电力系统信息组网的若干安全问题

顾飞 张敏

摘要 网络用户的多样化以及Internet已经渗透到各个领域。客观地说，没有任何一个网络能够免受安全的困扰。电力系统是一个独立庞大的组织，其内部信息组网同样难免有各种安全问题，本文细致分析当前网络安全的各个方面，把电力组网中应该遵守的部分予以总结。

关键词 网络系统；信息安全；入侵检测

中图分类号TM7 文献标识码A 文章编号 1674-6708（2011）43-0075-02

Some Security Problem of the Network Information Systems of Electricity Systems

GU Fei，ZHANG Min

Chuzhou suburban Electricity Company limited CO LTD，Chuzhou 239000

Abstract With the diversity of internet users and internet have been sink into every area. Objectively, no one internet can abstain boring of safe. Electricity System is a form with single and large, but inner information is also hard to avoid any other safety issues. This essay carefully analysis every safety aspects of internet currently, and summarize which issues should abbey in electricity internet.

Keywords Network systems；Information security；Intrusion detection

社会在进步，各种技术发展突飞猛进，互联网亦然。一方面，随着全球各种人群的介入，网络黑客的各种手段攻击和入侵手段多样和密集；另一方面，各行各业与互联网的联系越来越密切，互联网信息成为关键的一环。网络安全以及网络数据信息的安全，正在成为与公司，政府，国防，以及个人的切身利益有重大关联的头等大事。没有任何一个网络能够免受安全的困扰，依据Financial Times曾做过的统计，平均每20s就有一个网络遭到入侵。仅在美国，每年由于网络安全问题造成的经济损失就超过100亿美元。

中国电力电网公司的行业特殊性导致电力系统分支庞大，很多分公司，供电所，电厂已经相配套的能源设施分布复杂，经常跨省跨地区，设置国外设置分公司，偏远山区的供电所，变电站多不胜数。电力公司总部，各公司各分支部门的业务网，信息网，收费服务网相互交叉，如何合理安排，如何合理连接，如何保证各部门高效安全进行信息交流和沟通是电力组网网络管理部门必须解决的头等大事。

省市一级的公司、总部规模一般都比较大，相应的业务组网都采用专用专线，通过租借网络运营商来连接总部，分部的业务信息等内网，在内部网络上进行内部的业务信息沟通，这种组网方式存在的问题在于组网贵，信息不安全，网络覆盖率差，很多偏远地方也没有能力让专线覆盖到，这些多公司的整体业务规划，运营模式都造成了很多反向影响。

网络安全系统是一个要求高可靠性和安全性的网络系统，若干重要的公文信息在网络传输过程中不可泄露，如果数据被黑客修改或者删除，那么就会严重的影响工作。所以安全产品的选型事关重大，要提到国家战略的高度来衡量，否则一旦被黑客或者敌国攻入，其代价将是不能想象的。

网络与信息安全平台的任务就是创建一个完善的安全防护体系，对所有非法网络行为，如越权访问、病毒传播、恶意破坏等等，做到事前预防、事中报警并阻止，事后能有效的将系统恢复。著名的木桶原理（木桶的容量由其最短的木板决定）在网络安全里尤其适用。所以，我们的方案必须是一个完整的网络安全解决方案，对网络安全的每一个环节，都要有仔细的考虑。所以网络安全系统方案必须遵循如下原则：

全局考虑：遵循中心统一调配，各单位分类分别监察的原则，水总是从最矮的环节漏出，全局整体考虑，不遗漏。

综合协调：网络安全不单靠技术措施，必须结合管理，在各地方建立网络安全设施体系的同时必须建立相应的制度和管理体系。

保持平衡：安全措施的实施必须以根据安全级别和经费限度统一考虑，保持协调。网络中相同安全级别的保密强度保持一致。

集中管理：所有的数据产品要求在数据中心进行集中管理，这样才能保证在中心服务器上可以掌握备份和处理全局敏感数据。

交叉控制：防火墙产品在管理上面不仅在数据中心可以完全控制外，在地方还需要分配适当的角色使地方可以在自己的权利下修改和查看防火墙策略和审计。

综上所述，一个好的网络安全解决方案应该由如下几个部分组成：

1）防火墙

网络防火墙是保证网络数据和控制安全的重要防线，阻隔网络黑客的恶意攻击。其主要作用是根据网络访问数据的来源和目的对访问数据流识别，禁止非法访问，放行合法数据流。其最大的意义就是筑起一道防护墙，提供统一的安全策略。降低管理成本和内在风险。所以设置安全策略是非常重要的

2）入侵检测

检测入侵就是通过扫描访问数据流里的某些特征字段，或者探测网络本身系统的异常，例如主机病毒等来发觉某些系统攻击。察觉异样就报警并作出相应处理，或者根据预定的处理步骤作出反应，例如隔断该数据流的IP，或者不返回数据。从某种意义上说，入侵检测不能完全精确的发现所谓的攻击痕迹。Hacker可以讲一些常用的网络攻击交叉，并行组合成另外形式的攻击，而入侵预防系统不可能把所有的攻击形式或者相变异的形式都概括进来。所以不能在思想上确定入侵检测系统是万能的概念，随时做好预防补救措施。

3）安全考核管理

该系统必须时刻检测网络中和主机系统，客户交换系统中各类与安全息息相关的事件，比如资料复制，资料外泄，文件删除、破坏，非法登录等，将这些情况真实记录，并能对重大违规行为及时中断。所有的这些手段就好像让罪犯留下证据，在后期处理时能够提供宝贵的侦破和取证数据，并防止被销毁和篡改。其后续步骤应该是根据证据和数据，跟踪下次违规行为并提前做出防范措施。经过多次学习剔除等，系统考虑做出记录什么样的数据已经在什么条件下记录等。

4）防病毒以及特洛伊木马

计算机病毒的危害不言而喻，计算机病毒发展到今天，已经和特洛伊木马结合起来，成为黑客的又一利器。微软的原码失窃案，就是一黑客使用特洛伊木马所为。

5）做好安全保密教育工作

网络安全的宣传普及，相关的防泄密保安全的措施的严格执行是保证公司内部安全的重要保障。做好重要文件和数据的隔段备份，也是信息安全的重要后补措施，防止恶意攻击和意外灾害带来的无可挽回性损失。

我们假设某电力系统整体结构是—通过WAN连接的二级网络，整个网络分为内网和外网两个网，内外网之间物理隔离。网络中心与下属7个分单位通过网络进行数据传输，在网络每一级的节点上具有一个局域网，在二级网络上运行着电力业务系统、办公自动化服务等，该网由网络中心和7个分单位组成。在给各局域网出入口安装防火墙。在关键部位安放入侵检测系统，而且所有的服务器和普通PC机需要安装防病毒软件。而且这些防火墙和入侵检测系统需要集中在数据中心进行管理和审计。对重要的数据和文件做好隔期备份，切实做好网络安全是高效完成经营业务的有效保证。

参考文献

[1]肖红亮.电力系统网络安全及其对策浅析[J].科技信息，2010(3).

[2]赵聪锐.数字图书馆的网络安全与防范对策[J].科技情报开发与经济，2007(13).

[3]马莉.基于防火墙病毒防护的计算机网络安全[J].科技资讯，2010(2).

[4]赵建平.信息安全风险及对策研究[J].科技情报开发与经济，2004(5).

[5]丁振波.浅论医院信息系统的安全管理[J].今日科苑，2009(6).

[6]白海涛，马惠铖.小型局域网安全策略研究[J].科技资讯，2009(33).

[7]徐俊.电力二次系统信息网络安全防护体系整改的探讨[J].湖北电力，2010(1).

[8]徐严军.浅谈电力行业网络安全解决方案[J].价值工程，2010(27).