摘 要：電力系統(tǒng)是國(guó)家重要的基礎(chǔ)設(shè)施，其安全運(yùn)營(yíng)是各行業(yè)正常運(yùn)轉(zhuǎn)的重要前提。計(jì)算機(jī)技術(shù)的不斷發(fā)展和信息化范圍的不斷擴(kuò)大，給電力系統(tǒng)來(lái)便利與效益的同時(shí)也伴隨產(chǎn)生了顯著影響。本文對(duì)電力系統(tǒng)網(wǎng)絡(luò)安全的發(fā)展歷史、主要存在風(fēng)險(xiǎn)進(jìn)行了分析總結(jié)，并對(duì)電力系統(tǒng)的立體防護(hù)體系構(gòu)建進(jìn)行簡(jiǎn)要規(guī)劃。

關(guān)鍵詞：電力系統(tǒng);網(wǎng)絡(luò)安全;信息化

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.3969/j.issn.1003-6970.2021.03.037

本文著錄格式：申宇.電力系統(tǒng)網(wǎng)絡(luò)安全立體防護(hù)體系構(gòu)建研究[J].軟件，2021，42（03）：130-132

Research on Construction of Three-dimensional Protection System of Power System Network Security

SHEN Yu

（China Huadian Group Co.， Ltd.， Beijing? 100031）

【Abstract】：The power system is an important national infrastructure， and its safe operation is an important prerequisite for the normal operation of various industries. The continuous development of computer technology and the continuous expansion of the scope of informatization have not only brought convenience and benefits to the power system， but also produced a significant impact. This article analyzes and summarizes the development history and main risks of power system network security， and makes a brief plan for the construction of a three-dimensional protection system for the power system.

【Key words】：power system;network security;informatization

0引言

電力系統(tǒng)是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施，具有重要地位。電力是一種優(yōu)質(zhì)能源，具有極大的市場(chǎng)需求，服務(wù)范圍涉及各行各業(yè)。電力的安全穩(wěn)定運(yùn)營(yíng)關(guān)系國(guó)家安全，是重點(diǎn)關(guān)注方向。中國(guó)經(jīng)濟(jì)的高速增長(zhǎng)，導(dǎo)致電力系統(tǒng)兩方面的矛盾十分突出。一方面，我國(guó)國(guó)民生產(chǎn)生活用電負(fù)荷的持續(xù)快速增長(zhǎng)對(duì)電力系統(tǒng)如何滿足高質(zhì)量供電需求提出了新的要求，特別是安全保障方面的要求。另一方面，隨著工業(yè)化和信息化的實(shí)際應(yīng)用，電力系統(tǒng)由原來(lái)的完全與外網(wǎng)隔離模式發(fā)展成網(wǎng)絡(luò)化連接和信息化管理模式，并逐步向互聯(lián)網(wǎng)開(kāi)放。信息化擴(kuò)大了傳統(tǒng)內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)的發(fā)生范圍以及傳遞通路，開(kāi)放化則引入了廣泛的互聯(lián)網(wǎng)風(fēng)險(xiǎn)。在當(dāng)前的信息化網(wǎng)絡(luò)時(shí)代，計(jì)算機(jī)技術(shù)的飛速發(fā)展以及其廣泛應(yīng)用在給人類生活生產(chǎn)帶來(lái)方方面面的便捷與舒適時(shí)，同樣也使得網(wǎng)絡(luò)信息安全面臨著更加嚴(yán)峻的局面。機(jī)遇與挑戰(zhàn)并存，電力行業(yè)更應(yīng)該提高網(wǎng)絡(luò)安全意識(shí)，創(chuàng)建安全管理平臺(tái)，加強(qiáng)安全技術(shù)支撐力度，采取措施防范安全風(fēng)險(xiǎn)[1]。

1電力系統(tǒng)網(wǎng)絡(luò)安全發(fā)展歷史

1.1建立結(jié)構(gòu)性安全防護(hù)機(jī)制

21世紀(jì)初，基于SDH（Synchronous Digital Hiera-rchy，同步數(shù)字體系）技術(shù)的IP專網(wǎng)成為電力調(diào)度數(shù)據(jù)網(wǎng)的技術(shù)標(biāo)準(zhǔn)，并明文規(guī)定只能傳輸電力調(diào)度生產(chǎn)直接相關(guān)的數(shù)據(jù)，且必須在物理層面與公用信息網(wǎng)絡(luò)進(jìn)行安全隔離。2002年發(fā)布的《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)安全防護(hù)規(guī)定》對(duì)此做出明確規(guī)范。同年，我國(guó)提出了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”這是我國(guó)電力系統(tǒng)信息安全防護(hù)總策略，也是結(jié)構(gòu)性安全防護(hù)機(jī)制的主要特征和執(zhí)行標(biāo)準(zhǔn)[2]。2005年，我國(guó)發(fā)布《電力二次系統(tǒng)安全防護(hù)規(guī)定》一系列技術(shù)文件，標(biāo)志著我國(guó)電力系統(tǒng)第一階段安全防護(hù)體系全面形成志。

1.2基于等級(jí)保護(hù)的業(yè)務(wù)安全防護(hù)體系

2007年，國(guó)家發(fā)布《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，標(biāo)志著電力行業(yè)等級(jí)保護(hù)建設(shè)工作的全方面推進(jìn)。等級(jí)保護(hù)體系是基于結(jié)構(gòu)性防護(hù)進(jìn)一步完善形成的，具體可分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)層面。當(dāng)保護(hù)等級(jí)為四級(jí)時(shí)，調(diào)度數(shù)字證書以及安全標(biāo)簽技術(shù)的綜合運(yùn)用可充分實(shí)現(xiàn)安全防護(hù)策略，全面保證主客體間的全過(guò)程安全防護(hù)。

1.3基于可信計(jì)算的主動(dòng)防護(hù)體系

不斷更新的新型攻擊方式致使以“查殺”為核心的被動(dòng)安全措施對(duì)于實(shí)時(shí)控制系統(tǒng)在安全防護(hù)的時(shí)效上大打折扣，建立更加高效的主動(dòng)防御體系是當(dāng)務(wù)之急。新體系通過(guò)可信計(jì)算技術(shù)來(lái)創(chuàng)建調(diào)度控制系統(tǒng)的主動(dòng)免疫機(jī)制，提高對(duì)未知惡意代碼攻擊的免疫功能，以此達(dá)到網(wǎng)絡(luò)環(huán)境的安全可信，并通過(guò)網(wǎng)絡(luò)連接整個(gè)系統(tǒng)，實(shí)現(xiàn)自身免疫[2]。2014年《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》的發(fā)布，《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》等配套技術(shù)文件的同步修訂以及國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的發(fā)布實(shí)施，標(biāo)志著我國(guó)的智能電網(wǎng)信息安全主動(dòng)防御體系正式確立。

2電力系統(tǒng)網(wǎng)絡(luò)安全存在的主要風(fēng)險(xiǎn)

2.1物理安全面臨的風(fēng)險(xiǎn)

物理安全是網(wǎng)絡(luò)安全的前提，物理安全指的是由各種硬件設(shè)備如路由器、交換機(jī)、服務(wù)器等與通訊介質(zhì)之間的安全。這要求盡量避免人為原因、自然災(zāi)害造成的設(shè)備損壞。與此同時(shí)，如何保證人為或自然災(zāi)害造成設(shè)備故障時(shí)，能夠保證留存數(shù)據(jù)，并做到快速恢復(fù)，減小甚至避免損失是當(dāng)前必須考慮的問(wèn)題。

2.2系統(tǒng)安全面臨的風(fēng)險(xiǎn)

電力系統(tǒng)設(shè)備主要由路由器、交換機(jī)及主機(jī)系統(tǒng)組成。這些設(shè)備本身或多或少存在部分安全漏洞。若利用這些安全漏洞將造成嚴(yán)重后果。目前，電力系統(tǒng)的服務(wù)器多應(yīng)用UNIX、Windows NT操作系統(tǒng)。UNIX系統(tǒng)若未經(jīng)正確的配置、修補(bǔ)，則易被攻破防線。此外，系統(tǒng)安全風(fēng)險(xiǎn)來(lái)源還包括數(shù)據(jù)庫(kù)、郵件及FTP系統(tǒng)等方面。郵件系統(tǒng)和FTP系統(tǒng)等服務(wù)系統(tǒng)直接面對(duì)互聯(lián)網(wǎng)，易成為黑客入侵和惡意攻擊的對(duì)象。垃圾郵件的大量發(fā)送易就足以造成郵件系統(tǒng)的崩潰癱瘓，這是網(wǎng)絡(luò)安全的大隱患。

2.3應(yīng)用安全面臨的風(fēng)險(xiǎn)

Web應(yīng)用的數(shù)量在網(wǎng)絡(luò)體系中占比大，應(yīng)用范圍廣。電力企業(yè)對(duì)外發(fā)布的Web系統(tǒng)幾乎全是可直接連入公網(wǎng)的，若不加以防護(hù)，則極易被攻擊入侵，造成損失。所以Web系統(tǒng)安全的地位舉重若輕。目前兩種情況會(huì)導(dǎo)致Web應(yīng)用的異常，一方面是Web系統(tǒng)自身的不安全運(yùn)行，另一方面則是網(wǎng)絡(luò)傳輸過(guò)程中涉及的敏感信息或機(jī)密信息的不安全傳輸。

3電力系統(tǒng)網(wǎng)絡(luò)安全需求及防護(hù)設(shè)計(jì)

3.1主要需求分析

3.1.1物理環(huán)境需求

首先需要保證物理環(huán)境的相對(duì)安全，包括日常維護(hù)、檢修線路、設(shè)備，制定嚴(yán)格的管理、使用制度，這是保證電力系統(tǒng)網(wǎng)絡(luò)安全的前提和重要基礎(chǔ)。其次，對(duì)網(wǎng)絡(luò)傳輸路線的設(shè)計(jì)需要考慮防范火災(zāi)、水災(zāi)、雷擊、靜電劑物理沖撞等，以此保障數(shù)據(jù)傳輸?shù)陌踩煽?。另外必須冗余配置關(guān)鍵設(shè)備，如數(shù)據(jù)備份、災(zāi)難恢復(fù)系統(tǒng)等，充分保障數(shù)據(jù)安全。

3.1.2系統(tǒng)安全需求

首先，使用相對(duì)更可信的、安全性更高的操作系統(tǒng)，與外界產(chǎn)生連接的關(guān)鍵主機(jī)盡量采用國(guó)產(chǎn)操作系統(tǒng)。其次，統(tǒng)一、批量配備整個(gè)網(wǎng)絡(luò)主機(jī)和服務(wù)器的防病毒系統(tǒng)，避免病毒的大范圍入侵和快速傳播。另外需要做到關(guān)閉存在安全隱患的程序及服務(wù)，嚴(yán)格限制用戶的訪問(wèn)權(quán)、使用權(quán)，及時(shí)修復(fù)系統(tǒng)漏洞。

3.1.3應(yīng)用安全需求

加強(qiáng)來(lái)源于網(wǎng)絡(luò)傳輸中涉及的敏感及機(jī)密信息的安全傳輸，強(qiáng)化Web系統(tǒng)自身的安全運(yùn)行。對(duì)于應(yīng)用系統(tǒng)采取身份鑒別，確保用戶的使用合法性，限制操作者的使用權(quán)限。采用安全日志，在出現(xiàn)問(wèn)題時(shí)，及時(shí)提供證據(jù)。

3.2防護(hù)體系構(gòu)架

3.2.1網(wǎng)絡(luò)結(jié)構(gòu)

一般以千兆以太網(wǎng)作為主干網(wǎng)絡(luò)，通過(guò)合理組合搭配網(wǎng)絡(luò)設(shè)計(jì)和配置，將內(nèi)外網(wǎng)絡(luò)設(shè)計(jì)資源優(yōu)化，可以有效避免安全隱患，提高網(wǎng)絡(luò)安全性。計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)采用樹(shù)形拓?fù)浣Y(jié)構(gòu)，如圖1所示：

3.2.2防火墻技術(shù)

防火墻是被安置在不同網(wǎng)絡(luò)安全域間的高級(jí)訪問(wèn)控制設(shè)備，是隔離計(jì)算機(jī)內(nèi)網(wǎng)、外網(wǎng)的保護(hù)屏障。防火墻技術(shù)通過(guò)對(duì)傳輸過(guò)程中數(shù)據(jù)的訪問(wèn)限制與驗(yàn)證保證，以及各類數(shù)據(jù)信息節(jié)點(diǎn)呈現(xiàn)出的過(guò)濾特性，來(lái)區(qū)別于內(nèi)網(wǎng)之間的安全屬性[3]。防火墻技術(shù)由代理服務(wù)器、網(wǎng)絡(luò)反病毒技術(shù)、數(shù)據(jù)包過(guò)濾以及SOCKS協(xié)議組成。防火墻技術(shù)的基本功能及其重要性體現(xiàn)在以下幾點(diǎn)：一是檢測(cè)和警報(bào)網(wǎng)絡(luò)風(fēng)險(xiǎn)，抵御程序代碼的惡意攻擊;二是管理、記錄訪問(wèn)網(wǎng)絡(luò)的權(quán)力和活動(dòng)，識(shí)別網(wǎng)絡(luò)信息收發(fā)方身份;三是給予信息在不同網(wǎng)絡(luò)體系間的傳遞途徑，避免攻擊風(fēng)險(xiǎn)，保障用戶網(wǎng)絡(luò)安全。

3.2.3網(wǎng)絡(luò)安全評(píng)估

網(wǎng)絡(luò)安全評(píng)估通過(guò)漏洞掃描軟件對(duì)網(wǎng)絡(luò)中所有的核心服務(wù)器、重要的網(wǎng)絡(luò)設(shè)備如交換機(jī)、終端等進(jìn)行定期的、全面的掃描?？蓪⒙┒磼呙柢浖惭b到高性能主機(jī)上從而實(shí)現(xiàn)全方位的漏洞掃描。漏洞掃描軟件通過(guò)模擬黑客的攻擊手法對(duì)設(shè)備進(jìn)行掃描，檢測(cè)網(wǎng)絡(luò)設(shè)備中存在的弱點(diǎn)和漏洞，給出可能存在安全漏洞的位置、詳細(xì)描述，提供相應(yīng)的修補(bǔ)方案，提醒安全管理員及時(shí)完善安全策略，降低安全風(fēng)險(xiǎn)。為避免漏洞的產(chǎn)生，可引入虛擬主機(jī)IP地址，并隱藏MAC地址，同時(shí)要做到系統(tǒng)的及時(shí)升級(jí)，才能有效消除漏洞，保證網(wǎng)絡(luò)安全。

3.2.4入侵檢測(cè)系統(tǒng)

非法入侵是計(jì)算機(jī)網(wǎng)絡(luò)安全的一大威脅，入侵檢測(cè)技術(shù)可以有效解決這一問(wèn)題。根據(jù)入侵方式不同可將入侵檢測(cè)分為基于主機(jī)的入侵檢測(cè)、基于網(wǎng)絡(luò)的入侵檢測(cè)以及混合式的入侵檢測(cè)三類。通過(guò)應(yīng)用入侵檢測(cè)技術(shù)能夠?qū)崟r(shí)監(jiān)測(cè)網(wǎng)絡(luò)傳輸情況。一旦監(jiān)測(cè)到可疑傳輸，入侵檢測(cè)系統(tǒng)將自發(fā)警報(bào)并主動(dòng)防御。一般將入侵檢測(cè)系統(tǒng)安裝在交換機(jī)上從而實(shí)現(xiàn)為對(duì)入侵與攻擊行為的全方位監(jiān)測(cè)。因?yàn)榻粨Q機(jī)中匯集了大量網(wǎng)絡(luò)流量，是數(shù)據(jù)信息的重要節(jié)點(diǎn)，同時(shí)也成為了黑客入侵的主要攻擊對(duì)象。入侵防御系統(tǒng)則是入侵檢測(cè)系統(tǒng)中的升級(jí)產(chǎn)品，一般將其部署在網(wǎng)絡(luò)邊界。入侵防御系統(tǒng)能夠提供主動(dòng)的、實(shí)時(shí)的防護(hù)，實(shí)現(xiàn)隨時(shí)阻斷流量的惡意攻擊并合理配置網(wǎng)絡(luò)帶寬資源。

3.2.5防病毒系統(tǒng)

計(jì)算機(jī)病毒層出不窮，高效的防病毒系統(tǒng)的構(gòu)建迫在眉睫。應(yīng)采用多層次全方位的病毒防衛(wèi)體系，重點(diǎn)關(guān)注防毒軟件對(duì)計(jì)算機(jī)病毒的滲透阻擋作。首要工作是對(duì)所有工作站、服務(wù)器上安裝防病毒軟件。著重關(guān)注防毒軟件在計(jì)算機(jī)關(guān)鍵部位的使用，加強(qiáng)防范力度，針對(duì)網(wǎng)絡(luò)核心節(jié)點(diǎn)可進(jìn)行統(tǒng)一配置防病毒服務(wù)器以此實(shí)現(xiàn)批量化安裝。為避免計(jì)算機(jī)病毒對(duì)各終端主機(jī)造成破壞，必須提高在職人員的安全防范意識(shí)，確保所有人員的計(jì)算機(jī)不被計(jì)算機(jī)病毒侵襲，避免數(shù)據(jù)文件被竊或丟失，從源頭上保證網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定。通過(guò)對(duì)各工作站防病毒系統(tǒng)的集中管理和統(tǒng)一配置、升級(jí)，形成一個(gè)防病毒侵襲的有效機(jī)制。

3.2.6網(wǎng)絡(luò)隔離技術(shù)

網(wǎng)絡(luò)隔離技術(shù)是一種網(wǎng)絡(luò)安全技術(shù)，能充分實(shí)現(xiàn)數(shù)據(jù)儲(chǔ)存、傳播，保證網(wǎng)絡(luò)信息暢通交流，保障計(jì)算機(jī)用戶的正常使用和運(yùn)營(yíng)。目前常用的隔離方法有物理隔離、邏輯隔離兩種：物理隔離方法是通過(guò)一定的硬件設(shè)備和軟件限制訪問(wèn)內(nèi)部、外部網(wǎng)絡(luò)，設(shè)備、線路以及存儲(chǔ)相對(duì)獨(dú)立。常使用的物理隔離方式有物理隔離卡、隔離網(wǎng)閘[4]。邏輯隔離則主要包括虛擬局域網(wǎng)、虛擬路由和轉(zhuǎn)發(fā)、虛擬交換等。目前，電力行業(yè)應(yīng)用的隔離方式主要還是依靠?jī)?nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的物理隔離。但在計(jì)算機(jī)技術(shù)不斷更新，智能電網(wǎng)不斷發(fā)展的背景下，電力客戶使用互聯(lián)網(wǎng)來(lái)與電力企業(yè)信息交換的行為日漸頻繁，企業(yè)和用戶面臨計(jì)算機(jī)病毒多樣化，安全隱患不斷遞增的形勢(shì)之下，電力企業(yè)也逐漸開(kāi)始采用邏輯隔離來(lái)限制內(nèi)部網(wǎng)絡(luò)服務(wù)以及外部網(wǎng)絡(luò)的信息交換。

4總結(jié)與展望

本文對(duì)電力系統(tǒng)的網(wǎng)絡(luò)安全的發(fā)展歷史、主要存在風(fēng)險(xiǎn)進(jìn)行了簡(jiǎn)明總結(jié)，并對(duì)電力系統(tǒng)的立體防護(hù)體系構(gòu)建進(jìn)行簡(jiǎn)要規(guī)劃。同時(shí)，對(duì)于電力系統(tǒng)來(lái)說(shuō)還需要充分考慮的重要課題是：如何構(gòu)建專業(yè)的安全管理平臺(tái)系統(tǒng)。通過(guò)安全管理平臺(tái)系統(tǒng)對(duì)系統(tǒng)內(nèi)部的安全設(shè)備與系統(tǒng)安全策略進(jìn)行管理，實(shí)現(xiàn)全系統(tǒng)安全策略的統(tǒng)一配置、分發(fā)和管理，有效配置、集中管理全網(wǎng)安全設(shè)備與系統(tǒng)的參數(shù)，提升網(wǎng)絡(luò)安全性能。

參考文獻(xiàn)

[1] 董團(tuán)偉.西安供電分公司網(wǎng)絡(luò)和信息安全管理研究[D].北京：華北電力大學(xué)（北京），2017.

[2] 湯震宇.國(guó)內(nèi)電力監(jiān)控網(wǎng)絡(luò)安全的演進(jìn)發(fā)展和新挑戰(zhàn)[J].自動(dòng)化博覽，2021，38（1）：18-21.

[3] 孟華.基于大數(shù)據(jù)時(shí)代的計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（1）：157-158.

[4] 喬暢，騫憲忠，曾超.計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的威脅與防范技術(shù)[J].電子技術(shù)與軟件工程，2020（1）：249-250.