新型電力系統通信網安全防護研究

摘要：新型電力系統面臨著新能源大規模、高比例并網，用戶側多元負荷廣泛接入等多重挑戰，需要通信網實現電力能源的源網荷儲各環節信息的全面融合，強化通信安全性驗證和技術監測管理，部署通信網的整體安全防護策略。提升安全管控能力是通信網有效承載業務的關鍵保障。電力數據通信網作為電力信息系統的承載網絡，對其進行安全管控，對于保障電網安全穩定運行具有十分重要的意義。本文從網絡基本安全措施、人員安全管控、業務安全接入以及對新風險的響應和對新技術的應用等方面，研究數據網絡安全防護的方法，希望能夠借由這些方法的實施，有效提升電力通信網的安全防護水平。

關鍵詞：電力通信；網絡安全；業務接入

一、引言

隨著計算機技術的飛速發展，互聯網對經濟、政治、社會等各領域的滲透和與各行業的融合趨勢越來越明顯，相應的，網絡安全問題也逐步提升至國家戰略層面。新型電力系統面臨著新能源大規模、高比例并網，用戶側多元負荷廣泛接入等多重挑戰，需要通信網實現電力能源的源網荷儲各環節信息的全面融合，強化通信安全性驗證和技術監測管理，加強通信網的整體安全防護策略。電力通信網作為電力信息系統的支撐網絡，強化網絡防御能力，對于維護電網安全穩定運行具有十分重要的意義。本文從電力網絡基本安全措施、人員安全管控、業務安全接入、關注新風險和利用新技術等四個方面，對電力通信網安全問題進行闡述。

二、基本安全措施

（一）設備安全

電力數據通信網設備主要由路由器和交換機組成。加強設備本身的安全性，是保證通信網絡安全的基礎，具體包括強化訪問控制策略、關閉風險性協議、禁用高危端口和加強網管安全等方面內容。設備安全策略如表1所示。

（二）數據安全

針對數據安全，需制定完善的數據管控方法，如加強對網絡拓撲、設備IP地址、設備配置參數、設備臺賬信息等敏感數據的保密管理；落實數據分級分類管控要求，強化數據使用全過程安全審查；加強重要數據識別，制定數據脫敏規范，強化敏感信息防護。同時，對于設備調試和數據存儲，應用專用的移動存儲介質；對于廢舊設備，需要清除數據后及時進行報廢操作。此外，還應禁止第三方人員將個人設備接入數據網絡系統。

（三）網絡架構安全

網絡架構的安全性，應全面考慮設備選型、網絡隔離、協議安全、物理環境安全和電廠等廠站接入安全等多個方面。

1.美國棱鏡計劃（PRISM）的曝光為我國的網絡安全敲響了警鐘。為保證電力系統網絡安全，在設備選型中必須應用國產自主品牌設備。

2.電力系統網絡安全應充分考慮網絡之間的安全隔離，保證數據通信網和互聯網的完全隔離設計，并盡量避免系統接入WIFI等無線終端設備。

3.協議安全方面，在網絡內部核心層、匯聚層和接入層等各個層次的互聯上，實施IGP內鏈路互聯的安全加密驗證，BGP鄰居建立過程中的加密認證。在不同的VPN之間設計RT值，以保證關鍵業務節點的信息不被大面積擴散。

4.物理環境安全方面，制定嚴格的機房管理規范，嚴格貫徹落實機房出入管理制度和機房巡視制度，非機房管理人員進入機房應辦理申請手續，保證人員在進入前申請，進入時有專人陪同，離開后完成登記報備。進入機房人員如果需要操作機房內設備，需要有明確的操作手續及申請。同時，還應加強對電廠等單位的設備管控。

5.加強對電廠等單位的設備管控，嚴格站點網絡的接入審批。對于接入的電廠等站點，按照接入層的設備，執行嚴格的安全管控策略后方可加入網絡。

三、人員安全管控

（一）本單位人員管控

針對本單位人員的安全管控工作，需健全安全管控組織機構，編制安全責任清單，明確每個人的安全責任職責。針對全體員工加強安全培訓和宣傳教育工作，要求員工做到不違規外聯，不利用電腦打開危險程序，開啟殺毒軟件對郵件附件的掃描功能，不輕易點開陌生及不可信鏈接，若接收到可疑郵件，需立即上報處。針對關鍵崗位人員加強安全保密教育，要求員工做到保密數據不泄露，保密人員離崗及時進行權限回收及賬號注銷等工作。

（二）第三方人員管控

針對進入機房作業的第三方人員，必須進行相關培訓，同時，要求其簽訂保密協議和保密承諾書。第三方人員在機房作業過程中，應有本單位專業人員陪同及監護。此外，還應禁止第三方人員將個人設備接入數據通信網系統。

（三）完善漏洞修復流程

制定完善的漏洞修復流程，確保出現漏洞時能夠快速響應[4]。

四、業務安全接入

（一）業務接入情況

電力系統管理信息大區有辦公內網系統、視頻監控、語音通信、電源監測等各類業務。數據通信網業務的安全接入能力，直接關系到智能電網環境下電力信息底層安全，因引起高度重視。數據通信網的業務安全接入按照“安全分區、網絡專用、橫向隔離、縱向認證”的原則進行頂層架構設計，保證一、二區和三、四區的業務隔離。

（二）業務通過管控設備策略

在業務側，防火墻、IDS、IPS等安全基礎設施，可有效提供身份認證、安全接入、訪問控制等各項功能。這些功能要有效發揮作用，需要數據通信網設計合理的數據流方向，保證所有的業務流能夠通過部署的網絡安全防護管理設備。實現該功能，有兩種方法：第一種方法是，應用訪問控制列表修改路由的走向。這種方法的優點是網絡結構簡單，但后期數據運維工作量大；第二種方法是，利用二級VPN策略加強安全管理。一級VPN應用于非信任區，二級VPN應用于信任區，將防火墻部署在一級VPN和二級VPN之間，保證所有數據向外訪問全部通過網絡安全防護管理設備，從而降低信息安全隱患（如圖2）。

（三）業務安全接入標準

新業務系統接入數據網之前，需經過安全測試，合格后入網。安全測試檢查項目如表2。對于重要的業務服務器，IP地址進行NAT轉換，保證業務數據網絡結構不被識別和暴露。

五、關注新風險，利用新技術

除了上述網絡安全管理辦法外，安全管理人員還需要與時俱進，關注新風險——對新的安全風險進行及時防御，利用新技術——有效利用大數據、云計算等智能動態防御新技術、新工具，雙管齊下，有效提升網絡安全防護能力。

（一）關注新風險

2017年，全球大面積爆發了針對Windows操作系統的勒索軟件攻擊。它利用“EnternalBlue”（藍之永恒）漏洞安裝后門釋放Wana Crypt0勒索病毒，從而加密用戶設備上的所有文檔文件以進行勒索。該病毒暴發后，為了避免病毒攻擊，需要開啟445端口。為了提高對病毒防控的響應效率，安全管理人員迅速在數據通信網上確定445端口沒有特定用途后，及時關閉了高危端口，為PC機安裝系統補丁爭取了寶貴時間。

（二）利用新技術

在進行網絡安全防護的過程中，安全管理人員可以采用新的技術方法，提高防護水平。例如，采集設備Log，通過分析Log中的異常，有助于及時發現問題并解決問題。一個地市的數據通信網設備約為500臺，利用人工分析非常耗費時間，采用人工智能技術，對收集的Log建立大數據分析，通過查找異常日志數據發現問題，能夠有效提高工作效率，強化網絡攻擊態勢感知。安全管理人員還可利用堡壘機進行設備登錄的審計管控，利用漏洞掃描工具進行系統漏洞掃描等，這些新技術手段的利用，能夠提升安全管理人員的工作效率，有效加強網絡系統的安全防護。

六、結束語

互聯網的開放性特征導致網絡自身的安全隱患永遠無法根除，所以，網絡安全防護工作任重道遠。通過應用一項或者幾項方法很難一勞永逸地解決網絡安全防護問題，這就需要根據電力通信的實際工作情況，進行科學的安全網絡頂層設計，部署細致全面的多維防護策略，從而提升網絡安全防護能力。

作者單位：王東蕊 劉曉琳 侯鑫垚 王靜 國網冀北電力有限公司唐山供電公司

參考文獻

[1]郭敏曉，楊宏偉.圍繞“碳中和”愿景能源與環境領域將呈現六方面的變化趨勢“十三五”能源與環境形勢及“十四五”展望[J].中國能源，2021，43（03）：19-23.

[2]國家能源局：我國可再生能源實現跨躍式發展——我國可再生能源發展有關情況介紹 [J]. 中國電業，2021，（04）：6-9.

[3]曾鳴，許彥斌. 綜合能源系統要義：源網荷儲一體化+ 多能互補[N].中國能源報，2021-04-12（004）.

[4]張玉卓，蔣文化，俞珠峰等.世界能源發展趨勢及對我國能源革命的啟示[J]. 中國工程科學，2015，17（09）：140-145.

[5]張馴，李志茹，袁暉等.智能電網信息系統安全防護措施研究與探討[J].電力信息與通信技術，2015，13（02）：110-114.

[6]王盛邦.網絡與信息安全綜合實踐[M].北京：清華大學出版社，2016.

[7]管小娟，何高峰，周誠等.智能電網信息內外網邊界安全監測模型研究[J].電力信息與通信技術，2016，14（04）：66-69.

[8]趙剛.信息安全管理與風險評估[M].北京：清華大學出版社，2016.