電力系統網絡安全立體防護體系構建研究

摘 要：電力系統是國家重要的基礎設施，其安全運營是各行業正常運轉的重要前提。計算機技術的不斷發展和信息化范圍的不斷擴大，給電力系統來便利與效益的同時也伴隨產生了顯著影響。本文對電力系統網絡安全的發展歷史、主要存在風險進行了分析總結，并對電力系統的立體防護體系構建進行簡要規劃。

關鍵詞：電力系統;網絡安全;信息化

中圖分類號：TP309 文獻標識碼：A DOI：10.3969/j.issn.1003-6970.2021.03.037

本文著錄格式：申宇.電力系統網絡安全立體防護體系構建研究[J].軟件，2021，42（03）：130-132

Research on Construction of Three-dimensional Protection System of Power System Network Security

SHEN Yu

（China Huadian Group Co.， Ltd.， Beijing? 100031）

【Abstract】：The power system is an important national infrastructure， and its safe operation is an important prerequisite for the normal operation of various industries. The continuous development of computer technology and the continuous expansion of the scope of informatization have not only brought convenience and benefits to the power system， but also produced a significant impact. This article analyzes and summarizes the development history and main risks of power system network security， and makes a brief plan for the construction of a three-dimensional protection system for the power system.

【Key words】：power system;network security;informatization

0引言

電力系統是國家關鍵基礎設施，具有重要地位。電力是一種優質能源，具有極大的市場需求，服務范圍涉及各行各業。電力的安全穩定運營關系國家安全，是重點關注方向。中國經濟的高速增長，導致電力系統兩方面的矛盾十分突出。一方面，我國國民生產生活用電負荷的持續快速增長對電力系統如何滿足高質量供電需求提出了新的要求，特別是安全保障方面的要求。另一方面，隨著工業化和信息化的實際應用，電力系統由原來的完全與外網隔離模式發展成網絡化連接和信息化管理模式，并逐步向互聯網開放。信息化擴大了傳統內部網絡風險的發生范圍以及傳遞通路，開放化則引入了廣泛的互聯網風險。在當前的信息化網絡時代，計算機技術的飛速發展以及其廣泛應用在給人類生活生產帶來方方面面的便捷與舒適時，同樣也使得網絡信息安全面臨著更加嚴峻的局面。機遇與挑戰并存，電力行業更應該提高網絡安全意識，創建安全管理平臺，加強安全技術支撐力度，采取措施防范安全風險[1]。

1電力系統網絡安全發展歷史

1.1建立結構性安全防護機制

21世紀初，基于SDH（Synchronous Digital Hiera-rchy，同步數字體系）技術的IP專網成為電力調度數據網的技術標準，并明文規定只能傳輸電力調度生產直接相關的數據，且必須在物理層面與公用信息網絡進行安全隔離。2002年發布的《電網和電廠計算機監控系統及調度數據網安全防護規定》對此做出明確規范。同年，我國提出了“安全分區、網絡專用、橫向隔離、縱向認證”這是我國電力系統信息安全防護總策略，也是結構性安全防護機制的主要特征和執行標準[2]。2005年，我國發布《電力二次系統安全防護規定》一系列技術文件，標志著我國電力系統第一階段安全防護體系全面形成志。

1.2基于等級保護的業務安全防護體系

2007年，國家發布《電力行業信息系統安全等級保護基本要求》，標志著電力行業等級保護建設工作的全方面推進。等級保護體系是基于結構性防護進一步完善形成的，具體可分為物理安全、網絡安全、主機安全、應用安全、數據安全五個層面。當保護等級為四級時，調度數字證書以及安全標簽技術的綜合運用可充分實現安全防護策略，全面保證主客體間的全過程安全防護。

1.3基于可信計算的主動防護體系

不斷更新的新型攻擊方式致使以“查殺”為核心的被動安全措施對于實時控制系統在安全防護的時效上大打折扣，建立更加高效的主動防御體系是當務之急。新體系通過可信計算技術來創建調度控制系統的主動免疫機制，提高對未知惡意代碼攻擊的免疫功能，以此達到網絡環境的安全可信，并通過網絡連接整個系統，實現自身免疫[2]。2014年《電力監控系統安全防護規定》的發布，《電力監控系統安全防護總體方案》等配套技術文件的同步修訂以及國家網絡安全等級保護2.0的發布實施，標志著我國的智能電網信息安全主動防御體系正式確立。

2電力系統網絡安全存在的主要風險

2.1物理安全面臨的風險

物理安全是網絡安全的前提，物理安全指的是由各種硬件設備如路由器、交換機、服務器等與通訊介質之間的安全。這要求盡量避免人為原因、自然災害造成的設備損壞。與此同時，如何保證人為或自然災害造成設備故障時，能夠保證留存數據，并做到快速恢復，減小甚至避免損失是當前必須考慮的問題。

2.2系統安全面臨的風險

電力系統設備主要由路由器、交換機及主機系統組成。這些設備本身或多或少存在部分安全漏洞。若利用這些安全漏洞將造成嚴重后果。目前，電力系統的服務器多應用UNIX、Windows NT操作系統。UNIX系統若未經正確的配置、修補，則易被攻破防線。此外，系統安全風險來源還包括數據庫、郵件及FTP系統等方面。郵件系統和FTP系統等服務系統直接面對互聯網，易成為黑客入侵和惡意攻擊的對象。垃圾郵件的大量發送易就足以造成郵件系統的崩潰癱瘓，這是網絡安全的大隱患。

2.3應用安全面臨的風險

Web應用的數量在網絡體系中占比大，應用范圍廣。電力企業對外發布的Web系統幾乎全是可直接連入公網的，若不加以防護，則極易被攻擊入侵，造成損失。所以Web系統安全的地位舉重若輕。目前兩種情況會導致Web應用的異常，一方面是Web系統自身的不安全運行，另一方面則是網絡傳輸過程中涉及的敏感信息或機密信息的不安全傳輸。

3電力系統網絡安全需求及防護設計

3.1主要需求分析

3.1.1物理環境需求

首先需要保證物理環境的相對安全，包括日常維護、檢修線路、設備，制定嚴格的管理、使用制度，這是保證電力系統網絡安全的前提和重要基礎。其次，對網絡傳輸路線的設計需要考慮防范火災、水災、雷擊、靜電劑物理沖撞等，以此保障數據傳輸的安全可靠。另外必須冗余配置關鍵設備，如數據備份、災難恢復系統等，充分保障數據安全。

3.1.2系統安全需求

首先，使用相對更可信的、安全性更高的操作系統，與外界產生連接的關鍵主機盡量采用國產操作系統。其次，統一、批量配備整個網絡主機和服務器的防病毒系統，避免病毒的大范圍入侵和快速傳播。另外需要做到關閉存在安全隱患的程序及服務，嚴格限制用戶的訪問權、使用權，及時修復系統漏洞。

3.1.3應用安全需求

加強來源于網絡傳輸中涉及的敏感及機密信息的安全傳輸，強化Web系統自身的安全運行。對于應用系統采取身份鑒別，確保用戶的使用合法性，限制操作者的使用權限。采用安全日志，在出現問題時，及時提供證據。

3.2防護體系構架

3.2.1網絡結構

一般以千兆以太網作為主干網絡，通過合理組合搭配網絡設計和配置，將內外網絡設計資源優化，可以有效避免安全隱患，提高網絡安全性。計算機網絡和信息系統采用樹形拓撲結構，如圖1所示：

3.2.2防火墻技術

防火墻是被安置在不同網絡安全域間的高級訪問控制設備，是隔離計算機內網、外網的保護屏障。防火墻技術通過對傳輸過程中數據的訪問限制與驗證保證，以及各類數據信息節點呈現出的過濾特性，來區別于內網之間的安全屬性[3]。防火墻技術由代理服務器、網絡反病毒技術、數據包過濾以及SOCKS協議組成。防火墻技術的基本功能及其重要性體現在以下幾點：一是檢測和警報網絡風險，抵御程序代碼的惡意攻擊;二是管理、記錄訪問網絡的權力和活動，識別網絡信息收發方身份;三是給予信息在不同網絡體系間的傳遞途徑，避免攻擊風險，保障用戶網絡安全。

3.2.3網絡安全評估

網絡安全評估通過漏洞掃描軟件對網絡中所有的核心服務器、重要的網絡設備如交換機、終端等進行定期的、全面的掃描。可將漏洞掃描軟件安裝到高性能主機上從而實現全方位的漏洞掃描。漏洞掃描軟件通過模擬黑客的攻擊手法對設備進行掃描，檢測網絡設備中存在的弱點和漏洞，給出可能存在安全漏洞的位置、詳細描述，提供相應的修補方案，提醒安全管理員及時完善安全策略，降低安全風險。為避免漏洞的產生，可引入虛擬主機IP地址，并隱藏MAC地址，同時要做到系統的及時升級，才能有效消除漏洞，保證網絡安全。

3.2.4入侵檢測系統

非法入侵是計算機網絡安全的一大威脅，入侵檢測技術可以有效解決這一問題。根據入侵方式不同可將入侵檢測分為基于主機的入侵檢測、基于網絡的入侵檢測以及混合式的入侵檢測三類。通過應用入侵檢測技術能夠實時監測網絡傳輸情況。一旦監測到可疑傳輸，入侵檢測系統將自發警報并主動防御。一般將入侵檢測系統安裝在交換機上從而實現為對入侵與攻擊行為的全方位監測。因為交換機中匯集了大量網絡流量，是數據信息的重要節點，同時也成為了黑客入侵的主要攻擊對象。入侵防御系統則是入侵檢測系統中的升級產品，一般將其部署在網絡邊界。入侵防御系統能夠提供主動的、實時的防護，實現隨時阻斷流量的惡意攻擊并合理配置網絡帶寬資源。

3.2.5防病毒系統

計算機病毒層出不窮，高效的防病毒系統的構建迫在眉睫。應采用多層次全方位的病毒防衛體系，重點關注防毒軟件對計算機病毒的滲透阻擋作。首要工作是對所有工作站、服務器上安裝防病毒軟件。著重關注防毒軟件在計算機關鍵部位的使用，加強防范力度，針對網絡核心節點可進行統一配置防病毒服務器以此實現批量化安裝。為避免計算機病毒對各終端主機造成破壞，必須提高在職人員的安全防范意識，確保所有人員的計算機不被計算機病毒侵襲，避免數據文件被竊或丟失，從源頭上保證網絡系統的安全穩定。通過對各工作站防病毒系統的集中管理和統一配置、升級，形成一個防病毒侵襲的有效機制。

3.2.6網絡隔離技術

網絡隔離技術是一種網絡安全技術，能充分實現數據儲存、傳播，保證網絡信息暢通交流，保障計算機用戶的正常使用和運營。目前常用的隔離方法有物理隔離、邏輯隔離兩種：物理隔離方法是通過一定的硬件設備和軟件限制訪問內部、外部網絡，設備、線路以及存儲相對獨立。常使用的物理隔離方式有物理隔離卡、隔離網閘[4]。邏輯隔離則主要包括虛擬局域網、虛擬路由和轉發、虛擬交換等。目前，電力行業應用的隔離方式主要還是依靠內部網絡與外部網絡之間的物理隔離。但在計算機技術不斷更新，智能電網不斷發展的背景下，電力客戶使用互聯網來與電力企業信息交換的行為日漸頻繁，企業和用戶面臨計算機病毒多樣化，安全隱患不斷遞增的形勢之下，電力企業也逐漸開始采用邏輯隔離來限制內部網絡服務以及外部網絡的信息交換。

4總結與展望

本文對電力系統的網絡安全的發展歷史、主要存在風險進行了簡明總結，并對電力系統的立體防護體系構建進行簡要規劃。同時，對于電力系統來說還需要充分考慮的重要課題是：如何構建專業的安全管理平臺系統。通過安全管理平臺系統對系統內部的安全設備與系統安全策略進行管理，實現全系統安全策略的統一配置、分發和管理，有效配置、集中管理全網安全設備與系統的參數，提升網絡安全性能。

參考文獻

[1] 董團偉.西安供電分公司網絡和信息安全管理研究[D].北京：華北電力大學（北京），2017.

[2] 湯震宇.國內電力監控網絡安全的演進發展和新挑戰[J].自動化博覽，2021，38（1）：18-21.

[3] 孟華.基于大數據時代的計算機網絡安全防范措施研究[J].網絡安全技術與應用，2021（1）：157-158.

[4] 喬暢，騫憲忠，曾超.計算機網絡安全面臨的威脅與防范技術[J].電子技術與軟件工程，2020（1）：249-250.