劉學鋒 張平 韓青

摘 要：本文主要論述了智能電網(wǎng)信息安全概況和方案設計，例舉了智能電網(wǎng)信息安全的實例。智能電網(wǎng)對外界具有開放性和交互性。因此安全的信息系統(tǒng)成為了保證智能電網(wǎng)穩(wěn)定運行的基礎?；谝陨蠈χ悄茈娋W(wǎng)信息安全及其防護技術進行了分級分域、邊界安全防護、網(wǎng)絡環(huán)境安全防護、主機與系統(tǒng)、應用系統(tǒng)防護技術和具體設備的部署等幾個方面的研究。

關鍵詞：智能電網(wǎng);信息安全;防護技術

中圖分類號：TM76 文獻標識碼：A 文章編號：1671-2064（2019）23-0039-02

0 引言

信息化建設對智能電網(wǎng)的智能程度起決定作用，信息化建設程度越高則智能電網(wǎng)的智能水平越高。智能電網(wǎng)作為信息時代主要產(chǎn)物之一，給人們的生活方式帶來了很大改變。電網(wǎng)工程“SG186”的建設和國家電網(wǎng)公司“統(tǒng)一堅持智能電網(wǎng)”推動了我國電網(wǎng)的進一步發(fā)展。

1 智能電網(wǎng)信息安全概況

1.1 智能電網(wǎng)安全信息內容

目前我國智能電網(wǎng)在信息傳輸時需要通過一定的安防措施來提高網(wǎng)絡的完整性和可靠性。智能電網(wǎng)的運行有獨特性，包括穩(wěn)定、安全、兼容、交互、協(xié)調、高效、優(yōu)質和集成。根據(jù)這些特點，其安全需求大，需要多方面的共同努力。首先，是物理安全的保障，目前大多供電企業(yè)的信息通信數(shù)據(jù)儲存在設備上，這就需要設備有較高的安全性。因此電力企業(yè)需要以先進的手段對數(shù)據(jù)儲存媒介進行妥善保存。同時需要網(wǎng)絡安全的保障電力信息網(wǎng)的類型較多，電力企業(yè)應對不同網(wǎng)絡設立不同級別的安全防控。以電力調度信息網(wǎng)為例，該網(wǎng)站是電力生產(chǎn)數(shù)據(jù)交流的主要平臺，對網(wǎng)絡安全性要求高，網(wǎng)站需要配防火墻、病毒防護系統(tǒng)、安全監(jiān)控系統(tǒng)等，同時又不能降低網(wǎng)速。其次，智能電網(wǎng)信息的應用安全也是重要的，應用系統(tǒng)經(jīng)常由于電力企業(yè)員工的誤操作產(chǎn)生安全問題。加上企業(yè)內部管控松懈，運維機制安全性不高。再次，還有數(shù)據(jù)安全方面，一是數(shù)據(jù)自身的安全程度，二是數(shù)據(jù)防護的安全。電力企業(yè)對數(shù)據(jù)安全的要求特殊，電力企業(yè)需要對文件進行加密，并對訪問數(shù)據(jù)的人進行身份的審核，以此來保證文件的準確性和保密性。最后電力企業(yè)也要注意主機安全，主要是對數(shù)據(jù)信息庫進行加固，防范黑客攻擊和病毒的入侵。

1.2 智能電網(wǎng)信息安全實例

1.2.1 供電公司智能電網(wǎng)網(wǎng)絡環(huán)境分析

以國網(wǎng)神農架供電公司為例，其業(yè)務范圍大且數(shù)量多而復雜，對供電數(shù)據(jù)信息的安全性要求極高。企業(yè)內有很多部門，根據(jù)其業(yè)務類型分為生產(chǎn)、營銷、財務和辦公幾大類。根據(jù)《信息安全技術信息安全等級保護基本要求》和SG186工程安全防護方案的要求，國網(wǎng)神農架供電公司把信息網(wǎng)分為內網(wǎng)和外網(wǎng)。

1.2.2 主機及應用系統(tǒng)分析

供電公司的主機系統(tǒng)主要由Windows和Unix組成，Windows系統(tǒng)的安全性和穩(wěn)定性有很大隱患，想進行改良可以用防毒軟件進行安全加固。這就要求安全措施跟緊業(yè)務的變化，并為這兩種系統(tǒng)陪陪不同的防護計劃。但公司機器系統(tǒng)保護和殺毒軟件更新不及時，密碼安全性低。這需要建立一個安全措施來防止內部和外部網(wǎng)絡上的計算機混用以及文件的隨便傳輸。由于桌面終端的操作系統(tǒng)是基于Windows的而且數(shù)量大，以桌面終端系統(tǒng)安全設置就需要統(tǒng)一的部署和一套完整程序來解決這個問題。

1.2.3 安全分析

根據(jù)《國家電網(wǎng)公司信息化“SG186”工程安全防護總體方案》要求，國網(wǎng)神農架供電公司對企業(yè)內外網(wǎng)進行了重新劃分。內網(wǎng)分為：營銷管理系統(tǒng)域、財務系統(tǒng)域、二級系統(tǒng)域和內網(wǎng)桌面終端域。外網(wǎng)則分為外網(wǎng)應用系統(tǒng)域、外網(wǎng)桌面終端域[1]。

2 智能電網(wǎng)信息安全方案設計

2.1 設計目標

中國國家電網(wǎng)公司信息化工程安全防護體系建設的總體目標是防止信息網(wǎng)絡崩潰、業(yè)務應用程序被破壞、關鍵數(shù)據(jù)被更改以及防止企業(yè)信息泄露，同時避免病毒和木馬、有害信息和惡意滲透攻擊，確保信息系統(tǒng)運行安全穩(wěn)定。

2.2 設計原則

總體安全保護計劃要結合供電企業(yè)等級保護的分級結果、應用系統(tǒng)管理和業(yè)務相似性進一步劃分。以保障安全域系統(tǒng)的安全保護措施應設計有針對性。信息系統(tǒng)安全域劃分可以分解復雜的安全保護問題，有助于實現(xiàn)信息系統(tǒng)的分層保護，并具有針對性的實施信息邊境保護，避免安全問題擴大。

以國網(wǎng)神農架供電公司等級保護系統(tǒng)的解決方案設計為例，在計劃時要清晰定義模型。這樣不僅可以相對準確地描述信息系統(tǒng)各個方面的內容及當前的安全局勢，也可以代表絕大多數(shù)區(qū)域和各種類型的信息系統(tǒng)。同時，也要進行分域防護，確保信息系統(tǒng)在遇到一種保護的時候不會被損壞，需要根據(jù)類型、重要性和關鍵程度合理劃分區(qū)域，確定安全等級[2]。

3 智能電網(wǎng)信息安全及其防護技術研究

3.1 分級分域

安全域是指由在同一工作環(huán)境中、具備相同或相似的安全保護需求和保護策略、彼此信任、相互關聯(lián)或相互作用的IT要素的集合。在建立智能電網(wǎng)數(shù)據(jù)防護系統(tǒng)前，要先劃分電網(wǎng)信息的安全域。以國網(wǎng)神農架供電公司為例，可以依靠邏輯性強的隔離設備用物理方式對信息網(wǎng)分別進行內外網(wǎng)的劃分。這種方式技能提升信息內網(wǎng)安全性，又能滿足信息外網(wǎng)交換數(shù)據(jù)的需要。

根據(jù)國家要求的方法劃分安全域后，信息內網(wǎng)分為營銷管理系統(tǒng)域、ERP系統(tǒng)域、二級系統(tǒng)域和內網(wǎng)桌面終端域。安全領域中的應用系統(tǒng)根據(jù)每個系統(tǒng)所屬的安全級別和系統(tǒng)在主機的安全級別受到保護。網(wǎng)絡和信息外聯(lián)網(wǎng)邊界保護的基礎，是滿足安全域中每個系統(tǒng)的最高級別進行安全建設。而企業(yè)信息外網(wǎng)分為外網(wǎng)應用系統(tǒng)域和外網(wǎng)桌面終端域。以便于對業(yè)務訪問需求進行控制和安全性的保護。

3.2 邊界安全防護技術

邊界安全防護重視數(shù)據(jù)流的檢測和控制。需要對網(wǎng)絡邊界的惡意代碼進行清除，對網(wǎng)絡上進行交換的信息進行過濾篩選，可用IDS進行檢測。由此實現(xiàn)對超文本傳輸協(xié)議、FTP協(xié)議、TELNET端口、簡單郵件傳輸協(xié)議、POP3等邊界內容進行訪問過濾，同時對網(wǎng)絡最大流量數(shù)進行控制。有效的控制措施包括根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供允許訪問和控制強度的明確能力。同時按照用戶和系統(tǒng)之間允許的訪問規(guī)則，決定允許還是拒絕用戶進行資源訪問。邊境安全保護的首要任務是明確界定安全邊界，供電企業(yè)聯(lián)系安全域邊界，邊界是信息外部第三方的安全邊界、信息網(wǎng)絡內部第三方的安全邊界以及信息網(wǎng)絡內部和外部的安全邊界。每個區(qū)域的訪問控制需要通過防火墻來實現(xiàn)，同時每個地區(qū)也實現(xiàn)了內容過濾、帶寬管理和其他應用層控制要求[3]。

3.3 網(wǎng)絡環(huán)境安全防護

網(wǎng)絡環(huán)境安全防護也針對企業(yè)網(wǎng)絡、路由器、防火墻和交換機等基礎設備。為國家電網(wǎng)公司提供所有域的網(wǎng)絡支持服務設備，按滿足三級安全保護的基本要求進行保護。其措施包括結構安全、安全接入控制、設備安全管理、安全弱點掃描、安全事件審計、配置文件備份和網(wǎng)絡業(yè)務信息流安全防護。其中，結構安全主要是保證網(wǎng)絡設備處理業(yè)務的能力具有富余空間，因此，公司的核心設備和主要鏈路應為熱備用冗余鏈路，主鏈路應為雙鏈路。而安全接入控制主要基于網(wǎng)絡設備的準入控制，依賴控制協(xié)意。由此可見，能依靠聯(lián)合軟認證系統(tǒng)實現(xiàn)全網(wǎng)控制。能夠控制未注冊的主機無法正常的應用網(wǎng)絡，同時利用北新源桌面管理系統(tǒng)實現(xiàn)移動存儲和非法外聯(lián)等管理。安全弱點掃描則是將綠聯(lián)極光漏洞掃描系統(tǒng)部署在網(wǎng)絡中，定期檢查系統(tǒng)、網(wǎng)絡設備、應用程序數(shù)據(jù)庫掃描，及時檢測系統(tǒng)中可能存在的漏洞，防止被黑客利用。網(wǎng)絡業(yè)務信息流安全防護就主要是通過鏈路加密的當時實現(xiàn)，防止網(wǎng)絡之間的通訊存在竊取數(shù)據(jù)的安全隱患，能夠通過防火墻的虛擬專用網(wǎng)來實現(xiàn)。

3.4 主機與系統(tǒng)

服務器承載公司的應用系統(tǒng)和業(yè)務數(shù)據(jù)，這對于應用服務器的安全當從操作系統(tǒng)安全性和數(shù)據(jù)庫安全性以及桌面管理三個方面進行設計。首先是操作系統(tǒng)安全性，操作系統(tǒng)足以承載業(yè)務應用和數(shù)據(jù)庫應用的基本載體，并保證業(yè)務應用的安全性。一旦操作系統(tǒng)出現(xiàn)安全問題，對業(yè)務系統(tǒng)和業(yè)務數(shù)據(jù)的安全就構成了嚴重的威脅。想保障操作系統(tǒng)安全可通過操作系統(tǒng)基礎防護、身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制和系統(tǒng)備份等方法進行完成。其次是數(shù)據(jù)庫安全的保證方法，可以用身份鑒別、訪問控制、安全審計和入侵防范等方式進行操作。對不同級別的用戶授予不同程度的權限，嚴格控制用戶訪問資源的權限。

3.5 應用系統(tǒng)防護技術

想對應用系統(tǒng)進行保護，需要進行應用系統(tǒng)安全加固，應用系統(tǒng)鏈路加入防御設備，隨時進行漏洞掃描和系統(tǒng)檢測;身份認證方案，按用戶名和密碼進行身份驗證，同時規(guī)定密碼的長度、復雜性和使用周期，系統(tǒng)應采取用戶身份唯一性和認證信息復雜性檢查功能，禁止密碼以明文形式存儲在系統(tǒng)中;系統(tǒng)應設定用戶登錄錯誤鎖定、會話超時退出等功能。并對授權變更制定嚴格的審核、批準和操作程序，要求授權變更只有經(jīng)過審核和批準后才能生效;根據(jù)權限最小化原則，用戶被給予適當?shù)臋嘞蓿巧蛛x、禁止多人共享帳戶，同時定期審查權限。將用戶登錄時間、地點和操作記錄輸出到審計平臺;數(shù)據(jù)存儲保密工作要提供本地數(shù)據(jù)備份和恢復功能，每人至少備份一次數(shù)據(jù)，備份介質應該存放在場外。當環(huán)境發(fā)生變化時，執(zhí)行定期備份恢復測試以確保準備工作數(shù)據(jù)的可恢復副本、利用通信網(wǎng)絡提供遠程數(shù)據(jù)備份功能，定期批量處理關鍵數(shù)據(jù)，轉移到備用站點、嚴格管理備份介質，防止未經(jīng)授權訪問業(yè)務備份數(shù)據(jù)、采用冗余技術確保關鍵應用的可用性[4]。

3.6 具體設備布置

聯(lián)網(wǎng)的開放性和自由性決定了互聯(lián)網(wǎng)上有各種各樣的人他們也有著不同的意圖。使用防火墻技術經(jīng)過仔細配置后，通?？梢詾椴煌陌踩蛱峁┌踩木W(wǎng)絡保護，降低網(wǎng)絡安全風險。但是只使用防火墻保障網(wǎng)絡安全還不夠，還需要特殊的部署系統(tǒng)。網(wǎng)絡入侵檢測系統(tǒng)也可以與防火墻和其他安全產(chǎn)品緊密結合，為網(wǎng)絡系統(tǒng)提供最大的安全性。網(wǎng)絡入侵檢測系統(tǒng)是檢測和控制網(wǎng)絡入侵行為的系統(tǒng)。通過監(jiān)控計算機網(wǎng)絡數(shù)據(jù)消息，并對這些消息進行協(xié)議分析和模式匹配，發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的情況。一旦發(fā)現(xiàn)攻擊跡象，可以發(fā)布報告，警方也能及時采取相應的措施，如封鎖、追蹤和反擊。同時，記錄攻擊過程，為網(wǎng)絡或系統(tǒng)恢復和跟蹤攻擊源提供基本數(shù)據(jù)。目前最新的網(wǎng)絡入侵檢測系統(tǒng)還引入了全面的流量監(jiān)控功能，檢測異常并結合地理信息定位入侵事件，分析資產(chǎn)相關的風險。同時為提高檢測準確率，就要求檢測系統(tǒng)有性能較高的文件處理功能[4]。

4 結語

綜上所述，智能電網(wǎng)的產(chǎn)生是電網(wǎng)進入現(xiàn)代化發(fā)展階段的標志，信息系統(tǒng)保證了智能電網(wǎng)的安全穩(wěn)定運行。為實現(xiàn)智能電網(wǎng)持續(xù)健康發(fā)展，應對電網(wǎng)信息的安全進行深入研究。

參考文獻

[1] 馬虹哲.智能電網(wǎng)信息安全威脅及防護關鍵技術研究[J].信息通信，2017（12）：162-163.

[2] 王銘.智能電網(wǎng)信息系統(tǒng)安全防護措施分析[J].信息安全與技術，2015，6（09）：51-52.

[3] 劉鑫.智能電網(wǎng)信息安全技術研究及其應用[J].電子技術與軟件工程，2014（22）：220.

[4] 穆芮.智能電網(wǎng)信息安全技術研究與應用[D].山東大學，2013.