電力監控系統通信安全技術研究與應用

康 鵬

（山東黃金電力有限公司，山東 萊州 261400）

0 引 言

為了促進我國電力系統運行水平的提升，應對信息通信網絡安全問題進行深入分析與探討。通過采取有效的防護措施保證電力監控系統通信安全，提升電力系統的穩定性，從而使企業的供電質量可以得到提高。

1 電力系統通信網絡概述

電力系統信息通信網絡具有專業性與綜合性特點。專業性是指網絡技術、電力系統等操作必須由專業的工作人員才能完成，對信息通信和電力系統不夠了解的工作人員無法勝任這項工作，也無法參與深入的管理工作。信息通信網絡具有綜合性強的特點，其中涉及自動化技術、電力技術、計算機技術等，內容非常復雜。如果國家的科學技術水平不高，將會影響電力系統通信網絡技術的發展[1]。我國地域遼闊，不同地區的經濟發展程度和用電需求也存在較大差異，影響電力系統通信網絡的運營效果和建設規模。

工控系統主要由電網各個部分自動化控制子系統構成，在高新信息技術發展過程中，異構終端被接入到工控系統中，使得數據呈現多元化，影響了網絡安全防護系統的作用。人們對于網絡安全問題有所忽視，對于網絡運行中出現漏洞沒有及時解決，如果受到外界攻擊，會造成很大的經濟損失[2]。隨著電力系統智能化建設，操作人員的工作量得到減少，工作強度得到減輕，但是對其技術要求更為嚴格。在人工操作過程中，電力系統通信網絡受其影響較大。目前，一些電力企業對于員工的培訓不到位，導致相關人員的操作水平不能滿足電力系統的要求，從而造成一些不安全的操作隱患，對電力系統的穩定運行造成影響。電力通信網的構成如圖1所示。

圖1 電力通信網

2 電力監控信息安全存在的主要問題

首先，網絡設備中存在一定的風險。設備維修過程中難免會有人為漏洞，系統安全性不能得到保障。如果系統被黑客入侵，將會造成不可估量的后果。此外，部分網絡設備中存在一些能夠被喚醒的程序，如果被惡意利用，將會導致電力系統通信網絡中斷或設備癱瘓。

其次，系統內部存在一定的安全風險。在信息技術不斷發展的過程中，網絡信息系統對電力系統的影響較大[3]。例如，計算機中產生的電輻射會干擾電力監控系統，使之產生安全風險。在電力系統無線傳輸過程中，如果沒有進行加密，則電力系統容易受到人為的攻擊或者破壞。

3 電力監控自動化系統中的信息安全防護設計

3.1 安全隔離設計

在電力系統網絡安全防護中，可以通過安全隔離設計保護電力系統的信息安全。

3.1.1 防火墻設計

通過防火墻設計，可以實現對電力監控自動化系統內網和外網的隔離，保障信息的安全性。在設計防火墻時，通過過濾等方式對電力監控自動化系統中的內網環境進行保護。當前，防火墻技術可以發揮有效的隔離作用，在標記、預防和跟蹤攻擊等方面有著非常重要的作用。但是，防火墻也只能起到防護的作用，不能對存在的漏洞進行修補。如果信息風險是由系統程序本身引起的，防火墻的作用就無法體現出來。例如，防火墻對于電子郵件類型的病毒植入就不能有效辨別，從而失去防護效用，此時需要通過物理隔離的方法來解決[4]。

3.1.2 物理隔離

物理隔離是在防火墻的基礎上發展而來，通過硬件設備對主機和主機、主機和網絡、網絡和網絡實現物理隔離。信息安全防護設計應嚴格控制物理隔離設備的標準，對信息傳遞進行控制，通過多級訪問制提升物理隔離的防護水平。物理隔離需要有多個接口，工作人員利用不同的接口對系統的運行進行監督，做到實時監控，保障安全管理。

3.2 安全區的劃分

在電力監控自動化系統中，信息安全防護設計主要采用劃分安全區域的方式，一般從橫向和縱向兩個方向出發，對安全區的防護應用進行分析。某電廠電力監控自動化系統分為橫向、縱向安全路徑，包括安全1區、安全2區和安全3區。

橫向安全設計中，在安全1區和安全2區中間位置設置斷開點，通過連接防火墻對內網到外網以及外網到內網的數據包進行過濾，并對信息的流向進行控制，做好安全風險防范。

縱向安全設計一般分為兩個部分。一部分是在電力監控自動化系統中實現安全1區和安全2區與長站端連接，并在自動化設備中進行加密認證，保證縱向信息流能夠規范流通，防止信息泄露；另一部分主要是在電力監控廠站端將二次系統中遠方撥號的通信設置改為認證加密設置，防止信息出現丟失的問題[5]。監控系統安全分區及邊界防護如圖2所示。

圖2 監控系統安全分區及邊界防護圖

3.3 信息安全防護

電力監控自動化系統也要進行安全區分，通過調度自動化、通信自動化以及配電自動化進行連接。電廠生產現場能夠實現實時監控，中心數據通過路由器和防火墻過濾篩選后輸送到自動化系統。在區域電力信息安全管理系統中接入防火墻以及調度指揮管理系統，可以在物理隔離和防火墻的隔離作用下接入到通信自動化區域中，防護各個區域電力信息安全，保證電力監控自動化系統的安全性，防止出現被竊取和干擾的問題。

4 電力監控系統安全防護要點

4.1 提升安全防護人員自身素質和專業能力

為了保證通信網絡安全的運行，應強化防護人員系統操作能力。在通信網絡安全防護工作中，工作人員需要不斷提升自身素質和專業能力，可以通過手機App中的學習軟件隨時學習。電力公司可以借助互聯網組織培訓，提供線上培訓平臺，并在培訓后進行考核。此外，電力企業還可以開展各種通信網絡安全防護比賽和演練活動，通過比賽和演練提高工作人員對通信網絡安全系統的重視。在實際網絡安全攻防演練中，可以圍繞“以攻促防、攻防結合；政企聯動，全面應急”的原則展開，采用模擬競賽的方式組織員工模擬攻擊網上營業廳系統。參賽人員可以被分為多個小組進行網絡安全攻防競賽，讓員工在實際操作中加深理解。

4.2 加強網絡安全監控體系

在電力監控系統網絡關鍵節點中，可以部署安全審計、工業入侵檢測以及日志審計系統，監測網絡流量，對操作中出現的異常做好相關記錄，方便后續進行取證和定責。在網絡運行過程中，加強對數據包的檢測和分析。對于存在的異常數據或者非法操作的數據包進行深入分析，分辨其是否存在外界入侵或者不合規的操作。對于存在的異常情況進行審計，并發出警報，實地現場運維人員可以及時處理。在進行安全審計過程中，對于出現的故障能夠進行分析，同時對于不完善的地方可以優化部署，為安全保護類設備的安全策略提供數據支持。此外，還可以對安全事件的數據進行整合、分析和評估，為安全事件追溯、追責提供證據。

4.3 加強區域邊界安全建設

在電力通信系統通信安全技術應用過程中，通過專業隔離實現對產品邊界的防護，對于存在的漏洞和攻擊行為進行攔截與警告。

4.4 加強計算環境安全建設

在電力通信系統安全防護過程中，還應建設安全的計算環境。計算環境安全管理包括入侵檢測、惡意代碼防護、剩余信息保護、系統漏洞、安全審計以及外設管理等。在實際安全防護工作中，可以采用白名單技術保證軟件和程序的正常運行，加強對代碼的審計工作和監測，通過完整監測法發現程序被修改后采取措施。對USB接口和網絡端口的情況進行實時監控，提供自定義的外設管理，對非授權外設接入進行嚴格控制，并提供完備的操作日志，泄密事故發生后可以從操作日志中追溯泄密文件、日期以及設備等信息，為后續的追責提供證據。對此，通過安裝漏洞掃描系統，為客戶提供專業的漏洞分析，并提出漏洞修補的建議，從而做到防患于未然。

4.5 加強安全防御體系建設

在系統建設過程中，經常會出現身份不確定、過程不可控、事中不透明、授權不清晰、事后無法審計以及責任不明等問題，導致存在運維風險。在電力監控系統運維系統中，應實現對網絡設備、服務器、安全設備的監控。對賬號進行集中管理，應用訪問授權、高強度認證加固、加密與圖形操作協議審計等，實現可控、可見、可管狀態，對運維操作步驟進行規范，防止出現失誤操作，也可以防止非授權操作帶來的隱患。在原有防范系統的基礎上，加強安全管理平臺對現場設備和軟件的集中管理，通過統一的策略配置接口確保設備和軟件的運行狀態正常。在安全防護設置中，對裝置進行統一的配置和管理，對網絡通信的流量與安全事件進行監測，降低安全威脅，消除信息孤島，從整體角度進行安全攻擊溯源，解決安全防護設備和運維導致的信息不流暢等問題。在電力通信網絡安全技術應用過程中，應重視物理設備的安全。為了保證設備安全穩定運行，合適的物理環境尤為關鍵。一般而言，需要實時監測和調整機房的溫濕度，同時還要做好防火、防水、防靜電以及防雷擊等安全防護工作。

5 結 論

為了解決電力通信網絡安全問題，應當加強網絡信息安全防護，保證電力供應的穩定性和安全性。在電網運行過程中，應通過信息通信安全防護措施提升系統的安全性能，有效抵御惡意攻擊和破壞，提高智能電網建設水平，從而提升供電可靠性和供電質量。