电力系统信息网络安全防护及措施研究

◆张同伟 刘永琦

（云南电网有限责任公司迪庆供电局云南 6744400）

1 前言

现时期网络环境日益复杂，电力系统信息网络所面临的不确定因素较多，具有较大的安全隐患。随着电网规模日益扩大，在电力系统运营的过程中，对信息网络依赖性逐渐提高。因此加强信息网络的安全防护等级，避免发生较大的信息安全事故就成为目前网络建设的重要任务。在电力系统信息网络运营的过程中，主要存在以下几种安全隐患：第一，网络病毒的影响。网络病毒是一种能够传播的恶意程序，具有传播速度快，破坏力大的特性。如果入侵到电力企业的信息系统中，会导致机密数据的泄露以及流出，安全性受到极大的威胁，造成整个电网系统无法正常运营，带来无法预计的损失；第二，部分别有目的的人员攻击电网数据服务系统，以达到窃取资源的目的，对待这种攻击防范措施不到位的话，可能会造成巨大的损失。电力系统机密文件或者是数据被黑客所盗取，会带来严重的后果；第三，其他不可抗力的影响。电力系统信息网络运营终端为计算机，计算机本身是弱电系统，在运营服务的过程中，可能会受到各种不可抗力的影响。比如说会遭遇雷电或者是地震洪水等不可抗力的自然灾害，这些不可抗力对于信息网络安全稳定性都会造成相应的威胁。因此为了有效保障电力系统信息网络的安全性，需要建立健全网络安全防护体系，提高安全防护的等级，维持电网系统运营的整体稳定性，是目前亟待解决的问题。

2 电力系统信息网络安全防护的主要措施

2.1 网络防火墙技术

在电力企业信息系统中增加网关的防火墙是非常常见的提升其安全防护等级的做法。它能够有效减少网络被非法入侵的概率。从防火墙的本质上来说，它是一种身份认证的访问控制技术。通过在电力系统信息网络与互联网络的边界区域，搭建数据监控系统，有效实现电力系统内网与外网之间的物理隔离。网络防火墙能够有效减少外部数据的非法入侵。网络防火墙主要有三部分组成，一部分是路由器，一部分是主机，另一部分是软件系统。对于数据的过滤选择时技术的核心，如果被检测的数据与系统之前制定的安全访问的规则相匹配，网络防火墙就会允许这部分数据信息进入到系统中，如果被检测的数据不符合相应的网络安全的技术性规范标准，网络防火墙会自动将其屏蔽，防止其进入电网信息网络系统内部。除了使用包过滤技术之外，网络防火墙技术还可以使用代理以及应用层技术。应用层的网关技术又被称为代理防火墙技术，所使用的主机一般是双重宿主主机，同时该主机也可是堡垒主机。代理防火墙技术所使用的服务器一般是内部用户以及外部服务器之间，能够有效提升网络用户的代理服务透明度。对于网络服务器来说，并不与网络用户直接连接。代理型服务器在整个系统网络中主要起到中间传播的作用，对网络用户的访问类型进行有效的控制。同时当互联网向内部网络申请网络服务时，代理服务器也可以根据预先制定的安全访问规则，决定是否接受外部网络的服务申请。可以将非法入侵程序以及病毒阻隔在外网而无法进入内网，因此有效提升了电力系统信息网络的安全防护性。

2.2 防病毒技术

网络环境日益复杂，对电力系统信息网络安全性造成威胁的病毒也变得日益高级和难以检测，因此需要加强对病毒的防范。网络病毒破坏性较强，一旦系统遭到病毒攻击，可能会导致机密文件或者是数据泄露，甚至会导致电力系统信息网络的瘫痪，使其无法正常运营。在目前较为常见的网络安全病毒防范技术中，主要是基于服务器的病毒防范技术，基于工作站的病毒防范芯片以及其他反病毒的技术措施等等。在以上基础措施中，服务器病毒防范技术是使用最为广泛，并且比较适宜电力系统信息网络安全的防护。在整个电力系统信息网络中，核心的处理设备是服务器，如果服务器被网络病毒所感染，将无法启动正常程序，严重会导致整个系统的瘫痪。可以通过NLM技术，对电网企业信息系统进行模块化程序设计，将服务器作为整个系统构造的基础，可以对入侵的网络病毒进行实时的扫描，以降低被病毒感染的可能性，切断病毒传播的途径，阻止其在电力系统信息网络中蔓延。同时电力系统信息网络安全维护管理人员需要安装功能齐全的正版杀毒产品，可以对一些较为顽固的病毒，比如说木马病毒或者是蠕虫病毒进行查杀以及防范。杀毒产品并不能清扫所有的病毒，需要将病毒查杀软件与基于服务器的病毒防范技术相互联合使用，能够取长补短，将两者的优势融合，对整个电力系统的网络安全也起到重要的保护性作用。

2.3 身份认证技术

电力系统信息网络由于自身规模比较大，应用人群比较多，因此每天都要面对海量的用户访问，这就带来一定的安全性威胁。在电力系统网络安全中，对于访问用户实行身份认证制度，能够有效避免非法用户对电力系统内部信息资源的非法访问，以减少出现信息数据泄露或者是网络中病毒的可能性，有效确保内部数据信息的安全。一般在实际中采用基于CA的身份认证制度，这种制度主要是将证书授权给使用者。每一个网络证书都是由 CA中心进行签发并且确认，在CA证书中一般有公开的密钥。除了对证书进行签发之外，还需要对密钥进行管理。比如说，如果电力系统信息网络内部a用户向b用户进行信息传输时，信息会被Hash函数转变为相应的特征值，利用网络用户内部的密钥可以将其加密，进行数字化的签名。数字化签名一般被放在信息文件的后部。b用户可以借助于CA中心提供的a用户密钥对于密码进行破解，然后再生成相应的特征数值。如果特征是如具有一致性，说明信息是由用户所发出，因此可以予以接收，降低了网络信息传播的安全隐患。在网络授权以及身份认证制度中引入CA证书，能够有效提高网络信息数据的安全性。

2.4 病毒防范措施

电力企业应该集中设置病毒防范管理系统，电力系统信息网络安全网络中，防范病毒的服务器不能同时管理电力系统的1区和2区；在电力系统中，全部服务器以及工作站都应该设置相应的防病毒产品，增加防病毒客户端的安装；电力系统的计算机网络应该以电子邮件网络独立布置，在电子邮件网络服务器前端设置相应的杀毒软件，安装完善的病毒网，这种做法能够有效抑制病毒通过电子邮件的方式在电力系统信息网络中的传播；在电力信息系统以及互联网端的接口处，需要设置病毒网关，这种网关能够有效阻止蠕虫或者是木马病毒在电力系统信息网络中的蔓延；需要不断加强电力系统，信息管理的安全性，加强对于病毒的防范管理技术，及时更新库内的病毒特征码；对于防火墙以及网关所查到的病毒特征以及类型，需要重点分析给电力系统所带来的威胁，从而能够正确维护电力系统信息安全的稳定性和安全性。

2.5 采用物理隔离的措施

在电力系统信息网络中，为了确保网络具有较为安全的单向传输的性能，可以采用专用物理隔离措施，借助于物理隔离岛以及双处理器技术，外加电力系统信息网络的单向传输控制技术，能够有效实现电力系统信息网络的安全防护。在这专用的隔离装置可以设置在电力企业的DCS系统中，主要目的是实现两者的相互隔离，达到物理区分的目的，有效实现整体的稳定性。对于非控制的生产区域和管理系统之间能够实现网络隔离，也可以将安全区域3和4之间进行物理隔离。有效确保电力系统不同的安全区域能够实现及时有效的数据传输，确保物理隔离的实现。通过专有的电力系统信息网络隔离措施，能够有效防止黑客以及病毒对于系统所造成的危害，从而最大可能提升计算机信息网络的安全性以及稳定性。

在电力系统中进行手机防护，能够有效防止计算机病毒或者是其他恶意的软件，减少病毒的预期。在进行互联网进行连接时，减少病毒系统瘫痪的概率，不需要对系统进行重新启动，只需要按钮点击就可以恢复到正常的状态。加强主机的防护，对于维护服务器系统安全就有十分重要的作用。

2.6 其他信息安全技术

主动防御系统：主动防御技术主要从提升信息系统的安全性出发，以技术性手段作为主要的切入点，可以采用分区域进行安全记录，动态进行系统感知，全面进行系统防护的原则，将原有的被动性防御转变为主动性防御。

持续性的技术工作：安全运营维护人员需要对于国际信息安全发展趋势以及行为进行持续性的追踪，并且及时应用相关的先进技术。

超前的部署：在电力系统信息网络安全防护中，需要立足于现实条件，从大局出发，也考虑到信息技术的超前性，可以使用云计算以及大数据和虚拟应用技术等实际成果，以提升电力系统网络安全防护的等级。

及时更新计算机的设备：在电力系统安全预防中要加强计算机设备的更新，尽量使用相同的计算机设备，减少因为设备的兼容问题而产生的传输性障碍。

3 结束语

随着信息技术的发展，电力系统信息网络安全防护技术得到了飞速的发展，需要加强电力系统信息网络安全的重视程度，增强网络防火墙的拦截能力，增强病毒的防范措施，加强物理隔离措施，增强主动检测的强度，加强组织的防护，确保整个电力系统安全防护等级。