郝鹏
摘要:该文针对电力系统网络安全问题,对电力系统网络安全性进行了分析,进而确定专业管理和电力网络安全控制的要求,对影响电力系统网络安全性的各种因素进行研究,最终得到各种病毒、黑客等攻击形式的处理控制措施。
关键词:电力系统;网络安全;风险控制
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)36-8611-02
电力系统在运行的过程中,需要利用网络环境对输电运行情况进行观测和控制,但是随着网络结构和业务系统的逐渐复杂,网络安全的风险也越来越大,基于网络运行的相对封闭性要求,电力系统出现的网络安全问题也基本产生于内部。这种风险存在的形式直接会影响到整个电力业务系统的安全,同时也会对数据存储、传输造成破坏,通过分析电力系统网络安全的因素,发现与操作人员的操作行为有直接关系,所以电力系统网络安全风险控制预案的制定就要深入到电力系统日常运行中,提高控制预案的管理水平。
1 对电力网络信息系统安全造成威胁的因素
1.1 人为操作的失误
电力系统的网络运行需要在网络安全配置的模式下运行,如果网络安全配置不当就会对电力系统造成安全威胁,产生安全漏洞,这时网络安全系统无法根据命令操作安全意识行为和用户口令。此时如果进行账号登录,很容易泄露账号信息,共享信息资源也会遭受到安全威胁,网络主机存在的系统漏洞,可以通过电力网络入侵系统主机,直接干扰系统主机的运行情况和数据,中心数据库服务器在不安全的环境下,无法对整个电力系统进行数据保护。
1.2 人为因素的恶意攻击
人为因素的恶意攻击主要指网络黑客和网络病毒,恶意攻击往往具有目的性,可能直接对计算机网络的系统进行破坏,如果恶意攻击是主动攻击,则会以各种方式有选择性的破坏信息的可用性和完整性,如果恶意攻击是被动攻击,则不会影响到网络的正常工作,病毒只会潜伏在网络系统中,截获、窃取、破译网络系统和网络信息[1]。人为因素造成的恶意攻击对网络安全性的威胁力非常大,可以获得重要机密的信息,严重的情况会直接导致机密数据的泄漏和丢失,会造成电力系统大量的经济损失。
2 电力系统网络风险基本控制策略
针对电力系统网络的安全性和可靠性,网络风险控制的基本策略要能深入到网络运行中,切合电力安全任务,抵御各种形式对系统发起的恶意破坏和攻击,保障电力系统的稳定运行。基于此,电力系统安全解决方案的总体策略可以分为五种模式,分别是:分区防护、区域隔离、网络专用、设备独立、纵向防护。分区防护主要控制理念是突出保护重点,根据系统中业务的重要性对信息进行加密处理,并设置出实时控制区和非控制生产区,充分体现出电力系统网络安全维护层次。区域隔离采用防火墙等网络安全控制装置,在网络环境中设置多道保护屏障,确保网络核心系统的安全性。网络专用是在专用通道上建立电力调度专用数据网络,实现专用信息单独通信的模式,有效隔离,实施专门的保护工作。设备独立要求网络安全保护设备要设置在不同安全区域内,使网络系统可以提供充足的空间供网络交换机设备使用,纵向防护采用认证、加密等手段实现数据的远方安全传输[2]。
3 电力系统网络安全风险控制方案实行的条件
3.1 网络设备的安全管理
对网络设备进行安全管理需要在设备接口Console处设置密码,网络设备的管理统一采用OUT——BAND带外方式,每个管理设备都要具有独立的账户和口令,在核对准确后,才可以输出设备运行和采集的信息[3]。
3.2 网管中心划分安全区域
在网管中心通过划分不同安全保护区域的形式,对电力系统网络环境进行管理,从逻辑上将每个管理内容独立成一个安全区域,并可以及时对区域进行监控,发现区域内部安全状况。安全区域的划分必须要遵守安全性规则,确保不会影响到电力系统网络环境内部的数据结构,管理员可以根据用户的使用需求,合理共享安全保护区域中的数据[4]。
3.3 对IPsec加密与MPLS VPN进行使用
电力网络通过通过MPLS VPN实现广域网转变为私有网络的效果。要对数据进行IPsec加密之后才能够进入到MPLS VPN网络中,在数据离开MPLS VPN网络之后同样需要进行IPsec加密,通过这种方式防止VPN承载商在传输的过程中对数据的安全与完整造成危害,确保数据在经过VPN承载商传输之后能够确保安全性与完整性。
3.4 黑客防范配置
针对威胁最大的黑客病毒,网络安全风险控制需要在网络环境内部通过信息检测和攻击检测,找到黑客侵入的环节和程度,基于网络安全性分析的内容,在侵入位置设置防线,并对黑客进行实时监控[5]。只有这样才能进一步避免黑客病毒对网络安全的破坏,同时,技术人员也有更多的时间部署服务器的前端功能。
4 电力系统局域网内部网络安全解决方案
在电力系统局域网中,虽然外部攻击具有较大的影响,但是内部的攻击却存在较大的危害。电力系统局域网内部网络安全解决方案为:在局域网内部通过防火墙实现不同网段的隔离,对局域网内部一些较为关键的应用通过IPS进行监控与保护。电力系统局域网内部网络安全解决方案主要需要实现的目的包括:第一,确保网络的安全,通过防火墙对一些非法用户的访问进行禁止、对合法用户的访问进行允许或限制;第二,实现防火墙负载方面的均衡,通过防火墙对网络资源进行保护,拒绝一些非授权的访问;第三,实现服务器负载方面的均衡,通过负载均衡的计算对网络内的服务器群的负载进行动态的分配。
5 电力系统广域网整体上的安全解决方案
在对广域网从整体安全解决的过程中,要遵循不受到其他系统的影响、不影响其他系统的原则,通过防火墙实现不同网段的隔离,对一些较为关键的应用通过IPS进行监控与保护,实现广域网的分布式部署,实现端对端、局对局安全的目的。
在对网络内部资源的开发程度进行控制的过程中可以利用过滤规则设置的方式,通过IP特殊端口的开放对黑客的侵入进行有效的限制;在对内部用户访问外部资源级别确定的过程中可以利用过滤、IP地质及客户端认证的方式,通过这种方式对内部用户向外界传递信息的行为进行有效的限制;通过负载均衡器实现系统可靠性的提高,促进防火墙吞吐量的大幅度提升;通过用户界面实现规则配置、系统管理、统计等功能。
6 结束语
基于上文分析的结果,笔者明确了对电力系统网络安全造成威胁的因素内容,同时在网络安全分析的基础上,确定了网络安全风险控制的要求,进而在电力系统网络中开展实际的安全防控工作。电力系统网络安全的风险控制需要从网络设备、网络技术等多个层面出发,全面部署网络运行环境,这样才能维持网络安全、稳定的运行。
参考文献:
[1] 朱腾,梁冬冬.基于电力系统网络安全的风险控制[A].安徽省电力公司、安徽省电机工程学会.第一届电力安全论坛优秀论文集[C].安徽省电力公司、安徽省电机工程学会,2013.
[2] 贾春杰,刘翔宇,杨世鑫,等.电力系统网络安全风险及其控制措施[J].机电信息,2011,33(12):181-182 .
[3] 郜盼盼,刘启旭,高佳杰,等.智能电网系统中面向用电信息安全防护的认证加密系统研究[J].电力系统通信,2013,2(12):213-219.
[4] 龙宇奕,唐立生,杨明新,等.电力系统网络攻击风险分析及基于数字水印的应对方法研究[J].长沙理工大学学报:社会科学版,2013,3(12):230-233 .
[5] 林云威,林启新,高思雨,等.基于故障树和DSET的电力控制系统信息安全风险评估[J].华东理工大学学报,2014,9(23):100-109.endprint