文｜田銳

淺談電力系統(tǒng)企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全

文｜田銳

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》于2017年6月1日起發(fā)布施行了，網(wǎng)絡(luò)安全已經(jīng)受到國(guó)家的重視。電力系統(tǒng)企業(yè)內(nèi)網(wǎng)的安全問(wèn)題也引起高度重視，需要不斷加強(qiáng)對(duì)網(wǎng)絡(luò)安全的管理工作，從而更好地保護(hù)企業(yè)信息的安全性。

一、電力系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀及存在安全隱患

當(dāng)前，電力系統(tǒng)正在飛速發(fā)展，在電力企業(yè)中，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)得到普遍應(yīng)用，目前電力系統(tǒng)的網(wǎng)絡(luò)可分為兩部分，一是生產(chǎn)控制系統(tǒng)和生產(chǎn)實(shí)時(shí)數(shù)據(jù)傳輸網(wǎng)，依靠計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)傳輸技術(shù)，實(shí)現(xiàn)信息數(shù)據(jù)傳輸?shù)母咝c實(shí)時(shí)。二是輔助辦公網(wǎng)絡(luò)，常用的應(yīng)用有OA系統(tǒng)、設(shè)備缺陷管理系統(tǒng)和各種web應(yīng)用等。網(wǎng)絡(luò)安全是影響電力生產(chǎn)安全的一個(gè)重要因素，因此，電力系統(tǒng)網(wǎng)絡(luò)建設(shè)通常會(huì)將生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)與輔助辦公網(wǎng)絡(luò)進(jìn)行物理隔離，這樣可以避免許多來(lái)自網(wǎng)絡(luò)以外的因素對(duì)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)造成損害。目前生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)及輔助辦公網(wǎng)絡(luò)的主要風(fēng)險(xiǎn)是硬件設(shè)備和軟件系統(tǒng)的故障，同時(shí)也有內(nèi)部用戶(hù)使用不當(dāng)造成的危害，或組建及升級(jí)系統(tǒng)的過(guò)程中所帶來(lái)的威脅，以及外部的物理環(huán)境造成的損害。這些風(fēng)險(xiǎn)造成的后果往往是重要數(shù)據(jù)的損壞或丟失，因而無(wú)法滿(mǎn)足電力系統(tǒng)對(duì)數(shù)據(jù)完整性與保密性的要求。正是由于存在著許多風(fēng)險(xiǎn)，電力系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)也必須要引起我們的重視。

二、加強(qiáng)電力系統(tǒng)網(wǎng)絡(luò)安全的策略

電力系統(tǒng)的網(wǎng)絡(luò)安全，相對(duì)于其他企業(yè)來(lái)說(shuō)，尤其重要，根據(jù)常見(jiàn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，大致可分為以下幾個(gè)方面。

（一）物理設(shè)備硬件損壞及故障

計(jì)算機(jī)網(wǎng)絡(luò)的物理設(shè)備硬件安全指的是網(wǎng)絡(luò)硬件設(shè)備、計(jì)算機(jī)、服務(wù)器、光纖收發(fā)器等硬件設(shè)備的安全防護(hù)，還包括了對(duì)通信鏈路等各種連接線路的保護(hù)，避免這些設(shè)施被人為破壞以及自然災(zāi)害所帶來(lái)的損壞。

物理設(shè)備硬件損壞和故障，是較為常見(jiàn)一種安全風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)一般是不可預(yù)見(jiàn)風(fēng)險(xiǎn)，由于計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備及通信鏈路等硬件設(shè)備存在因生命周期、外部環(huán)境影響、電源影響及人為破環(huán)等原因，使網(wǎng)絡(luò)中各節(jié)點(diǎn)的硬件故障無(wú)法做到預(yù)判預(yù)防，因此我們通常采用選購(gòu)國(guó)內(nèi)知名品牌的設(shè)備及雙機(jī)雙鏈路熱備的方式運(yùn)行，以達(dá)到單一故障節(jié)點(diǎn)不會(huì)導(dǎo)致網(wǎng)絡(luò)中斷，因而不影響數(shù)據(jù)的實(shí)時(shí)傳輸。

（二）病毒、惡意程序及黑客攻擊

由于計(jì)算機(jī)病毒具有隱蔽性、傳染性和破環(huán)性，給電力系統(tǒng)網(wǎng)絡(luò)安全帶來(lái)嚴(yán)重的威脅，同時(shí)有效預(yù)防來(lái)自網(wǎng)絡(luò)黑客的攻擊行為，也要格外引起重視。

計(jì)算機(jī)病毒是大家所熟知的影響網(wǎng)絡(luò)安全的一個(gè)重要方面，因各種原因?qū)е戮W(wǎng)絡(luò)中感染了計(jì)算機(jī)病毒或者惡意程序，都會(huì)給計(jì)算機(jī)網(wǎng)絡(luò)造成極大的影響，導(dǎo)致數(shù)據(jù)傳輸錯(cuò)誤或者數(shù)據(jù)中斷，甚至?xí)斐烧麄€(gè)網(wǎng)絡(luò)中斷。因此，對(duì)于計(jì)算機(jī)病毒的防和控都十分重要。對(duì)于生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)，要對(duì)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)安裝防病毒軟件及定期進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)，網(wǎng)絡(luò)交換機(jī)開(kāi)啟DHCP snooping、使用靜態(tài)ARP表、shutdown空余端口等安全配置。同時(shí)嚴(yán)格要求禁止用戶(hù)私自使用便攜存儲(chǔ)設(shè)備，禁止單一計(jì)算機(jī)使用雙網(wǎng)卡連接生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)和輔助辦公網(wǎng)絡(luò)，禁止無(wú)關(guān)人員使用及連接生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備。對(duì)預(yù)防黑客攻擊行為，可以在網(wǎng)絡(luò)出口處加裝單向隔離裝置，使生產(chǎn)數(shù)據(jù)單向傳輸，確保不受網(wǎng)絡(luò)黑客的攻擊。

（三）電源故障及自然災(zāi)害的防護(hù)

網(wǎng)絡(luò)設(shè)備及計(jì)算機(jī)均要使用獨(dú)立供電系統(tǒng)，對(duì)供電電源的電壓及電流穩(wěn)定性也有較高要求，電源電壓及電流波動(dòng)帶來(lái)的影響對(duì)網(wǎng)絡(luò)設(shè)備及計(jì)算機(jī)來(lái)說(shuō)是致命的。

電源故障也是影響網(wǎng)絡(luò)安全的重要因素。因?yàn)殡娫垂收蠈?duì)網(wǎng)絡(luò)設(shè)備及計(jì)算機(jī)造成的損害十分嚴(yán)重，雷電及供電設(shè)備故障引起的高電壓，會(huì)將設(shè)備的電路板擊穿，甚至引起火災(zāi)，因此，為防止電源故障帶來(lái)的災(zāi)害，需要對(duì)機(jī)房建筑物安裝避雷裝置，同時(shí)設(shè)置雙路電源供電，并加裝雙電源自動(dòng)切換開(kāi)關(guān)。為防止開(kāi)關(guān)切換過(guò)程設(shè)備掉電，同時(shí)需配置UPS不間斷供電電池及整流裝置，防止電源故障引起設(shè)備損壞而導(dǎo)致網(wǎng)絡(luò)中斷。

（四）進(jìn)行訪問(wèn)控制

電力系統(tǒng)外來(lái)人員較多，新舊設(shè)備調(diào)試及各種系統(tǒng)上線都會(huì)有許多外部人員需要使用電力系統(tǒng)內(nèi)部網(wǎng)絡(luò)，而外部人員所使用的設(shè)備安全性無(wú)法確定。同時(shí)內(nèi)部人員的終端是否符合安全入網(wǎng)的規(guī)則，不同層級(jí)的員工訪問(wèn)需求也各不相同。訪問(wèn)控制就是按用戶(hù)身份及其歸屬劃分，限制用戶(hù)對(duì)某些信息的訪問(wèn)，或限制對(duì)某些控制功能使用的一種技術(shù)。為保證電力系統(tǒng)內(nèi)部網(wǎng)絡(luò)資源不被非法訪問(wèn)，需要對(duì)不同的人員分別進(jìn)行訪問(wèn)控制。我們常用的訪問(wèn)控制實(shí)現(xiàn)策略有入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限限制、目錄級(jí)安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制以及防火墻控制。這些策略的使用可以保證網(wǎng)絡(luò)數(shù)據(jù)的安全，防止數(shù)據(jù)資料外泄，對(duì)電力系統(tǒng)的網(wǎng)絡(luò)安全起著至關(guān)重要的作用。

（五）進(jìn)行數(shù)據(jù)加密

數(shù)據(jù)加密目前仍是計(jì)算機(jī)系統(tǒng)對(duì)信息進(jìn)行保護(hù)的一種最可靠的辦法。它利用密碼技術(shù)對(duì)信息進(jìn)行加密，實(shí)現(xiàn)信息隱蔽，從而起到保護(hù)信息安全的作用。數(shù)據(jù)加密技術(shù)可分為數(shù)據(jù)傳輸加密技術(shù)、數(shù)據(jù)存儲(chǔ)加密技術(shù)、數(shù)據(jù)完整性的鑒別技術(shù)和密鑰管理技術(shù)。電力系統(tǒng)一般使用專(zhuān)用縱向加密認(rèn)證裝置，設(shè)置于電力控制系統(tǒng)的內(nèi)部局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)之間，用于安全區(qū)的廣域網(wǎng)邊界保護(hù)，同時(shí)為上下級(jí)控制系統(tǒng)之間的廣域網(wǎng)通信提供認(rèn)證與加密服務(wù)，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)。

（六）完善的管理制度

在電力系統(tǒng)的網(wǎng)絡(luò)安全管理中，除了擁有良好的技術(shù)方法和防護(hù)措施外，還必須建立起完善的管理制度。擁有完善的管理制度，可以更好的規(guī)范員工使用網(wǎng)絡(luò)資源，明確管理職責(zé)，引導(dǎo)員工更好的利用網(wǎng)絡(luò)資源，學(xué)習(xí)網(wǎng)絡(luò)技術(shù)。因此還應(yīng)做到以下幾點(diǎn)：劃分安全管理等級(jí)和范圍，制定網(wǎng)絡(luò)管理規(guī)程、應(yīng)用系統(tǒng)管理規(guī)范、數(shù)據(jù)定期備份管理和出入機(jī)房管理等制度，制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和各種應(yīng)急措施，定期進(jìn)行應(yīng)急演練。

三、結(jié)束語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)安全對(duì)電力系統(tǒng)來(lái)說(shuō)十分重要，整個(gè)電力系統(tǒng)的員工都應(yīng)引起重視，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)在電力系統(tǒng)中的安全防護(hù)問(wèn)題，電力企業(yè)仍然有許多的工作要做，這都需要整個(gè)電力企業(yè)的員工共同努力，逐步完善。電力企業(yè)的網(wǎng)絡(luò)安全建設(shè)任重而道遠(yuǎn)。

作者單位：華電國(guó)際十里泉發(fā)電廠