电力系统信息安全防护措施的研究

◆董天宇

电力系统信息安全防护措施的研究

◆董天宇

(安徽继远检验检测技术有限公司 安徽 230088)

随着互联网的崛起，网络已被广泛应用于各个领域，由于互联网业务的更新频繁，且变得愈加复杂与关联紧密，网络环境的安全风险防范也变得更加重要。本文阐述了在电力系统中的安全防范与相关措施的规划，主要通过物理机、虚拟机、网络层等的安全部署，运用、运维等工作的定期开展以及结合安全策略管理机制来对电力系统网络安全进行防护，为电力系统网络建造一个健康、安全的基础环境。

电力系统；信息安全；防护措施

0 引言

众所周知，任何一家企业的网络信息安全都是非常重要，若安全存在漏洞会带来相当严重的后果，如账户被盗、被钓鱼、内鬼盗窃、钱包失窃、信息数据泄露和篡改等都是安全事件中较为常见且后果相当严重的事件。如“2018年3月Binance交易所遭条鱼网站通过API自动下单，拉升VIA币种的市值，上涨近110倍，黑客在两分钟内大赚10亿美元”，以及“2016年6月，The DAO众筹项目由于智能合约代码的漏洞导致被黑客攻击，损失超过350万个以太币(当时市值约5000万美元，现价约7亿多美元)”。若电力信息安全存在风险，若遭遇信息泄露、信息篡改、身份识别等情况这同时会给电力系统和广大社会造成相当大的损失。因此，要利用合理的防护对策确保信息网络的安全，尽最大可能将所有能预估到的安全风险做好相应的防范措施。

1 电力系统信息防护的作用

当前防护技术种类繁多，有效降低了网络系统的安全风险，比如信息安全防护技术和密码技术等。此外，为了实现电力网络的安全防护，可通过物理机、虚拟机、网络层等几个方面来进行保障。首先要保证数据内容的完好无损，其次要为电力单位的机密信息提供安全环境，维护行业的合法权益，从某种意义上来讲，也是避免电力信息非法窃取的一种手段。

2 电力系统信息安全隐患的种类

2.1 网络病毒

网络病毒是最常见的安全风险之一，其传播速度极快且隐蔽性强，对网络系统的危害性很大。由于电力系统的信息数据很多都具有保密性质，一旦泄露将造成不可逆的损失，病毒一旦侵入系统，极有可能造成保密信息的泄露，给电力企业带来巨大的损失，甚至影响企业在市场中的公平竞争。

2.2 黑客攻击

黑客的攻击是有针对性的，所以系统一旦受到攻击往往比普通网络病毒的危害还要大，甚至可能影响大范围的供电。还有一些机密材料若被黑客窃取，对企业的影响是不可估计的。由于黑客攻击的手段较多且变化性强，很难有针对性地采取预防措施。比如利用DCS系统控制电力信息基础单元，致其瘫痪。或者可以侵入一个系统中控制其破坏其他系统，影响范围大且危险系数高，是当前电力防护工作中的重点防治对象。

2.3 人为损坏

人为损坏是指由个人无意的操作不当或故意的损害致使系统异常运行的现象。这种行为会破坏电力信息网络的秩序，电力部门要加强工作人员的监管，避免外来人员随意进入微机室，对于机密文件还要设置浏览权限，避免此类事故的发生。

2.4 其他因素

除了电脑病毒、黑客入侵或者人为损害外，还存在着其他因素威胁着系统信息的安全。比如天气环境、外力撞击、灾害事故等外界因素对计算机设备硬件的影响，或者在信息共享利用过程中出现了系统漏洞，都会造成电力企业的经济损失。

3 电力系统信息安全防护措施

为了有效避免电力信息安全问题的发生，在工作实际中要针对当前的安全隐患，运用行之有效的防护对策，确保电力信息网络的安全，促进电力行业的健康发展。目前最为广泛应用的是代理防火墙[1]，这种技术相当于一道屏障阻隔了病毒的侵入，可有效识别危险信息并采取防御措施。在电力系统的运行中，防火墙可以有效防御网络黑客的攻击，启用防火墙技术还可以起到预防病毒入侵的作用，能对计算机系统和数据进行备份，在损失后可以及时找回，还能定期检查备份文件，确保文件的完整有效。另外可以通过漏洞检查，对计算机系统的软硬件、协议以及逻辑设计的缺陷做好安全防范，避免漏洞给攻击者提供可乘之机，从而造成信息的泄露和系统的破坏，且能及时发现系统的异常，在修复技术的帮助下完善当前网络环境。还可以通过数据加密限制访问权限，将信息在传输过程中进行加密，可有效防止信息泄露与篡改，从预防的角度上保证电力信息系统应用层的安全运行。

3.1 应用系统的防护措施

对电力系统的安全防护措施，我们可以通过以下几种防范技术来考虑：

（1）安全CDN应用平台可以通过采用安全CDN技术，对Web系统和APP提供节点加速的基础上，隐藏源站IP地址，减少可攻击面。

（2）应用层DDoS及CC攻击防护针对DNS flood、放射性DDoS攻击、SYN flood、UDP flood、CC攻击及各类复合型DDoS攻击进行安全防护。

（3）Web攻击防护使用云WAF(Web-Application-Firewall)提供对WEB协议的加密和深度监测，防止包括SQL注入、XSS跨站攻击、CRSF跨站请求伪造、Webshell文件上传、恶意采集及利于Web漏洞进行的各类攻击。

（4）Web性能监控采用Web服务可用性的实时监控，对应用平台全球的可用性和性能进行监测，监测DNS污染的攻击方式。

（5）Web安全接入通过SSL协议加密，Web应用平台系统均采用HTTPS协议访问，对基于Web的核心系统访问均采用SSH加密认证。

（6）Web页面加固在页面代码及配置审计基础上，通过对关键Web页面锁定避免被盗链或者篡改。

3.2 完善安全管理机制

主要从网络环境、设备使用、人员管控、资料传输、涉密管理等几个方面进行安全等级的划分，再根据划分后的安全等级制定相关的管理标准与实施方法、考核制度等。

对所有涉密人员进行不定期的抽查，主要以“人工+工具扫描”的检测方式制定相关的安全检测策略，并将抽查结果进行内部通报。

（1）“人工”指检测人员不定期对所有涉密人员以“人工”的方式对应用环境、设备、工具，以及网络连接设备等进行随机检测，并记录检测结果。

（2）“工具扫描”指检测人员使用检测工具不定期的对系统内的网络层(包含内外网)进行扫描，并记录检测结果。

（3）制定全员安全防范培训计划，制定详细的年度与季度安全防范培训计划，并按计划进行实施。

（4）专网环境安全管理实施方法：将内外网隔离，配置办公专属服务器，服务器只用于专网连接，在服务器上建立多个虚拟机，公司机密通过虚拟机进行操作，使用防火墙对虚拟机进行安全管控，主要通过存储限制、关闭所有外部连接端口、限制网络传输等多方面进行管控，虚拟机配有专人进行管控，虚拟机依据不同人员的安全等级设置不同的使用与操作权限，使用工具对虚拟机进行安全监控。

（5）外网环境连接设备的安全管理实施方法：设定不同的网络访问安全策略；设备连接外网时，研发虚拟机将强制断开与专网虚拟机的连接、关闭危险端口，限制访问连接，如相关国内外的网盘、云盘、论坛等。

（6）U盘连接限制，对于系统内所有办公设备安装U盘管控工具，仅限使用内网安全U盘。限制网络传输类型，如图片、文档、压缩包等；连接外部网络的设备中不允许存放带有企业标识的相关文档、系统、软件等；未经过上线许可的研发系统，禁止连接外部网络。

（7）人员安全等级管理方法，将电力系统内所有涉及人员进行安全等级划分，如：外来人员、普通员工、核心员工、管理层、中层、高层等进行划分；按安全等级制定网络访问安全策略；针对不同的人员等级设置不同的网络连接策略。

（8）系统安全等级管理方法，将所有应用系统在专网中进行统一管控；将所有应用系统进行安全等级划分，对核心系统、普通系统等不同类别的设置不同的安全策略进行管理等。

4 结论

要想降低风险损失就要不断引进先进的防护技术，有针对性地防止电力网络系统的风险事故，有效确保电力网络体系的稳定运行，实现电力行业网络技术的可持续性发展。电力信息系统需要专业人员的监管，因此有必要在企业内部设置安全监控中心或者组建专业化的管理团队。在管控工作中需要工作人员的统筹规划，在确定风险来源、后果后，制定相应的解决措施，实现电力网络系统的专人专管，从而提高工作效率。

[1]姜红.电力系统信息安全的重要性及防护措施[J].低碳世界，2016.

[2]李刚.电力系统信息网络安全防护的重要性及措施[J].信息技术与信息化，2014.