电力数据通信网安全防护方案的分析和研究

电力数据通信网安全防护方案的分析和研究

霍翔

国网山西省电力公司信息通信分公司 山西省太原市 030021

摘要：近些年，国家电力网络的建设工作取得了举世瞩目的成果。为了保证电力信息网络的安全性，做好电力数据通信网络安全问题的研究，对保证电力企业的正常运行十分关键。

关键词：电力数据；通信网络；安全

引言：研究发现，国内专业研究电力数据通信网络安全课题的内容较少，面对电力数据通信网络呈现的规模复杂、网络安全供给威胁等现象，则有必要做好相关安全问题的研究。

一、电力数据通信网呈现的问题

1、结构规模较大、过于复杂

通常国内的电力数据通信网由骨干网、本地网部分共同组成，骨干网又被划分为一级骨干网、省级骨干网。其中全国主要城市及直辖市均遍布着一级骨干网，因此一级骨干网特别重要。省际骨干网则遍布各省调度机构、基层单位等，遍布区域相对较小，常以单位、办公室为主要目标。不过本地网能与骨干网连接，并访问整个电力系统数据资源库。由于骨干网、本地网分布地域不同、规模庞大且复杂，所以给安全维护带来了难题。

2、业务量过多

国内电力数据通信网承载了大量业务，服务覆盖全国。一旦电力远离生活，社会将发生动乱。而各电力节点间的交流依靠电力数据通信网提供保障。同时，近些年大量家用电器走入千家万户，这使电力企业业务量持续增加，为满足社会需求，电力需求需要不断建设大量的发电设施、输电设备、电力数据通信网等满足社会需求。而新建的设施、使用的设备、构建的网络容易出现问题，影响电力进度及调度工作，需要予以高度重视。

3、工作管理难度较高

电力数据通信网使用环节较多，不论哪个环节发生问题，电力企业均会受到负面影响。研究发现，电力数据通信网管理难度较大。其原因是“各本地网运维单位不属于一家，各单位运维本地网时容易将不稳定因素带入电力数据通信网。”比如，某地工作者在一台本地网数据交换机中同时接入了一根网线的两端，此时会造成二层环路问题，引发网络弹簧等。此类人为影响因素无法彻底避免，也很难从根本上做出规定进行预防。因此，电力数据通信网管理难度较大[1]。

4、其它问题

电力数据通信网在建设、发展的过程中，还存在其他安全类问题，常见的有网络遭受外部恶意攻击、网络结构不合理、网络操作违规、网络内部安全性较差、设备维护水平差、网络管理风险等。上述风险的存在，均不利于电力数据通信网健康发展。

二、电力数据通信网安全发展策略

1、健全网络安全管理体制

首先，电力企业要健全网络安全管理机制，基于整体视角掌控方向，在细节入手控制安全效果，才可以确保电力数据通信网各环节工作顺利开展。进行安全管理体制建设期间，企业要基于方针、目标、职责、过程、监控五方面入手。其次，要坚持“安全第一”原则，组织相关工作时应满足“安全第一”的要求，避免造成不必要的损失。然后，应坚持预防为主，提前防范，断不可亡羊补牢，否则为时已晚；其原因是“电力数据通信网内容多且复杂，不论哪个环节出现问题，均有一定几率造成整个系统瘫痪。”因此，微小细节绝不可忽略。最后，制定、落实综合治理方案，帮助员工明确所在岗位承担的职责、义务，通过强化管理手段，确保在健全网络安全管理体制方面全体员工均能发挥作用。

2、做好电力数据通信信息系统身份认证步骤的研究

在数据安全性保障方面，身份认证发挥了关键作用。虽然诸多电力企业组织结构相对严密，各员工所在岗位分工也十分明确，但员工掌握的数据信息较少，因此无需承担较高的数据安全风险。通过完善电力数据通信同身份认证步骤，一是，能自动登记、记录查看数据的人员信息，防止后续产生不必要的责任纠纷；二是，可杜绝非法分子、不轨人员窃取、破坏数据信息等，能为数据安全提供保障。

3、电力企业边界防护方法

首先，运用“防火墙+入侵检测系统（IDS）”。电力企业网络数据信息常遭受外部黑客等的恶意攻击，所以，要引用“防火墙+入侵检测系统”进行保护。防火墙工作原理即“利用过滤技术，采取访问控制策略（ACL），让数据必须被ACL过滤后方可通过，以此杜绝没有经过允许的IP、端口的流量通过。”不过传统防火墙没有应用层识别能力，无法有效应对木马等恶意攻击，所以需要配合IDS等系统共同使用。在保证网络性能的基础上由IDS监听网络，及时发现网络恶意攻击行为。通常旁路部署是部署IDS的主要模式，运行时能把被检测设备的其它二层端口数据镜像投射至IDS，并利用该系统进行数据分析，检测网络恶意攻击行为。但IDS没有防护能力，运行期间需要人为干预完成防护。所以，IDS要与防火墙联动部署，当IDS检测到网络攻击时，快速报告入侵行为，并通过指令形式通知防火墙迅速启用防护策略，阻止攻击行为的进一步发生[2]。

其次，做好入侵防御系统的使用。由于防火墙没有防护应用层攻击的能力、IDS没有主动防护攻击等能力，所以要引入入侵防御系统（IPS）加以运用。该系统能及时发现外来攻击、主动完成防护工作，还可以检测常规流量中掺杂的恶意流量，提前自动拦截存在攻击性的流量，或第一时间将网络内异常行为数据中断。通常IPS以串联方式部署，所以需要设备具有良好的性能，若性能不达标，会引发网络链路瓶颈，导致传输数据的效率下降。另外，在设备发现攻击的精确性方面提出了较高要求，要求能精准阻断，若发生误判，会影响正常业务开展。一般可在电力企业路由器和交换机间串联IPS，交换机应与业务终端连接，这样部署可将有害数据流量及时阻断。同时，要为防火墙增加入侵检测、入侵防御、URL过滤、流量探针等功能；及时发现可疑未知威胁及APT等攻击，第一时间将可疑特征数据送至态势感知系统进行分析，进而承担更多的防护功能[3]。

三、结束语

总之，电力企业做好电力数据通信网安全问题及应对策略的研究，有助于提高电力数据通信网运行安全性、运行效率，能够满足社会可持续稳定发展提出的需求。

参考文献：

[1]安徽电网数据通信网双网互备与隧道传输技术探讨与应用[J].金鑫,谢小军,苏涛.电力信息与通信技术.2019(02):49-54

[2]安徽电力地市公司数据通信接入网建设研究[J].吴小敏,杨文颖.安徽电气工程职业技术学院学报.2020,25(03):98-102

[3]大数据技术在电力通信网中的应用研究[J].张航.通信电源技术.2020,37(10):203-205