摘要：新型電力系統(tǒng)面臨著新能源大規(guī)模、高比例并網，用戶側多元負荷廣泛接入等多重挑戰(zhàn)，需要通信網實現電力能源的源網荷儲各環(huán)節(jié)信息的全面融合，強化通信安全性驗證和技術監(jiān)測管理，部署通信網的整體安全防護策略。提升安全管控能力是通信網有效承載業(yè)務的關鍵保障。電力數據通信網作為電力信息系統(tǒng)的承載網絡，對其進行安全管控，對于保障電網安全穩(wěn)定運行具有十分重要的意義。本文從網絡基本安全措施、人員安全管控、業(yè)務安全接入以及對新風險的響應和對新技術的應用等方面，研究數據網絡安全防護的方法，希望能夠借由這些方法的實施，有效提升電力通信網的安全防護水平。

關鍵詞：電力通信；網絡安全；業(yè)務接入

一、引言

隨著計算機技術的飛速發(fā)展，互聯網對經濟、政治、社會等各領域的滲透和與各行業(yè)的融合趨勢越來越明顯，相應的，網絡安全問題也逐步提升至國家戰(zhàn)略層面。新型電力系統(tǒng)面臨著新能源大規(guī)模、高比例并網，用戶側多元負荷廣泛接入等多重挑戰(zhàn)，需要通信網實現電力能源的源網荷儲各環(huán)節(jié)信息的全面融合，強化通信安全性驗證和技術監(jiān)測管理，加強通信網的整體安全防護策略。電力通信網作為電力信息系統(tǒng)的支撐網絡，強化網絡防御能力，對于維護電網安全穩(wěn)定運行具有十分重要的意義。本文從電力網絡基本安全措施、人員安全管控、業(yè)務安全接入、關注新風險和利用新技術等四個方面，對電力通信網安全問題進行闡述。

二、基本安全措施

（一）設備安全

電力數據通信網設備主要由路由器和交換機組成。加強設備本身的安全性，是保證通信網絡安全的基礎，具體包括強化訪問控制策略、關閉風險性協(xié)議、禁用高危端口和加強網管安全等方面內容。設備安全策略如表1所示。

（二）數據安全

針對數據安全，需制定完善的數據管控方法，如加強對網絡拓撲、設備IP地址、設備配置參數、設備臺賬信息等敏感數據的保密管理；落實數據分級分類管控要求，強化數據使用全過程安全審查；加強重要數據識別，制定數據脫敏規(guī)范，強化敏感信息防護。同時，對于設備調試和數據存儲，應用專用的移動存儲介質；對于廢舊設備，需要清除數據后及時進行報廢操作。此外，還應禁止第三方人員將個人設備接入數據網絡系統(tǒng)。

（三）網絡架構安全

網絡架構的安全性，應全面考慮設備選型、網絡隔離、協(xié)議安全、物理環(huán)境安全和電廠等廠站接入安全等多個方面。

1.美國棱鏡計劃（PRISM）的曝光為我國的網絡安全敲響了警鐘。為保證電力系統(tǒng)網絡安全，在設備選型中必須應用國產自主品牌設備。

2.電力系統(tǒng)網絡安全應充分考慮網絡之間的安全隔離，保證數據通信網和互聯網的完全隔離設計，并盡量避免系統(tǒng)接入WIFI等無線終端設備。

3.協(xié)議安全方面，在網絡內部核心層、匯聚層和接入層等各個層次的互聯上，實施IGP內鏈路互聯的安全加密驗證，BGP鄰居建立過程中的加密認證。在不同的VPN之間設計RT值，以保證關鍵業(yè)務節(jié)點的信息不被大面積擴散。

4.物理環(huán)境安全方面，制定嚴格的機房管理規(guī)范，嚴格貫徹落實機房出入管理制度和機房巡視制度，非機房管理人員進入機房應辦理申請手續(xù)，保證人員在進入前申請，進入時有專人陪同，離開后完成登記報備。進入機房人員如果需要操作機房內設備，需要有明確的操作手續(xù)及申請。同時，還應加強對電廠等單位的設備管控。

5.加強對電廠等單位的設備管控，嚴格站點網絡的接入審批。對于接入的電廠等站點，按照接入層的設備，執(zhí)行嚴格的安全管控策略后方可加入網絡。

三、人員安全管控

（一）本單位人員管控

針對本單位人員的安全管控工作，需健全安全管控組織機構，編制安全責任清單，明確每個人的安全責任職責。針對全體員工加強安全培訓和宣傳教育工作，要求員工做到不違規(guī)外聯，不利用電腦打開危險程序，開啟殺毒軟件對郵件附件的掃描功能，不輕易點開陌生及不可信鏈接，若接收到可疑郵件，需立即上報處。針對關鍵崗位人員加強安全保密教育，要求員工做到保密數據不泄露，保密人員離崗及時進行權限回收及賬號注銷等工作。

（二）第三方人員管控

針對進入機房作業(yè)的第三方人員，必須進行相關培訓，同時，要求其簽訂保密協(xié)議和保密承諾書。第三方人員在機房作業(yè)過程中，應有本單位專業(yè)人員陪同及監(jiān)護。此外，還應禁止第三方人員將個人設備接入數據通信網系統(tǒng)。

（三）完善漏洞修復流程

制定完善的漏洞修復流程，確保出現漏洞時能夠快速響應[4]。

四、業(yè)務安全接入

（一）業(yè)務接入情況

電力系統(tǒng)管理信息大區(qū)有辦公內網系統(tǒng)、視頻監(jiān)控、語音通信、電源監(jiān)測等各類業(yè)務。數據通信網業(yè)務的安全接入能力，直接關系到智能電網環(huán)境下電力信息底層安全，因引起高度重視。數據通信網的業(yè)務安全接入按照“安全分區(qū)、網絡專用、橫向隔離、縱向認證”的原則進行頂層架構設計，保證一、二區(qū)和三、四區(qū)的業(yè)務隔離。

（二）業(yè)務通過管控設備策略

在業(yè)務側，防火墻、IDS、IPS等安全基礎設施，可有效提供身份認證、安全接入、訪問控制等各項功能。這些功能要有效發(fā)揮作用，需要數據通信網設計合理的數據流方向，保證所有的業(yè)務流能夠通過部署的網絡安全防護管理設備。實現該功能，有兩種方法：第一種方法是，應用訪問控制列表修改路由的走向。這種方法的優(yōu)點是網絡結構簡單，但后期數據運維工作量大；第二種方法是，利用二級VPN策略加強安全管理。一級VPN應用于非信任區(qū)，二級VPN應用于信任區(qū)，將防火墻部署在一級VPN和二級VPN之間，保證所有數據向外訪問全部通過網絡安全防護管理設備，從而降低信息安全隱患（如圖2）。

（三）業(yè)務安全接入標準

新業(yè)務系統(tǒng)接入數據網之前，需經過安全測試，合格后入網。安全測試檢查項目如表2。對于重要的業(yè)務服務器，IP地址進行NAT轉換，保證業(yè)務數據網絡結構不被識別和暴露。

五、關注新風險，利用新技術

除了上述網絡安全管理辦法外，安全管理人員還需要與時俱進，關注新風險——對新的安全風險進行及時防御，利用新技術——有效利用大數據、云計算等智能動態(tài)防御新技術、新工具，雙管齊下，有效提升網絡安全防護能力。

（一）關注新風險

2017年，全球大面積爆發(fā)了針對Windows操作系統(tǒng)的勒索軟件攻擊。它利用“EnternalBlue”（藍之永恒）漏洞安裝后門釋放Wana Crypt0勒索病毒，從而加密用戶設備上的所有文檔文件以進行勒索。該病毒暴發(fā)后，為了避免病毒攻擊，需要開啟445端口。為了提高對病毒防控的響應效率，安全管理人員迅速在數據通信網上確定445端口沒有特定用途后，及時關閉了高危端口，為PC機安裝系統(tǒng)補丁爭取了寶貴時間。

（二）利用新技術

在進行網絡安全防護的過程中，安全管理人員可以采用新的技術方法，提高防護水平。例如，采集設備Log，通過分析Log中的異常，有助于及時發(fā)現問題并解決問題。一個地市的數據通信網設備約為500臺，利用人工分析非常耗費時間，采用人工智能技術，對收集的Log建立大數據分析，通過查找異常日志數據發(fā)現問題，能夠有效提高工作效率，強化網絡攻擊態(tài)勢感知。安全管理人員還可利用堡壘機進行設備登錄的審計管控，利用漏洞掃描工具進行系統(tǒng)漏洞掃描等，這些新技術手段的利用，能夠提升安全管理人員的工作效率，有效加強網絡系統(tǒng)的安全防護。

六、結束語

互聯網的開放性特征導致網絡自身的安全隱患永遠無法根除，所以，網絡安全防護工作任重道遠。通過應用一項或者幾項方法很難一勞永逸地解決網絡安全防護問題，這就需要根據電力通信的實際工作情況，進行科學的安全網絡頂層設計，部署細致全面的多維防護策略，從而提升網絡安全防護能力。

作者單位：王東蕊 劉曉琳 侯鑫垚 王靜 國網冀北電力有限公司唐山供電公司

參考文獻

[1]郭敏曉，楊宏偉.圍繞“碳中和”愿景能源與環(huán)境領域將呈現六方面的變化趨勢“十三五”能源與環(huán)境形勢及“十四五”展望[J].中國能源，2021，43（03）：19-23.

[2]國家能源局：我國可再生能源實現跨躍式發(fā)展——我國可再生能源發(fā)展有關情況介紹 [J]. 中國電業(yè)，2021，（04）：6-9.

[3]曾鳴，許彥斌. 綜合能源系統(tǒng)要義：源網荷儲一體化+ 多能互補[N].中國能源報，2021-04-12（004）.

[4]張玉卓，蔣文化，俞珠峰等.世界能源發(fā)展趨勢及對我國能源革命的啟示[J]. 中國工程科學，2015，17（09）：140-145.

[5]張馴，李志茹，袁暉等.智能電網信息系統(tǒng)安全防護措施研究與探討[J].電力信息與通信技術，2015，13（02）：110-114.

[6]王盛邦.網絡與信息安全綜合實踐[M].北京：清華大學出版社，2016.

[7]管小娟，何高峰，周誠等.智能電網信息內外網邊界安全監(jiān)測模型研究[J].電力信息與通信技術，2016，14（04）：66-69.

[8]趙剛.信息安全管理與風險評估[M].北京：清華大學出版社，2016.