電網(wǎng)企業(yè)信息安全技術(shù)應(yīng)用探討

夏先鋒　黃方

【摘??要】近年來，隨著科學(xué)信息技術(shù)快速發(fā)展，電網(wǎng)企業(yè)在運(yùn)行過程中，要針對(duì)網(wǎng)絡(luò)信息安全存在的威脅，提出有效的攻防新技術(shù)，才能解除面臨的危險(xiǎn)，確保電網(wǎng)行業(yè)快速發(fā)展。文章針對(duì)目前電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全防護(hù)新技術(shù)的具體應(yīng)用進(jìn)行全面推進(jìn)探究，給相關(guān)工作人員提供一定的參考。

【關(guān)鍵詞】電網(wǎng)企業(yè);信息安全;技術(shù)應(yīng)用

1存在的問題

當(dāng)今，在泛在電力物聯(lián)網(wǎng)建設(shè)不斷推進(jìn)的情況下，電力行業(yè)也開始從傳統(tǒng)電力相關(guān)業(yè)務(wù)向新興業(yè)務(wù)拓展，大量外部信息的匯入和內(nèi)外部數(shù)據(jù)的交換導(dǎo)致電力信息系統(tǒng)更加復(fù)雜，相應(yīng)的信息安全防護(hù)也出現(xiàn)了新的問題。（1）信息系統(tǒng)組成復(fù)雜化，由原本營銷、運(yùn)檢、調(diào)度等電力相關(guān)業(yè)務(wù)信息系統(tǒng)向聯(lián)合外部新能源、電商、金融等綜合信息系統(tǒng)轉(zhuǎn)變，信息種類、數(shù)量以及相應(yīng)的傳輸方式和處理方式的增加，加大了信息存儲(chǔ)、傳輸過程中的安全隱患，需要采用更先進(jìn)的技術(shù)提高安全管理的效率和可靠性。（2）信息安全管理待規(guī)范，泛在電力物聯(lián)網(wǎng)處于建設(shè)階段，信息的多樣性、復(fù)雜性導(dǎo)致還沒有總結(jié)出一套高效可行的信息安全管理規(guī)范，故在實(shí)際操作過程中，存在各單位規(guī)范不一致、標(biāo)準(zhǔn)不統(tǒng)一的情況，導(dǎo)致效果不盡如人意。（3）信息專業(yè)跨度大，當(dāng)今信息多樣性強(qiáng)，涉及電力、熱動(dòng)、通信、網(wǎng)絡(luò)、計(jì)算機(jī)等多種專業(yè)，對(duì)于操作人員專業(yè)素養(yǎng)要求較高，非專業(yè)操作人員可能由于專業(yè)知識(shí)不足出現(xiàn)信息的錯(cuò)誤錄入等問題，極大地影響了信息安全的防護(hù)。

2電網(wǎng)企業(yè)信息安全技術(shù)應(yīng)用

2.1科學(xué)構(gòu)建系統(tǒng)的總體框架

在對(duì)網(wǎng)絡(luò)進(jìn)行系統(tǒng)總體架構(gòu)建設(shè)過程中，電網(wǎng)企業(yè)可以使用新型的大數(shù)據(jù)技術(shù)，提高數(shù)據(jù)分析處理能力，充分挖掘數(shù)據(jù)信息涵蓋的深層次業(yè)務(wù)，全面提高風(fēng)險(xiǎn)預(yù)警和網(wǎng)絡(luò)安全水平?？傮w架構(gòu)主要包括數(shù)據(jù)采集平臺(tái)層、管理層。在系統(tǒng)進(jìn)行數(shù)據(jù)采集過程中，能有效地對(duì)基礎(chǔ)設(shè)施運(yùn)行的數(shù)據(jù)、網(wǎng)絡(luò)信息進(jìn)行全方位的采集工作，實(shí)現(xiàn)數(shù)據(jù)庫的有效傳輸。平臺(tái)在建設(shè)過程中可以實(shí)現(xiàn)同步數(shù)據(jù)抽取、數(shù)據(jù)轉(zhuǎn)換等一系列的方式。在建立信息系統(tǒng)網(wǎng)絡(luò)預(yù)警方法或者是風(fēng)險(xiǎn)預(yù)警模型建設(shè)過程中，可以實(shí)現(xiàn)信息采集的高效性，做好全方位的計(jì)算和分析工作。在管理應(yīng)用層面，對(duì)電力資源信息進(jìn)行科學(xué)的分類，實(shí)現(xiàn)信息網(wǎng)絡(luò)風(fēng)險(xiǎn)的及時(shí)預(yù)警，做好輔助決策，才能提高系統(tǒng)的自適應(yīng)能力，保證電力系統(tǒng)正常運(yùn)作。

2.2網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全建設(shè)工作需要智能電網(wǎng)平臺(tái)與配套設(shè)備設(shè)施等的有效支持，其涵蓋拓?fù)涞木W(wǎng)絡(luò)圖、網(wǎng)絡(luò)基礎(chǔ)性服務(wù)以及各種類型安全設(shè)備設(shè)施等。智能電網(wǎng)的通信能夠借助物理隔離以及建立安全隔離帶的形式來對(duì)安全區(qū)域進(jìn)行有效劃分，而且可以借助防火墻系統(tǒng)、病毒防御軟件以及病毒入侵檢測裝置來防御不良入侵現(xiàn)象的發(fā)生，提升整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性。在電力行業(yè)的企業(yè)內(nèi)，信息網(wǎng)絡(luò)涵蓋外部聯(lián)絡(luò)、內(nèi)部辦公以及信息調(diào)度等多個(gè)方面的內(nèi)容。需要對(duì)網(wǎng)絡(luò)設(shè)定一些安全的級(jí)別，配備全套的安全設(shè)備設(shè)施體系。例如，電力系統(tǒng)的信息調(diào)度模塊所需要傳輸?shù)男畔⒘看?，那么?duì)其安全性的要求也就隨之提升，這也就意味著需要建設(shè)起安全性更高的監(jiān)控體系、檢測機(jī)制以及防火墻設(shè)備等。在對(duì)相關(guān)的設(shè)備設(shè)施進(jìn)行配置時(shí)，需要首先考慮其存在的科學(xué)性以及合理性，盡最大可能保障網(wǎng)絡(luò)運(yùn)轉(zhuǎn)的整體速度，有效降低智能電網(wǎng)系統(tǒng)存在的安全隱患。

2.3物理安全

2.3.1橫向分區(qū)策略

在采用橫向分區(qū)策略進(jìn)行設(shè)計(jì)時(shí)，重點(diǎn)要對(duì)電網(wǎng)進(jìn)行橫向分隔，分隔后保證智能電網(wǎng)分布在管理信息與生產(chǎn)控制兩個(gè)區(qū)域內(nèi)，以保證系統(tǒng)的安全穩(wěn)定運(yùn)行。將電網(wǎng)進(jìn)行分區(qū)的主要原因是，在實(shí)際運(yùn)行過程中，電網(wǎng)各項(xiàng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流程具有普遍的差異性，為避免各系統(tǒng)運(yùn)行對(duì)其他系統(tǒng)產(chǎn)生影響，需要通過專業(yè)的物理隔離裝置對(duì)管理信息部分與生產(chǎn)控制部分進(jìn)行隔離，以減少兩者間的影響，保障系統(tǒng)安全穩(wěn)定運(yùn)行。在智能電網(wǎng)中，許多個(gè)不同的安全區(qū)共同構(gòu)成系統(tǒng)的生產(chǎn)控制大區(qū)，且各安全區(qū)之間以具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、防火墻等安全技術(shù)手段進(jìn)行邏輯隔離，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的有效保護(hù)。而對(duì)于電網(wǎng)中的管理信息區(qū)域則需通過相應(yīng)的安全防護(hù)手段，如防火墻等進(jìn)行隔離，避免這部分區(qū)域與外部公共網(wǎng)絡(luò)接觸，有效保障信息安全。

2.3.2縱向分層策略

在采用縱向分層策略進(jìn)行設(shè)計(jì)時(shí)，需重點(diǎn)掌握以下要素：生產(chǎn)控制大區(qū)、管理信息大區(qū)，在設(shè)計(jì)時(shí)要根據(jù)不同大區(qū)的信息安全需求采取相應(yīng)技術(shù)手段進(jìn)行設(shè)計(jì)，以保障電網(wǎng)信息安全。立足于電網(wǎng)的接入安全需求與控制安全需求，可以看到智能電網(wǎng)中兩個(gè)層面所需要的安全防護(hù)措施也有所不同，具體如：位于變電站內(nèi)部的廠站控制層主要是通過IEC61850規(guī)約來整合變電站內(nèi)過程中各通信控制系統(tǒng)，在控制與運(yùn)通過程中也是以上述規(guī)約作為標(biāo)準(zhǔn)。而智能電網(wǎng)內(nèi)部的生產(chǎn)管理層則需按照不同的應(yīng)用性質(zhì)將其進(jìn)行再劃分，具體劃分為生產(chǎn)控制區(qū)與電網(wǎng)控制區(qū)，在電網(wǎng)控制區(qū)中有包含有調(diào)度計(jì)劃、調(diào)度管理、實(shí)時(shí)監(jiān)控與預(yù)警、安全校核等應(yīng)用類別，在上述應(yīng)用的支持下，智能電網(wǎng)信息平臺(tái)能夠支持面向服務(wù)并安全分區(qū)的體系結(jié)構(gòu)、面向設(shè)備的標(biāo)準(zhǔn)模型以及統(tǒng)一的可視化界面等。

2.4從多個(gè)方面入手對(duì)信息網(wǎng)絡(luò)入口嚴(yán)格控制

首先，可有效利用國網(wǎng)桌面終端管理系統(tǒng)對(duì)入網(wǎng)用戶的身份進(jìn)行嚴(yán)格排查，若發(fā)現(xiàn)異常情況應(yīng)及時(shí)排除在外，不可繼續(xù)訪問網(wǎng)絡(luò)。值得一提的是，電網(wǎng)開發(fā)技術(shù)內(nèi)核不必實(shí)施協(xié)議間的多層封裝，同時(shí)也減少了冗余現(xiàn)象，尤其是在2層網(wǎng)絡(luò)上可針對(duì)性的進(jìn)行用戶認(rèn)證，對(duì)用戶權(quán)限進(jìn)行限制。若發(fā)現(xiàn)用戶為未經(jīng)授權(quán)用戶，就會(huì)阻止該用戶繼續(xù)連接端口或是訪問局域網(wǎng)。對(duì)于通過認(rèn)證的用戶，即可通過設(shè)備連接交換機(jī)端口，同時(shí)也可大大提高數(shù)據(jù)傳輸速率以及應(yīng)用的有效性。此外，數(shù)據(jù)傳遞的過程中已經(jīng)順利開發(fā)端口，這一過程中需要用戶提供密碼等多項(xiàng)信息，若用戶為非法用戶，在認(rèn)證環(huán)節(jié)將無法提出對(duì)應(yīng)的認(rèn)證信息，也難以進(jìn)行局域網(wǎng)訪問?？煞譃閮芍販?zhǔn)入，第一重準(zhǔn)入，采用國網(wǎng)桌面終端管理系統(tǒng)的802.1X網(wǎng)絡(luò)準(zhǔn)入認(rèn)證，對(duì)入網(wǎng)用戶的身份進(jìn)行控制。第二重準(zhǔn)入則要在第1層準(zhǔn)入的基礎(chǔ)上建立保留實(shí)現(xiàn)IP/MAC綁定。這一過程中DHCP服務(wù)器將會(huì)嚴(yán)格參照不同用戶的MAC地址，為其分配唯一對(duì)應(yīng)的IP地址，整個(gè)過程均為自動(dòng)分配，認(rèn)證通過后用戶將會(huì)首先獲得私有地址，并訪問其中有限的網(wǎng)頁，這一準(zhǔn)入方式可避免非法用戶進(jìn)入，同時(shí)也可保證入網(wǎng)的規(guī)范性。私有地址的設(shè)計(jì)方式有助于判斷用戶的身份，并明確用戶處于哪個(gè)vlan，在同意用戶準(zhǔn)入后方可實(shí)施下一環(huán)節(jié)的審批流程，這樣可保證準(zhǔn)入過程的有效性。

2.5應(yīng)用安全

每臺(tái)終端的應(yīng)用都直接影響電網(wǎng)企業(yè)能否長遠(yuǎn)化的運(yùn)營，同時(shí)也關(guān)系著整個(gè)企業(yè)內(nèi)部信息的安全性?；谶@一情況，部分電網(wǎng)企業(yè)在運(yùn)營以及發(fā)展過程中針對(duì)性的應(yīng)用了桌面終端管理系統(tǒng)，同時(shí)啟動(dòng)了用戶權(quán)限，針對(duì)性的實(shí)施補(bǔ)丁檢測以及用戶密碼檢測等多項(xiàng)措施，通過這樣的方式保證安全管控效果。與此同時(shí)，每天進(jìn)行補(bǔ)丁安裝、病毒檢測以及檢查防病毒軟件的安裝與更新情況，盡可能為信息傳遞的安全性提供保障。電網(wǎng)企業(yè)內(nèi)部都會(huì)安裝內(nèi)外網(wǎng)終端自動(dòng)檢測系統(tǒng)，對(duì)系統(tǒng)的運(yùn)行實(shí)施保密檢查，實(shí)現(xiàn)保密上網(wǎng)，使信息的傳遞更加安全可靠，同時(shí)也可大大提高信息共享的真實(shí)性。

3結(jié)束語

電力資源與我們的生活息息相關(guān)，人們的生產(chǎn)生活都離不開電力資源。因此，加強(qiáng)對(duì)電網(wǎng)中網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)研究對(duì)確保電網(wǎng)安全、降低電網(wǎng)故障發(fā)生概率、維護(hù)電網(wǎng)正常運(yùn)行、提高電商與電力用戶之間的雙向通信、為電力用戶提供個(gè)性化滿足、滿足各方電力需求具有積極的促進(jìn)作用。

參考文獻(xiàn)：

[1]黃慷.淺談信息安全攻防演練在電網(wǎng)企業(yè)中的必要性[J].通訊世界，2017，03：138-139.

（作者單位：1國網(wǎng)四川省電力公司達(dá)州供電公司;2達(dá)州市達(dá)川區(qū)衛(wèi)生健康局）