貴州電網(wǎng)有限責任公司 安江

伴隨中國信息技術(shù)的高速發(fā)展，信息技術(shù)已經(jīng)成為我國各個領(lǐng)域以及各個行業(yè)實現(xiàn)創(chuàng)新發(fā)展和轉(zhuǎn)型升級的核心驅(qū)動器。尤其是我國的電力監(jiān)控系統(tǒng)，會給電力監(jiān)控系統(tǒng)中的數(shù)據(jù)管理工作帶來極大的便利，但是同時也會給電力系統(tǒng)帶來相較于傳統(tǒng)更大的安全隱患。在2015-2017年的3年中，出現(xiàn)了烏克蘭的大面積斷電現(xiàn)象以及美國東部出現(xiàn)了互聯(lián)網(wǎng)服務(wù)的嚴重癱瘓，這些事件的出現(xiàn)，威脅到了多數(shù)國家電力事業(yè)。電力系統(tǒng)和我國的民生基礎(chǔ)有著無法分割的必然聯(lián)系，同時也逐漸演變?yōu)閲H網(wǎng)絡(luò)戰(zhàn)的重點攻擊目標。相較于國家各級電網(wǎng)的調(diào)度控制中心來看，發(fā)電廠、變電廠的監(jiān)控安全防護系統(tǒng)現(xiàn)階段質(zhì)量良莠不齊，這也是我國電力系統(tǒng)信息安全防護工作中的重點內(nèi)容和薄弱環(huán)節(jié)，因此需要在電力系統(tǒng)中使用積極安全防護技術(shù)來，加固監(jiān)控系統(tǒng)，加強對其研究，通過分析現(xiàn)階段電力監(jiān)控系統(tǒng)所存在的各種安全隱患，制定出針對性的防護措施。

現(xiàn)階段我國的電力系統(tǒng)為了進一步應(yīng)對信息技術(shù)高速發(fā)展所帶來的安全隱患，從政策規(guī)定以及法律法規(guī)和相關(guān)技術(shù)標準上都提出了全新的標準和要求，因此，對于整個電力系統(tǒng)中的管理人員和相關(guān)維護人員都提出了更高的工作要求，從傳統(tǒng)的邊界防護逐漸發(fā)展為全過程防護，實現(xiàn)了全過程的二次電力監(jiān)控系統(tǒng)安全防護[1]。電力系統(tǒng)的信息安全防護能夠在其中發(fā)揮出無法替代的重要價值，因此也可以這樣說，實現(xiàn)電力監(jiān)控系統(tǒng)的信息安全防護，也就是實現(xiàn)了全過程防護，對信息安全防護技術(shù)的有效使用，能夠促使我國在電力系統(tǒng)上，始終保持在安全可靠的環(huán)境下，避免遭受國際網(wǎng)絡(luò)惡意攻擊。

1 電力監(jiān)控系統(tǒng)安全防護的要求和發(fā)展

在2002年，我國正式出臺了《電網(wǎng)核電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定》之后，明確提出需要建立將邊界防護為主的安全防護體系，直至2005年，我國發(fā)布了全新的電監(jiān)會5號令，明確指出需要運用我國的國產(chǎn)軟件以及硬件產(chǎn)品，并要求其能夠滿足電力系統(tǒng)的等級防護要求，最后到了2014年，我國發(fā)改委發(fā)布了14號令，并明確表示需要基于可信計算技術(shù)來建立電力系統(tǒng)的安全免疫機制[2]。現(xiàn)階段我國的內(nèi)網(wǎng)安全監(jiān)視平臺被得到了進一步的廣泛運用，站段相關(guān)拓展設(shè)備以及各種功能的使用，能夠促使我國的電力監(jiān)控系統(tǒng)各種設(shè)備實現(xiàn)穩(wěn)定可靠地運行，并能夠進一步強化風險管控水平。依照我國在電力監(jiān)控系統(tǒng)安全防護上的相關(guān)規(guī)定，針對各種外部網(wǎng)絡(luò)的邊界需要對其進行隔離，設(shè)立出更加精準安全防護系統(tǒng)以及風險預(yù)警系統(tǒng)，使用專業(yè)化的技術(shù)手段，在第一時間發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的異常之處，建立出更加科學合理同時效率更高的安全防護體系，逐步構(gòu)建出系統(tǒng)邊界、業(yè)務(wù)主機以及網(wǎng)絡(luò)傳輸邊界共同存在的三道重要防線。

2 電力監(jiān)控系統(tǒng)的安全威脅

目前我國的電力監(jiān)控系統(tǒng)整體在結(jié)構(gòu)設(shè)置上，相對來說還是比較封閉的，各項業(yè)務(wù)之間存在的內(nèi)在關(guān)聯(lián)性非常強，同時在外部網(wǎng)絡(luò)的連接工作上各種權(quán)限設(shè)置也比較嚴苛，但僅僅通過物理的防護模式來對不同網(wǎng)絡(luò)進行隔離，無法從根源上解決外部網(wǎng)絡(luò)在信息傳輸上的各種缺陷和漏洞。同時，近些年來我國的電力監(jiān)控系統(tǒng)和各大銀行以及各地區(qū)電網(wǎng)之間的溝通和交流日漸頻繁，這就促使不同網(wǎng)絡(luò)中的業(yè)務(wù)數(shù)據(jù)逐漸出現(xiàn)了共享和融合現(xiàn)象，在不同系統(tǒng)中，數(shù)據(jù)使用、數(shù)據(jù)傳輸以及數(shù)據(jù)共享也變得越來越密切，其中應(yīng)用層的網(wǎng)絡(luò)信息無法實現(xiàn)系統(tǒng)的總體控制，因此個別的用戶就會通過虛假IP來惡意的抓取流量，這也是我國整個電力網(wǎng)絡(luò)系統(tǒng)中所存在的主要的安全隱患之一[3]。電力監(jiān)控系統(tǒng)在Internet網(wǎng)絡(luò)中應(yīng)用曾的主要安全威脅包括以下幾個方面：網(wǎng)頁攻擊、惡意木馬病毒、腳本攻擊以及分布式拒絕服務(wù)攻擊等。在網(wǎng)絡(luò)中存在的主要安全隱患、安全威脅有以下幾個方面：軟件信息出現(xiàn)了不正常的泄露、在線網(wǎng)頁占用了寬帶等，這些網(wǎng)絡(luò)威脅的存在都需要通過科學合理的管理手段和防護措施來對其進行解決。

3 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護存在的問題

3.1 技術(shù)管理問題

對于電力監(jiān)控系統(tǒng)來說，若是規(guī)模比較大的管理信息區(qū)以及生產(chǎn)控制區(qū)，通常會在形容設(shè)置相應(yīng)的安全和利益設(shè)備，但是在個別的生產(chǎn)控制區(qū)或者是在一些相對來說較為普通的管理信息區(qū)，通常都會設(shè)置防火墻這樣的基礎(chǔ)防護功能，對系統(tǒng)中的日常訪問工作進行相應(yīng)的管控，以此來達到邏輯隔離的防護目標[4]。一般情況下，系統(tǒng)在進行數(shù)據(jù)信息傳輸?shù)倪^程中，例如若是從等級較低安全區(qū)向著等級較高的安全區(qū)來進行信息的傳遞，此時就需要針對信息傳輸工作落實反向隔離，同時也需要對進行傳遞的信息展開加密處理。但是現(xiàn)階段由于個別的電力系統(tǒng)相關(guān)工作人員自身在網(wǎng)絡(luò)防護意識上不夠完善，自身的防護意識較為薄弱，在日常的工作過程中展開監(jiān)控系統(tǒng)的跨區(qū)并聯(lián)操作，這樣的操作模式就會導(dǎo)致整個電力監(jiān)控系統(tǒng)出現(xiàn)非常大的安全隱患。

其次是分區(qū)錯誤問題。電力系統(tǒng)安全防護工作從本質(zhì)上來說就是一項復(fù)雜性與多樣性共存的工作，因此在進行電力系統(tǒng)的分區(qū)過程中，常常會出現(xiàn)分歧錯誤的現(xiàn)象，這也為后續(xù)的新安全等級劃分帶來了相應(yīng)的困難，同時還會導(dǎo)致系統(tǒng)安全的防護資金投入全面提升。一般情況下，若是系統(tǒng)的特性以及重要性出現(xiàn)了非常明顯的差異，整體的系統(tǒng)安全分區(qū)就需要將實際情況來作為導(dǎo)向，促使安全防護工作具備更強的針對性特征，滿足不同安全等級的標準和要求。防護系統(tǒng)在展開安全網(wǎng)絡(luò)防護的過程中，尤其是系統(tǒng)建立時間較短，尚未完善，很容易因為相關(guān)工作人員的技術(shù)不成熟、不夠重視，導(dǎo)致出現(xiàn)分區(qū)錯誤的現(xiàn)象，最終獲得安全防護成果也會大打折扣。

3.2 網(wǎng)絡(luò)安全方面

網(wǎng)絡(luò)設(shè)備參數(shù)設(shè)置的是否科學合理，將會直接影響到網(wǎng)絡(luò)設(shè)備的安全性以及運行穩(wěn)定性，對于一些涉及機密機構(gòu)的核心控制系統(tǒng)工作來說，需要注意到，普通的防火墻通常是依靠邏輯實體，從本質(zhì)上來說，有可能會被外界的不法人士所操控，因此對于安全防護工作所能夠達成的效果是有限的，同時，對于各種專用的通信協(xié)議以及通信規(guī)則來說，都并不是完全適應(yīng)的，因此不能夠全面滿足高層次的數(shù)據(jù)安全防護需求。對于規(guī)模較大的網(wǎng)絡(luò)來說，若是沒有設(shè)置出獨立化的網(wǎng)絡(luò)管理設(shè)施以及網(wǎng)絡(luò)故障檢查設(shè)備，那么若是網(wǎng)絡(luò)內(nèi)部出現(xiàn)安全隱患，相關(guān)的管理人員則需要花費更多的時間、投入更多的精力來對其進行處理，尤其是出現(xiàn)嚴重的網(wǎng)絡(luò)故障時，很有可能出現(xiàn)辦公系統(tǒng)癱瘓，整體的運作效果也會受到影響。

4 信息安全防護技術(shù)在電力監(jiān)控系統(tǒng)中的應(yīng)用

4.1 數(shù)據(jù)加密

通過數(shù)據(jù)加密技術(shù)的使用，能夠進一步解決網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中的信息被不法人士隨意篡改以及信息網(wǎng)絡(luò)惡意入侵等現(xiàn)象，主要運用的是DES、RSA等信息數(shù)據(jù)的加密技術(shù)，保證整個電力監(jiān)控系統(tǒng)的安全性以及可靠性，對各種安全隱患和威脅進行屏蔽。但是從RSA、DES等技術(shù)的使用狀況來進行分析，這兩種加密技術(shù)都具備不同的優(yōu)勢以及缺點，一種技術(shù)無法真正的完全取代另外一種技術(shù)。因此在展開電力系統(tǒng)的信息安全防護工作過程中，需要將兩個技術(shù)進行有機融合，促使防護工作能夠提升到最大的限度和等級，實現(xiàn)安全防護的最大價值。首先需要運用對稱加密技術(shù)，對其中的各種文件資料進行加密，隨后再運用公開密鑰技術(shù)對文件展開二次加密，通過兩種加密技術(shù)的深度融合，既優(yōu)化了整體的運算速度，同時也能夠真正地落實分配管理。

4.2 防火墻

防火墻從本質(zhì)上來說就是一類效果較為良好的數(shù)據(jù)保護屏障，主要是能夠有效地保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，避免出現(xiàn)惡意破壞以及非法入侵的現(xiàn)象，對于超越防火墻的數(shù)據(jù)信息，都會在防火墻的檢測以及限制當中。對于屏蔽惡意的外部信息能夠展現(xiàn)出非常大的價值和優(yōu)勢，能夠有效阻止各種不良信息和惡意信息的非法入侵?，F(xiàn)階段的網(wǎng)絡(luò)系統(tǒng)中，從真正的使用效果來進行分析，防火墻使用在電力監(jiān)控中只能夠展現(xiàn)出隔離的價值和作用，電力監(jiān)控系統(tǒng)還需要再展開信息安全防護時設(shè)置數(shù)據(jù)參數(shù)，以此來促使防火墻展現(xiàn)出其最大的防護價值和防護作用。防火墻的防護功能主要包括以下三個方面：（1）能夠在網(wǎng)絡(luò)層面建立出相應(yīng)的過濾邏輯，整個電力監(jiān)控系統(tǒng)可以依照設(shè)置的邏輯來對數(shù)據(jù)包進行篩選，同時逐個篩選數(shù)據(jù)包中所包含的地址、原有地址端口以及協(xié)議狀態(tài)等，以此來確保所有的檢查數(shù)據(jù)包都能夠進入到電力結(jié)果系統(tǒng)中；（2）可以在網(wǎng)絡(luò)的使用層面上建立出相應(yīng)的數(shù)據(jù)過濾協(xié)議、數(shù)據(jù)過濾邏輯，也可以針對數(shù)據(jù)包進行科學合理的過濾，同時還具備一定的轉(zhuǎn)發(fā)功效，能夠?qū)⒁呀?jīng)被過濾的數(shù)據(jù)信息展開登記和統(tǒng)計，最終構(gòu)建出數(shù)據(jù)包的數(shù)據(jù)報告；（3）是防火墻的代理服務(wù)，主要是過濾登記的數(shù)據(jù)包，對其展開精準地分析，逐漸生成過濾的數(shù)據(jù)報告，等到代理服務(wù)過程發(fā)現(xiàn)攻擊時，就會適時地發(fā)出警報，同時將整體的攻擊痕跡進行完整地記錄，通過入侵檢測實時監(jiān)控系統(tǒng)的運轉(zhuǎn)，在出現(xiàn)問題并發(fā)現(xiàn)問題時，能夠在第一時間將外界的惡意攻擊行為進行科學合理地解決。

4.3 身份認證

所謂的身份認證技術(shù)，主要是為了確認登錄的用戶身份，避免出現(xiàn)非法人員入侵的問題。所以身份認證技術(shù)對于電力監(jiān)控系統(tǒng)的安全信息防護工作來說，能夠起到非常重要的價值和作用。由于網(wǎng)絡(luò)自身具備一定的開放性特征，在進行使用的工作過程中會出現(xiàn)多個用戶，因此需要設(shè)置與身份相關(guān)的認證技術(shù)，針對登錄的用戶和系統(tǒng)已經(jīng)保存下來的數(shù)據(jù)信息進行比對，觀察兩個信息之間是否保持一致，最后根據(jù)已經(jīng)設(shè)定好的用戶登錄權(quán)限，針對用戶的訪問進行相應(yīng)的管控，避免出現(xiàn)非法用戶惡意登錄的問題。因此可以運用身份認證技術(shù)，針對電力監(jiān)控系統(tǒng)的信息安全展開防護處理。首先需要為使用的用戶通過身份認證技術(shù)來建立出合法身份，隨后給不同的身份用戶設(shè)定與其相關(guān)的使用權(quán)限，以此來確保合法用戶能夠隨時登錄和訪問，同時還要對用戶設(shè)置權(quán)限范圍，避免出現(xiàn)超越權(quán)限使用的問題。對于身份認證技術(shù)來說，比較常使用的方式有指紋、口令、密碼和人臉識別等，在我國的電力監(jiān)控系統(tǒng)中，使用頻次較高的為證書授權(quán)形式主要為身份認證，由授權(quán)中心給客戶頒發(fā)相應(yīng)的認證證書，每一位用戶都有獨立存在的和公開的密鑰，對應(yīng)的是密鑰和證書協(xié)調(diào)統(tǒng)一，用戶若是想要應(yīng)用加密信息，就首先需要運用私密密鑰來解決加密，隨后獲取到想要的數(shù)據(jù)信息。這樣的身份認證技術(shù)能夠確保信息的數(shù)據(jù)安全，在電力控制系統(tǒng)中比較常運用的信息安全密鑰技術(shù)為數(shù)字簽名，能夠有效保障避免出現(xiàn)非法用戶使用的問題。

5 結(jié)論

綜上所述，在我國電力監(jiān)控系統(tǒng)中，有很多至關(guān)重要的數(shù)據(jù)信息，同時不同的數(shù)據(jù)信息在安全等級上也存在一定的差異性，而整個電力監(jiān)控系統(tǒng)的安全和信息控制水平有著直接的聯(lián)系，因此對于電力控制系統(tǒng)來說，可以通過信息安全防護技術(shù)來做到精準防護，為電力系統(tǒng)的數(shù)據(jù)傳輸提供強大的技術(shù)保障。因此相關(guān)單位應(yīng)該加強對信息安全防護技術(shù)的深入研究，對現(xiàn)階段的防護技術(shù)進行進一步地完善和優(yōu)化，保障我國的電力信息安全，確保信息能夠在安全的狀態(tài)下傳輸，應(yīng)對國外網(wǎng)站以及不法人士的惡意攻擊，為廣大人民群眾提供更加優(yōu)質(zhì)和可靠的電力服務(wù)。