牟奕欣 秦 巖 陳 楠

一、概述

2006年4月29日，國(guó)家電網(wǎng)公司提出了在全系統(tǒng)實(shí)施"SGl86工程”的規(guī)劃，力爭(zhēng)到“十一五”末，公司的信息化水平達(dá)到國(guó)內(nèi)領(lǐng)先、國(guó)際先進(jìn)，初步建成數(shù)字化電網(wǎng)、信息化企業(yè)。經(jīng)過近三年的應(yīng)用系統(tǒng)建設(shè)，國(guó)家電網(wǎng)公司在一體化信息集成平臺(tái)建設(shè)，八大業(yè)務(wù)應(yīng)用推廣，安全防護(hù)與運(yùn)維水平提升方面都取得了顯著的成效。隨著“SGl68工程”的應(yīng)用深化和擴(kuò)展，其所面臨的信息安全威脅也日益復(fù)雜和多樣化。

計(jì)算機(jī)通訊技術(shù)的迅速發(fā)展和普及，改變了整個(gè)信息管理的面貌，使信息管理以單個(gè)計(jì)算機(jī)為中心發(fā)展到以網(wǎng)絡(luò)為中心，為計(jì)算機(jī)技術(shù)在工業(yè)、商業(yè)、教學(xué)、科研、管理等領(lǐng)域中的應(yīng)用提供了一個(gè)全新的網(wǎng)絡(luò)通信環(huán)境，從根本上加強(qiáng)并促進(jìn)了群體工作成員之間的信息交流、資源共享、科學(xué)計(jì)算、技術(shù)合作及有效管理，推動(dòng)了生產(chǎn)、管理、科研及教學(xué)事業(yè)的發(fā)展。

然而，伴隨著計(jì)算機(jī)通訊網(wǎng)絡(luò)的發(fā)展衍生出新類型的安全問題，用戶對(duì)于信息的安全存儲(chǔ)、安全處理和安全傳輸?shù)男枰絹碓狡惹?。?duì)于電力系統(tǒng)來說，對(duì)信息安全的認(rèn)識(shí)不足，主要體現(xiàn)在缺乏統(tǒng)一的信息安全管理規(guī)范，缺乏與電力行業(yè)特點(diǎn)相適應(yīng)的計(jì)算機(jī)信息安全體系，計(jì)算機(jī)網(wǎng)絡(luò)面臨巨大的外部安全攻擊等等。因此，對(duì)于電力系統(tǒng)的網(wǎng)絡(luò)安全必須引起足夠重視?，F(xiàn)在大多數(shù)網(wǎng)絡(luò)安全解決方案都是基于用戶需求為核心，廠商根據(jù)客戶的要求提出相應(yīng)的解決方案，這些解決方案包括防病毒、防火墻、信息加密、入侵檢測(cè)、安全認(rèn)證、核心防護(hù)等等，應(yīng)用范圍主要是商業(yè)領(lǐng)域，對(duì)電力系統(tǒng)的關(guān)注較少。

二、常用網(wǎng)絡(luò)安全機(jī)制

1.訪問控制訪問控制的任務(wù)是保護(hù)網(wǎng)絡(luò)資源不被非法使用和訪問，是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的主要手段，是保證網(wǎng)絡(luò)安全的核心策略之一。訪問控制要對(duì)用戶身份進(jìn)行嚴(yán)格的認(rèn)證，實(shí)行嚴(yán)格的用戶帳戶管理，對(duì)于用戶名、用戶口令采取加密措施，合理設(shè)置用戶權(quán)限，它涉及應(yīng)用程序?qū)?shù)據(jù)和用戶的合法權(quán)限。

2.防火墻技術(shù)防火墻(Firewall)是一類防范措施的總稱，是一種有效的網(wǎng)絡(luò)安全模型。防火墻又稱為堡壘主機(jī)，通過它來隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接，但不妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量，僅讓安全、核準(zhǔn)了的信息進(jìn)入，同時(shí)抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)。防火墻是一種被動(dòng)技術(shù)，它假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，對(duì)內(nèi)部的非法訪問難以有效控制，因此防火墻適合于相對(duì)獨(dú)立的網(wǎng)絡(luò)。

3.數(shù)據(jù)加密數(shù)據(jù)加密是確保計(jì)算機(jī)網(wǎng)絡(luò)安全的一種重要機(jī)制，是為了防止信息被竊取，在發(fā)送時(shí)對(duì)信息進(jìn)行加密。數(shù)據(jù)加密技術(shù)可分為數(shù)據(jù)傳輸、數(shù)據(jù)儲(chǔ)存、數(shù)據(jù)完整性鑒別以及密鑰管理技術(shù)等四種。數(shù)據(jù)傳輸常用的加密方法有鏈路加密和端端加密兩種。鏈路加密是傳輸數(shù)據(jù)僅在數(shù)據(jù)鏈路層進(jìn)行加密，接受方是傳送路徑上的各個(gè)節(jié)點(diǎn)，信息在各個(gè)節(jié)點(diǎn)上都要解密和再加密，直至數(shù)據(jù)傳送到目的地。端端加密則是為數(shù)據(jù)從一端傳送到另一端提供的加密方式，是在應(yīng)用層完成的，除了報(bào)頭外的報(bào)文均以密文的形式貫穿于全部傳輸過程，只有在發(fā)送端和接受端才加解密設(shè)備。數(shù)據(jù)存儲(chǔ)加密技術(shù)的目的是防止存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失迷，可以分為密文存儲(chǔ)和存取控制兩種。前者是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法，將所要存儲(chǔ)的數(shù)據(jù)以密文的形式存放在存儲(chǔ)介質(zhì)上；后者則是對(duì)用戶資格、權(quán)限等加以審查和限制，防止非法用戶存取數(shù)據(jù)或者合法用戶越權(quán)存取數(shù)據(jù)。數(shù)據(jù)完整性鑒別技術(shù)的目的是對(duì)信息傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)進(jìn)行驗(yàn)證，達(dá)到保密的要求，鑒別內(nèi)容包括口令、密鑰、身份、數(shù)據(jù)等項(xiàng)。為了數(shù)據(jù)使用方便，數(shù)據(jù)加密在很多場(chǎng)合集中表現(xiàn)為密鑰的應(yīng)用。密鑰的媒體有磁卡、磁帶、磁盤、半導(dǎo)體存儲(chǔ)內(nèi)存等，密鑰管理技術(shù)包括密鑰的產(chǎn)生、分配、保存、更換與銷毀等。根據(jù)密鑰的特點(diǎn)，密碼可分為對(duì)稱密碼和非對(duì)稱密碼兩種體制。對(duì)稱密碼體制具有完全的可逆性和對(duì)稱性，在加解密的過程中用一個(gè)密鑰來完成，這種保密系統(tǒng)對(duì)密鑰的安全傳送要求較高，密鑰泄漏會(huì)導(dǎo)致系統(tǒng)的崩潰。非對(duì)稱密碼體制中有公鑰和私鑰兩個(gè)密鑰，加密和解密算法是互補(bǔ)的。當(dāng)一方向另一方傳送信息時(shí)，使用公鑰對(duì)數(shù)據(jù)進(jìn)行加密，接受者接受到密文‘以后，用私鑰進(jìn)行解密。非對(duì)稱密鑰是目前最為廣泛應(yīng)用的一種加密方式。

三、電力系統(tǒng)的網(wǎng)絡(luò)安全

根據(jù)電力系統(tǒng)的特點(diǎn)，信息安全按其業(yè)務(wù)性質(zhì)一般可分為四類：一是電網(wǎng)運(yùn)行實(shí)時(shí)控制系統(tǒng)。包括電網(wǎng)自動(dòng)發(fā)電控制系統(tǒng)及支持其運(yùn)行的調(diào)度自動(dòng)化系統(tǒng)、火電廠分布控制系統(tǒng)(D CS，BMS，DEH，cCS)、水電廠計(jì)算機(jī)監(jiān)控系統(tǒng)、變電所及集控站自動(dòng)化系統(tǒng)、電網(wǎng)繼電保護(hù)及安全系統(tǒng)、電力市場(chǎng)技術(shù)支持系統(tǒng)；二是電力營(yíng)銷系統(tǒng)。包括電量計(jì)費(fèi)系統(tǒng)、負(fù)荷管理系統(tǒng)；三是企業(yè)管理信息系統(tǒng)。四是不直接參與電力企業(yè)過程控制和生產(chǎn)管理的多種經(jīng)營(yíng)系統(tǒng)。

就大多數(shù)國(guó)家電力公司直屬省級(jí)子公司而言，電力信息網(wǎng)已基本覆蓋了公司的電力生產(chǎn)、施工、建設(shè)、設(shè)計(jì)、經(jīng)營(yíng)等領(lǐng)域，并己深入到用電營(yíng)業(yè)所和變電所，信息網(wǎng)承載了財(cái)務(wù)、物資、用電、生產(chǎn)、勞人、安全監(jiān)察、計(jì)劃統(tǒng)計(jì)和電網(wǎng)實(shí)時(shí)信息，實(shí)現(xiàn)了綜合信息查詢和辦公自動(dòng)化。公司局域網(wǎng)不但實(shí)現(xiàn)了與基層單位的互聯(lián)，還實(shí)現(xiàn)了與國(guó)家電力公司、省政府經(jīng)濟(jì)信息中心的互聯(lián)。

電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)作為電力系統(tǒng)的重電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)作為電力系統(tǒng)的重要基礎(chǔ)設(shè)施，不僅與電力系統(tǒng)的生產(chǎn)、經(jīng)營(yíng)、服務(wù)相關(guān)，還擔(dān)負(fù)著整個(gè)電網(wǎng)安全穩(wěn)定運(yùn)行的重任，直接關(guān)系到國(guó)計(jì)民生，因此電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)是安全保護(hù)的核心。按國(guó)家有關(guān)規(guī)定，電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)不得與因特網(wǎng)連接，因此安全問題主要來自內(nèi)部。網(wǎng)絡(luò)管理員必須對(duì)系統(tǒng)劃分不同的安全等級(jí)，確保安全等級(jí)優(yōu)先的系統(tǒng)得到最妥善的保護(hù)。

對(duì)于不承載電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)的網(wǎng)絡(luò)，由于與因特網(wǎng)互聯(lián)而帶來較多安全問題?？紤]安全問題時(shí)，首先應(yīng)防止來自互聯(lián)網(wǎng)的非法惡意攻擊和破壞，采用防火墻技術(shù)，對(duì)于進(jìn)入防火墻的所有信息進(jìn)行驗(yàn)證和過濾，并應(yīng)用審計(jì)功能。其次應(yīng)解決內(nèi)聯(lián)網(wǎng)用戶的安全，可以對(duì)內(nèi)聯(lián)網(wǎng)用戶加裝防火墻客戶端軟件，用捆綁網(wǎng)卡地址加用戶和口令的雙重驗(yàn)證保證安全。