如何做好電廠二次網(wǎng)絡(luò)安全隔離與管理

華潤電力（常熟）有限公司 陸 琳

隨著電力企業(yè)的不斷發(fā)展，在進(jìn)行電力資源的生產(chǎn)與配置過程中，需通過二次網(wǎng)絡(luò)的調(diào)節(jié)管理更好地優(yōu)化電廠服務(wù)，使高質(zhì)量的電能資源能按照提前設(shè)計(jì)好的分流方式實(shí)現(xiàn)供應(yīng)配給。在系統(tǒng)內(nèi)二次網(wǎng)絡(luò)的運(yùn)行與應(yīng)用過程中必須重視安全防護(hù)問題，特別是對于一些利用網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)惡意攻擊和病毒入侵的問題中必須通過安全隔離的方式加強(qiáng)保護(hù)效果，使電廠電力資源生產(chǎn)與供電配給的核心信息能得到有效防護(hù)，避免出現(xiàn)數(shù)據(jù)竊取等影響電廠正常運(yùn)轉(zhuǎn)的現(xiàn)象。

1 電廠企業(yè)中的二次網(wǎng)絡(luò)管理概述

黑客網(wǎng)絡(luò)攻擊。黑客攻擊是一種被動(dòng)性的電廠企業(yè)二次網(wǎng)絡(luò)運(yùn)行安全隱患，主要是指一些黑客通過計(jì)算機(jī)竊取的方式在網(wǎng)絡(luò)連接的過程當(dāng)中獲取電廠企業(yè)生產(chǎn)運(yùn)行的一些機(jī)要信息，對其決策發(fā)展與電力供應(yīng)等產(chǎn)生了極大的安全威脅。在攻擊過程當(dāng)很有可能會(huì)通過內(nèi)外兩層網(wǎng)絡(luò)連接的形式實(shí)現(xiàn)多效攻擊，而一些常見防火墻與保護(hù)裝置等很難有效應(yīng)對這種高技術(shù)的網(wǎng)絡(luò)信息竊取。一些黑客在盜用電廠企業(yè)運(yùn)行參數(shù)后還會(huì)通過惡意修改方式影響電力生產(chǎn)設(shè)備的正常運(yùn)轉(zhuǎn)，不僅造成了企業(yè)巨大經(jīng)濟(jì)損失，還有可能會(huì)因設(shè)備參數(shù)間不匹配而造成不可逆安全隱患事故，是較為嚴(yán)重的一種網(wǎng)絡(luò)管理風(fēng)險(xiǎn)。

木馬病毒入侵。木馬病毒是通過一些非法鏈接的形式對電力企業(yè)二次網(wǎng)絡(luò)實(shí)現(xiàn)病毒植入的一種方式，特別是在網(wǎng)絡(luò)連接與移動(dòng)連接過程中很容易通過一些搭載性的設(shè)備與線路實(shí)現(xiàn)病毒的轉(zhuǎn)移，也是一種較為常見的電力企業(yè)二次網(wǎng)絡(luò)攻擊現(xiàn)象。在木馬與蠕蟲等網(wǎng)絡(luò)病毒入侵二次網(wǎng)絡(luò)過程當(dāng)中會(huì)造成大量電腦設(shè)備癱瘓故障，無法對電力系統(tǒng)中其他電器設(shè)備發(fā)出對應(yīng)的操作命令，留存了較大的系統(tǒng)運(yùn)行安全隱患問題。在木馬病毒影響下，一些后臺(tái)信息的端口鏈入很有可能會(huì)通過無限復(fù)制的方式被攻破，許多機(jī)要信息都會(huì)直接暴露在病毒前，一些病毒植入者會(huì)通過非法操作與遠(yuǎn)程控制方式對電力企業(yè)的二次網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)猛烈攻擊。

2 電力企業(yè)的二次網(wǎng)絡(luò)區(qū)域設(shè)計(jì)與防護(hù)

網(wǎng)絡(luò)分區(qū)防護(hù)。在電力企業(yè)運(yùn)轉(zhuǎn)過程中需不同的信息參數(shù)和工作部門協(xié)同配合才能完成穩(wěn)定的電力資源輸出，意味著在進(jìn)行二次網(wǎng)絡(luò)調(diào)試與運(yùn)轉(zhuǎn)過程中須實(shí)現(xiàn)有效的分區(qū)設(shè)計(jì)才能提高整體防護(hù)效果，也能在出現(xiàn)惡意攻擊和病毒入侵情況下快速封鎖對應(yīng)區(qū)塊，將企業(yè)的損失控制在最低限度內(nèi)。在進(jìn)行分區(qū)防護(hù)過程中，要利用較為科學(xué)的方式進(jìn)行安全區(qū)域的關(guān)聯(lián)性處理，在這些區(qū)域內(nèi)搭建有效連接通道的同時(shí)，通過不同的系統(tǒng)加密方法實(shí)現(xiàn)安全防護(hù)與封鎖隔離，確保在系統(tǒng)運(yùn)行過程中只能有掌握密碼的安全管理人員才能實(shí)現(xiàn)統(tǒng)一的系統(tǒng)登錄與查驗(yàn)，有效提升了區(qū)域隔離與防護(hù)效果。

橫向隔離防護(hù)。橫向隔離是指在二次網(wǎng)絡(luò)區(qū)域設(shè)計(jì)中實(shí)現(xiàn)橫向上的安全劃分，在每一個(gè)橫向模塊中利用防火墻實(shí)現(xiàn)有效保護(hù)，整體隔離的形式更為精確清晰。針對一般規(guī)模的電廠生產(chǎn)運(yùn)行而言，在橫向隔離防護(hù)的應(yīng)用過程中劃分3個(gè)區(qū)域即可，并在防火墻的連接過程中應(yīng)用一些物理性的隔離裝置實(shí)現(xiàn)橫向網(wǎng)絡(luò)間的雙向信息交換隔離，有效保證了在不同網(wǎng)絡(luò)區(qū)域內(nèi)信息流轉(zhuǎn)時(shí)的獨(dú)立性與安全性。橫向隔離防護(hù)在電力企業(yè)二次網(wǎng)絡(luò)設(shè)計(jì)中可提前通過系統(tǒng)改造的方式實(shí)現(xiàn)，需設(shè)計(jì)人員提前考慮到二次網(wǎng)絡(luò)循環(huán)的信息體量、隔離防護(hù)效果、信息保障需求等多維度的參數(shù)進(jìn)行科學(xué)劃分處理，不斷優(yōu)化網(wǎng)絡(luò)系統(tǒng)當(dāng)中的橫向防護(hù)效果。

縱向認(rèn)證防護(hù)?？v向的認(rèn)證防護(hù)設(shè)計(jì)是和橫向隔離形成相對應(yīng)的一種安全防護(hù)對策，在實(shí)踐應(yīng)用過程中也有較好表現(xiàn)。在橫向認(rèn)證系統(tǒng)中加強(qiáng)了在不同區(qū)塊劃分邊緣連接處的安全認(rèn)證效用，即管理人員在使用安全密碼進(jìn)行登陸時(shí)還需完成縱向的認(rèn)證處理，只有通過雙重加密保護(hù)的賬號(hào)才能完成對應(yīng)權(quán)限的電廠信息獲取，是一種更為有效且精密的二次網(wǎng)絡(luò)系統(tǒng)防護(hù)對策[1]。在縱向系統(tǒng)邊緣連接處也設(shè)置了對應(yīng)的防火墻以更好地對抗?jié)撛诘牟《疚C(jī)，在雙重保障的應(yīng)用過程當(dāng)中也能更好地和權(quán)限的分級(jí)隔離間形成有效銜接，在充分保障信息安全的基礎(chǔ)上使電廠內(nèi)部二次網(wǎng)絡(luò)安全管理系統(tǒng)更加精確可靠。

3 電力企業(yè)二次網(wǎng)絡(luò)管理辦法分析

物理隔離設(shè)計(jì)。物理隔離的防護(hù)應(yīng)用是從二次網(wǎng)絡(luò)的區(qū)域設(shè)計(jì)實(shí)行的一種有效防護(hù)對策，通過切斷內(nèi)外網(wǎng)絡(luò)聯(lián)系的方式更好地維護(hù)了內(nèi)部網(wǎng)絡(luò)運(yùn)轉(zhuǎn)的高效與穩(wěn)定，是一種能從根本上解決黑客攻擊和病毒入侵的防護(hù)手段[2]。在二次網(wǎng)絡(luò)運(yùn)行過程中只能在電廠內(nèi)部實(shí)現(xiàn)聯(lián)通與流轉(zhuǎn)，而互聯(lián)網(wǎng)則因人為處理的方式實(shí)現(xiàn)了切斷，有效確保了在互聯(lián)網(wǎng)平臺(tái)中一些存在的安全風(fēng)險(xiǎn)性能夠和電廠的二次網(wǎng)絡(luò)間形成有效隔離，也進(jìn)一步保障了內(nèi)部網(wǎng)絡(luò)中的一些客戶用電與電力生產(chǎn)信息的安全性。物理隔離系統(tǒng)的應(yīng)用并不是只在電廠內(nèi)完全不涉及互聯(lián)網(wǎng)的連接，而是指應(yīng)用一種更加先進(jìn)的技術(shù)手段介入到內(nèi)網(wǎng)與外網(wǎng)之間，通過處理器雙向切換的方式有效實(shí)現(xiàn)了隔離防護(hù)。

分級(jí)授權(quán)管理。由于電力企業(yè)在經(jīng)營發(fā)展的過程當(dāng)中規(guī)模會(huì)逐漸擴(kuò)大，而電力資源的生產(chǎn)也需多個(gè)技術(shù)工作崗位協(xié)同配合后才能有效完成。為切實(shí)保障二次網(wǎng)絡(luò)循環(huán)的安全性，需對工作人員的登錄權(quán)限做好分級(jí)授權(quán)。二次網(wǎng)絡(luò)中的分區(qū)需安全密碼才能登陸，而針對一些較為核心的電廠信息須要有管理層小范圍內(nèi)掌握其安全密碼，做好集中性的保密預(yù)處理。管理人員在登錄對應(yīng)的權(quán)限等級(jí)后只能查閱相關(guān)數(shù)據(jù)信息而不能實(shí)現(xiàn)后臺(tái)修改、復(fù)制等操作，這也是從系統(tǒng)設(shè)計(jì)方面根本杜絕了內(nèi)部信息泄露的可能性，是目前大規(guī)模電廠企業(yè)內(nèi)部管理中常用的一種工作模式，是一種從技術(shù)手段優(yōu)化上切實(shí)實(shí)行的安全防護(hù)措施[3]。

網(wǎng)絡(luò)容災(zāi)備份。在電廠運(yùn)行過程中會(huì)受到設(shè)備壽命、自然環(huán)境等多方因素影響，特別是對一些突發(fā)性和不可預(yù)防性的災(zāi)害須采用切實(shí)有效的緊急預(yù)案處理，對電廠二次網(wǎng)絡(luò)中的相關(guān)重要參數(shù)信息進(jìn)行備份轉(zhuǎn)移，有效避免了信息損壞與丟失問題。在二次網(wǎng)絡(luò)協(xié)同中需建立電子化的信息數(shù)據(jù)庫，特別是對一些用戶與經(jīng)營間的數(shù)據(jù)須開辟數(shù)據(jù)庫專用空間進(jìn)行儲(chǔ)存，在進(jìn)行容災(zāi)備份時(shí)能快速利用已搭建好的傳輸線路實(shí)現(xiàn)高效復(fù)制，切實(shí)保障了對機(jī)要信息維護(hù)的有效性[4]。在一些電廠電氣設(shè)備運(yùn)行故障突發(fā)情況下，可通過容災(zāi)備份信息重載的方式對其進(jìn)行修復(fù)處理，特別是對新更換設(shè)備零件，錄入運(yùn)行參數(shù)后能更好地實(shí)現(xiàn)應(yīng)用匹配、保證高效運(yùn)轉(zhuǎn)。

移動(dòng)存儲(chǔ)管理。移動(dòng)存儲(chǔ)的管理過程中須做好對病毒的預(yù)防與查殺，特別是對一些移動(dòng)存儲(chǔ)設(shè)備在接入到電廠內(nèi)網(wǎng)系統(tǒng)時(shí)須進(jìn)行嚴(yán)格檢驗(yàn)后才能插入，否則會(huì)有一些攜帶性的病毒通過移動(dòng)硬盤、U盤等進(jìn)入到二次網(wǎng)絡(luò)中實(shí)現(xiàn)攻擊與竊取。在進(jìn)行數(shù)據(jù)信息備份時(shí)，要注意對其機(jī)密等級(jí)進(jìn)行合理判斷，只有符合可復(fù)制存儲(chǔ)要求的信息數(shù)據(jù)才能通過移動(dòng)存儲(chǔ)設(shè)備進(jìn)行轉(zhuǎn)移，而其他一些機(jī)密性的信息須應(yīng)用系統(tǒng)防護(hù)的有效方式減少惡意攻擊和數(shù)據(jù)外流的可能性[5]。在一些安全隔離等級(jí)較高的空間區(qū)域內(nèi)，移動(dòng)存儲(chǔ)設(shè)備的使用也應(yīng)受到一定的限制與要求，還有一些容易被忽略的光盤、媒體設(shè)備等也很容易存在病毒的搭載現(xiàn)象，須實(shí)行全面防護(hù)查殺以有力促進(jìn)電廠二次網(wǎng)絡(luò)的運(yùn)行安全。

系統(tǒng)安全審計(jì)。由于網(wǎng)絡(luò)技術(shù)的不斷更新與發(fā)展，電廠二次網(wǎng)絡(luò)管理的安全防護(hù)與隔離系統(tǒng)也需定期進(jìn)行審計(jì)和升級(jí)，結(jié)合已有系統(tǒng)運(yùn)行參數(shù)進(jìn)行安全性能的評估、還有一些市面上已存在的攻擊病毒特點(diǎn)實(shí)現(xiàn)有效融合后提升系統(tǒng)的防護(hù)效力，使安全隔離系統(tǒng)能隨著計(jì)算機(jī)網(wǎng)絡(luò)的技術(shù)進(jìn)行同向革新。在系統(tǒng)運(yùn)維與檢修過程中須做好詳細(xì)信息備份與記錄，特別是對一些故障損壞性問題需通過資料備份方式實(shí)現(xiàn)有效記錄保留，便于在進(jìn)行后續(xù)排查與工作移交時(shí)能保障完整性[6]。對一些已發(fā)生系統(tǒng)安全事件，需采用更加精細(xì)化的升級(jí)記錄方式將事件類型、經(jīng)過與結(jié)果等予以妥善留存，并和對應(yīng)的電廠二次網(wǎng)絡(luò)安全防護(hù)管理實(shí)現(xiàn)有效工作對接。

總之，在電力企業(yè)的二次網(wǎng)絡(luò)管理過程中，可應(yīng)用一些物理性的隔離設(shè)計(jì)，通過切斷內(nèi)外網(wǎng)絡(luò)聯(lián)系的方式有效維護(hù)電廠內(nèi)部的管理安全性，避免了一些網(wǎng)絡(luò)病毒和黑客攻擊通過聯(lián)網(wǎng)方式影響二次網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)。針對不同工作要求的人員在進(jìn)行二次網(wǎng)絡(luò)登錄時(shí)要通過分級(jí)授權(quán)方式進(jìn)行區(qū)分，特別是一些機(jī)要性信息須實(shí)現(xiàn)高度保密。在網(wǎng)絡(luò)中出現(xiàn)突發(fā)災(zāi)害情況時(shí)須及時(shí)做好信息備份管理，利用平臺(tái)安全防護(hù)的方式快速實(shí)現(xiàn)信息的移交，做好安全防護(hù)的把關(guān)。