供電公司信息安全防護(hù)技術(shù)方案的研究

鄧 濤

（國(guó)網(wǎng)湖南省電力有限公司郴州供電分公司，湖南 郴州 423000）

0 引 言

隨著社會(huì)經(jīng)濟(jì)的發(fā)展，現(xiàn)代社會(huì)對(duì)電力的需求不斷增大，這對(duì)供電公司的供電能力提出了更高要求。為提升電力網(wǎng)絡(luò)的供電水平，電力公司在電力網(wǎng)絡(luò)管理中引入信息技術(shù)，并開放了通信協(xié)議中的TCP/IP協(xié)議。這雖然提升了電力網(wǎng)絡(luò)的通信效率，但是降低了電力網(wǎng)絡(luò)的信息安全水平。信息安全風(fēng)險(xiǎn)因素不會(huì)直接對(duì)人員的生命健康造成威脅，但是會(huì)導(dǎo)致信息泄露或是設(shè)備損壞，從而造成較大的經(jīng)濟(jì)損失。現(xiàn)代電力系統(tǒng)的信息化水平明顯提升，但規(guī)模巨大的電力網(wǎng)絡(luò)也成為承受眾多已知和未知技術(shù)攻擊的載體，對(duì)電力系統(tǒng)的穩(wěn)定性運(yùn)行造成了巨大威脅。因此，需深入研究供電公司信息安全防護(hù)方案，進(jìn)而提升電力網(wǎng)絡(luò)的安全水平。

1 電力系統(tǒng)信息安全問題

1.1 外部因素

常見的外部因素是病毒攻擊。病毒的隱蔽性強(qiáng)，破壞性大，其中網(wǎng)絡(luò)病毒廣泛存在于下載的文件和網(wǎng)絡(luò)中心，并隨著信息的傳輸實(shí)現(xiàn)指數(shù)級(jí)傳播，如熊貓燒香和震網(wǎng)病毒等[1]。這些病毒有的會(huì)收集用戶信息，破壞系統(tǒng)；有的會(huì)直接破壞計(jì)算機(jī)硬件，潛伏期難以被發(fā)現(xiàn)，清除也相當(dāng)困難，對(duì)信息安全造成了很大威脅。對(duì)電力系統(tǒng)來(lái)說(shuō)，最重要的是保證電力的穩(wěn)定供應(yīng)。一方面病毒會(huì)破壞電力系統(tǒng)，導(dǎo)致發(fā)生電力事故；另一方面是黑客的攻擊，一般會(huì)侵入電力系統(tǒng)數(shù)據(jù)庫(kù)攔截信息，主要目的是盜取網(wǎng)絡(luò)信息從中牟利，過程中可能會(huì)破壞關(guān)鍵信息，影響電力系統(tǒng)的穩(wěn)定性，甚至可能導(dǎo)致電力系統(tǒng)癱瘓。

1.2 內(nèi)部因素

由于經(jīng)營(yíng)管理需要，電力企業(yè)內(nèi)部不同系統(tǒng)部門之間信息共享。利用網(wǎng)絡(luò)進(jìn)行信息傳輸能夠提升工作效率，但由于網(wǎng)絡(luò)具有很大的開放性，使得不法分子盜取信息有機(jī)可乘，極大地威脅著電力企業(yè)的信息安全。電力企業(yè)內(nèi)部的信息安全防護(hù)水平與網(wǎng)絡(luò)技術(shù)的發(fā)展速度相比存在很大的滯后性，同時(shí)內(nèi)部工作人員普遍缺乏信息安全防護(hù)意識(shí)，相關(guān)的信息安全管理制度也不完善，很多企業(yè)的信息安全防護(hù)系統(tǒng)都存在較大漏洞。這種漏洞既體現(xiàn)在技術(shù)層面也體現(xiàn)在管理層面，導(dǎo)致電力企業(yè)易遭受網(wǎng)絡(luò)攻擊，并且防護(hù)能力較差。

2 電力企業(yè)信息安全隱患分析

2.1 硬件較為落后

隨著電力企業(yè)信息安全意識(shí)的加強(qiáng)，電力系統(tǒng)使用的辦公電腦都安裝了防護(hù)軟件。這些防護(hù)軟件一般是由省級(jí)電力公司統(tǒng)一部署，但是從實(shí)際安裝情況看，很多企業(yè)安裝的都是不能聯(lián)網(wǎng)更新的單機(jī)版瑞星殺毒軟件，每年都會(huì)出現(xiàn)大量新型病毒，而單機(jī)版的殺毒軟件的防護(hù)能力有效。另外，很多單位還在使用Windows xp版本的系統(tǒng)，而微軟公司已經(jīng)停止了對(duì)該版本系統(tǒng)的更新維護(hù)，無(wú)法從系統(tǒng)層面保證信息安全。此外，電力企業(yè)很多內(nèi)網(wǎng)終端沒有安全防護(hù)軟件，因此無(wú)法有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊。一旦發(fā)生黑客入侵或其他技術(shù)手段的攻擊，將給電力企業(yè)帶來(lái)巨大的經(jīng)濟(jì)損失。為保證信息安全，電力企業(yè)需建立完善的信息數(shù)據(jù)備份系統(tǒng)。但是，絕大部分電力企業(yè)沒有重視信息備份，因此在遭受信息安全事故后，恢復(fù)生產(chǎn)變得相對(duì)困難。為提升電力網(wǎng)絡(luò)性能，電力公司經(jīng)常會(huì)上線一些新的網(wǎng)絡(luò)設(shè)備，但在這些設(shè)備投入使用前并沒有進(jìn)行詳細(xì)的信息安全檢查。大部分廠商只負(fù)責(zé)安裝調(diào)試，但不提供相應(yīng)的安全服務(wù)，因此電力網(wǎng)絡(luò)的安全防護(hù)能力較弱。此外，由于缺乏安全審計(jì)系統(tǒng)，一旦信息遭到攻擊，對(duì)事件追溯將變得困難，一些日志信息遭受破壞很難恢復(fù)，因此難以根據(jù)信息攻擊的特征進(jìn)行有針對(duì)性的安全防護(hù)。

2.2 對(duì)信息安全沒有引起重視

有關(guān)數(shù)據(jù)統(tǒng)計(jì)顯示，全球每年因信息安全引發(fā)的損失超過千億。近些年，國(guó)家越來(lái)越重視對(duì)信息安全的保護(hù)，出臺(tái)了《網(wǎng)絡(luò)安全法》，有效遏制打擊了網(wǎng)絡(luò)信息黑產(chǎn)，信息安全也被社會(huì)大眾所關(guān)注。目前，大多數(shù)電力企業(yè)的信息安全意識(shí)有所提升，但由于缺乏專業(yè)的信息安全人員，導(dǎo)致企業(yè)信息安全防護(hù)能力不足。信息安全防護(hù)對(duì)專業(yè)性有很高要求，但企業(yè)的領(lǐng)導(dǎo)者不一定是該專業(yè)出身，所以導(dǎo)致對(duì)信息安全防護(hù)管理的認(rèn)知水平較低。

3 供電公司信息安全防護(hù)方案

供電公司需要構(gòu)筑全面的信息安全防護(hù)體系。評(píng)估現(xiàn)有的信息安全防護(hù)方案，可從技術(shù)層面檢測(cè)企業(yè)的信息安全能力，根據(jù)安全評(píng)估的結(jié)果找出企業(yè)安全系統(tǒng)存在的漏洞，從而制定安全防護(hù)方案，從多個(gè)維度提升企業(yè)的信息安全水平。系統(tǒng)層面應(yīng)正確配置防火墻，保證入侵檢測(cè)系統(tǒng)能夠發(fā)揮作用，建立有效的安全認(rèn)證系統(tǒng)，有效提升企業(yè)信息安全防護(hù)水平。此外，建立安全分區(qū)，以提升電力網(wǎng)絡(luò)的信息安全水平。專網(wǎng)專用保證網(wǎng)絡(luò)設(shè)備不會(huì)遭受大規(guī)模的病毒感染，同時(shí)將橫向隔離與縱向認(rèn)證相結(jié)合。

3.1 安全分區(qū)

電力網(wǎng)絡(luò)的規(guī)模較大，電力企業(yè)部門眾多，增加了信息安全管理難度。建立安全分區(qū)一方面可以有效降低信息安全管理的難度，減少工作量，另一方面能提升網(wǎng)絡(luò)的安全性，降低網(wǎng)絡(luò)攻擊造成的損失。對(duì)各類系統(tǒng)進(jìn)行分類，劃分不同的功能區(qū)，一般劃分成生產(chǎn)控制區(qū)和信息管理區(qū)兩個(gè)主要區(qū)域[2]。生產(chǎn)控制區(qū)控制生產(chǎn)類業(yè)務(wù)，如發(fā)電和傳輸?shù)?，?duì)電力企業(yè)具有十分重要的意義。另外，生產(chǎn)控制區(qū)還可細(xì)分為控制一區(qū)（控制區(qū)）和控制二區(qū)（非控制區(qū)）。信息管理區(qū)是指不直接參與生產(chǎn)的系統(tǒng)，主要涉及企業(yè)日常管理環(huán)節(jié)，同樣可以進(jìn)行細(xì)分，但不能影響生產(chǎn)控制區(qū)的控制一區(qū)和控制二區(qū)。

3.2 網(wǎng)絡(luò)專用

電力企業(yè)中，電力監(jiān)控系統(tǒng)十分重要，需優(yōu)先保證監(jiān)控系統(tǒng)的安全性。監(jiān)控系統(tǒng)一般單獨(dú)架構(gòu)，所使用的網(wǎng)絡(luò)也是獨(dú)立的。監(jiān)控系統(tǒng)的網(wǎng)絡(luò)也被稱為調(diào)度數(shù)據(jù)網(wǎng)，可實(shí)現(xiàn)與其他電力網(wǎng)絡(luò)在物理層面上的隔離。調(diào)度數(shù)據(jù)網(wǎng)劃分為實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別實(shí)現(xiàn)對(duì)控制區(qū)和非控制區(qū)的信息傳輸，實(shí)現(xiàn)雙向冗余。

3.3 橫向隔離

電力監(jiān)控系統(tǒng)屬于生產(chǎn)控制區(qū)，在電力系統(tǒng)中具有十分關(guān)鍵的作用，同時(shí)也是容易受到網(wǎng)絡(luò)攻擊的系統(tǒng)。為了保證電力監(jiān)控信息安全，有必要保證網(wǎng)絡(luò)的獨(dú)立性。因此，生產(chǎn)控制區(qū)與管理信息區(qū)需要物理隔離，使用獨(dú)立的網(wǎng)絡(luò)。在生產(chǎn)控制區(qū)與管理信息區(qū)之間設(shè)置專門的隔離裝置，使得一個(gè)分區(qū)遭受網(wǎng)絡(luò)攻擊不會(huì)對(duì)另一個(gè)分區(qū)造成影響。

為進(jìn)一步提升網(wǎng)絡(luò)安全性，管理信息區(qū)與生產(chǎn)控制區(qū)的各個(gè)子系統(tǒng)也需要安全隔離（如圖1所示），但隔離的級(jí)別低于生產(chǎn)控制區(qū)與信息管理區(qū)的隔離，只需進(jìn)行邏輯隔離就能滿足網(wǎng)絡(luò)信息安全的需求，但需要在各個(gè)系統(tǒng)間布置訪問控制設(shè)備，有效防止網(wǎng)絡(luò)攻擊的蔓延，常見的是網(wǎng)絡(luò)防火墻安全設(shè)備。

3.4 縱向認(rèn)證

圖1 網(wǎng)絡(luò)安全隔離策略

電力系統(tǒng)的信息安全防護(hù)一方面是防止網(wǎng)絡(luò)攻擊對(duì)電力系統(tǒng)的正常運(yùn)行造成影響，另一方是防止電力系統(tǒng)的信息泄露[3]。防止重要的電力信息被黑客破譯造成信息泄露，需要加大信息安全防護(hù)的力度，同時(shí)對(duì)信息進(jìn)行加密，這樣即使黑客獲取了電力系統(tǒng)的信息也無(wú)法解讀。想要實(shí)現(xiàn)這一點(diǎn)需要重點(diǎn)加強(qiáng)生產(chǎn)控制區(qū)的防護(hù)，在生產(chǎn)控制區(qū)和廣域網(wǎng)的縱向連接處加強(qiáng)安全防護(hù)，尤其是需要對(duì)信息進(jìn)行加密。同時(shí)，電力系統(tǒng)的信息傳輸體系中需要設(shè)置相應(yīng)的加密裝置，以保證加密的效果。

3.5 邊界防護(hù)

以上措施是加強(qiáng)網(wǎng)絡(luò)體系的內(nèi)部信息安全，但僅僅對(duì)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)等級(jí)進(jìn)行加強(qiáng)是不夠的，還需要提高網(wǎng)絡(luò)邊界的安全防護(hù)等級(jí)。邊界防護(hù)是建立網(wǎng)絡(luò)信息安全防護(hù)體系中最容易忽視的部分，易出現(xiàn)防護(hù)遺漏或防護(hù)不全面問題。邊界防護(hù)要嚴(yán)格控制私自外聯(lián)現(xiàn)象，如果發(fā)生私自外聯(lián)現(xiàn)象，將會(huì)對(duì)網(wǎng)絡(luò)安全防護(hù)體系造成很大的威脅。為防止私自外聯(lián)現(xiàn)象的發(fā)生，可刪除系統(tǒng)中無(wú)關(guān)的路由。邊界防護(hù)需要加強(qiáng)人員的信息安全意識(shí)，監(jiān)督檢查私自外聯(lián)現(xiàn)象，盡可能防止發(fā)生私自外聯(lián)現(xiàn)象。

3.6 改變能源的供給方式

能源的供給方式對(duì)電力企業(yè)的信息安全有很大影響，可通過優(yōu)化能源的供給方式提升信息安全的防護(hù)水平，而大數(shù)據(jù)技術(shù)可以在這方面發(fā)揮作用。從用戶角度看，用戶的用電行為受到很多因素影響。實(shí)際的能源供給中，一般采用微網(wǎng)分布式能源供給。另外，太陽(yáng)能和風(fēng)電在接入時(shí)需要與前端用戶的用電行為結(jié)合，但實(shí)現(xiàn)低成本、高效率的能源供給很困難[4]。利用大數(shù)據(jù)技術(shù)可以分析用戶的用電行為，優(yōu)化能源的供給配置，統(tǒng)計(jì)電力網(wǎng)絡(luò)中的異?，F(xiàn)象，能對(duì)網(wǎng)絡(luò)攻擊起到預(yù)警作用，提升電力系統(tǒng)的信息安全防護(hù)水平。

3.7 完善信息安全管理制度

對(duì)供電公司來(lái)說(shuō)，完善安全管理制度十分必要。首先，工作人員必須提高信息安全防護(hù)意識(shí)，防止日常工作中信息泄露。針對(duì)一些關(guān)鍵性部門和關(guān)鍵性資料，需要將信息備份，并將備份信息單獨(dú)保存，提升電力網(wǎng)絡(luò)的信息安全水平。其次，需要嚴(yán)格控制網(wǎng)絡(luò)訪問人員的資質(zhì)，不同的工作職能給予不同的訪問權(quán)限，定期備份數(shù)據(jù)庫(kù)的內(nèi)容，一旦發(fā)生意外，可以迅速恢復(fù)數(shù)據(jù)庫(kù)信息。最后，加強(qiáng)對(duì)網(wǎng)絡(luò)信息安全人才的引進(jìn)和培養(yǎng)，有效提升供電公司的信息安全水平。

4 結(jié) 論

隨著科技的發(fā)展，供電公司的信息化水平有了顯著提高，但也帶來(lái)了一定的信息安全問題，對(duì)電力網(wǎng)絡(luò)安全性造成了很大威脅。因此，需要重視完善供電公司信息安全防護(hù)技術(shù)方案，不斷提升企業(yè)的信息安全水平，保證供電網(wǎng)絡(luò)的穩(wěn)定性。