新一代電力信息網(wǎng)絡(luò)安全架構(gòu)

畢曉云

（國家電投集團信息技術(shù)有限公司 北京市 100080）

在我國發(fā)展建設(shè)中，電力行業(yè)有著不可替代的作用，所以各個方面對其十分重視。可以說，電力行業(yè)是國家最為基礎(chǔ)的一項服務(wù)行業(yè)，社會發(fā)展離不開其支持。現(xiàn)階段，由于電力信息網(wǎng)絡(luò)安全系統(tǒng)的不斷革新，對于網(wǎng)絡(luò)安全架構(gòu)提出了更高的要求。不過就具體情況來看，電力系統(tǒng)受到信息網(wǎng)絡(luò)很大的影響，從而存在一系列難以避免的問題。為了有效解決這些問題，推出一種新型的信息網(wǎng)絡(luò)安全架構(gòu)非常有必要，有助于推動我國電力行業(yè)健康穩(wěn)定的發(fā)展與運行。

1 新一代電力信息網(wǎng)絡(luò)安全架構(gòu)意義

在信息時代背景下，信息網(wǎng)絡(luò)已經(jīng)滲透進社會各個方面，發(fā)電企業(yè)也不例外，而且隨著滲透程度不斷深入，網(wǎng)絡(luò)信息安全顯得越來越重要，直接關(guān)乎到發(fā)電系統(tǒng)能否正常運轉(zhuǎn)。同時在這種背景下，發(fā)電企業(yè)的經(jīng)營管理、調(diào)度運行等都得依靠信息網(wǎng)絡(luò)來完成，從而在電力信息網(wǎng)絡(luò)安全出現(xiàn)問題的時候，便會直接影響到發(fā)電企業(yè)，如數(shù)據(jù)被惡意刪除與獲取，甚至還有可能引發(fā)系統(tǒng)癱瘓，不僅對電力企業(yè)有著很大的影響，而且還會導(dǎo)致整個社會遭受嚴(yán)重損失。

就整體情況來看，我國發(fā)電系統(tǒng)還不是很完善，需要不斷的改進和優(yōu)化，而信息網(wǎng)絡(luò)的出現(xiàn)則為其提供了良好的基礎(chǔ)。通過信息網(wǎng)絡(luò)的數(shù)據(jù)支持，發(fā)電系統(tǒng)能夠迅猛發(fā)展起來，使其更加的完善[1]。但是因為社會發(fā)展十分快速，所以對于電力信息網(wǎng)絡(luò)系統(tǒng)提出了更高的要求。為此，結(jié)合實際情況積極進行新一代電力信息網(wǎng)絡(luò)安全架構(gòu)意義重大。

2 新一代電力信息網(wǎng)絡(luò)安全架構(gòu)模型

面對新時代提出的挑戰(zhàn)，構(gòu)建新一代電力信息網(wǎng)絡(luò)安全架構(gòu)模型已然成為一種必然的趨勢。本次研究主要以安全目標(biāo)當(dāng)做核心，針對電力信息網(wǎng)絡(luò)安全架構(gòu)中存在的各種問題，從多個角度進行了架構(gòu)模型的探究，具體如圖1。

2.1 信息完全需求

安全需求屬性具體有可用性、完整性以及機密性等方面，不過電力業(yè)務(wù)要想獲得進一步的發(fā)展，面臨著很多方面的問題，安全性便是其中的重要一點，如果以上安全需求三要素不能與時俱進，那將很難有效滿足具體需求[2]。針對此，需要相關(guān)方面加強重視，科學(xué)處理各種類型的安全威脅，并且積極構(gòu)建相應(yīng)的防護安全網(wǎng)絡(luò)。而這就得引入一些合適的屬性，如可認證性、可控制性等，同時還有安全需求。

2.2 安全模型維度

模型需要涵蓋管理、策略、角色以及技術(shù)等多方面，策略主要用來當(dāng)作規(guī)則，而技術(shù)屬于重點，角色可以提供有力的保障，管理為基礎(chǔ)所在。從這幾方面積極進行建設(shè)，能夠很好防范一些安全隱患，并且有效達成安全要求。

2.3 安全模型應(yīng)用

圖1：電力信息網(wǎng)絡(luò)安全架構(gòu)模型

在技術(shù)維度前提下，對安全信息的運行、測試以及研發(fā)等給予防護。這幾個層面具備的安全功能有著很大的差異，可以將其歸屬于互聯(lián)安全、云安全以及端安全，這樣便能很好滿足當(dāng)前階段的安全防護需求[3]。除此之外，模型還會將一些合適的技術(shù)融入到重要環(huán)節(jié)中，這樣有助于完善、閉環(huán)信息安全技術(shù)支撐體系的構(gòu)建，有效消除一些安全方面的威脅，上述環(huán)節(jié)如下：

分級防護：首先就是確定信息系統(tǒng)保護對象，然后結(jié)合對象具體情況進行分等級的防護，最后就是綜合應(yīng)用各種技術(shù)手段來全面性的保障系統(tǒng)信息安全，具體技術(shù)包括身份認證、數(shù)據(jù)加密、網(wǎng)絡(luò)隔離等。

事件感知：借助合適的安全監(jiān)測手段及時發(fā)現(xiàn)一些網(wǎng)絡(luò)惡性行為、風(fēng)險以及漏洞等，并且發(fā)出預(yù)警，為防護以及解決措施的制定提供助力。

預(yù)警調(diào)度：合理應(yīng)用大數(shù)據(jù)技術(shù)進行安全事件頻度、時間等屬性的計算，對安全事件的持續(xù)時間、擴散范圍及時預(yù)警，同時還有對一些已經(jīng)發(fā)現(xiàn)的系統(tǒng)漏洞全面性的排查。此外，還應(yīng)該深入分析網(wǎng)絡(luò)惡意行為數(shù)據(jù)，預(yù)測可能出現(xiàn)的安全事件，并及時預(yù)警。而相關(guān)方面便可以結(jié)合預(yù)警信息，動態(tài)化的調(diào)度安全防護力量。

應(yīng)急響應(yīng)：對于一些預(yù)警信息安全事件，應(yīng)該立即啟動應(yīng)急預(yù)案，采取合適的措施對其進行處理，以便有效降低安全事件帶來的損害。此外，還需要對事件源進行定位，分析其形成的原因，并采用有效措施進行預(yù)防，避免事件再一次的發(fā)生。

災(zāi)難恢復(fù)：在系統(tǒng)遭受惡意攻擊之后，應(yīng)該及時恢復(fù)系統(tǒng)，提供正常服務(wù)。恢復(fù)依賴于對事件預(yù)先采取的預(yù)備措施，具體有應(yīng)用級災(zāi)備、系統(tǒng)冷熱備份等，有助于更快恢復(fù)服務(wù)。

攻防對抗：安全保護需要主動和被動手段共同應(yīng)用，具體就是說在防護的同時，還應(yīng)該對攻擊者進行反向?qū)埂＝柚嚓P(guān)安全設(shè)備，靈活應(yīng)用各種手段，使得攻擊者的攻擊失效。必須得注意的一點，對抗應(yīng)該在必需和必要的時候進行，而且還得嚴(yán)格遵守國家相關(guān)法律。

2.4 安全模型評價

相比較于其他模型，在此提出的安全模型在理論上明確定義了新一代電力信息網(wǎng)絡(luò)安全體系應(yīng)該滿足的安全需求，使其建設(shè)不再盲目。本模型涵蓋了技術(shù)、管理、策略以及角色這幾個維度，涉及到了很多的信息安全什么周期理念中蘊含的安全元素，并且很好體現(xiàn)了全面性的信息安全控制與防護思想，特別是在技術(shù)層面，本模型很好融合了一些先進技術(shù)，創(chuàng)新性很強[4]。從整體角度評價，本模型構(gòu)建的信息安全防護架構(gòu)具備很強的全面性，可以很好適應(yīng)電力信息網(wǎng)絡(luò)發(fā)展需求，解決來自各方面的挑戰(zhàn)。

3 新一代電力信息網(wǎng)絡(luò)安全架構(gòu)遇見的阻礙

3.1 黑客攻擊

隨著計算機技術(shù)不斷發(fā)展，電力信息網(wǎng)絡(luò)應(yīng)用已經(jīng)深入電力運行管理的方方面面，使得電力信息網(wǎng)絡(luò)的經(jīng)濟屬性越來越明顯。許多黑客為了謀取利益，發(fā)起計算機網(wǎng)絡(luò)攻擊頻率越來越頻繁，這對電力信息網(wǎng)絡(luò)的安全造成了極大威脅，甚至給國家的電力系統(tǒng)安全造成了極大影響。黑客利用系統(tǒng)的漏洞侵入系統(tǒng)，造成計算機在一定時間內(nèi)無法正常運行，而且還會在計算機中安裝監(jiān)聽或監(jiān)視程序，從而盜取電力系統(tǒng)的信息，給電力企業(yè)造成非常嚴(yán)重損失。

3.2 存在計算機病毒

計算機病毒是人們惡意植入計算機的代碼，一旦運行將會對計算機系統(tǒng)和數(shù)據(jù)造成嚴(yán)重破壞。此外，計算機病毒還具有很強的傳播性，一旦某一臺電腦中病毒，將會很快的傳播給其它計算機。由于計算機病毒具有非常強的隱秘性和潛伏性，這也提升了病毒完全清除的難度，計算機病毒已經(jīng)成為影響電力信息網(wǎng)絡(luò)安全性的最主要因素之一。

3.3 計算機硬件的漏洞

計算機安全技術(shù)已經(jīng)得到了飛速發(fā)展，使得電力信息網(wǎng)絡(luò)安全性大幅度提升，但是在計算機運行過程中，計算機硬件漏洞仍然存在。計算機中含有大量的電子元器件，這些器件在運行過程中會向空氣中發(fā)射大量的電磁波，而不法分子可以通過捕獲電磁波的方式來侵入電力信息網(wǎng)絡(luò)中，導(dǎo)致電力信息網(wǎng)絡(luò)的泄露。Daniel Genkin等人對計算機運行過程中發(fā)出的電磁波進行了深入研究分析，研究發(fā)現(xiàn)由于CPU 在解密過程中發(fā)出的電磁波中能夠破譯出計算機的加密密鑰，這也使得可以通過計算機發(fā)出的電磁波侵入計算機的說法得到了證實。

3.4 網(wǎng)絡(luò)協(xié)議安全漏洞

從電力信息網(wǎng)絡(luò)中的TCP/IP 協(xié)議角度進行分析，主要的功能是使通訊保持正常運行，其次是確保信息的正常傳輸，最后使數(shù)據(jù)能夠準(zhǔn)確性的呈現(xiàn)出來。而TCP/IP 協(xié)議有一個漏洞，就是沒有內(nèi)在控制機制來支持源地址鑒別，無法證實IP 地址的真實來源，這使得黑客可以通過各種手段來盜取相關(guān)數(shù)據(jù)，來篡改傳輸路線，從而來對電力信息網(wǎng)絡(luò)安全進行破壞。

4 新一代電力信息網(wǎng)絡(luò)安全架構(gòu)措施

電力行業(yè)有著很好的信息安全基礎(chǔ)，新一代電力信息網(wǎng)絡(luò)安全架構(gòu)應(yīng)該秉承著智能防護、自主創(chuàng)新以及協(xié)同對抗等原則，根據(jù)電力企業(yè)實際情況，從多方面下手逐漸形成先進、科學(xué)以及合適的新一代信息網(wǎng)絡(luò)安全架構(gòu)，為電力企業(yè)進一步發(fā)展提供有力的保障。具體可以從以下幾方面著手進行：

4.1 網(wǎng)絡(luò)防火墻使用

防火墻目前已經(jīng)在計算機中應(yīng)用較為廣泛，其網(wǎng)絡(luò)安全的防護功能實現(xiàn)的關(guān)鍵是過濾系統(tǒng)，過濾系統(tǒng)中擁有與計算機內(nèi)部結(jié)構(gòu)相對應(yīng)的規(guī)則，例如計算機存儲的數(shù)據(jù)是否安全，防火墻會對存儲數(shù)據(jù)進行檢查，然后與過濾系統(tǒng)中的安全規(guī)則進行對比分析，如果數(shù)據(jù)符合規(guī)則，則認為是安全的，計算機將繼續(xù)運行和轉(zhuǎn)發(fā)，否則認定為不安全，系統(tǒng)給予屏蔽。此外，防火墻中的代理技術(shù)、應(yīng)用層網(wǎng)關(guān)都可以實現(xiàn)網(wǎng)絡(luò)安全防護功能，其中應(yīng)用層網(wǎng)關(guān)也可以稱為代理防火墻技術(shù)，該技術(shù)是網(wǎng)絡(luò)信息數(shù)據(jù)之間的連接橋梁，實現(xiàn)計算機用戶網(wǎng)絡(luò)訪問需求，同時對訪問的網(wǎng)絡(luò)類型進行實時監(jiān)控。在實際應(yīng)用過程中，計算機用戶與代理防火墻都不知道彼此的存在，其僅僅是對用戶網(wǎng)絡(luò)訪問請求是否接受，以及外網(wǎng)訪問請求的安全性進行檢測，以確保整個計算機網(wǎng)絡(luò)系統(tǒng)正常運行工作。

4.2 引用對稱加密技術(shù)

在電力信息網(wǎng)絡(luò)系統(tǒng)中，擁有許多用戶資料、電力信息數(shù)據(jù)等重要的數(shù)據(jù)，為了保護這些數(shù)據(jù)不被盜取和篡改，目前最常用的方法是加密技術(shù)，其中對稱加密由于其具有的安全高、加密方法簡單、算法效率高等優(yōu)點，在電力信息網(wǎng)絡(luò)安全防護得到了廣泛的應(yīng)用。對稱加密技術(shù)可以引入現(xiàn)代最為先進的智能算法，不法分子破譯侵入計算機系統(tǒng)的難度加大，對數(shù)據(jù)保護能力大幅度提升。只有獲得密鑰才能訪問。由此可見，采用對稱加密技術(shù)時，密鑰的保護是關(guān)鍵，如果密鑰一旦外泄，任何人都可以毫無阻攔的盜取或篡改所有數(shù)據(jù)信息，給電力系統(tǒng)造成極大的損害。為了防止密鑰的丟失，應(yīng)該采用數(shù)字簽名等專業(yè)密鑰管理軟件。數(shù)字簽名主要是針對對稱加密技術(shù)密鑰管理而誕生，其可以單獨生成密鑰，同時生產(chǎn)的密鑰是無法復(fù)制，安全性大幅度提升。

4.3 引用身份認證技術(shù)

在電力系統(tǒng)以及信息網(wǎng)絡(luò)中，終端服務(wù)器通過對計算機用戶的身份認證，可以一定程度上避免非法用戶通過非法途徑訪問高于自身權(quán)限的文件資源避免造成企業(yè)損失，由此可以保證電力系統(tǒng)以及信息網(wǎng)絡(luò)得安全。基于CA 的身份認證機制是較為常見的一種，CA是證書認證，每一個計算機用戶的網(wǎng)絡(luò)證書都是由CA 簽字并授權(quán)的，計算機用戶的網(wǎng)絡(luò)證書中含有公開密匙，CA 除了對計算機用戶的網(wǎng)絡(luò)證書的簽字以及授權(quán)，還能夠?qū)τ嬎銠C用戶的網(wǎng)絡(luò)證書以及密匙進行管理。CA 網(wǎng)絡(luò)數(shù)字證書的簽發(fā)以及授權(quán)，對數(shù)據(jù)信息在信息網(wǎng)絡(luò)傳輸過程中的安全性起到了不可忽視的作用。

5 結(jié)語

總而言之，在新時代背景下，加強注重電力信息網(wǎng)絡(luò)安全架構(gòu)的構(gòu)建意義重大，直接關(guān)乎到國計民生。為此，需要相關(guān)方面對其加強重視，結(jié)合實際情況合理進行構(gòu)建，確保其操作性與合理性，能夠很好滿足電力信息安全發(fā)展要求，為我國電力行業(yè)發(fā)展提供助力。具體可以從組建專業(yè)人才團隊、注重頂層設(shè)計以及完善防護體系等方面著手，切實強化電力信息網(wǎng)絡(luò)安全架構(gòu)科學(xué)性，確保我國社會穩(wěn)定運行。