（海南電網(wǎng)有限責(zé)任公司 海南 570203)

電力行業(yè)作為國家重要的關(guān)鍵信息基礎(chǔ)設(shè)施單位，各電力企業(yè)負責(zé)管理和營運多個基于互聯(lián)網(wǎng)的重要對外應(yīng)用，并常常成為黑客的攻擊目標(biāo)。通過近幾年的網(wǎng)絡(luò)安全建設(shè)，各電力企業(yè)都建立起不同網(wǎng)絡(luò)大區(qū)的網(wǎng)絡(luò)安全方式模式。從目前電力行業(yè)的實際情況來看，互聯(lián)網(wǎng)的系統(tǒng)應(yīng)用已經(jīng)成為行業(yè)數(shù)字化運營的重要支撐。為了可以使資源的共享程度不斷加深，與互聯(lián)網(wǎng)的聯(lián)系也就會越來越緊密。然而，電力企業(yè)的安全問題長時間以來就有很大層面上的暴露。無論是物理方面，還是網(wǎng)絡(luò)上面的攻擊，在進入新時期后，都對電力企業(yè)的安全、穩(wěn)定運行造成了很大的隱患?；诖?，筆者結(jié)合電力行業(yè)互聯(lián)網(wǎng)應(yīng)用的安全現(xiàn)狀，提出一系列的防護手段提升互聯(lián)網(wǎng)應(yīng)用防御。

1 電力行業(yè)互聯(lián)網(wǎng)應(yīng)用安全現(xiàn)狀

1.1 安全意識薄弱

安全意識是首要解決的問題，正是由于在互聯(lián)網(wǎng)應(yīng)用安全防護方面，許多企業(yè)以及領(lǐng)導(dǎo)者并沒有進行踏實的防護，無論是在構(gòu)架還是在技術(shù)，都存在著一定的僥幸心理。因此沒有積極防御，當(dāng)問題出現(xiàn)之后處于被動的狀態(tài)。這有些原因是出現(xiàn)在資金上面，而有些只是出現(xiàn)在認(rèn)識上面。尤其是在構(gòu)架系統(tǒng)上，普遍出現(xiàn)了安全投入和收益的不成比例。這也就會產(chǎn)生一些麻痹的思想，認(rèn)為安全上的考慮不足以當(dāng)真。

1.2 安全防護缺少有效的規(guī)章制度

許多人都認(rèn)為在互聯(lián)網(wǎng)的應(yīng)用安全防護上面，需要解決的是技術(shù)問題。其實不然，為了可以將安全進行全面、細致的防護，合理完善的規(guī)章制度也相當(dāng)重要。在對制度的完善當(dāng)中，無論是設(shè)計者、管理者，還是使用者，每個人的職權(quán)一定要進行明細，保證有較高的執(zhí)行力、可操作性，這樣才可以建立出基礎(chǔ)的制度框架。

1.3 安全管理的人才匱乏

隨著信息的不斷增長，互聯(lián)網(wǎng)的應(yīng)用更加需要專業(yè)人才來進行安全防護。然而在目前的電力行業(yè)當(dāng)中，安全方面的專業(yè)人才實際上是遠遠跟不上企業(yè)的需求。因此，電力行業(yè)當(dāng)中的企業(yè)應(yīng)該對于員工進行定期的培養(yǎng)，以形成常態(tài)，對于十分重要的工作人員還需要進行針對性的安全教育。

1.4 網(wǎng)絡(luò)安全防護的措施不到位

對于互聯(lián)網(wǎng)的安全防護，在防火墻、路由器等設(shè)備上面的配置有相當(dāng)大的缺失，在操作系統(tǒng)上面也存在著漏洞，而終端設(shè)備的防病毒客戶端軟件不更新，等等這些問題都容易產(chǎn)生疏忽，使得電力行業(yè)的互聯(lián)網(wǎng)很容易成為一些入侵者的攻擊目標(biāo)。

1.5 缺乏有效的監(jiān)測與檢測能力

互聯(lián)網(wǎng)在對公眾開放的同時，其本身的隱蔽問題就存在著矛盾。一方面是資源的開放與共享，而另一方面，信息內(nèi)容的安全則會顧此失彼。在電力行業(yè)所使用的互聯(lián)網(wǎng)上面，由于各種系統(tǒng)存在的漏洞、設(shè)計者本身認(rèn)識或能力不足產(chǎn)生的一些軟件漏洞等，這就導(dǎo)致在許多互聯(lián)網(wǎng)當(dāng)中，缺乏一種高效管理的監(jiān)控措施，來對網(wǎng)絡(luò)的安全性進行監(jiān)視。

1.6 缺乏一種完整的安全防護手段

電力行業(yè)當(dāng)中所使用的大部分互聯(lián)網(wǎng)安全防護，都只僅限于某一個設(shè)備，或者是某個系統(tǒng)、某個領(lǐng)域，通過它們之間的簡單組合來進行安全防護。然而，這種防護措施卻有著相當(dāng)嚴(yán)重的缺陷。只需要找到其中一個漏洞，那么攻擊者就可以將其成為一條道路，使得整個網(wǎng)絡(luò)系統(tǒng)暴露出許多薄弱環(huán)節(jié)。因此需要建立一個立體全方位的完整的安全防范手段，才可以應(yīng)對各種各樣的安全問題。

2 電力行業(yè)互聯(lián)網(wǎng)應(yīng)用安全防護策略

2.1 重視安全規(guī)劃

如果從長遠來考慮的話，那么就需要對于互聯(lián)網(wǎng)的安全防護問題進行一個相當(dāng)全面的認(rèn)知，這樣就可以以大體的視角，來對互聯(lián)網(wǎng)中可能出現(xiàn)的安全問題進行處理。需要建立起一套系統(tǒng)、全面、可操作的互聯(lián)網(wǎng)應(yīng)用安全防護體系，同時也建立起一套防護的建設(shè)準(zhǔn)則。將體系和準(zhǔn)則兩者結(jié)合起來，為電力行業(yè)的互聯(lián)網(wǎng)安全提供依據(jù)。而這兩者的建設(shè)，可以參照國內(nèi)外的一些通用標(biāo)準(zhǔn)來進行實行。

2.2 在基礎(chǔ)設(shè)施和環(huán)境運行上面加強管理建設(shè)

在電力行業(yè)互聯(lián)網(wǎng)應(yīng)用當(dāng)中，對于計算機網(wǎng)絡(luò)和信息方面要進行合理的把控。尤其是在機房、配電間等有服務(wù)器和核心設(shè)施的地方，加強安全管理措施。在這些房間一定要構(gòu)建起防盜、防火、防水等基礎(chǔ)設(shè)施，并且在一些通道內(nèi)，也需要安裝有效的監(jiān)控和報警設(shè)施，用來監(jiān)察進出人員的情況。而在機房內(nèi)的一些物理硬件設(shè)備，需要通過相關(guān)的設(shè)備來建立嚴(yán)密的運行記錄，保證實時查到每一個設(shè)備的運行情況。對于作業(yè)指導(dǎo)書，要進行規(guī)范，確?；ヂ?lián)網(wǎng)信息安全的可靠。

2.3 安全區(qū)域的合理劃分

在電力行業(yè)當(dāng)中，對于電網(wǎng)的調(diào)度自動化系統(tǒng)物理專網(wǎng)隔離，并且通過綜合信息網(wǎng)與國家一些專業(yè)機構(gòu)進行數(shù)據(jù)的交換，而在物理方面則通過正向隔離設(shè)備，保證允許的數(shù)據(jù)單向流量至服務(wù)器等等形式。而在綜合信息網(wǎng)和互聯(lián)網(wǎng)之間，需要建立比較高效的防火墻，保證一些信息只能從內(nèi)網(wǎng)才可以發(fā)布。在邊界的防火墻需要合理的規(guī)劃區(qū)域，用來放置訪問的服務(wù)器，確保互聯(lián)網(wǎng)方面的訪問只能通過這個服務(wù)器才可以進入。邊界防火墻的三層核心規(guī)劃成不同的邏輯子網(wǎng)，用來提供專用網(wǎng)絡(luò)。最后，對于不同部門的劃分也應(yīng)該清晰，讓他們只能訪問本部門的工作站。

2.4 安全管理不斷加強，制度建設(shè)不斷完善

對于電力行業(yè)內(nèi)部，要求一些企業(yè)建立、健全機房、設(shè)備、應(yīng)用等等具體的管理措施。并且在管理、使用、運行等各項制度進行明確，對于考核制度也應(yīng)該健全。保證以制度為根基的領(lǐng)導(dǎo)帶頭作用，運用在各項制度的強制、有效上面。對于一些管理業(yè)務(wù)和操作流程，需要保證實時變化、實時更新，以確保互聯(lián)網(wǎng)管理行為獲得有效的規(guī)范。

3 電力行業(yè)互聯(lián)網(wǎng)應(yīng)用安全防護技術(shù)

3.1 網(wǎng)絡(luò)隔離技術(shù)

網(wǎng)絡(luò)隔離技術(shù)可以在不同網(wǎng)絡(luò)或者是內(nèi)網(wǎng)網(wǎng)絡(luò)之間建立一道防線，防止外部或者是公用的網(wǎng)絡(luò)，未經(jīng)允許的訪問而進入內(nèi)網(wǎng)，是十分常見的防護技術(shù)。它可以保證將安全區(qū)域進行不同的劃分，并且設(shè)置不同的訪問限制，一般可以采用異構(gòu)網(wǎng)絡(luò)區(qū)域，內(nèi)部網(wǎng)絡(luò)區(qū)域等等。

3.2 自身免疫技術(shù)

不同于那些被動防止安全問題的措施，自身免疫技術(shù)可以進行積極主動的防御，其中漏洞掃描與加固是比較常見的自身免疫技術(shù)。良好的漏洞掃描技術(shù)，需要建立在完備的知識庫上面。通過掃描技術(shù)對于互聯(lián)網(wǎng)當(dāng)中的許多網(wǎng)絡(luò)或主機進行掃描，發(fā)現(xiàn)其安全問題，并且開展有效的安全加固工作，大幅度的降低黑客攻擊。

3.3 入侵監(jiān)測系統(tǒng)

入侵監(jiān)測技術(shù)在互聯(lián)網(wǎng)應(yīng)用正常訪問的行為鐘，對于違反安全策略行為和入侵行為進行系統(tǒng)的檢測，在收集網(wǎng)絡(luò)訪問、安全日志、信息數(shù)據(jù)等基礎(chǔ)上面，對一些行為進行安全檢測。并且，對不同的網(wǎng)絡(luò)區(qū)域和誤操作提供防護，使得互聯(lián)網(wǎng)在被入侵之前就可以得到及時的報警。

3.4 數(shù)字加密技術(shù)

數(shù)字加密技術(shù)可以為互聯(lián)網(wǎng)提供一種十分安全的防護，它可以在不同的網(wǎng)絡(luò)之間傳輸時，用加密的方式進行處理，保證數(shù)據(jù)的前后一致，是一種十分普遍的安全防護措施。

3.5 端點防護技術(shù)

端點防護技術(shù)實現(xiàn)的方式是在為互聯(lián)網(wǎng)應(yīng)用提供服務(wù)的服務(wù)器上，安裝端點防護工具，該工具具有通信阻斷、漏洞發(fā)現(xiàn)、行為監(jiān)測等能力，通過該技術(shù)的應(yīng)用，可以將互聯(lián)網(wǎng)應(yīng)用的服務(wù)防護手段下沉到最端點，實現(xiàn)最小化防御。最大限度的實現(xiàn)業(yè)務(wù)可用性和網(wǎng)絡(luò)安全防御的平衡。

3.6 自動化防御技術(shù)

自動化防御是指通過技術(shù)手段實現(xiàn)安全威脅的自動化處置，高度提煉以往網(wǎng)絡(luò)安全應(yīng)急保障工作的寶貴經(jīng)驗，形成安全防護規(guī)則。一旦監(jiān)測到網(wǎng)絡(luò)攻擊，監(jiān)視平臺與安全防護設(shè)備聯(lián)動，形成高效、動態(tài)防御。極大地縮短互聯(lián)網(wǎng)攻擊的防御時長，提升防御效率。

4 互聯(lián)網(wǎng)防護技術(shù)實踐的成效

近年來，筆者在所工作的電力企業(yè)中，對上述互聯(lián)網(wǎng)應(yīng)用防護技術(shù)手段開展了一系列實踐工作，取得了客觀的應(yīng)用成效。主要包括：

（1）提升了企業(yè)互聯(lián)網(wǎng)應(yīng)用的整體安全防護能力，通過網(wǎng)絡(luò)隔離技術(shù)的研究與實施、端點安全防護能力建設(shè)、安全監(jiān)測體系建設(shè)等一系列舉措，構(gòu)建了全方位、全天候、全過程、全覆蓋的體系化整體保障能力，確保電力互聯(lián)網(wǎng)應(yīng)用的整體安全。

（2）提升了電力互聯(lián)網(wǎng)應(yīng)用的監(jiān)測預(yù)警和應(yīng)急響應(yīng)能力，通過構(gòu)建互聯(lián)網(wǎng)應(yīng)用安全監(jiān)測預(yù)警體系，實現(xiàn)多種關(guān)聯(lián)分析，提升了電力互聯(lián)網(wǎng)應(yīng)用安全防御能力，實現(xiàn)直觀、實時的安全運行態(tài)勢展示，有效抵御了惡意網(wǎng)絡(luò)嗅探和攻擊行為。

（3）提升了電力互聯(lián)網(wǎng)應(yīng)用聯(lián)合阻斷的安全防護能力，安全防護聯(lián)動阻斷系統(tǒng)形成了面向互聯(lián)網(wǎng)威脅的動態(tài)防御體系，打破設(shè)備孤島，構(gòu)建聯(lián)合戰(zhàn)線。利用海量數(shù)據(jù)高速分析識別出高?；ヂ?lián)網(wǎng)IP，與防御設(shè)備形成動態(tài)防護策略，將高危IP聯(lián)動封堵，打破原因的靜態(tài)防御體系，創(chuàng)新性地實現(xiàn)了互聯(lián)網(wǎng)威脅的動態(tài)防御。

5 結(jié)束語

互聯(lián)網(wǎng)應(yīng)用安全防護是一個相當(dāng)復(fù)雜的系統(tǒng)工程，它涉及許多方面。因此，對于它的研究絕對不能只依據(jù)某一個方面。對于電力行業(yè)的互聯(lián)網(wǎng)應(yīng)用安全防護，需要從技術(shù)、制度和法律三個層面，采取全方位的措施來進行防護。并且在安全管理上面也要提高重視，使得防護措施和管理意識共同進步，一起來為電力行業(yè)的互聯(lián)網(wǎng)安全提供堅實的保障。