電力系統(tǒng)信息網(wǎng)絡(luò)安全防護(hù)及措施研究

◆張同偉 劉永琦

（云南電網(wǎng)有限責(zé)任公司迪慶供電局云南 6744400）

1 前言

現(xiàn)時(shí)期網(wǎng)絡(luò)環(huán)境日益復(fù)雜，電力系統(tǒng)信息網(wǎng)絡(luò)所面臨的不確定因素較多，具有較大的安全隱患。隨著電網(wǎng)規(guī)模日益擴(kuò)大，在電力系統(tǒng)運(yùn)營(yíng)的過(guò)程中，對(duì)信息網(wǎng)絡(luò)依賴性逐漸提高。因此加強(qiáng)信息網(wǎng)絡(luò)的安全防護(hù)等級(jí)，避免發(fā)生較大的信息安全事故就成為目前網(wǎng)絡(luò)建設(shè)的重要任務(wù)。在電力系統(tǒng)信息網(wǎng)絡(luò)運(yùn)營(yíng)的過(guò)程中，主要存在以下幾種安全隱患：第一，網(wǎng)絡(luò)病毒的影響。網(wǎng)絡(luò)病毒是一種能夠傳播的惡意程序，具有傳播速度快，破壞力大的特性。如果入侵到電力企業(yè)的信息系統(tǒng)中，會(huì)導(dǎo)致機(jī)密數(shù)據(jù)的泄露以及流出，安全性受到極大的威脅，造成整個(gè)電網(wǎng)系統(tǒng)無(wú)法正常運(yùn)營(yíng)，帶來(lái)無(wú)法預(yù)計(jì)的損失；第二，部分別有目的的人員攻擊電網(wǎng)數(shù)據(jù)服務(wù)系統(tǒng)，以達(dá)到竊取資源的目的，對(duì)待這種攻擊防范措施不到位的話，可能會(huì)造成巨大的損失。電力系統(tǒng)機(jī)密文件或者是數(shù)據(jù)被黑客所盜取，會(huì)帶來(lái)嚴(yán)重的后果；第三，其他不可抗力的影響。電力系統(tǒng)信息網(wǎng)絡(luò)運(yùn)營(yíng)終端為計(jì)算機(jī)，計(jì)算機(jī)本身是弱電系統(tǒng)，在運(yùn)營(yíng)服務(wù)的過(guò)程中，可能會(huì)受到各種不可抗力的影響。比如說(shuō)會(huì)遭遇雷電或者是地震洪水等不可抗力的自然災(zāi)害，這些不可抗力對(duì)于信息網(wǎng)絡(luò)安全穩(wěn)定性都會(huì)造成相應(yīng)的威脅。因此為了有效保障電力系統(tǒng)信息網(wǎng)絡(luò)的安全性，需要建立健全網(wǎng)絡(luò)安全防護(hù)體系，提高安全防護(hù)的等級(jí)，維持電網(wǎng)系統(tǒng)運(yùn)營(yíng)的整體穩(wěn)定性，是目前亟待解決的問(wèn)題。

2 電力系統(tǒng)信息網(wǎng)絡(luò)安全防護(hù)的主要措施

2.1 網(wǎng)絡(luò)防火墻技術(shù)

在電力企業(yè)信息系統(tǒng)中增加網(wǎng)關(guān)的防火墻是非常常見(jiàn)的提升其安全防護(hù)等級(jí)的做法。它能夠有效減少網(wǎng)絡(luò)被非法入侵的概率。從防火墻的本質(zhì)上來(lái)說(shuō)，它是一種身份認(rèn)證的訪問(wèn)控制技術(shù)。通過(guò)在電力系統(tǒng)信息網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)的邊界區(qū)域，搭建數(shù)據(jù)監(jiān)控系統(tǒng)，有效實(shí)現(xiàn)電力系統(tǒng)內(nèi)網(wǎng)與外網(wǎng)之間的物理隔離。網(wǎng)絡(luò)防火墻能夠有效減少外部數(shù)據(jù)的非法入侵。網(wǎng)絡(luò)防火墻主要有三部分組成，一部分是路由器，一部分是主機(jī)，另一部分是軟件系統(tǒng)。對(duì)于數(shù)據(jù)的過(guò)濾選擇時(shí)技術(shù)的核心，如果被檢測(cè)的數(shù)據(jù)與系統(tǒng)之前制定的安全訪問(wèn)的規(guī)則相匹配，網(wǎng)絡(luò)防火墻就會(huì)允許這部分?jǐn)?shù)據(jù)信息進(jìn)入到系統(tǒng)中，如果被檢測(cè)的數(shù)據(jù)不符合相應(yīng)的網(wǎng)絡(luò)安全的技術(shù)性規(guī)范標(biāo)準(zhǔn)，網(wǎng)絡(luò)防火墻會(huì)自動(dòng)將其屏蔽，防止其進(jìn)入電網(wǎng)信息網(wǎng)絡(luò)系統(tǒng)內(nèi)部。除了使用包過(guò)濾技術(shù)之外，網(wǎng)絡(luò)防火墻技術(shù)還可以使用代理以及應(yīng)用層技術(shù)。應(yīng)用層的網(wǎng)關(guān)技術(shù)又被稱為代理防火墻技術(shù)，所使用的主機(jī)一般是雙重宿主主機(jī)，同時(shí)該主機(jī)也可是堡壘主機(jī)。代理防火墻技術(shù)所使用的服務(wù)器一般是內(nèi)部用戶以及外部服務(wù)器之間，能夠有效提升網(wǎng)絡(luò)用戶的代理服務(wù)透明度。對(duì)于網(wǎng)絡(luò)服務(wù)器來(lái)說(shuō)，并不與網(wǎng)絡(luò)用戶直接連接。代理型服務(wù)器在整個(gè)系統(tǒng)網(wǎng)絡(luò)中主要起到中間傳播的作用，對(duì)網(wǎng)絡(luò)用戶的訪問(wèn)類型進(jìn)行有效的控制。同時(shí)當(dāng)互聯(lián)網(wǎng)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)網(wǎng)絡(luò)服務(wù)時(shí)，代理服務(wù)器也可以根據(jù)預(yù)先制定的安全訪問(wèn)規(guī)則，決定是否接受外部網(wǎng)絡(luò)的服務(wù)申請(qǐng)。可以將非法入侵程序以及病毒阻隔在外網(wǎng)而無(wú)法進(jìn)入內(nèi)網(wǎng)，因此有效提升了電力系統(tǒng)信息網(wǎng)絡(luò)的安全防護(hù)性。

2.2 防病毒技術(shù)

網(wǎng)絡(luò)環(huán)境日益復(fù)雜，對(duì)電力系統(tǒng)信息網(wǎng)絡(luò)安全性造成威脅的病毒也變得日益高級(jí)和難以檢測(cè)，因此需要加強(qiáng)對(duì)病毒的防范。網(wǎng)絡(luò)病毒破壞性較強(qiáng)，一旦系統(tǒng)遭到病毒攻擊，可能會(huì)導(dǎo)致機(jī)密文件或者是數(shù)據(jù)泄露，甚至?xí)?dǎo)致電力系統(tǒng)信息網(wǎng)絡(luò)的癱瘓，使其無(wú)法正常運(yùn)營(yíng)。在目前較為常見(jiàn)的網(wǎng)絡(luò)安全病毒防范技術(shù)中，主要是基于服務(wù)器的病毒防范技術(shù)，基于工作站的病毒防范芯片以及其他反病毒的技術(shù)措施等等。在以上基礎(chǔ)措施中，服務(wù)器病毒防范技術(shù)是使用最為廣泛，并且比較適宜電力系統(tǒng)信息網(wǎng)絡(luò)安全的防護(hù)。在整個(gè)電力系統(tǒng)信息網(wǎng)絡(luò)中，核心的處理設(shè)備是服務(wù)器，如果服務(wù)器被網(wǎng)絡(luò)病毒所感染，將無(wú)法啟動(dòng)正常程序，嚴(yán)重會(huì)導(dǎo)致整個(gè)系統(tǒng)的癱瘓。可以通過(guò)NLM技術(shù)，對(duì)電網(wǎng)企業(yè)信息系統(tǒng)進(jìn)行模塊化程序設(shè)計(jì)，將服務(wù)器作為整個(gè)系統(tǒng)構(gòu)造的基礎(chǔ)，可以對(duì)入侵的網(wǎng)絡(luò)病毒進(jìn)行實(shí)時(shí)的掃描，以降低被病毒感染的可能性，切斷病毒傳播的途徑，阻止其在電力系統(tǒng)信息網(wǎng)絡(luò)中蔓延。同時(shí)電力系統(tǒng)信息網(wǎng)絡(luò)安全維護(hù)管理人員需要安裝功能齊全的正版殺毒產(chǎn)品，可以對(duì)一些較為頑固的病毒，比如說(shuō)木馬病毒或者是蠕蟲(chóng)病毒進(jìn)行查殺以及防范。殺毒產(chǎn)品并不能清掃所有的病毒，需要將病毒查殺軟件與基于服務(wù)器的病毒防范技術(shù)相互聯(lián)合使用，能夠取長(zhǎng)補(bǔ)短，將兩者的優(yōu)勢(shì)融合，對(duì)整個(gè)電力系統(tǒng)的網(wǎng)絡(luò)安全也起到重要的保護(hù)性作用。

2.3 身份認(rèn)證技術(shù)

電力系統(tǒng)信息網(wǎng)絡(luò)由于自身規(guī)模比較大，應(yīng)用人群比較多，因此每天都要面對(duì)海量的用戶訪問(wèn)，這就帶來(lái)一定的安全性威脅。在電力系統(tǒng)網(wǎng)絡(luò)安全中，對(duì)于訪問(wèn)用戶實(shí)行身份認(rèn)證制度，能夠有效避免非法用戶對(duì)電力系統(tǒng)內(nèi)部信息資源的非法訪問(wèn)，以減少出現(xiàn)信息數(shù)據(jù)泄露或者是網(wǎng)絡(luò)中病毒的可能性，有效確保內(nèi)部數(shù)據(jù)信息的安全。一般在實(shí)際中采用基于CA的身份認(rèn)證制度，這種制度主要是將證書(shū)授權(quán)給使用者。每一個(gè)網(wǎng)絡(luò)證書(shū)都是由 CA中心進(jìn)行簽發(fā)并且確認(rèn)，在CA證書(shū)中一般有公開(kāi)的密鑰。除了對(duì)證書(shū)進(jìn)行簽發(fā)之外，還需要對(duì)密鑰進(jìn)行管理。比如說(shuō)，如果電力系統(tǒng)信息網(wǎng)絡(luò)內(nèi)部a用戶向b用戶進(jìn)行信息傳輸時(shí)，信息會(huì)被Hash函數(shù)轉(zhuǎn)變?yōu)橄鄳?yīng)的特征值，利用網(wǎng)絡(luò)用戶內(nèi)部的密鑰可以將其加密，進(jìn)行數(shù)字化的簽名。數(shù)字化簽名一般被放在信息文件的后部。b用戶可以借助于CA中心提供的a用戶密鑰對(duì)于密碼進(jìn)行破解，然后再生成相應(yīng)的特征數(shù)值。如果特征是如具有一致性，說(shuō)明信息是由用戶所發(fā)出，因此可以予以接收，降低了網(wǎng)絡(luò)信息傳播的安全隱患。在網(wǎng)絡(luò)授權(quán)以及身份認(rèn)證制度中引入CA證書(shū)，能夠有效提高網(wǎng)絡(luò)信息數(shù)據(jù)的安全性。

2.4 病毒防范措施

電力企業(yè)應(yīng)該集中設(shè)置病毒防范管理系統(tǒng)，電力系統(tǒng)信息網(wǎng)絡(luò)安全網(wǎng)絡(luò)中，防范病毒的服務(wù)器不能同時(shí)管理電力系統(tǒng)的1區(qū)和2區(qū)；在電力系統(tǒng)中，全部服務(wù)器以及工作站都應(yīng)該設(shè)置相應(yīng)的防病毒產(chǎn)品，增加防病毒客戶端的安裝；電力系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該以電子郵件網(wǎng)絡(luò)獨(dú)立布置，在電子郵件網(wǎng)絡(luò)服務(wù)器前端設(shè)置相應(yīng)的殺毒軟件，安裝完善的病毒網(wǎng)，這種做法能夠有效抑制病毒通過(guò)電子郵件的方式在電力系統(tǒng)信息網(wǎng)絡(luò)中的傳播；在電力信息系統(tǒng)以及互聯(lián)網(wǎng)端的接口處，需要設(shè)置病毒網(wǎng)關(guān)，這種網(wǎng)關(guān)能夠有效阻止蠕蟲(chóng)或者是木馬病毒在電力系統(tǒng)信息網(wǎng)絡(luò)中的蔓延；需要不斷加強(qiáng)電力系統(tǒng)，信息管理的安全性，加強(qiáng)對(duì)于病毒的防范管理技術(shù)，及時(shí)更新庫(kù)內(nèi)的病毒特征碼；對(duì)于防火墻以及網(wǎng)關(guān)所查到的病毒特征以及類型，需要重點(diǎn)分析給電力系統(tǒng)所帶來(lái)的威脅，從而能夠正確維護(hù)電力系統(tǒng)信息安全的穩(wěn)定性和安全性。

2.5 采用物理隔離的措施

在電力系統(tǒng)信息網(wǎng)絡(luò)中，為了確保網(wǎng)絡(luò)具有較為安全的單向傳輸?shù)男阅?，可以采用專用物理隔離措施，借助于物理隔離島以及雙處理器技術(shù)，外加電力系統(tǒng)信息網(wǎng)絡(luò)的單向傳輸控制技術(shù)，能夠有效實(shí)現(xiàn)電力系統(tǒng)信息網(wǎng)絡(luò)的安全防護(hù)。在這專用的隔離裝置可以設(shè)置在電力企業(yè)的DCS系統(tǒng)中，主要目的是實(shí)現(xiàn)兩者的相互隔離，達(dá)到物理區(qū)分的目的，有效實(shí)現(xiàn)整體的穩(wěn)定性。對(duì)于非控制的生產(chǎn)區(qū)域和管理系統(tǒng)之間能夠?qū)崿F(xiàn)網(wǎng)絡(luò)隔離，也可以將安全區(qū)域3和4之間進(jìn)行物理隔離。有效確保電力系統(tǒng)不同的安全區(qū)域能夠?qū)崿F(xiàn)及時(shí)有效的數(shù)據(jù)傳輸，確保物理隔離的實(shí)現(xiàn)。通過(guò)專有的電力系統(tǒng)信息網(wǎng)絡(luò)隔離措施，能夠有效防止黑客以及病毒對(duì)于系統(tǒng)所造成的危害，從而最大可能提升計(jì)算機(jī)信息網(wǎng)絡(luò)的安全性以及穩(wěn)定性。

在電力系統(tǒng)中進(jìn)行手機(jī)防護(hù)，能夠有效防止計(jì)算機(jī)病毒或者是其他惡意的軟件，減少病毒的預(yù)期。在進(jìn)行互聯(lián)網(wǎng)進(jìn)行連接時(shí)，減少病毒系統(tǒng)癱瘓的概率，不需要對(duì)系統(tǒng)進(jìn)行重新啟動(dòng)，只需要按鈕點(diǎn)擊就可以恢復(fù)到正常的狀態(tài)。加強(qiáng)主機(jī)的防護(hù)，對(duì)于維護(hù)服務(wù)器系統(tǒng)安全就有十分重要的作用。

2.6 其他信息安全技術(shù)

主動(dòng)防御系統(tǒng)：主動(dòng)防御技術(shù)主要從提升信息系統(tǒng)的安全性出發(fā)，以技術(shù)性手段作為主要的切入點(diǎn)，可以采用分區(qū)域進(jìn)行安全記錄，動(dòng)態(tài)進(jìn)行系統(tǒng)感知，全面進(jìn)行系統(tǒng)防護(hù)的原則，將原有的被動(dòng)性防御轉(zhuǎn)變?yōu)橹鲃?dòng)性防御。

持續(xù)性的技術(shù)工作：安全運(yùn)營(yíng)維護(hù)人員需要對(duì)于國(guó)際信息安全發(fā)展趨勢(shì)以及行為進(jìn)行持續(xù)性的追蹤，并且及時(shí)應(yīng)用相關(guān)的先進(jìn)技術(shù)。

超前的部署：在電力系統(tǒng)信息網(wǎng)絡(luò)安全防護(hù)中，需要立足于現(xiàn)實(shí)條件，從大局出發(fā)，也考慮到信息技術(shù)的超前性，可以使用云計(jì)算以及大數(shù)據(jù)和虛擬應(yīng)用技術(shù)等實(shí)際成果，以提升電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的等級(jí)。

及時(shí)更新計(jì)算機(jī)的設(shè)備：在電力系統(tǒng)安全預(yù)防中要加強(qiáng)計(jì)算機(jī)設(shè)備的更新，盡量使用相同的計(jì)算機(jī)設(shè)備，減少因?yàn)樵O(shè)備的兼容問(wèn)題而產(chǎn)生的傳輸性障礙。

3 結(jié)束語(yǔ)

隨著信息技術(shù)的發(fā)展，電力系統(tǒng)信息網(wǎng)絡(luò)安全防護(hù)技術(shù)得到了飛速的發(fā)展，需要加強(qiáng)電力系統(tǒng)信息網(wǎng)絡(luò)安全的重視程度，增強(qiáng)網(wǎng)絡(luò)防火墻的攔截能力，增強(qiáng)病毒的防范措施，加強(qiáng)物理隔離措施，增強(qiáng)主動(dòng)檢測(cè)的強(qiáng)度，加強(qiáng)組織的防護(hù)，確保整個(gè)電力系統(tǒng)安全防護(hù)等級(jí)。