基于電力系統網絡安全風險控制措施

劉立兵/國網寧夏電力公司中衛供電公司

基于電力系統網絡安全風險控制措施

劉立兵/國網寧夏電力公司中衛供電公司

網絡安全是電力系統安全的重要方面，網絡攻擊對電力信息基礎設施和電力基礎設施都可能造成不同程度的破壞，網絡安全對電力系統造成的影響有其自身特點。本文結合我國電力系統網絡發展現狀，分析了現階段電力系統網絡所面臨的各種安全風險，提出了相應的安全風險控制措施。

電力系統；網絡安全；現狀；風險控制措施

隨著各種信息化技術的發展以及社會要求的提高，電力系統的網絡結構正在由相對封閉性向開放性轉變。近年來，電力系統在開放性和企業化建設逐步深入的同時，與外界交叉互聯也越來越頻繁，例如與合作單位中間業務的連接、三網融合、網上電力服務數據集中應用、內部各系統間的相互聯通等，使得來自外界的安全隱患激增，網絡和信息安全面臨著巨大的威脅，這已成為電力系統不可忽視的問題。建立電力信息網的安全體系結構框架，提高網絡監管者的安全意識，制定統一的安全規范是保證電力系統網絡安全、可靠、穩定運行的必要前提。

一、電力系統網絡安全現狀

當前，我國的電力系統網絡化程度已較高，節點分布也相當廣泛，覆蓋程度已經在地市級以下。電力系統的網絡化實現了企業間的互聯互通，提高了電力系統的工作能力，擴大了管理范圍，增強了工作人員的辦事效率。然而，如何保障網絡系統和信息的安全是當前亟待解決的關鍵問題。為了防止非授權操作、病毒、惡意代碼等攻擊行為對系統的破壞，控制電力網絡中的安全風險，保護數據存儲和數據傳輸的安全，我國的電力專家根據我國電力體制特色，制定了一系列防護方案，例如電力二次系統安全分區防護方案，加強電力網絡身份認證，完善防止網絡攻擊的軟硬件設備。

另外，到目前為止我國的電力系統網絡安全基礎設施的建設工作都很難啟動，主要原因是我國現階段在電力系統網絡安全管理方面缺乏統一的標準和規劃，以及切實有效地監督檢查機制。而且在各級電力系統網絡內部，普遍存在著訪問控制不嚴格、網絡狀態異常發現不及時、缺少預警手段、對安全風險缺乏宏觀檢測與控制手段等問題。

二、網絡安全對電力系統影響分析

隨著電力系統自動化水平的提高以及各種電力智能終端的接入，電力系統在信息采集環節、傳輸監控環節等均存在不同程度的安全隱患。電力系統信息設施作為一個復雜網絡，其單個元器件的脆弱性可能導致整個信息系統的安全性受到極大影響，進而引發信息系統級聯失效問題。電力基礎設施和信息設施之間的依存關系。分析網絡攻擊對于電力基礎設施的影響首先需要找到網絡安全可以通過信息域邊界影響電力物理設施的途徑，確定兩者之間的契合點。網絡攻擊利用的電力系統漏洞不同，對于電力信息系統的影響程度不同，進而對電力基礎設施的影響不同，網絡攻擊后果難以量化，網絡攻擊對電力系統的影響需要通過建模來深入分析。網絡安全對電力系統影響的分析可以概括為三分階段：（1）網絡安全事故作用于電力信息系統個別元件，引發了信息系統其他元件失效。（2）信息系統內部故障引發了與信息系統直接相連的電力基礎設施元件失效。（3）網絡安全事故電力基礎設施元件失效引起電力系統內部故障。針對第一階段和第二階段網絡事故影響，可以通過信息系統級聯失效模型進行分析，從信息系統可能遭受的網絡安全攻擊入手，結合信息設施工作原理，利用概率論研究是已失效對象引起其他元件失效的過程，通過分析電力基礎設施對信息設施的依賴程度，確定已失效元件作用于電力系統基礎設施的概率。第三階段網絡事故引起電力一次系統元件失效后，可能造成電力系統線路斷開、電力廠站負荷篡改等后果，必然引起電網潮流重分配，這種情況下分析網絡安全事故的影響需要引入合適的電力系統連鎖故障仿真模型。復雜網絡OPA模型是綜合考慮連鎖故障和電力系統演化而提出的一種簡化的連鎖故障和大面積停電模擬模型，該模型通過研究電力負荷變化模擬事故對電力系統連鎖故障、電力發電能力、電力傳輸等影響。

三、電力系統中的網絡安全隱患問題

1.電力系統信息設施存在系統漏洞。系統漏洞是指計算機系統在硬件、軟件、協議設計與實現過程中，或系統安全策略上存在的缺陷與不足。非法用戶可利用系統漏洞獲得未授權的資源訪問或者資源篡改。電力系統中的各類電力監控系統、SCADA系統中的工作站及服務站、智能電子設備等采用計算機系統或者嵌入式系統，所以針對常規計算機的病毒及木馬對于同樣可以感染電力通信系統。其次，傳統意義上的網絡安全防護技術在電力通信系統中未必能起到很好作用，因為電力PLC和SCADA系統在設計之時并未考慮安全因素，大多是PLC設備不具有密碼加解密功能模塊，限制安全機制作用的發揮，并且智能電網的逐步發展給電力系統網絡安全工作帶來新的挑戰，智能電網要求智能電表與電力系統之間進行通信，而如果智能電表被攻擊，則很有可能通過多種攻擊方式攻陷電力信息系統。

2.電力系統基礎設施與信息設施之間的依賴性。電力基礎設施也稱為電力一次系統，由發電、輸電、變電等設備組成，信息基礎設施又成為電力二次系統，主要包括電力通信數據系統及電力監控系統，信息基礎設施是為了提高電力系統運行的安全可靠而進行建設和發展的。電力網絡安全問題對電力基礎設施的影響程度取決于電力基礎設施對信息設施的依賴程度，信息設施存在于發電監控系統、變電自動化系統、電力數據采集與監控系統、能量管理系統中，如果電力信息設施出現了網絡安全問題，發生了電力數據的篡改或者破壞，則信息系統可能會對電力基礎設施的運行控制起到相反作用。電力信息設施服務于電力基礎設施，電力基礎設施也對電力信息設施具有較強依賴性，這種依賴性將信息安全問題對電力系統的影響放的更大。

3.電力系統網絡安全特點。如果電力系統發生網絡攻擊事故，該事故作用于信息基礎設施，其是否能影響到電力一次系統正常運行，能夠造成電力一次系統元器件故障，能夠造成多大范圍的元器件故障，網絡攻擊嚴重性較難判定，同時網絡攻擊具有隱蔽性強、攻擊代價小的特點。

四、電力系統網絡安全風險控制措施

1.建立電力系統網絡的安全體系結構框架。建立安全體系結構框架的首要任務是深入了解我國現階段電力系統網絡存在的種種弊端，并結合各企業自己的電力系統網絡發展現狀。其次，要及時跟蹤、分析國內外相關領域網絡信息安全技術的發展和應用情況，掌握國際網絡信息安全技術的發展動向。在將上述2個問題有機結合的基礎上設計并構建電力系統網絡安全的總體結構框架。技術體系是總體結構框架的支撐。電力系統網絡安全應用技術主要包括：信息加密技術、訪問控制技術、數字簽名和認證技術、VPN（虛擬專網）技術、IPSec安全服務技術、防病毒技術、檢查安全漏洞及攻擊監控技術、GA_P信息安全技術、數據備份與災難恢復技術、縱深防御及隱藏內部信息技術、網絡分段及VLAN技術以及建立安全監控中心等技術。

另外，提高企業人員的安全意識，建立完善規范的管理制度網絡系統安全運行的保障。加強信息系統日常運行的管理，制定詳細周密的計劃，定期進行數據備份、設備檢修，加強密鑰管理等，預防各種災難事件的發生。通過技術講座和培訓，使廣大電力職工進一步認識到信息安全如安全生產一樣重要。

2.建立多層次的安全防護系統。構建一個多層次的系統，在各個層次上都安放和布置相關的網絡安全產品，并且這些網絡安全產品之間相互聯通，互成犄角之勢，從而有效防止攻擊者入侵，達到安全防護的目標。多層安全防護系統中主要包括安全漏洞評估系統、防火墻、入侵檢測系統以及防病毒系統。在這個系統中，安全漏洞評估系統可以及時發現系統存在的漏洞并修復。一個完善的系統是保護網絡安全的關鍵，如果一個系統沒有安全漏洞，那么來自入侵者攻擊的成功概率將會大大降低。

3.VPN（虛擬專網）技術的應用。VPN是在Internet上建立的虛擬網絡，是一個臨時的、安全的連接，使用這條連接可以對數據進行加密從而達到保護網絡信息安全的目的。因此，VPN可以保障網絡數據信息的安全并且具有一定的訪問控制功能。另外，由于VPN是在2個或者多個企業之間架設的一條虛擬的通信專線，從而省去了租用專線的費用。因此，采用VPN的成本要遠低于傳統的專線接入的成本。目前企業的VPN大多是采用基于Layer3的IPsec解決方案。IPSec VPN是通過IPSec技術建立安全數據隧道的VPN解決模型，IPSc全稱為Intemet Protocol Secuity，是由IETF定義的安全標準框架。IPSc VPN通過端對端的安全性來提供主動地保護，防止公用網絡和專用網絡的攻擊。包括訪問控制、無連接的完整性、數據源認證、防重播、數據的機密性和限制的通訊流量機密性等安全服務。

4.采用物理隔離技術。我國《計算機信息系統國際互聯網管理規定》第六條明確說明涉及國家秘密的計算機系統不得直接或問接地與國際互聯網或者其他公共信息網絡相連接，必須實行物理隔離。所謂的物理隔離主要是在專用的數據信息網絡上建立電力系統專用的數據信息網絡，從而在數據信息傳輸和數據信息儲存上隔斷內部網絡與外部網絡。可以從根本上保護電力系統數據信息的安全和完整，并防止非法攻擊者的侵入。

五、結束語

電力系統網絡化在提高工作效率、方便企業管理的同時，也給電力系統數據信息的安全帶來了更大的風險。電力是國家的支柱產業，也是廣大人民賴以生存的基礎產業。電力系統網絡崩潰或者電力系統信息數據損壞、泄漏或丟失，將會對國家和人民產生不可估量的損失。因此，對電力系統網絡有很高的安全要求。為了維持電力系統穩定運行，數據信息得以安全傳輸和儲存，就必須要提出合理的安全風險控制措施，構建完善的網絡安全結構體系，從整體上提高電力系統網絡的安全性。

[1]肖紅亮.電力系統網絡安全及其對策淺析[J].科技信息，2010（3）

[2]丁道齊.電力系統和通信系統脆弱性及其戰略安全防御體系研究 [J].中國電力，2004，37（8）：1-6.

[3]梅生偉，薛安成，張雪敏.電力系統自組織臨界特性與大電網安全[M].北京：清華大學出版社，2009:114-143.