浅谈电力通信自动化信息安全漏洞及防范措施

黄健文

摘要】 随着我国电力通信技术的快速发展，人们对于电力通信的自动化管理的要求也在不断的提高。信息安全问题成为电力通信自动化需要重点解决的课题，为了给用户提供更加理想的电力通信自动化服务，就必须对现有的安全漏洞进行分析处理，并做好相关的防范措施。

窗体底端

【关键词】 电力通信；信息安全；漏洞；措施

1.电力系统信息网络构架

由于现代大电网运行管理的信息交换量越来越大，各种应用和服务对信息质量提出了越来越高的要求，其中包括实时性、可靠性、安全性、数据完整性、通信容量和标准化等方面。为了解决这些问题，国电公司又建立了信息网络，作为电力系统的专用广域网。国家电力信息网即中国电力系统数据网络（CED net）采用分组交换技术和数字网络复接技术，形成了独立的数据通信网络，实现了电网调度自动化系统全国联网。

2.电力企业现有的信息安全防护手段

2.1 入侵检测系统（IDS）

入侵检测系统是一种对网络传输进行即时监视，它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术，它对所监测的网络上的一切数据包或可疑数据包进行分析，如果数据包与产品内置的规则匹配，入侵检测系统就会发出警报，甚至直接切断网络连接，从根本上弥补了企业防火墙的不足。

2.3 正向隔离装置

利用正向隔离系统确保调度数据网络与其它数据网络隔离，让调度数据可在客户端被访问而无法被修改，保障调度数据的安全性。

2.4 网络防火墙

防火墙是企业局域网到外网（上级电业局单位与其它电力企业网络）互联的唯一出口，通过网络防火墙，可以全面监视外网对内部网络的访问活动，并进行详细的记录，确保内网核心数据的安全性。通过以防火墙为中心的安全方案配置，能将所有安全软件（比如口令、加密、身份认证等）配置在防火墙上。通过对访问策略控制，关闭与工作无关的端口，拒绝一切未经许可的服务。所有的访问都将通过防火墙进行，不允许任何绕过防火墙的连接。

2.5无线终端的安全防护手段？

无论是哪种无线网络，都有若干数量的无线终端，它们是通信系统的最基本的组成结构，通过通信子站与中心站进行通信。因为无线终端的数据众多，也使它们往往成为系统安全漏洞所在。对于应用系统而言，保护系统信息安全与保护系统业务正常是同等重要的。保护系统信息安全首先必须保证信息访问的安全性，要让不该看到信息的人不能看到，不该操作信息的人不能操作。这方面，一是要依靠身份认证技术来给信息的访问加上一把锁，二是要通过适当的访问控制模型显式地准许或限制访问能力及范围。这就引出了两种信息安全技术：身份认证技术及访问控制技术。通过这两種技术手段，就能有效的解决以上的两个安全问题。对于自动化应用系统来说，系统内的终端用户只是采集电力用户数据并上传给服务器，并不存在越权访问系统信息的问题。因此采用身份认证技术就足以解决无线终端的信息保护问题了。？

3.现阶段电力企业信息安全存在的主要问题

3.1 管理不到位

信息管理人员知识较为薄弱，在日常管理过程中存在麻痹大意的心理，对离职或退休员工的账户和权限没有及时禁用或删除。认为用户计算机不连接互联网就不会受到计算机病毒的感染或者黑客的入侵，对防病毒软件扫描的漏洞提醒视而不见。对企业防火墙、系统服务器配置不当，造成整个安全防护体系的漏洞。

3.2 员工安全意识差

员工安全意识不高，在日常使用中为图方便，使用无口令或默认口令，随意开启文件共享，或将自己的账号密码告知他人等现象普遍存在。接收和发送数据较为随意，出现重要数据丢失的现在屡有发生，给公司的生产和经营带来了重大的安全隐患。

3.3 运维效率低

电力企业与其它行业相比，明显的区别在于办公场地分散，特别是基层供电企业，农村供电所众多，使用人员水平较低，办公环境复杂，计算机设备故障率高。在计算机设备出现故障时，员工电话报修，信息运维人员下现场解决似乎已成为企业目前一成不变的运维模式。这种头痛医头，脚痛医脚的管理方式不是不仅让运维人员整日疲于奔波，更会让管理出现疏漏。

3.4 违规使用应用软件

电力企业在应用软件的选择和使用上有较大的随意性。有相当一部分应用软件是员工从网络上下载的未授权或破解软件。信息管理人员利用杀毒软件查杀后没发现病毒也不再去干涉员工的使用，殊不知很多盗版软件在被破解的同时也可能被植入恶意插件，会对网络性能和应用系统的使用造成影响。

4.解决电力通信自动化信息安全漏洞的防范措施

4.1 强化培训，提升主动防御能力

信息管理人员除了要制止员工的不安全操作，也应该告知员工要如何做。让员工明白使用弱口令、不安全账户、随意共享等对企业信息安全的危害，教育员工正确使用终端设备、重要备份数据、利用压缩软件加密等操作，从源头入手，堵塞信息安全漏洞。信息人员要保持“安全无小事”的心态，扎实落实好日常工作任务，为企业安全生产保驾护航。

4.2 实行信息安全“两票制”

第三方信息工作人员需进入企业时，应有信息部门人员陪同。若要进行更换硬件设备、维护服务器等操作，须征得信息部门领导同意，对工作的必要性进行审查，注明维护范围、时间和维护的方式，即开工作票。在操作过程中，陪同信息人员应逐项记录如更换的设备型号、编码、操作步骤、数据变化、操作人、操作时间等，实现操作全过程管控，确保操作的合理性，方便日后追溯、查询。

4.3采用信息安全新技术，填补薄弱环节

信息管理人员可以通过桌面终端管理系统，进行关闭默认共享、提醒终端用户修改空口令、弱口令、检查终端杀毒软件运行情况、扫描终端系统漏洞和分发补丁、禁止未注册计算机接入局域网等管理。一旦发生员工利用3G上网等非法外联规行为，程序将自动向管理员报警，同时将该计算机自动从局域网中隔离，将安全风险降至最低。利用桌面管理系统，可实现对移动存储介质进行注册和加密，让没经过注册移动存储设备无法接入局域网内部的计算机或无法拷贝计算机上的数据，为信息安全添上一道锁。

4.4 重视机房安全问题

机房作为企业信息系统的核心，不允许非信息管理人员随意进出。首先应当有完善的机房管理制度，每日对机房进行巡视，做好巡视记录。非信息维护人员进入机房应有信息人员陪同，进出机房时做好记录。同时具备门禁，UPS不间断电源、消防、防雷，控制温度和湿度等措施。

5 .电力系统信息安全关键技术的应用展望

对电力企业信息网络这样一个年轻的又特殊的网络来说，在网络安全问题上有其特殊性，同时它所面临的安全威胁是比较严重的。我们可以采取有效的应对手段，包括先进的企业版防火墙、先进的密码编码方式和算法等都可以有效防御，只要应对得当，足以有效保护电力系统信息网络安全，保障电力生产经营活动的安全。未来将采用更加先进的网络安全体系架构、密码算法、防火墙、IDS和病毒防治软件等来保卫电力系统的信息安全，但是堡垒往往是从内部攻破的。因此需要一套良好的安全制度和安全思想，才是确保系统安全的根本。

6.结论

电力自动化无线通信系统中的信息安全问题。随着电力自动化无线通信技术的快速发展，对网络信息安全的要求也不断提高。无线通信技术有着其自身的特点，因此必须结合其自身特点和信息安全的需要，开发出新的技术和方案，以提高电力自动化无线通信系统的安全。

参考文献

[1] 耿新民，胡春光. 电力企业信息系统安全的隐患与对策[J]. 华东电力. 2005（10）

[2] 张贻锋. 网络通信中信息安全的保障措施[J]. 电脑编程技巧与维护. 2008（14）

[3] 冯小安，祁兵. 电力信息系统安全体系的构建[J]. 电网技术. 2008（S1）