电力系统通信网络安全问题及控制措施探讨

电力系统通信网络安全问题及控制措施探讨

高嘉成

公诚管理咨询有限公司第七分公司

摘要：本文主要对电力系统通信网络安全问题，提出了电力系统通信网络安全控制需要从网络设备、网络技术等多个层面出发，全面部署网络运行环境，这样才能维持通信网络安全、稳定的运行。

关键词：电力系统通信网络；安全问题；控制措施

一、前言

新时期，通信网络安全有了自身特殊的定义，它主要包括以下两个主体，一是网络自身的安全问题，二是网络在传输和储存信息时遇到的安全问题，其中，网络自身安全问题与相互连接的计算机设备、相关维护人员、网络设施、应用软件、服务程序以及各个网络组成密切相关。而电力系统通信网络信息安全着重强调信息传输以及储存的保密性、安全性、可靠性。基于此，本文主要电力系统通信网络安全问题及控制措施进行了分析与探讨，以供同仁参考。

二、电力系统通信网络信息系统安全问题分析

（1）人为操作的失误。电力系统的通信网络运行需要在通信网络安全配置的模式下运行，如果通信通信网络安全配置不当就会对电力系统造成安全威胁，产生安全漏洞，这时通信网络安全系统无法根据命令操作安全意识行为和用户口令。此时如果进行账号登录，很容易泄露账号信息，共享信息资源也会遭受到安全威胁，通信网络主机存在的系统漏洞，可以通过电力通信网络入侵系统主机，直接干扰系统主机的运行情况和数据，中心数据库服务器在不安全的环境下，无法对整个电力系统进行数据保护。

（2）设备与体系安全问题。目前电力行业正在从进口设备转向国产设备，但不可能一次性全部将设备进行更换，因此必然会出现同时使用不同品牌设备的情况，会存在一定的兼容性差异，影响网络安全。黑客可以利用网络病毒，恶意攻击往往具有目的性，可能直接对计算机网络的系统进行破坏，如果恶意攻击是主动攻击，则会以各种方式有选择性的破坏信息的可用性和完整性，如果恶意攻击是被动攻击，则不会影响到通信网络的正常工作，病毒只会潜伏在网络系统中，截获、窃取、破译通信网络系统和网络信息。黑客造成的恶意攻击对通信网络安全性的威胁力非常大，可以获得重要机密的信息，严重的情况会直接导致机密数据的泄漏和丢失，会造成电力系统大量的经济损失。

三、电力通信网络安全问题的控制措施探讨

针对电力系统通信网络的安全性和可靠性，电力安全方案要能抵御通过各种形式对系统发起的恶意破坏和攻击，防止由此导致的一次系统事故或大面积停电事故，二次系统的崩溃或瘫痪，以及有关信息管理系统的瘫痪总体来说，电力系统通信网络安全解决方案的总体策略如下：

（1）分区防护、突出重点。根据系统中业务的重要性和对一次系统的影响程度，按其性质可划分为实时控制区、非控制生产区、调度生产管理区、管理信息区等四个安全区域，重点保护实时控制系统以及生产业务系统所有系统都必须置于相应的安全区内，纳入统一的安全防护方案。

（2）网络专用。在专用通道上建立电力调度专用数据网络，实现与其他数据网络物理隔离，井通过采用MPLS-VPN形成多个相互逻辑隔离的IPSECVPN，实现多层次的保护。

（3）设备独立。不同安全区域的系统必须使用不同的网络交换机设备。

（4）纵向防护。采用认证、加密等手段实现数据的远方安全传输。

针对电力通信网络安全的薄弱环节全方位统筹规划。解决方案注重防止非法入侵全网网络设备；保护电力数据中心及其设备中心的网络、服务器系统不受侵犯一一数据中心与Internet必须使用防火墙隔离，并且制定科学的安全策略；制定权限管理一一这是对应用系统、操作系统、数据库系统的安全保障；考虑网络上设备安装后仍然可能存在的安全漏洞，并制定相应措施策略。

（1）在网络设备的安全管理方面，采用双机备份、异地备份等方式来保护重要资料。在本地将关键数据备份，然后送到异地保存。灾难发生后，按预定数据恢复程序恢复系统和数据。这种方案成本低、易于配置。但当数据量增大时，存在存储介质难管理的问题，并且当灾难发生时存在大量数据难以及时恢复的问题。为了解决此问题，灾难发生时，先恢复关键数据，后恢复非关键数据。同时，将所有网络设备上的Console口加设密码进行屏蔽，配置管理全部采用DUT-BAND带外方式，并对每个被管理的设备均设置相应的帐户和口令，只有网络管理员具有对网络设备访问配置和更改密码的权力。

（2）VPN和IPsec加密的使用。电力网络将通过MPLSVPN把跨骨干的广域网络变成自己的私有网络。为保障数据经VPN承载商（ISP）传输后不会对数据的完整与安全构成潜在危险，在数据进入MPLSVPN网络之前首先经过工Psec加密，在离开VPN网络后又再进行工Psec解密。

（3）安全审核技术，通过网络设置控制网络的安全。对于体系上流通的数据信息进行审查，及时拦阻存在异常的数据信息，避免这类信息给网络体系造成干扰，安全审查技术的运用也能有效的保护信息体系的安全。如审核技术中对网络设备日志、操作体系运营日志、数据库访问日志等综合处理，及时发现异常问题且自动处理。在交换机、路由器、数据库和各种认证上，层层进行安全设置，从而确保整个网络的安全。

（4）通过专用网络防火墙控制网络边界的安全。这种技术是将可信网络与不可信网络相互分隔开来，进而创建一个全面性的安全检查点，对一些异常信息流通进行过滤筛选。如：防火墙中的强制实糟能进行安全检查，避免电力公司信息遭到非法存取或攻击。另外，在电力体系的生产、计量、营销、调度等方面也有很好的管控。

（5）进行黑客防范配置。通过信息检测、攻击检测、通信网络安全性分析和操作系统安全性分析等一系列配置，对黑客进行监控。可以部署在内网作为IDS进行监控使用，也可以部署在服务器的前端作为防攻击的工PS产品使用，前题是保障网络的安全性。

（6）对于整个广域网，为了端对端，局对局的安全性，本着不受他系统影响/不影响他系统的安全原则，可对防火墙以及IPS设备进行分布式部署。通过过滤的规则设置可以使得我们方便地控制网络内部资源对外的开放程度，特别是针对国家电网公司、当地政府以工nternet仅仅开放某个IP的特殊端口，有效地限制黑客的侵入。

（7）增强操作人员的安全观念。安全观念涉及到领导者、操作者。电力公司经营者要从安全角度出发，为现有的网络信息体系制定安全管制策略，避免体系受到外在因素的破坏；而公司职员，则要不断培养自己的安全观念，在操作网络体系时坚持安全原则，把握好每一个操作步骤以维持体系的稳定性。

（8）构建认证体系，加快故障处理。身份认证是利用专有账户、密码等对进入信息体系者的身体进行验证，防止外来入侵者恶意攻击体系。当网络信息体系发生故障后，公司要尽快组织技术人员对体系进行解决，尽早解决常见故障造成的不利影响。

四、结语

总之，目前电力体系通信网络安全问题一直是电力公司运营中关注的焦点问题，由于外界影响因素以及体系运营自身存在的局限性，给电力体系通信网络带来一定的安全隐患，必须采取有效的安全防护技术，创立完善的安全管制体制，加强安全防护观念等，营造一个安全的网络运营环境，为电力体系通信业务发展提供动力。

参考文献：

[1]贾春杰，刘翔宇，杨世鑫，等.电力系统通信网络安全风险及其控制措施[J].机电信息，2011.

[2]郜盼盼，刘启旭，高佳杰，等.智能电网系统中面向用电信息安全防护的认证加密系统研究[J].电力系统通信，2013.

[3]王富良.浅谈电力通信网络管制体系结构[J].城市建设理论研究：电子版，2014（33）：55.