如何做好电厂二次网络安全隔离与管理

华润电力（常熟）有限公司 陆 琳

随着电力企业的不断发展，在进行电力资源的生产与配置过程中，需通过二次网络的调节管理更好地优化电厂服务，使高质量的电能资源能按照提前设计好的分流方式实现供应配给。在系统内二次网络的运行与应用过程中必须重视安全防护问题，特别是对于一些利用网络系统实现恶意攻击和病毒入侵的问题中必须通过安全隔离的方式加强保护效果，使电厂电力资源生产与供电配给的核心信息能得到有效防护，避免出现数据窃取等影响电厂正常运转的现象。

1 电厂企业中的二次网络管理概述

黑客网络攻击。黑客攻击是一种被动性的电厂企业二次网络运行安全隐患，主要是指一些黑客通过计算机窃取的方式在网络连接的过程当中获取电厂企业生产运行的一些机要信息，对其决策发展与电力供应等产生了极大的安全威胁。在攻击过程当很有可能会通过内外两层网络连接的形式实现多效攻击，而一些常见防火墙与保护装置等很难有效应对这种高技术的网络信息窃取。一些黑客在盗用电厂企业运行参数后还会通过恶意修改方式影响电力生产设备的正常运转，不仅造成了企业巨大经济损失，还有可能会因设备参数间不匹配而造成不可逆安全隐患事故，是较为严重的一种网络管理风险。

木马病毒入侵。木马病毒是通过一些非法链接的形式对电力企业二次网络实现病毒植入的一种方式，特别是在网络连接与移动连接过程中很容易通过一些搭载性的设备与线路实现病毒的转移，也是一种较为常见的电力企业二次网络攻击现象。在木马与蠕虫等网络病毒入侵二次网络过程当中会造成大量电脑设备瘫痪故障，无法对电力系统中其他电器设备发出对应的操作命令，留存了较大的系统运行安全隐患问题。在木马病毒影响下，一些后台信息的端口链入很有可能会通过无限复制的方式被攻破，许多机要信息都会直接暴露在病毒前，一些病毒植入者会通过非法操作与远程控制方式对电力企业的二次网络系统实现猛烈攻击。

2 电力企业的二次网络区域设计与防护

网络分区防护。在电力企业运转过程中需不同的信息参数和工作部门协同配合才能完成稳定的电力资源输出，意味着在进行二次网络调试与运转过程中须实现有效的分区设计才能提高整体防护效果，也能在出现恶意攻击和病毒入侵情况下快速封锁对应区块，将企业的损失控制在最低限度内。在进行分区防护过程中，要利用较为科学的方式进行安全区域的关联性处理，在这些区域内搭建有效连接通道的同时，通过不同的系统加密方法实现安全防护与封锁隔离，确保在系统运行过程中只能有掌握密码的安全管理人员才能实现统一的系统登录与查验，有效提升了区域隔离与防护效果。

横向隔离防护。横向隔离是指在二次网络区域设计中实现横向上的安全划分，在每一个横向模块中利用防火墙实现有效保护，整体隔离的形式更为精确清晰。针对一般规模的电厂生产运行而言，在横向隔离防护的应用过程中划分3个区域即可，并在防火墙的连接过程中应用一些物理性的隔离装置实现横向网络间的双向信息交换隔离，有效保证了在不同网络区域内信息流转时的独立性与安全性。横向隔离防护在电力企业二次网络设计中可提前通过系统改造的方式实现，需设计人员提前考虑到二次网络循环的信息体量、隔离防护效果、信息保障需求等多维度的参数进行科学划分处理，不断优化网络系统当中的横向防护效果。

纵向认证防护。纵向的认证防护设计是和横向隔离形成相对应的一种安全防护对策，在实践应用过程中也有较好表现。在横向认证系统中加强了在不同区块划分边缘连接处的安全认证效用，即管理人员在使用安全密码进行登陆时还需完成纵向的认证处理，只有通过双重加密保护的账号才能完成对应权限的电厂信息获取，是一种更为有效且精密的二次网络系统防护对策[1]。在纵向系统边缘连接处也设置了对应的防火墙以更好地对抗潜在的病毒危机，在双重保障的应用过程当中也能更好地和权限的分级隔离间形成有效衔接，在充分保障信息安全的基础上使电厂内部二次网络安全管理系统更加精确可靠。

3 电力企业二次网络管理办法分析

物理隔离设计。物理隔离的防护应用是从二次网络的区域设计实行的一种有效防护对策，通过切断内外网络联系的方式更好地维护了内部网络运转的高效与稳定，是一种能从根本上解决黑客攻击和病毒入侵的防护手段[2]。在二次网络运行过程中只能在电厂内部实现联通与流转，而互联网则因人为处理的方式实现了切断，有效确保了在互联网平台中一些存在的安全风险性能够和电厂的二次网络间形成有效隔离，也进一步保障了内部网络中的一些客户用电与电力生产信息的安全性。物理隔离系统的应用并不是只在电厂内完全不涉及互联网的连接，而是指应用一种更加先进的技术手段介入到内网与外网之间，通过处理器双向切换的方式有效实现了隔离防护。

分级授权管理。由于电力企业在经营发展的过程当中规模会逐渐扩大，而电力资源的生产也需多个技术工作岗位协同配合后才能有效完成。为切实保障二次网络循环的安全性，需对工作人员的登录权限做好分级授权。二次网络中的分区需安全密码才能登陆，而针对一些较为核心的电厂信息须要有管理层小范围内掌握其安全密码，做好集中性的保密预处理。管理人员在登录对应的权限等级后只能查阅相关数据信息而不能实现后台修改、复制等操作，这也是从系统设计方面根本杜绝了内部信息泄露的可能性，是目前大规模电厂企业内部管理中常用的一种工作模式，是一种从技术手段优化上切实实行的安全防护措施[3]。

网络容灾备份。在电厂运行过程中会受到设备寿命、自然环境等多方因素影响，特别是对一些突发性和不可预防性的灾害须采用切实有效的紧急预案处理，对电厂二次网络中的相关重要参数信息进行备份转移，有效避免了信息损坏与丢失问题。在二次网络协同中需建立电子化的信息数据库，特别是对一些用户与经营间的数据须开辟数据库专用空间进行储存，在进行容灾备份时能快速利用已搭建好的传输线路实现高效复制，切实保障了对机要信息维护的有效性[4]。在一些电厂电气设备运行故障突发情况下，可通过容灾备份信息重载的方式对其进行修复处理，特别是对新更换设备零件，录入运行参数后能更好地实现应用匹配、保证高效运转。

移动存储管理。移动存储的管理过程中须做好对病毒的预防与查杀，特别是对一些移动存储设备在接入到电厂内网系统时须进行严格检验后才能插入，否则会有一些携带性的病毒通过移动硬盘、U盘等进入到二次网络中实现攻击与窃取。在进行数据信息备份时，要注意对其机密等级进行合理判断，只有符合可复制存储要求的信息数据才能通过移动存储设备进行转移，而其他一些机密性的信息须应用系统防护的有效方式减少恶意攻击和数据外流的可能性[5]。在一些安全隔离等级较高的空间区域内，移动存储设备的使用也应受到一定的限制与要求，还有一些容易被忽略的光盘、媒体设备等也很容易存在病毒的搭载现象，须实行全面防护查杀以有力促进电厂二次网络的运行安全。

系统安全审计。由于网络技术的不断更新与发展，电厂二次网络管理的安全防护与隔离系统也需定期进行审计和升级，结合已有系统运行参数进行安全性能的评估、还有一些市面上已存在的攻击病毒特点实现有效融合后提升系统的防护效力，使安全隔离系统能随着计算机网络的技术进行同向革新。在系统运维与检修过程中须做好详细信息备份与记录，特别是对一些故障损坏性问题需通过资料备份方式实现有效记录保留，便于在进行后续排查与工作移交时能保障完整性[6]。对一些已发生系统安全事件，需采用更加精细化的升级记录方式将事件类型、经过与结果等予以妥善留存，并和对应的电厂二次网络安全防护管理实现有效工作对接。

总之，在电力企业的二次网络管理过程中，可应用一些物理性的隔离设计，通过切断内外网络联系的方式有效维护电厂内部的管理安全性，避免了一些网络病毒和黑客攻击通过联网方式影响二次网络正常运转。针对不同工作要求的人员在进行二次网络登录时要通过分级授权方式进行区分，特别是一些机要性信息须实现高度保密。在网络中出现突发灾害情况时须及时做好信息备份管理，利用平台安全防护的方式快速实现信息的移交，做好安全防护的把关。