浅谈电力系统信息安全

杜晓东 邢永恒

摘 要：电力行业是国家必不可缺的基础行业之一，随着通讯、工业控制和服务器的不断融入，电力系统自动化成为主流，电力系统的运行环境更加复杂，对电网的安全稳定运行要求也越来越高，电力系统信息安全成为影响电网稳定运行的一项重要指标，电力系统信息安全受到国家及电力行业极大的重视。建立健全电力系统信息安全管理制度，进一步完善安全防范技术措施，从而提高电力系统信息安全整体防护水平成为电力企业面临的首要问题。本文主要针对电力企业信息系统安全存在的问题和解决措施进行了阐述分析。

关键词：电力系统；信息安全；问题；措施

1 电力企业信息安全管理现状

电力系统信息安全管理是一个比较复杂的过程，不仅包含了电力生产方面，而且还涉及到电力传输、电力分配和使用等各个环节，虽然国家和电力企业对电力系统信息安全非常重视，投入了不少財力、物力、人力来进行电力系统信息安全的研究，但依然存在着不少问题。

2 电力系统信息安全现状及存在的安全问题

2.1 电力信息系统网络结构和边界存在安全风险

目前许多电厂仍然存在网络结构不合理的问题，如防火墙选型不合理，需使用三层交换机的环境却选用了二层交换机，只能通过现有应用系统来解决安全问题。

另外，还有一部分电力企业内网信息系统通过VPN接入外网的方式实现信息远传，也就是内网信息系统未能与外网实现真正意义上的物理分离，且配备的安全防护设备不全，存在内部数据信息安全隐患，如电力办公自动化系统（OA系统）、ERP系统、MIS系统、企业网站、档案管理系统、邮件系统等，这些内部信息系统一旦与互联网互通，就面临着巨大的网络安全威胁，如电力公司或电厂内部网站被篡改、敏感机密信息被窃取等，为了避免此类问题的发生，全国电力系统实现内外网物理分离行动势在必行。

2.2 恶意代码等网络攻击形势严峻

恶意代码攻击目前已成为信息系统入侵最主要的手段之一。通过入侵，扰乱、篡改计算机程序，网络黑客不仅入侵国家重要机构、个人计算机系统，近年来入侵趋势逐步向电力系统靠拢，入侵主要手段统称为恶意代码（Malicious Codes）攻击，通过恶意代码窃取和篡改重要信息，扰乱电力系统正常运行。

恶意代码主要包括计算机病毒（Virus）、蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等等。恶意代码问题无论从政治上、经济上，还是军事上，都成为信息安全面临的首要问题。

只有通过深入研究和掌握恶意代码的机理，知己知彼，从根本上防患于未然，才能在防范恶意代码入侵问题上取得先决之机。

2.3 操作系统存在安全风险

操作系统、数据库系统和各种应用系统所存在安全风险，目前不少电力企业使用的工控系统的操作系统仍然是以Windows系列操作系统为主，Windows操作系统是大家最熟知的系统，存在大量已知和未知的漏洞，尤其是微软公司已经淘汰了的XP系统、Windows2003等系统，系统漏洞具有很大的被不法分子充分利用和开发的空间，入侵者通过利用这些漏洞非法获得管理权限，篡改服务，盗取重要信息，电力系统操作系统更新换代的时代已然来临。

2.4 日常信息传递存在安全风险

无论是电力企业或其他行业，都需要和外部的单位进行密切的联系和沟通，电力行业最重要的信息传递是与电网公司和调度中心，信息涉密程度很高，目前许多信息数据仍然需要通过互联网来传输，传输过程中，面临着各种安全风险，例如被非法用户截取，被不法分子利用，导致企业机密的泄露；数据被非法篡改，造成数据混乱、信息错误，导致工作失误等。不法分子还有可能会假扮冒充其他合法身份，向电力企业发送虚假信息或通知，制造混乱局面，扰乱正常秩序，给电力企业带来不可挽回的损失。

2.5 信息安全管理不规范，管理人员安全意识薄弱

目前电力企业中，至少一半以上的企业存在的安全管理通病，存在管理制度不健全，制度执行不到位的现象，缺少专职信息安全管理人员，存在外部PC、U盘随意接入、安全防护措施不健全、病毒库不能实现定期离线更新、系统不能同步升级补丁程序等问题，原因是管理者没有充分意识到风险的所在，未能引起重视，一旦出现恶意代码感染或网络攻击等现象，现有的安全防护措施根本不足以抵御。

3 提高电力信息系统安全需采取的措施

3.1 加强培训教育，提高安全意识

电力系统信息安全管理工作中，无论管理还是落实，都离不开人，同时信息安全最容易出现漏洞的地方也在于此，加强对人员的教育培训就成为必不可少的环节，从管理层到基层，都需要接受系统的培训，加强安全风险意识和技术水平，只有这样才能更加直接的防范电力系统信息安全问题，减少误操作带来的风险，为进一步提高电力系统信息的安全性提供保障。

3.2 建立健全专项管理制度，责任到人

建立健全电力信息安全管理体系，从管理机制到管理制度的编制都需要电力企业各级领导亲自参与进来，同时抓好落实，将信息安全责任落实到各级部门和个人，明确责任人，各尽职责，确保电力系统信息安全管理机构、人员、职能、责任“四到位”， 确保电力监控系统安全防护体系完整可靠。

3.3进一步完善安全防范措施

机房等基础设施要做好防窃、防火、防水、防破坏等物理安全防护措施；

电力监控系统安全防护应满足《电力监控系统安全防护规定》（国家发改委令2014年第14号令）及配套方案，，制定数据网络安全防护实施方案和网络安全隔离措施，分区合理、隔离措施完备、可靠；

所有业务功能要按照安全分区的原则，分为实时控制区、非控制生产区、生产管理区、管理信息区四个安全工作区；

配置满足安全要求的防火墙、纵向隔离等安全保护设施，并且选用的关键设备要经过国家相关部门的安全检测；

加强移动介质的管理，电力企业应选用专用的移动介质进行数据拷贝等工作，同时还应做好电力系统信息安全应急预案的编制和定期演练工作，提高全员的应急处置能力。

4 结语

电力系统信息安全在未来的发展中将会是一个长期需要解决的问题，随着以太网技术在电力系统中的普及，如何使电力系统信息安全得到保障，将会是国家相关机构和电力企业面临的首要问题，解决电力系统信息安全问题，不仅需要研究和采取有效的防范措施，引进先进的信息安全技术，更需要我们电力企业在信息安全日常管理中给予足够的重视，加强制度建设和人员管理，责任落实到人，同时聘请专家对员工开展信息安全专业知识培训，不断提高员工信息安全意识、技术水平和应急能力，通过群策群力，查漏洞、补短板，不断完善电力信息系统的安全性，更好的保障电力系统的安全稳定局面。

参考文献：

[1] 国务院.关于大力推进信息化发展和切实保障信息安全的若干意见（国发[2012]23号）.

[2] 国家电力监管委员会.电力二次系统安全防护规定（电监会5号令）[S].2004 .

[3] 国家电力监管委员会.关于印发电力二次系统安全防护总体方案等安全防护方案的通知（电监安全[2006]34号文）[S].

[4] 邹春明，郑志千，刘智勇，陈良汉，陈敏超.电力二次安全防护技术在工业控制系统中的应用[J].电网技术，2013（11）：02-04.