新型電力系統(tǒng)通信網(wǎng)安全防護(hù)研究

摘要：新型電力系統(tǒng)面臨著新能源大規(guī)模、高比例并網(wǎng)，用戶側(cè)多元負(fù)荷廣泛接入等多重挑戰(zhàn)，需要通信網(wǎng)實(shí)現(xiàn)電力能源的源網(wǎng)荷儲(chǔ)各環(huán)節(jié)信息的全面融合，強(qiáng)化通信安全性驗(yàn)證和技術(shù)監(jiān)測管理，部署通信網(wǎng)的整體安全防護(hù)策略。提升安全管控能力是通信網(wǎng)有效承載業(yè)務(wù)的關(guān)鍵保障。電力數(shù)據(jù)通信網(wǎng)作為電力信息系統(tǒng)的承載網(wǎng)絡(luò)，對其進(jìn)行安全管控，對于保障電網(wǎng)安全穩(wěn)定運(yùn)行具有十分重要的意義。本文從網(wǎng)絡(luò)基本安全措施、人員安全管控、業(yè)務(wù)安全接入以及對新風(fēng)險(xiǎn)的響應(yīng)和對新技術(shù)的應(yīng)用等方面，研究數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的方法，希望能夠借由這些方法的實(shí)施，有效提升電力通信網(wǎng)的安全防護(hù)水平。

關(guān)鍵詞：電力通信；網(wǎng)絡(luò)安全；業(yè)務(wù)接入

一、引言

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)對經(jīng)濟(jì)、政治、社會(huì)等各領(lǐng)域的滲透和與各行業(yè)的融合趨勢越來越明顯，相應(yīng)的，網(wǎng)絡(luò)安全問題也逐步提升至國家戰(zhàn)略層面。新型電力系統(tǒng)面臨著新能源大規(guī)模、高比例并網(wǎng)，用戶側(cè)多元負(fù)荷廣泛接入等多重挑戰(zhàn)，需要通信網(wǎng)實(shí)現(xiàn)電力能源的源網(wǎng)荷儲(chǔ)各環(huán)節(jié)信息的全面融合，強(qiáng)化通信安全性驗(yàn)證和技術(shù)監(jiān)測管理，加強(qiáng)通信網(wǎng)的整體安全防護(hù)策略。電力通信網(wǎng)作為電力信息系統(tǒng)的支撐網(wǎng)絡(luò)，強(qiáng)化網(wǎng)絡(luò)防御能力，對于維護(hù)電網(wǎng)安全穩(wěn)定運(yùn)行具有十分重要的意義。本文從電力網(wǎng)絡(luò)基本安全措施、人員安全管控、業(yè)務(wù)安全接入、關(guān)注新風(fēng)險(xiǎn)和利用新技術(shù)等四個(gè)方面，對電力通信網(wǎng)安全問題進(jìn)行闡述。

二、基本安全措施

（一）設(shè)備安全

電力數(shù)據(jù)通信網(wǎng)設(shè)備主要由路由器和交換機(jī)組成。加強(qiáng)設(shè)備本身的安全性，是保證通信網(wǎng)絡(luò)安全的基礎(chǔ)，具體包括強(qiáng)化訪問控制策略、關(guān)閉風(fēng)險(xiǎn)性協(xié)議、禁用高危端口和加強(qiáng)網(wǎng)管安全等方面內(nèi)容。設(shè)備安全策略如表1所示。

（二）數(shù)據(jù)安全

針對數(shù)據(jù)安全，需制定完善的數(shù)據(jù)管控方法，如加強(qiáng)對網(wǎng)絡(luò)拓?fù)?、設(shè)備IP地址、設(shè)備配置參數(shù)、設(shè)備臺(tái)賬信息等敏感數(shù)據(jù)的保密管理；落實(shí)數(shù)據(jù)分級分類管控要求，強(qiáng)化數(shù)據(jù)使用全過程安全審查；加強(qiáng)重要數(shù)據(jù)識別，制定數(shù)據(jù)脫敏規(guī)范，強(qiáng)化敏感信息防護(hù)。同時(shí)，對于設(shè)備調(diào)試和數(shù)據(jù)存儲(chǔ)，應(yīng)用專用的移動(dòng)存儲(chǔ)介質(zhì)；對于廢舊設(shè)備，需要清除數(shù)據(jù)后及時(shí)進(jìn)行報(bào)廢操作。此外，還應(yīng)禁止第三方人員將個(gè)人設(shè)備接入數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)。

（三）網(wǎng)絡(luò)架構(gòu)安全

網(wǎng)絡(luò)架構(gòu)的安全性，應(yīng)全面考慮設(shè)備選型、網(wǎng)絡(luò)隔離、協(xié)議安全、物理環(huán)境安全和電廠等廠站接入安全等多個(gè)方面。

1.美國棱鏡計(jì)劃（PRISM）的曝光為我國的網(wǎng)絡(luò)安全敲響了警鐘。為保證電力系統(tǒng)網(wǎng)絡(luò)安全，在設(shè)備選型中必須應(yīng)用國產(chǎn)自主品牌設(shè)備。

2.電力系統(tǒng)網(wǎng)絡(luò)安全應(yīng)充分考慮網(wǎng)絡(luò)之間的安全隔離，保證數(shù)據(jù)通信網(wǎng)和互聯(lián)網(wǎng)的完全隔離設(shè)計(jì)，并盡量避免系統(tǒng)接入WIFI等無線終端設(shè)備。

3.協(xié)議安全方面，在網(wǎng)絡(luò)內(nèi)部核心層、匯聚層和接入層等各個(gè)層次的互聯(lián)上，實(shí)施IGP內(nèi)鏈路互聯(lián)的安全加密驗(yàn)證，BGP鄰居建立過程中的加密認(rèn)證。在不同的VPN之間設(shè)計(jì)RT值，以保證關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)的信息不被大面積擴(kuò)散。

4.物理環(huán)境安全方面，制定嚴(yán)格的機(jī)房管理規(guī)范，嚴(yán)格貫徹落實(shí)機(jī)房出入管理制度和機(jī)房巡視制度，非機(jī)房管理人員進(jìn)入機(jī)房應(yīng)辦理申請手續(xù)，保證人員在進(jìn)入前申請，進(jìn)入時(shí)有專人陪同，離開后完成登記報(bào)備。進(jìn)入機(jī)房人員如果需要操作機(jī)房內(nèi)設(shè)備，需要有明確的操作手續(xù)及申請。同時(shí)，還應(yīng)加強(qiáng)對電廠等單位的設(shè)備管控。

5.加強(qiáng)對電廠等單位的設(shè)備管控，嚴(yán)格站點(diǎn)網(wǎng)絡(luò)的接入審批。對于接入的電廠等站點(diǎn)，按照接入層的設(shè)備，執(zhí)行嚴(yán)格的安全管控策略后方可加入網(wǎng)絡(luò)。

三、人員安全管控

（一）本單位人員管控

針對本單位人員的安全管控工作，需健全安全管控組織機(jī)構(gòu)，編制安全責(zé)任清單，明確每個(gè)人的安全責(zé)任職責(zé)。針對全體員工加強(qiáng)安全培訓(xùn)和宣傳教育工作，要求員工做到不違規(guī)外聯(lián)，不利用電腦打開危險(xiǎn)程序，開啟殺毒軟件對郵件附件的掃描功能，不輕易點(diǎn)開陌生及不可信鏈接，若接收到可疑郵件，需立即上報(bào)處。針對關(guān)鍵崗位人員加強(qiáng)安全保密教育，要求員工做到保密數(shù)據(jù)不泄露，保密人員離崗及時(shí)進(jìn)行權(quán)限回收及賬號注銷等工作。

（二）第三方人員管控

針對進(jìn)入機(jī)房作業(yè)的第三方人員，必須進(jìn)行相關(guān)培訓(xùn)，同時(shí)，要求其簽訂保密協(xié)議和保密承諾書。第三方人員在機(jī)房作業(yè)過程中，應(yīng)有本單位專業(yè)人員陪同及監(jiān)護(hù)。此外，還應(yīng)禁止第三方人員將個(gè)人設(shè)備接入數(shù)據(jù)通信網(wǎng)系統(tǒng)。

（三）完善漏洞修復(fù)流程

制定完善的漏洞修復(fù)流程，確保出現(xiàn)漏洞時(shí)能夠快速響應(yīng)[4]。

四、業(yè)務(wù)安全接入

（一）業(yè)務(wù)接入情況

電力系統(tǒng)管理信息大區(qū)有辦公內(nèi)網(wǎng)系統(tǒng)、視頻監(jiān)控、語音通信、電源監(jiān)測等各類業(yè)務(wù)。數(shù)據(jù)通信網(wǎng)業(yè)務(wù)的安全接入能力，直接關(guān)系到智能電網(wǎng)環(huán)境下電力信息底層安全，因引起高度重視。數(shù)據(jù)通信網(wǎng)的業(yè)務(wù)安全接入按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則進(jìn)行頂層架構(gòu)設(shè)計(jì)，保證一、二區(qū)和三、四區(qū)的業(yè)務(wù)隔離。

（二）業(yè)務(wù)通過管控設(shè)備策略

在業(yè)務(wù)側(cè)，防火墻、IDS、IPS等安全基礎(chǔ)設(shè)施，可有效提供身份認(rèn)證、安全接入、訪問控制等各項(xiàng)功能。這些功能要有效發(fā)揮作用，需要數(shù)據(jù)通信網(wǎng)設(shè)計(jì)合理的數(shù)據(jù)流方向，保證所有的業(yè)務(wù)流能夠通過部署的網(wǎng)絡(luò)安全防護(hù)管理設(shè)備。實(shí)現(xiàn)該功能，有兩種方法：第一種方法是，應(yīng)用訪問控制列表修改路由的走向。這種方法的優(yōu)點(diǎn)是網(wǎng)絡(luò)結(jié)構(gòu)簡單，但后期數(shù)據(jù)運(yùn)維工作量大；第二種方法是，利用二級VPN策略加強(qiáng)安全管理。一級VPN應(yīng)用于非信任區(qū)，二級VPN應(yīng)用于信任區(qū)，將防火墻部署在一級VPN和二級VPN之間，保證所有數(shù)據(jù)向外訪問全部通過網(wǎng)絡(luò)安全防護(hù)管理設(shè)備，從而降低信息安全隱患（如圖2）。

（三）業(yè)務(wù)安全接入標(biāo)準(zhǔn)

新業(yè)務(wù)系統(tǒng)接入數(shù)據(jù)網(wǎng)之前，需經(jīng)過安全測試，合格后入網(wǎng)。安全測試檢查項(xiàng)目如表2。對于重要的業(yè)務(wù)服務(wù)器，IP地址進(jìn)行NAT轉(zhuǎn)換，保證業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)不被識別和暴露。

五、關(guān)注新風(fēng)險(xiǎn)，利用新技術(shù)

除了上述網(wǎng)絡(luò)安全管理辦法外，安全管理人員還需要與時(shí)俱進(jìn)，關(guān)注新風(fēng)險(xiǎn)——對新的安全風(fēng)險(xiǎn)進(jìn)行及時(shí)防御，利用新技術(shù)——有效利用大數(shù)據(jù)、云計(jì)算等智能動(dòng)態(tài)防御新技術(shù)、新工具，雙管齊下，有效提升網(wǎng)絡(luò)安全防護(hù)能力。

（一）關(guān)注新風(fēng)險(xiǎn)

2017年，全球大面積爆發(fā)了針對Windows操作系統(tǒng)的勒索軟件攻擊。它利用“EnternalBlue”（藍(lán)之永恒）漏洞安裝后門釋放Wana Crypt0勒索病毒，從而加密用戶設(shè)備上的所有文檔文件以進(jìn)行勒索。該病毒暴發(fā)后，為了避免病毒攻擊，需要開啟445端口。為了提高對病毒防控的響應(yīng)效率，安全管理人員迅速在數(shù)據(jù)通信網(wǎng)上確定445端口沒有特定用途后，及時(shí)關(guān)閉了高危端口，為PC機(jī)安裝系統(tǒng)補(bǔ)丁爭取了寶貴時(shí)間。

（二）利用新技術(shù)

在進(jìn)行網(wǎng)絡(luò)安全防護(hù)的過程中，安全管理人員可以采用新的技術(shù)方法，提高防護(hù)水平。例如，采集設(shè)備Log，通過分析Log中的異常，有助于及時(shí)發(fā)現(xiàn)問題并解決問題。一個(gè)地市的數(shù)據(jù)通信網(wǎng)設(shè)備約為500臺(tái)，利用人工分析非常耗費(fèi)時(shí)間，采用人工智能技術(shù)，對收集的Log建立大數(shù)據(jù)分析，通過查找異常日志數(shù)據(jù)發(fā)現(xiàn)問題，能夠有效提高工作效率，強(qiáng)化網(wǎng)絡(luò)攻擊態(tài)勢感知。安全管理人員還可利用堡壘機(jī)進(jìn)行設(shè)備登錄的審計(jì)管控，利用漏洞掃描工具進(jìn)行系統(tǒng)漏洞掃描等，這些新技術(shù)手段的利用，能夠提升安全管理人員的工作效率，有效加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)。

六、結(jié)束語

互聯(lián)網(wǎng)的開放性特征導(dǎo)致網(wǎng)絡(luò)自身的安全隱患永遠(yuǎn)無法根除，所以，網(wǎng)絡(luò)安全防護(hù)工作任重道遠(yuǎn)。通過應(yīng)用一項(xiàng)或者幾項(xiàng)方法很難一勞永逸地解決網(wǎng)絡(luò)安全防護(hù)問題，這就需要根據(jù)電力通信的實(shí)際工作情況，進(jìn)行科學(xué)的安全網(wǎng)絡(luò)頂層設(shè)計(jì)，部署細(xì)致全面的多維防護(hù)策略，從而提升網(wǎng)絡(luò)安全防護(hù)能力。

作者單位：王東蕊 劉曉琳 侯鑫垚 王靜 國網(wǎng)冀北電力有限公司唐山供電公司

參考文獻(xiàn)

[1]郭敏曉，楊宏偉.圍繞“碳中和”愿景能源與環(huán)境領(lǐng)域?qū)⒊尸F(xiàn)六方面的變化趨勢“十三五”能源與環(huán)境形勢及“十四五”展望[J].中國能源，2021，43（03）：19-23.

[2]國家能源局：我國可再生能源實(shí)現(xiàn)跨躍式發(fā)展——我國可再生能源發(fā)展有關(guān)情況介紹 [J]. 中國電業(yè)，2021，（04）：6-9.

[3]曾鳴，許彥斌. 綜合能源系統(tǒng)要義：源網(wǎng)荷儲(chǔ)一體化+ 多能互補(bǔ)[N].中國能源報(bào)，2021-04-12（004）.

[4]張玉卓，蔣文化，俞珠峰等.世界能源發(fā)展趨勢及對我國能源革命的啟示[J]. 中國工程科學(xué)，2015，17（09）：140-145.

[5]張馴，李志茹，袁暉等.智能電網(wǎng)信息系統(tǒng)安全防護(hù)措施研究與探討[J].電力信息與通信技術(shù)，2015，13（02）：110-114.

[6]王盛邦.網(wǎng)絡(luò)與信息安全綜合實(shí)踐[M].北京：清華大學(xué)出版社，2016.

[7]管小娟，何高峰，周誠等.智能電網(wǎng)信息內(nèi)外網(wǎng)邊界安全監(jiān)測模型研究[J].電力信息與通信技術(shù)，2016，14（04）：66-69.

[8]趙剛.信息安全管理與風(fēng)險(xiǎn)評估[M].北京：清華大學(xué)出版社，2016.