基于電力系統網絡安全的風險控制

郝鵬

摘要：該文針對電力系統網絡安全問題，對電力系統網絡安全性進行了分析，進而確定專業管理和電力網絡安全控制的要求，對影響電力系統網絡安全性的各種因素進行研究，最終得到各種病毒、黑客等攻擊形式的處理控制措施。

關鍵詞：電力系統；網絡安全；風險控制

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）36-8611-02

電力系統在運行的過程中，需要利用網絡環境對輸電運行情況進行觀測和控制，但是隨著網絡結構和業務系統的逐漸復雜，網絡安全的風險也越來越大，基于網絡運行的相對封閉性要求，電力系統出現的網絡安全問題也基本產生于內部。這種風險存在的形式直接會影響到整個電力業務系統的安全，同時也會對數據存儲、傳輸造成破壞，通過分析電力系統網絡安全的因素，發現與操作人員的操作行為有直接關系，所以電力系統網絡安全風險控制預案的制定就要深入到電力系統日常運行中，提高控制預案的管理水平。

1 對電力網絡信息系統安全造成威脅的因素

1.1 人為操作的失誤

電力系統的網絡運行需要在網絡安全配置的模式下運行，如果網絡安全配置不當就會對電力系統造成安全威脅，產生安全漏洞，這時網絡安全系統無法根據命令操作安全意識行為和用戶口令。此時如果進行賬號登錄，很容易泄露賬號信息，共享信息資源也會遭受到安全威脅，網絡主機存在的系統漏洞，可以通過電力網絡入侵系統主機，直接干擾系統主機的運行情況和數據，中心數據庫服務器在不安全的環境下，無法對整個電力系統進行數據保護。

1.2 人為因素的惡意攻擊

人為因素的惡意攻擊主要指網絡黑客和網絡病毒，惡意攻擊往往具有目的性，可能直接對計算機網絡的系統進行破壞，如果惡意攻擊是主動攻擊，則會以各種方式有選擇性的破壞信息的可用性和完整性，如果惡意攻擊是被動攻擊，則不會影響到網絡的正常工作，病毒只會潛伏在網絡系統中，截獲、竊取、破譯網絡系統和網絡信息[1]。人為因素造成的惡意攻擊對網絡安全性的威脅力非常大，可以獲得重要機密的信息，嚴重的情況會直接導致機密數據的泄漏和丟失，會造成電力系統大量的經濟損失。

2 電力系統網絡風險基本控制策略

針對電力系統網絡的安全性和可靠性，網絡風險控制的基本策略要能深入到網絡運行中，切合電力安全任務，抵御各種形式對系統發起的惡意破壞和攻擊，保障電力系統的穩定運行?；诖?，電力系統安全解決方案的總體策略可以分為五種模式，分別是：分區防護、區域隔離、網絡專用、設備獨立、縱向防護。分區防護主要控制理念是突出保護重點，根據系統中業務的重要性對信息進行加密處理，并設置出實時控制區和非控制生產區，充分體現出電力系統網絡安全維護層次。區域隔離采用防火墻等網絡安全控制裝置，在網絡環境中設置多道保護屏障，確保網絡核心系統的安全性。網絡專用是在專用通道上建立電力調度專用數據網絡，實現專用信息單獨通信的模式，有效隔離，實施專門的保護工作。設備獨立要求網絡安全保護設備要設置在不同安全區域內，使網絡系統可以提供充足的空間供網絡交換機設備使用，縱向防護采用認證、加密等手段實現數據的遠方安全傳輸[2]。

3 電力系統網絡安全風險控制方案實行的條件

3.1 網絡設備的安全管理

對網絡設備進行安全管理需要在設備接口Console處設置密碼，網絡設備的管理統一采用OUT——BAND帶外方式，每個管理設備都要具有獨立的賬戶和口令，在核對準確后，才可以輸出設備運行和采集的信息[3]。

3.2 網管中心劃分安全區域

在網管中心通過劃分不同安全保護區域的形式，對電力系統網絡環境進行管理，從邏輯上將每個管理內容獨立成一個安全區域，并可以及時對區域進行監控，發現區域內部安全狀況。安全區域的劃分必須要遵守安全性規則，確保不會影響到電力系統網絡環境內部的數據結構，管理員可以根據用戶的使用需求，合理共享安全保護區域中的數據[4]。

3.3 對IPsec加密與MPLS VPN進行使用

電力網絡通過通過MPLS VPN實現廣域網轉變為私有網絡的效果。要對數據進行IPsec加密之后才能夠進入到MPLS VPN網絡中，在數據離開MPLS VPN網絡之后同樣需要進行IPsec加密，通過這種方式防止VPN承載商在傳輸的過程中對數據的安全與完整造成危害，確保數據在經過VPN承載商傳輸之后能夠確保安全性與完整性。

3.4 黑客防范配置

針對威脅最大的黑客病毒，網絡安全風險控制需要在網絡環境內部通過信息檢測和攻擊檢測，找到黑客侵入的環節和程度，基于網絡安全性分析的內容，在侵入位置設置防線，并對黑客進行實時監控[5]。只有這樣才能進一步避免黑客病毒對網絡安全的破壞，同時，技術人員也有更多的時間部署服務器的前端功能。

4 電力系統局域網內部網絡安全解決方案

在電力系統局域網中，雖然外部攻擊具有較大的影響，但是內部的攻擊卻存在較大的危害。電力系統局域網內部網絡安全解決方案為：在局域網內部通過防火墻實現不同網段的隔離，對局域網內部一些較為關鍵的應用通過IPS進行監控與保護。電力系統局域網內部網絡安全解決方案主要需要實現的目的包括：第一，確保網絡的安全，通過防火墻對一些非法用戶的訪問進行禁止、對合法用戶的訪問進行允許或限制；第二，實現防火墻負載方面的均衡，通過防火墻對網絡資源進行保護，拒絕一些非授權的訪問；第三，實現服務器負載方面的均衡，通過負載均衡的計算對網絡內的服務器群的負載進行動態的分配。

5 電力系統廣域網整體上的安全解決方案

在對廣域網從整體安全解決的過程中，要遵循不受到其他系統的影響、不影響其他系統的原則，通過防火墻實現不同網段的隔離，對一些較為關鍵的應用通過IPS進行監控與保護，實現廣域網的分布式部署，實現端對端、局對局安全的目的。

在對網絡內部資源的開發程度進行控制的過程中可以利用過濾規則設置的方式，通過IP特殊端口的開放對黑客的侵入進行有效的限制；在對內部用戶訪問外部資源級別確定的過程中可以利用過濾、IP地質及客戶端認證的方式，通過這種方式對內部用戶向外界傳遞信息的行為進行有效的限制；通過負載均衡器實現系統可靠性的提高，促進防火墻吞吐量的大幅度提升；通過用戶界面實現規則配置、系統管理、統計等功能。

6 結束語

基于上文分析的結果，筆者明確了對電力系統網絡安全造成威脅的因素內容，同時在網絡安全分析的基礎上，確定了網絡安全風險控制的要求，進而在電力系統網絡中開展實際的安全防控工作。電力系統網絡安全的風險控制需要從網絡設備、網絡技術等多個層面出發，全面部署網絡運行環境，這樣才能維持網絡安全、穩定的運行。

參考文獻：

[1] 朱騰，梁冬冬.基于電力系統網絡安全的風險控制[A].安徽省電力公司、安徽省電機工程學會.第一屆電力安全論壇優秀論文集[C].安徽省電力公司、安徽省電機工程學會，2013.

[2] 賈春杰，劉翔宇，楊世鑫，等.電力系統網絡安全風險及其控制措施[J].機電信息，2011，33（12）：181-182 .

[3] 郜盼盼，劉啟旭，高佳杰，等.智能電網系統中面向用電信息安全防護的認證加密系統研究[J].電力系統通信，2013，2（12）：213-219.

[4] 龍宇奕，唐立生，楊明新，等.電力系統網絡攻擊風險分析及基于數字水印的應對方法研究[J].長沙理工大學學報：社會科學版，2013，3（12）：230-233 .

[5] 林云威，林啟新，高思雨，等.基于故障樹和DSET的電力控制系統信息安全風險評估[J].華東理工大學學報，2014，9（23）：100-109.endprint