壞，又防止內部用戶對外部不良資源的濫用。另外計算機管理人員應定期查看防火墻訪問日志，對網絡攻擊行為及不正常的網絡訪問日志信息，及時做出相應處理。

3.3 入侵監測系統

為防范來自電力系統內部網絡的攻擊，應在電力系統內部網各重要網段配備入侵檢測系統，對網絡行為進行全程監視，識別網絡入侵行為。入侵檢測系統可實時捕獲計算機網絡中的傳輸數據，通過其內置的攻擊特征庫，運用模式匹配和智能分析的方法，檢測入侵行為和異?，F象，并進行詳細記錄。另外入侵檢測系統能實現實時報警，以便管理人員及時發現問題并解決，有效減少和避免計算機網絡安全隱患的發生，更大限度的提高計算機的安全性能。

3.4 漏洞掃描系統

網絡安全漏洞掃描系統通過對系統安全的脆弱性進行檢測，可及時的發現計算機中可能存在的安全問題或漏洞。電力行業中網絡環境復雜，漏洞掃描技術的運用是網絡安全體系構建的重要組成部分，其掃描范圍涵蓋所有支持TCP／IP協議的設備，掃描可以針對網絡層、操作系統層、數據庫層、應用系統層等多個層面，其主要運用安全漏洞庫和各種模擬攻擊方式的原理查找漏洞。掃描結束后可生成詳細的安全評估報告，采用報表和圖形的形式對掃描結果進行全面分析。在運用過程中，應重點針對關鍵且易出現系統漏洞和配置漏洞的主機操作系統和數據庫進行掃描。

3.5 信息傳輸加密產品的配置

為提高數據信息從發起端到接收端傳輸過程的安全性，在每一級網絡配備的防火墻系統與邊界路由器之間配備網絡層加密機，利用加密技術及安全認證機制，認證通信雙方的身份，實現基于應用的訪問控制，并可提供穿越防火墻的VPN應用模式，運用直連的方式把通過認證的數據直接傳送到主機的應用程序。另外其可與第三方認證產品集成，實現更加嚴密的身份認證和訪問控制功能，從而保證數據庫數據的機密和完整性，并實現數據庫數據的訪問安全。

3.6 防病毒系統

為保護電力行業網絡系統受到病毒侵害，應構建從主機到服務器的完善的防病毒體系。根據不同的操作系統類型、數據庫平臺、應用軟件，配備相應的防病毒軟件。以服務器為網絡核心，及時更新病毒代碼庫，建立完善的防病毒系統，保證電力行業網絡系統的正常運行。

總之，電力行業網絡安全是一個系統的、全局的管理問題，是電力行業必須重視的重要工作內容，因此我們應提高網絡安全意識，遵循整體性、安全性的原則，提高計算機管理人員的素質和水平，定期對全網進行安全檢測,發現安全問題及時采取措施修補網絡安全漏洞，采取科學的網絡安全管理措施，建立完善的計算機網絡安全系統，以促進電力行業的可持續發展。

[1]周彬.探討計算機網絡存在的安全隱患及其維護措施[J].電腦知識與技術.2012年第9期

[2]王迎新,牛東曉.電力企業網絡信息安全管理研究[J].中國管理信息化(綜合版).2007年第3期