电力监控系统网络安全管理平台的建设及应用

邬超慧 薛峰 邢炜

摘要：目前，电力是最重要的基础设施，很多国家已把其作为“互联网战争”的第一攻坚目标。所以，电力监控系统的网络安全非常重要。利用计算机来监控的电力系统，确保了其运行的安全性和稳定性。但我国目前所使用的信息内外双网运行的模式，使得计算机经常出现运行不畅，且由于无法安装相关防护软件，有的还不能升级操作系统，造成网络监控系统出现风险和漏洞。

关键词：电力监控系统;网络安全管理平台;建设及应用

引言

近些年来，随着电力系统的进步和发展，电力系统的自动化、信息化、智能化技术得到了更为有力的技术支持。但作为不少国家重要的“网络战场”，电力监控系统的安全问题显得越发突出，如何确保电力系统能足够安全、稳定地运行成为现阶段电力企业建设发展的主要研究对象。当前各地的电力监控系统网络安全水平参差不齐，如何使各地电力监控网络安全水平达到统一，是一个亟待解决的难题。

1网络安全管理平台建设方案

1.1网络安全管理平台建设两种模式的分析与比较

（1）地调和县调分别建设系统，数据共享。地调和县调分别建设网络安全管理平台，分别对地调、县调电力监控系统内有关设备进行管控。地调系统和县调系统之间通过开发连接接口，实现两套系统的数据共享。该建设模式的特点是两套系统的部分功能相同，增大了硬件投资。这一建设模式经济性较低。（2）地调建设网络安全管理平台主系统，县调建设子系统，实现地县一体化运行。①地调建设主系统，实现对所辖城区电力监控系统运行状态信息的采集与监视。软件配置上需要地县互联的数据采集转发模块。硬件配置上需要多个网络接口、处理速度快的处理器和大容量的存储设备。②县调建设子系统，在现有业务管理范围不调整的情况下，实现管辖范围电力监控系统运行状态信息的采集。子系统的主干网与地调主系统的主干网互联，实现子系统和主系统的数据交互和共享。相对模式（1），该模式更节约硬件软件的投资，经济性更好。

1.2地县互联方式的分析与比较

县调子系统与地调主系统之间结构有星型组网和环型组网方式。它们的特点如下。（1）星型组网由中心节点和中心节点通过通信链路相连的各个节点组成，结构简单，建网容易、控制简单、节点扩充容易、便于管理、网络延时时间少、误码率低、故障诊断和隔离相对容易。（2）环型组网的中心节点和各个节点通过通信链路连成一个闭合环，中心节点和各个节点地位相同，节省材料，冗余性好，容易实现高速长距离传输;缺点是负载能力受到一定的限制，扩充不方便，单个节点故障会影响全网络。

2电力监控系统现阶段存在的问题

配网自动化系统的数据传输基准是以C/S结构的数据传输模式，技术结构划分以应用层、网络层以及感知层为理论依据分为主站系统层、通信系统层和终端系统层。就目前来看，大多数电力企业的管理存在着各种问题，大体上说可以分为运营管理和人员管理这两大方面。运营管理方面，由于管理制度以及系统软件的不及时更新，使得数据安全得到不到应有的保障，黑客的入侵给电力系统的数据安全带来了很大的威胁;人员管理方面，由于缺少专业的技术管理人员，不合适的管理方式使得数据不易保存，数据的安全隐秘性也处于最低程度，再加上对网络安全防护的重视度不高，使得在最初的建设中就埋下了根本的安全隐患。下面就技术方面和实际工作操作方面具体介绍一下电力监控系统现阶段存在的问题。

2.1技术方面

现阶段电力监控系统在安防技术管理方面存在的问题，主要体现在分区错误和跨区域并联两个方面。

2.1.1分区错误

由于电力监控系统自身存在的不可避免的复杂性和多样化，将安全等级确定在某一统一的标准是相当困难的，成本也较高。我们希望把不同特性及等级的系统按相应的安全等级处理，建立相应的安防措施，从而保证不同的安防要求。而实际情况是，在建设电力监控安防体系初期工作中，由于设计时对网络安全的意识不足，使得后期呈现系统分区的错误。有时会将防护级别高的设备分到低级区，使网络安全水平大大降低。

2.1.2跨区并联

这是一种逻辑隔离，具体操作就是在生产控制以及管理信息都较大的区域进行安全隔离装置的单向设置，另外在控制及非控制区间利用防火墙等系统控制相关访问。理论上，安全等级系统从低向高传输数据时，要对数据加密，并且进行反向隔离传输。实际情况却是，由于人们的网络安全防护意识的淡薄，监控系统存在着一种情况，就是两个监控系统之间建立了直接连通，避开了隔离装置。这样大大增加了风险。

2.2实际工作操作方面

在实际工作中，存在着一些较为严重的问题：密码口令设置简单，数据明文管理，一旦密码泄露，整个防护体系将形同虚设。实际管理时用到的台账及拓扑图等相关内容与实际情况有差别，一旦出现问题，很难及时准确地找到故障根源，无法排除风险。机房准入机制不完善，当系统有一些物理入侵时，不能有效预防，一旦入侵，由于没有健全的系统设备，使系统很难及时且有效地恢复。

3电力监控系统网络安全防护的关键技术

3.1风险评估技术

在安全防护技术中，风险评估是非常重要的一项技术，是对主机的风险泄露和通过网络远程监控其他主机风险漏洞的分析，风险评估系统的主要工作目标便是服务器、工作站和数据库等，利用网络安全监测装置扫描监控目标可能存在的风险隐患。并对其安全性和风险程度进行分析，确定系统网络信息是否安全，并对系统网络信息的安全性提出具体整改建议。在进行风险评估技术时，也经常会利用网络漏洞扫描方式。在信息安全防护过程中，风险评估主要是一种辅助手段，还需要利用VPN、防火墙比如氢检测的方式来完成信息安全防护工作。

3.2物理隔离技术

“安全分区，网络专用，横向隔离，纵向认证”中的横向隔离便是主要依赖物理隔离技术，在网络边界防护中，必须采用经国家指定部门检测认证的横向安全隔离装置连接2个独立的主机系统，这样能够保证不直接连通并且传输和共享数据资源。目前的物理隔离技术主要使用的有实时开关、单向连接和网络交换器这三种隔离装置。其中实时开关可以实现在同一时间隔离内外网络，并且实现数据联通进行快速的处理数据。再连接一个网络获取数据，然后转动开关到另一个网络，将之前获取的數据传输到另一个网络，能够快速地在两个网络之间移动数据，并且实现实时处理的效果。同时在传输数据时，实时开关会终止网络连接，这便不会存在漏洞风险，与此同时还能够利用实时开关避免遭到病毒侵害。单向连接指的便是单向地从源网向目的网传输数据，这样便成为了一个“只读”网络，同时数据不能反向向源网传输，单向连接需要利用硬件实现，因为这样可以避免数据传错。而网络交换器指的便是一台计算机中有两个虚拟机，在一个虚拟机当中写入数据，然后再传输到另一个虚拟机中。在传输数据过程中速度会相对较慢，无法实现实时工作。所以网络转换器通常都具备双接口的硬件卡，双接口都连接着相互隔离的网络，但在同一时间只能激活一个网络。

结语

电力监控系统作为国家关键信息基础设施，面临的网络安全形势日趋严峻，一旦遭受网络安全攻击将可能导致大面积停电事件，严重威胁企业和国家安全。落实全域防御、纵深防御的要求，从管理、技术两方面着手，是有效提高电力监控系统的网络安全防护能力的有效手段。

参考文献

[1]朱姣.探究电力监控系统网络安全防护[J].信息与电脑（理论版），2018（18）：214-215.

[2]中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会GB/T20274.1-2006信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型.