郝鵬

摘要：該文針對電力系統(tǒng)網(wǎng)絡安全問題，對電力系統(tǒng)網(wǎng)絡安全性進行了分析，進而確定專業(yè)管理和電力網(wǎng)絡安全控制的要求，對影響電力系統(tǒng)網(wǎng)絡安全性的各種因素進行研究，最終得到各種病毒、黑客等攻擊形式的處理控制措施。

關(guān)鍵詞：電力系統(tǒng)；網(wǎng)絡安全；風險控制

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）36-8611-02

電力系統(tǒng)在運行的過程中，需要利用網(wǎng)絡環(huán)境對輸電運行情況進行觀測和控制，但是隨著網(wǎng)絡結(jié)構(gòu)和業(yè)務系統(tǒng)的逐漸復雜，網(wǎng)絡安全的風險也越來越大，基于網(wǎng)絡運行的相對封閉性要求，電力系統(tǒng)出現(xiàn)的網(wǎng)絡安全問題也基本產(chǎn)生于內(nèi)部。這種風險存在的形式直接會影響到整個電力業(yè)務系統(tǒng)的安全，同時也會對數(shù)據(jù)存儲、傳輸造成破壞，通過分析電力系統(tǒng)網(wǎng)絡安全的因素，發(fā)現(xiàn)與操作人員的操作行為有直接關(guān)系，所以電力系統(tǒng)網(wǎng)絡安全風險控制預案的制定就要深入到電力系統(tǒng)日常運行中，提高控制預案的管理水平。

1 對電力網(wǎng)絡信息系統(tǒng)安全造成威脅的因素

1.1 人為操作的失誤

電力系統(tǒng)的網(wǎng)絡運行需要在網(wǎng)絡安全配置的模式下運行，如果網(wǎng)絡安全配置不當就會對電力系統(tǒng)造成安全威脅，產(chǎn)生安全漏洞，這時網(wǎng)絡安全系統(tǒng)無法根據(jù)命令操作安全意識行為和用戶口令。此時如果進行賬號登錄，很容易泄露賬號信息，共享信息資源也會遭受到安全威脅，網(wǎng)絡主機存在的系統(tǒng)漏洞，可以通過電力網(wǎng)絡入侵系統(tǒng)主機，直接干擾系統(tǒng)主機的運行情況和數(shù)據(jù)，中心數(shù)據(jù)庫服務器在不安全的環(huán)境下，無法對整個電力系統(tǒng)進行數(shù)據(jù)保護。

1.2 人為因素的惡意攻擊

人為因素的惡意攻擊主要指網(wǎng)絡黑客和網(wǎng)絡病毒，惡意攻擊往往具有目的性，可能直接對計算機網(wǎng)絡的系統(tǒng)進行破壞，如果惡意攻擊是主動攻擊，則會以各種方式有選擇性的破壞信息的可用性和完整性，如果惡意攻擊是被動攻擊，則不會影響到網(wǎng)絡的正常工作，病毒只會潛伏在網(wǎng)絡系統(tǒng)中，截獲、竊取、破譯網(wǎng)絡系統(tǒng)和網(wǎng)絡信息[1]。人為因素造成的惡意攻擊對網(wǎng)絡安全性的威脅力非常大，可以獲得重要機密的信息，嚴重的情況會直接導致機密數(shù)據(jù)的泄漏和丟失，會造成電力系統(tǒng)大量的經(jīng)濟損失。

2 電力系統(tǒng)網(wǎng)絡風險基本控制策略

針對電力系統(tǒng)網(wǎng)絡的安全性和可靠性，網(wǎng)絡風險控制的基本策略要能深入到網(wǎng)絡運行中，切合電力安全任務，抵御各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，保障電力系統(tǒng)的穩(wěn)定運行?；诖?，電力系統(tǒng)安全解決方案的總體策略可以分為五種模式，分別是：分區(qū)防護、區(qū)域隔離、網(wǎng)絡專用、設備獨立、縱向防護。分區(qū)防護主要控制理念是突出保護重點，根據(jù)系統(tǒng)中業(yè)務的重要性對信息進行加密處理，并設置出實時控制區(qū)和非控制生產(chǎn)區(qū)，充分體現(xiàn)出電力系統(tǒng)網(wǎng)絡安全維護層次。區(qū)域隔離采用防火墻等網(wǎng)絡安全控制裝置，在網(wǎng)絡環(huán)境中設置多道保護屏障，確保網(wǎng)絡核心系統(tǒng)的安全性。網(wǎng)絡專用是在專用通道上建立電力調(diào)度專用數(shù)據(jù)網(wǎng)絡，實現(xiàn)專用信息單獨通信的模式，有效隔離，實施專門的保護工作。設備獨立要求網(wǎng)絡安全保護設備要設置在不同安全區(qū)域內(nèi)，使網(wǎng)絡系統(tǒng)可以提供充足的空間供網(wǎng)絡交換機設備使用，縱向防護采用認證、加密等手段實現(xiàn)數(shù)據(jù)的遠方安全傳輸[2]。

3 電力系統(tǒng)網(wǎng)絡安全風險控制方案實行的條件

3.1 網(wǎng)絡設備的安全管理

對網(wǎng)絡設備進行安全管理需要在設備接口Console處設置密碼，網(wǎng)絡設備的管理統(tǒng)一采用OUT——BAND帶外方式，每個管理設備都要具有獨立的賬戶和口令，在核對準確后，才可以輸出設備運行和采集的信息[3]。

3.2 網(wǎng)管中心劃分安全區(qū)域

在網(wǎng)管中心通過劃分不同安全保護區(qū)域的形式，對電力系統(tǒng)網(wǎng)絡環(huán)境進行管理，從邏輯上將每個管理內(nèi)容獨立成一個安全區(qū)域，并可以及時對區(qū)域進行監(jiān)控，發(fā)現(xiàn)區(qū)域內(nèi)部安全狀況。安全區(qū)域的劃分必須要遵守安全性規(guī)則，確保不會影響到電力系統(tǒng)網(wǎng)絡環(huán)境內(nèi)部的數(shù)據(jù)結(jié)構(gòu)，管理員可以根據(jù)用戶的使用需求，合理共享安全保護區(qū)域中的數(shù)據(jù)[4]。

3.3 對IPsec加密與MPLS VPN進行使用

電力網(wǎng)絡通過通過MPLS VPN實現(xiàn)廣域網(wǎng)轉(zhuǎn)變?yōu)樗接芯W(wǎng)絡的效果。要對數(shù)據(jù)進行IPsec加密之后才能夠進入到MPLS VPN網(wǎng)絡中，在數(shù)據(jù)離開MPLS VPN網(wǎng)絡之后同樣需要進行IPsec加密，通過這種方式防止VPN承載商在傳輸?shù)倪^程中對數(shù)據(jù)的安全與完整造成危害，確保數(shù)據(jù)在經(jīng)過VPN承載商傳輸之后能夠確保安全性與完整性。

3.4 黑客防范配置

針對威脅最大的黑客病毒，網(wǎng)絡安全風險控制需要在網(wǎng)絡環(huán)境內(nèi)部通過信息檢測和攻擊檢測，找到黑客侵入的環(huán)節(jié)和程度，基于網(wǎng)絡安全性分析的內(nèi)容，在侵入位置設置防線，并對黑客進行實時監(jiān)控[5]。只有這樣才能進一步避免黑客病毒對網(wǎng)絡安全的破壞，同時，技術(shù)人員也有更多的時間部署服務器的前端功能。

4 電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡安全解決方案

在電力系統(tǒng)局域網(wǎng)中，雖然外部攻擊具有較大的影響，但是內(nèi)部的攻擊卻存在較大的危害。電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡安全解決方案為：在局域網(wǎng)內(nèi)部通過防火墻實現(xiàn)不同網(wǎng)段的隔離，對局域網(wǎng)內(nèi)部一些較為關(guān)鍵的應用通過IPS進行監(jiān)控與保護。電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡安全解決方案主要需要實現(xiàn)的目的包括：第一，確保網(wǎng)絡的安全，通過防火墻對一些非法用戶的訪問進行禁止、對合法用戶的訪問進行允許或限制；第二，實現(xiàn)防火墻負載方面的均衡，通過防火墻對網(wǎng)絡資源進行保護，拒絕一些非授權(quán)的訪問；第三，實現(xiàn)服務器負載方面的均衡，通過負載均衡的計算對網(wǎng)絡內(nèi)的服務器群的負載進行動態(tài)的分配。

5 電力系統(tǒng)廣域網(wǎng)整體上的安全解決方案

在對廣域網(wǎng)從整體安全解決的過程中，要遵循不受到其他系統(tǒng)的影響、不影響其他系統(tǒng)的原則，通過防火墻實現(xiàn)不同網(wǎng)段的隔離，對一些較為關(guān)鍵的應用通過IPS進行監(jiān)控與保護，實現(xiàn)廣域網(wǎng)的分布式部署，實現(xiàn)端對端、局對局安全的目的。

在對網(wǎng)絡內(nèi)部資源的開發(fā)程度進行控制的過程中可以利用過濾規(guī)則設置的方式，通過IP特殊端口的開放對黑客的侵入進行有效的限制；在對內(nèi)部用戶訪問外部資源級別確定的過程中可以利用過濾、IP地質(zhì)及客戶端認證的方式，通過這種方式對內(nèi)部用戶向外界傳遞信息的行為進行有效的限制；通過負載均衡器實現(xiàn)系統(tǒng)可靠性的提高，促進防火墻吞吐量的大幅度提升；通過用戶界面實現(xiàn)規(guī)則配置、系統(tǒng)管理、統(tǒng)計等功能。

6 結(jié)束語

基于上文分析的結(jié)果，筆者明確了對電力系統(tǒng)網(wǎng)絡安全造成威脅的因素內(nèi)容，同時在網(wǎng)絡安全分析的基礎(chǔ)上，確定了網(wǎng)絡安全風險控制的要求，進而在電力系統(tǒng)網(wǎng)絡中開展實際的安全防控工作。電力系統(tǒng)網(wǎng)絡安全的風險控制需要從網(wǎng)絡設備、網(wǎng)絡技術(shù)等多個層面出發(fā)，全面部署網(wǎng)絡運行環(huán)境，這樣才能維持網(wǎng)絡安全、穩(wěn)定的運行。

參考文獻：

[1] 朱騰，梁冬冬.基于電力系統(tǒng)網(wǎng)絡安全的風險控制[A].安徽省電力公司、安徽省電機工程學會.第一屆電力安全論壇優(yōu)秀論文集[C].安徽省電力公司、安徽省電機工程學會，2013.

[2] 賈春杰，劉翔宇，楊世鑫，等.電力系統(tǒng)網(wǎng)絡安全風險及其控制措施[J].機電信息，2011，33（12）：181-182 .

[3] 郜盼盼，劉啟旭，高佳杰，等.智能電網(wǎng)系統(tǒng)中面向用電信息安全防護的認證加密系統(tǒng)研究[J].電力系統(tǒng)通信，2013，2（12）：213-219.

[4] 龍宇奕，唐立生，楊明新，等.電力系統(tǒng)網(wǎng)絡攻擊風險分析及基于數(shù)字水印的應對方法研究[J].長沙理工大學學報：社會科學版，2013，3（12）：230-233 .

[5] 林云威，林啟新，高思雨，等.基于故障樹和DSET的電力控制系統(tǒng)信息安全風險評估[J].華東理工大學學報，2014，9（23）：100-109.endprint