◆董天宇

電力系統(tǒng)信息安全防護(hù)措施的研究

◆董天宇

(安徽繼遠(yuǎn)檢驗(yàn)檢測(cè)技術(shù)有限公司 安徽 230088)

隨著互聯(lián)網(wǎng)的崛起，網(wǎng)絡(luò)已被廣泛應(yīng)用于各個(gè)領(lǐng)域，由于互聯(lián)網(wǎng)業(yè)務(wù)的更新頻繁，且變得愈加復(fù)雜與關(guān)聯(lián)緊密，網(wǎng)絡(luò)環(huán)境的安全風(fēng)險(xiǎn)防范也變得更加重要。本文闡述了在電力系統(tǒng)中的安全防范與相關(guān)措施的規(guī)劃，主要通過(guò)物理機(jī)、虛擬機(jī)、網(wǎng)絡(luò)層等的安全部署，運(yùn)用、運(yùn)維等工作的定期開(kāi)展以及結(jié)合安全策略管理機(jī)制來(lái)對(duì)電力系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行防護(hù)，為電力系統(tǒng)網(wǎng)絡(luò)建造一個(gè)健康、安全的基礎(chǔ)環(huán)境。

電力系統(tǒng)；信息安全；防護(hù)措施

0 引言

眾所周知，任何一家企業(yè)的網(wǎng)絡(luò)信息安全都是非常重要，若安全存在漏洞會(huì)帶來(lái)相當(dāng)嚴(yán)重的后果，如賬戶(hù)被盜、被釣魚(yú)、內(nèi)鬼盜竊、錢(qián)包失竊、信息數(shù)據(jù)泄露和篡改等都是安全事件中較為常見(jiàn)且后果相當(dāng)嚴(yán)重的事件。如“2018年3月Binance交易所遭條魚(yú)網(wǎng)站通過(guò)API自動(dòng)下單，拉升VIA幣種的市值，上漲近110倍，黑客在兩分鐘內(nèi)大賺10億美元”，以及“2016年6月，The DAO眾籌項(xiàng)目由于智能合約代碼的漏洞導(dǎo)致被黑客攻擊，損失超過(guò)350萬(wàn)個(gè)以太幣(當(dāng)時(shí)市值約5000萬(wàn)美元，現(xiàn)價(jià)約7億多美元)”。若電力信息安全存在風(fēng)險(xiǎn)，若遭遇信息泄露、信息篡改、身份識(shí)別等情況這同時(shí)會(huì)給電力系統(tǒng)和廣大社會(huì)造成相當(dāng)大的損失。因此，要利用合理的防護(hù)對(duì)策確保信息網(wǎng)絡(luò)的安全，盡最大可能將所有能預(yù)估到的安全風(fēng)險(xiǎn)做好相應(yīng)的防范措施。

1 電力系統(tǒng)信息防護(hù)的作用

當(dāng)前防護(hù)技術(shù)種類(lèi)繁多，有效降低了網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)，比如信息安全防護(hù)技術(shù)和密碼技術(shù)等。此外，為了實(shí)現(xiàn)電力網(wǎng)絡(luò)的安全防護(hù)，可通過(guò)物理機(jī)、虛擬機(jī)、網(wǎng)絡(luò)層等幾個(gè)方面來(lái)進(jìn)行保障。首先要保證數(shù)據(jù)內(nèi)容的完好無(wú)損，其次要為電力單位的機(jī)密信息提供安全環(huán)境，維護(hù)行業(yè)的合法權(quán)益，從某種意義上來(lái)講，也是避免電力信息非法竊取的一種手段。

2 電力系統(tǒng)信息安全隱患的種類(lèi)

2.1 網(wǎng)絡(luò)病毒

網(wǎng)絡(luò)病毒是最常見(jiàn)的安全風(fēng)險(xiǎn)之一，其傳播速度極快且隱蔽性強(qiáng)，對(duì)網(wǎng)絡(luò)系統(tǒng)的危害性很大。由于電力系統(tǒng)的信息數(shù)據(jù)很多都具有保密性質(zhì)，一旦泄露將造成不可逆的損失，病毒一旦侵入系統(tǒng)，極有可能造成保密信息的泄露，給電力企業(yè)帶來(lái)巨大的損失，甚至影響企業(yè)在市場(chǎng)中的公平競(jìng)爭(zhēng)。

2.2 黑客攻擊

黑客的攻擊是有針對(duì)性的，所以系統(tǒng)一旦受到攻擊往往比普通網(wǎng)絡(luò)病毒的危害還要大，甚至可能影響大范圍的供電。還有一些機(jī)密材料若被黑客竊取，對(duì)企業(yè)的影響是不可估計(jì)的。由于黑客攻擊的手段較多且變化性強(qiáng)，很難有針對(duì)性地采取預(yù)防措施。比如利用DCS系統(tǒng)控制電力信息基礎(chǔ)單元，致其癱瘓?；蛘呖梢郧秩胍粋€(gè)系統(tǒng)中控制其破壞其他系統(tǒng)，影響范圍大且危險(xiǎn)系數(shù)高，是當(dāng)前電力防護(hù)工作中的重點(diǎn)防治對(duì)象。

2.3 人為損壞

人為損壞是指由個(gè)人無(wú)意的操作不當(dāng)或故意的損害致使系統(tǒng)異常運(yùn)行的現(xiàn)象。這種行為會(huì)破壞電力信息網(wǎng)絡(luò)的秩序，電力部門(mén)要加強(qiáng)工作人員的監(jiān)管，避免外來(lái)人員隨意進(jìn)入微機(jī)室，對(duì)于機(jī)密文件還要設(shè)置瀏覽權(quán)限，避免此類(lèi)事故的發(fā)生。

2.4 其他因素

除了電腦病毒、黑客入侵或者人為損害外，還存在著其他因素威脅著系統(tǒng)信息的安全。比如天氣環(huán)境、外力撞擊、災(zāi)害事故等外界因素對(duì)計(jì)算機(jī)設(shè)備硬件的影響，或者在信息共享利用過(guò)程中出現(xiàn)了系統(tǒng)漏洞，都會(huì)造成電力企業(yè)的經(jīng)濟(jì)損失。

3 電力系統(tǒng)信息安全防護(hù)措施

為了有效避免電力信息安全問(wèn)題的發(fā)生，在工作實(shí)際中要針對(duì)當(dāng)前的安全隱患，運(yùn)用行之有效的防護(hù)對(duì)策，確保電力信息網(wǎng)絡(luò)的安全，促進(jìn)電力行業(yè)的健康發(fā)展。目前最為廣泛應(yīng)用的是代理防火墻[1]，這種技術(shù)相當(dāng)于一道屏障阻隔了病毒的侵入，可有效識(shí)別危險(xiǎn)信息并采取防御措施。在電力系統(tǒng)的運(yùn)行中，防火墻可以有效防御網(wǎng)絡(luò)黑客的攻擊，啟用防火墻技術(shù)還可以起到預(yù)防病毒入侵的作用，能對(duì)計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)進(jìn)行備份，在損失后可以及時(shí)找回，還能定期檢查備份文件，確保文件的完整有效。另外可以通過(guò)漏洞檢查，對(duì)計(jì)算機(jī)系統(tǒng)的軟硬件、協(xié)議以及邏輯設(shè)計(jì)的缺陷做好安全防范，避免漏洞給攻擊者提供可乘之機(jī)，從而造成信息的泄露和系統(tǒng)的破壞，且能及時(shí)發(fā)現(xiàn)系統(tǒng)的異常，在修復(fù)技術(shù)的幫助下完善當(dāng)前網(wǎng)絡(luò)環(huán)境。還可以通過(guò)數(shù)據(jù)加密限制訪問(wèn)權(quán)限，將信息在傳輸過(guò)程中進(jìn)行加密，可有效防止信息泄露與篡改，從預(yù)防的角度上保證電力信息系統(tǒng)應(yīng)用層的安全運(yùn)行。

3.1 應(yīng)用系統(tǒng)的防護(hù)措施

對(duì)電力系統(tǒng)的安全防護(hù)措施，我們可以通過(guò)以下幾種防范技術(shù)來(lái)考慮：

（1）安全CDN應(yīng)用平臺(tái)可以通過(guò)采用安全CDN技術(shù)，對(duì)Web系統(tǒng)和APP提供節(jié)點(diǎn)加速的基礎(chǔ)上，隱藏源站IP地址，減少可攻擊面。

（2）應(yīng)用層DDoS及CC攻擊防護(hù)針對(duì)DNS flood、放射性DDoS攻擊、SYN flood、UDP flood、CC攻擊及各類(lèi)復(fù)合型DDoS攻擊進(jìn)行安全防護(hù)。

（3）Web攻擊防護(hù)使用云WAF(Web-Application-Firewall)提供對(duì)WEB協(xié)議的加密和深度監(jiān)測(cè)，防止包括SQL注入、XSS跨站攻擊、CRSF跨站請(qǐng)求偽造、Webshell文件上傳、惡意采集及利于Web漏洞進(jìn)行的各類(lèi)攻擊。

（4）Web性能監(jiān)控采用Web服務(wù)可用性的實(shí)時(shí)監(jiān)控，對(duì)應(yīng)用平臺(tái)全球的可用性和性能進(jìn)行監(jiān)測(cè)，監(jiān)測(cè)DNS污染的攻擊方式。

（5）Web安全接入通過(guò)SSL協(xié)議加密，Web應(yīng)用平臺(tái)系統(tǒng)均采用HTTPS協(xié)議訪問(wèn)，對(duì)基于Web的核心系統(tǒng)訪問(wèn)均采用SSH加密認(rèn)證。

（6）Web頁(yè)面加固在頁(yè)面代碼及配置審計(jì)基礎(chǔ)上，通過(guò)對(duì)關(guān)鍵Web頁(yè)面鎖定避免被盜鏈或者篡改。

3.2 完善安全管理機(jī)制

主要從網(wǎng)絡(luò)環(huán)境、設(shè)備使用、人員管控、資料傳輸、涉密管理等幾個(gè)方面進(jìn)行安全等級(jí)的劃分，再根據(jù)劃分后的安全等級(jí)制定相關(guān)的管理標(biāo)準(zhǔn)與實(shí)施方法、考核制度等。

對(duì)所有涉密人員進(jìn)行不定期的抽查，主要以“人工+工具掃描”的檢測(cè)方式制定相關(guān)的安全檢測(cè)策略，并將抽查結(jié)果進(jìn)行內(nèi)部通報(bào)。

（1）“人工”指檢測(cè)人員不定期對(duì)所有涉密人員以“人工”的方式對(duì)應(yīng)用環(huán)境、設(shè)備、工具，以及網(wǎng)絡(luò)連接設(shè)備等進(jìn)行隨機(jī)檢測(cè)，并記錄檢測(cè)結(jié)果。

（2）“工具掃描”指檢測(cè)人員使用檢測(cè)工具不定期的對(duì)系統(tǒng)內(nèi)的網(wǎng)絡(luò)層(包含內(nèi)外網(wǎng))進(jìn)行掃描，并記錄檢測(cè)結(jié)果。

（3）制定全員安全防范培訓(xùn)計(jì)劃，制定詳細(xì)的年度與季度安全防范培訓(xùn)計(jì)劃，并按計(jì)劃進(jìn)行實(shí)施。

（4）專(zhuān)網(wǎng)環(huán)境安全管理實(shí)施方法：將內(nèi)外網(wǎng)隔離，配置辦公專(zhuān)屬服務(wù)器，服務(wù)器只用于專(zhuān)網(wǎng)連接，在服務(wù)器上建立多個(gè)虛擬機(jī)，公司機(jī)密通過(guò)虛擬機(jī)進(jìn)行操作，使用防火墻對(duì)虛擬機(jī)進(jìn)行安全管控，主要通過(guò)存儲(chǔ)限制、關(guān)閉所有外部連接端口、限制網(wǎng)絡(luò)傳輸?shù)榷喾矫孢M(jìn)行管控，虛擬機(jī)配有專(zhuān)人進(jìn)行管控，虛擬機(jī)依據(jù)不同人員的安全等級(jí)設(shè)置不同的使用與操作權(quán)限，使用工具對(duì)虛擬機(jī)進(jìn)行安全監(jiān)控。

（5）外網(wǎng)環(huán)境連接設(shè)備的安全管理實(shí)施方法：設(shè)定不同的網(wǎng)絡(luò)訪問(wèn)安全策略；設(shè)備連接外網(wǎng)時(shí)，研發(fā)虛擬機(jī)將強(qiáng)制斷開(kāi)與專(zhuān)網(wǎng)虛擬機(jī)的連接、關(guān)閉危險(xiǎn)端口，限制訪問(wèn)連接，如相關(guān)國(guó)內(nèi)外的網(wǎng)盤(pán)、云盤(pán)、論壇等。

（6）U盤(pán)連接限制，對(duì)于系統(tǒng)內(nèi)所有辦公設(shè)備安裝U盤(pán)管控工具，僅限使用內(nèi)網(wǎng)安全U盤(pán)。限制網(wǎng)絡(luò)傳輸類(lèi)型，如圖片、文檔、壓縮包等；連接外部網(wǎng)絡(luò)的設(shè)備中不允許存放帶有企業(yè)標(biāo)識(shí)的相關(guān)文檔、系統(tǒng)、軟件等；未經(jīng)過(guò)上線許可的研發(fā)系統(tǒng)，禁止連接外部網(wǎng)絡(luò)。

（7）人員安全等級(jí)管理方法，將電力系統(tǒng)內(nèi)所有涉及人員進(jìn)行安全等級(jí)劃分，如：外來(lái)人員、普通員工、核心員工、管理層、中層、高層等進(jìn)行劃分；按安全等級(jí)制定網(wǎng)絡(luò)訪問(wèn)安全策略；針對(duì)不同的人員等級(jí)設(shè)置不同的網(wǎng)絡(luò)連接策略。

（8）系統(tǒng)安全等級(jí)管理方法，將所有應(yīng)用系統(tǒng)在專(zhuān)網(wǎng)中進(jìn)行統(tǒng)一管控；將所有應(yīng)用系統(tǒng)進(jìn)行安全等級(jí)劃分，對(duì)核心系統(tǒng)、普通系統(tǒng)等不同類(lèi)別的設(shè)置不同的安全策略進(jìn)行管理等。

4 結(jié)論

要想降低風(fēng)險(xiǎn)損失就要不斷引進(jìn)先進(jìn)的防護(hù)技術(shù)，有針對(duì)性地防止電力網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)事故，有效確保電力網(wǎng)絡(luò)體系的穩(wěn)定運(yùn)行，實(shí)現(xiàn)電力行業(yè)網(wǎng)絡(luò)技術(shù)的可持續(xù)性發(fā)展。電力信息系統(tǒng)需要專(zhuān)業(yè)人員的監(jiān)管，因此有必要在企業(yè)內(nèi)部設(shè)置安全監(jiān)控中心或者組建專(zhuān)業(yè)化的管理團(tuán)隊(duì)。在管控工作中需要工作人員的統(tǒng)籌規(guī)劃，在確定風(fēng)險(xiǎn)來(lái)源、后果后，制定相應(yīng)的解決措施，實(shí)現(xiàn)電力網(wǎng)絡(luò)系統(tǒng)的專(zhuān)人專(zhuān)管，從而提高工作效率。

[1]姜紅.電力系統(tǒng)信息安全的重要性及防護(hù)措施[J].低碳世界，2016.

[2]李剛.電力系統(tǒng)信息網(wǎng)絡(luò)安全防護(hù)的重要性及措施[J].信息技術(shù)與信息化，2014.