電力系統信息通信網絡安全的防護研究

江育鋒

（公誠管理咨詢有限公司 第六分公司，廣東 佛山 528000）

0 引 言

網絡安全是威脅信息通信運行體系最大的隱患，電力系統管理部門要結合實際應用要求和規范落實有效的安全風險防護工作，創設安全、可靠以及規范的運行環境，實現經濟效益和社會效益的雙贏。

1 電力系統信息通信的特點

電力系統信息通信存在專業度要求高且綜合性強的特點，電力系統信息網絡技術的覆蓋面較廣，不僅包括配電項目和電力傳輸項目，還涉及用電管理等。隨著計算機技術的發展，電力系統信息通信融合自動化技術、數據挖掘技術以及電力系統技術的趨勢逐漸明朗，這就需要專業人員綜合多項管理要求，落實具體控制工作。此外，電力系統信息通信應用的地域性強，加之不同區域的發展程度有所差異，這就使得電力系統信息通信網絡的應用范圍也需要進行調整，只有落實針對性較強的管控方案，才能真正發揮系統的應用價值[1]。

綜上所述，在電力系統信息通信網絡安全管控工作中，要充分融合其運行特征，建立時效性好、針對性強以及可靠性高的綜合管控模式，從而最大化降低安全風險產生的不良影響。

2 電力系統信息通信網絡安全風險

電力系統信息通信網絡安全風險主要分為內部風險和外部風險。

2.1 外部風險

2.1.1 攻擊TCP和UDP

對于整個電力系統信息通信網絡而言，綁定TCP端口網絡服務的對象就是主機系統，這也成為了攻擊的主要方向。一般而言，任何干擾TCP連接的攻擊都會被設定為TCP攔截，其中主要包括會話攔截和ICMP攔截等。例如，SYN攻擊因為電力系統信息通信網絡每個TCP在實施分配過程中連接不同的電力信息網絡地址和端口，所以當受到攻擊時，必然會產生嚴重的內存消耗。若是鏈接數量超出限制，那么就會造成電力系統信息通信網絡被切斷，無法及時獲取電力數據，具體如圖1所示[2]。

圖1 連接切斷

2.1.2 DNS風險

在電力系統信息通信網絡運行過程中，DNS系統的初始設定是服務器互聯過程安全可行，匹配的電力信息交互無障礙，因此沒有設置對應的身份鑒定過程，這就增加了信息被篡改的可能性。首先無法進行身份識別的響應，若是黑客根據DNS請求偽造回答，甚至設置授權標記，那么將會造成電力信息傳遞連接失效。其次會導致DNS緩存受損，電力系統信息通信網絡會匯總和收集大量的電力信息、輸配電數據以及用電管理信息等，緩存結構受損會使得相應的數據信息無法建立合理的交流[3]。最后造成盲目攻擊，也就是說，黑客若是利用一個公用的域名形成無數個DNS回答，就會嚴重影響電力系統信息通信網絡的安全性。DNS盲目攻擊如圖2所示。

圖2 DNS盲目攻擊

2.1.3 SMTP郵件風險

在電力系統信息通信網絡中，SMTP的使用模型如圖3所示。

圖3 SMTP使用模型示意圖

主要的風險問題圍繞偽裝報頭、垃圾郵件以及中繼攔截等，黑客會借助對應技術破壞其運行穩定性，這就使得大量的電力信息被竊取，不僅會影響企業發展，也會造成較為嚴重的經濟損失[4]。

2.1.4 人為破壞風險

人為破壞風險主要是由電力系統信息通信網絡運行中工作人員信息錄入錯誤或者是操作流程錯誤等造成，不僅會影響信息網絡運行效率，也會形成惡性循環，制約電力系統信息通信監督效果和管理水平。

2.2 內部風險

一方面，網絡設備、移動存儲介質以及移動終端受到病毒影響，產生一系列后續攻擊，在使用終端設備的過程中，就會對整個電力系統信息通信網絡形成不良作用。另一方面，電力系統運行時會應用大量的設施，系統內部出現了電磁輻射的問題，亦或是一些特殊設備在接收輻射后直接激活，都會造成設備互相作用產生不良攻擊[5]。

3 電力系統信息通信網絡安全防護建議

在全面分析電力系統信息通信網絡安全風險問題后，就要結合實際情況落實相應的防護控制機制，建立更加合理的管控體系，從而維持電力系統信息通信網絡安全防護的質量。

3.1 強化密鑰管理

電力系統中電力信息和數據非常重要，要提升其保密等級，并且聯合密鑰處理技術強化安全防護工作的效果。電力系統信息通信網絡的兩個客戶端要結合密鑰分配方式形成共享密鑰，然后結合具體情況及時更新密鑰[6]。密鑰獲取方式如表1所示。

表1 密鑰獲取方式

一般而言，電力系統信息通信網絡中會選取第四種方式，在向KDC發出密鑰請求后得到回應，然后獲取一次性會話密鑰和身份密鑰，將其轉發到對應系統中，就能獲取匹配的電力系統信息，這種方式能提升信息交互的合理性，也能最大化提高信息通信網絡的安全性。

3.2 強化通信安全系統管理

在通信安全系統管理工作中，要重視不同系統內部模塊攻擊防護工作，打造合理且可靠的應用處理方案。

首先，針對SYN攻擊的防護工作要從過濾網關防護工作出發，設置超時設置模式，在防火墻設置轉發超時參數模式，當參數在服務器Timeout時間內確認發送SYN包，若是計數器到期依舊沒有接到確認包，那么發送RST包，從而減少對應的信息數據[7]。過濾網關防護示意如圖4所示。另外也可以利用加固TCP/IP協議棧的方式有效增加最大連接數，并且盡量縮短超時時間，借助SYN cookies技術建立HASH運算模式，保證通信網絡數據傳輸的安全性和可靠性。

圖4 過濾網關防護示意圖

其次，針對DNS的風險可以利用網絡地址信息統一管理的方式落實維護工作。設計人員在應用對應技術方案時要關注靈活性和可擴展性，確保能綜合考量安全要素。一方面，針對直接威脅，可以借助DNS服務器或者是主機補丁限制單個服務器被破壞的程度，從而有效實現DNS平衡，并且要盡量拒絕不匹配的回答，提升緩沖間隔的合理性。另一方面，針對技術威脅，要加固服務器和防火墻，最大化提升對潛在攻擊的應對能力。

最后，積極融合同步數字體系，利用SDH建立貼合國際通信體系要求的安全管理模式，借助映射、定位以及復用的模式完成傳輸業務信號的處理，大大提升數字信號收集和匯總的合理性。電力系統可以借助SDH實現多設備分組交換業務處理，提供E1和STM-1等接口，保證電力系統信息通信網絡的安全效果。

3.3 強化網絡設備安全管理

在電力系統信息通信的網絡安全防護工作中，要想維護其綜合運行質量，保證電力企業常規化管控工作的效果，就要對網絡設備安全管理工作環節予以重視，在強化信息技術管理效果的同時，確保網絡設備和系統安全都能得到重視，有效整合相應的管理方案，維護綜合控制水平。首先要篩選進入電力系統信息通信網絡的信息，組織危險信息的同時，依據具體應用要點和規范建立訪問權限，保證個性化設置工作的完整度，最大化提升網絡設備安全管理工作的綜合效果。其次要階段性科學評估系統網絡設備，及時匯總并處理存在的安全隱患，有效提高常規化管控的效果，避免設備風險隱患的留存。最后要重視原始數據，按照加密或者是密文處理的方式，保證重要電力數據文檔的安全性，也能減少惡意用戶的訪問和數據查詢，減少信息外泄的可能性[8]。

3.4 強化物理層防護

為了保證電力系統信息通信網絡安全水平，要結合系統運行要求從系統管理和物理層防護兩個層面入手，提高對應控制工作的綜合效果。建立個性化的管理系統結構，應用網元數據采集、管理以及業務管控等模塊保證信息統一監管和控制，并且及時告警處理異常信息，結合集控中心分析判斷過程，維持多平臺作業的綜合質量，并提升信息管理的基本水平，也能及時預測和分析故障原因，建立針對性較好的控制機制，真正意義上推動電力系統信息通信網絡安全防護工作的全面進步[9]。此外，要定期檢查和管理通信機房中的設備及線路，保證防雷接地等基礎操作環節的有序性，重視用戶權限、機房環境以及電磁干擾傳導路徑防護等細節，確保時效性管控工作的綜合效果符合預期，真正建立合理且可靠的監督監管模式，弱化電磁干擾，為電力系統信息通信網絡安全防護水平的進步奠定堅實基礎[10]。

4 結 論

電力系統的覆蓋面積在不斷增大，為了建立健全完善且合理的信息化管控方案，要重視通信網絡安全防護工作，整合計算機技術和系統安全建設流程的基礎上，保證工作細則得以落實，真正實現綜合發展多向監管的目標，為電力企業經濟效益、管理效益以及社會效益的共贏奠定堅實基礎。