關于電力系統的網絡安全的探討

一、概述

2006年4月29日，國家電網公司提出了在全系統實施\"SGl86工程”的規劃，力爭到“十一五”末，公司的信息化水平達到國內領先、國際先進，初步建成數字化電網、信息化企業。經過近三年的應用系統建設，國家電網公司在一體化信息集成平臺建設，八大業務應用推廣，安全防護與運維水平提升方面都取得了顯著的成效。隨著“SGl68工程”的應用深化和擴展，其所面臨的信息安全威脅也日益復雜和多樣化。

計算機通訊技術的迅速發展和普及，改變了整個信息管理的面貌，使信息管理以單個計算機為中心發展到以網絡為中心，為計算機技術在工業、商業、教學、科研、管理等領域中的應用提供了一個全新的網絡通信環境，從根本上加強并促進了群體工作成員之間的信息交流、資源共享、科學計算、技術合作及有效管理，推動了生產、管理、科研及教學事業的發展。

然而，伴隨著計算機通訊網絡的發展衍生出新類型的安全問題，用戶對于信息的安全存儲、安全處理和安全傳輸的需要越來越迫切。對于電力系統來說，對信息安全的認識不足，主要體現在缺乏統一的信息安全管理規范，缺乏與電力行業特點相適應的計算機信息安全體系，計算機網絡面臨巨大的外部安全攻擊等等。因此，對于電力系統的網絡安全必須引起足夠重視。現在大多數網絡安全解決方案都是基于用戶需求為核心，廠商根據客戶的要求提出相應的解決方案，這些解決方案包括防病毒、防火墻、信息加密、入侵檢測、安全認證、核心防護等等，應用范圍主要是商業領域，對電力系統的關注較少。

二、常用網絡安全機制

1.訪問控制訪問控制的任務是保護網絡資源不被非法使用和訪問，是維護網絡系統安全、保護網絡資源的主要手段，是保證網絡安全的核心策略之一。訪問控制要對用戶身份進行嚴格的認證，實行嚴格的用戶帳戶管理，對于用戶名、用戶口令采取加密措施，合理設置用戶權限，它涉及應用程序對數據和用戶的合法權限。

2.防火墻技術防火墻(Firewall)是一類防范措施的總稱，是一種有效的網絡安全模型。防火墻又稱為堡壘主機，通過它來隔離風險區域與安全區域的連接，但不妨礙人們對風險區域的訪問。防火墻可以監控進出網絡的通信量，僅讓安全、核準了的信息進入，同時抵制對企業構成威脅的數據。防火墻是一種被動技術，它假設了網絡邊界和服務，對內部的非法訪問難以有效控制，因此防火墻適合于相對獨立的網絡。

3.數據加密數據加密是確保計算機網絡安全的一種重要機制，是為了防止信息被竊取，在發送時對信息進行加密。數據加密技術可分為數據傳輸、數據儲存、數據完整性鑒別以及密鑰管理技術等四種。數據傳輸常用的加密方法有鏈路加密和端端加密兩種。鏈路加密是傳輸數據僅在數據鏈路層進行加密，接受方是傳送路徑上的各個節點，信息在各個節點上都要解密和再加密，直至數據傳送到目的地。端端加密則是為數據從一端傳送到另一端提供的加密方式，是在應用層完成的，除了報頭外的報文均以密文的形式貫穿于全部傳輸過程，只有在發送端和接受端才加解密設備。數據存儲加密技術的目的是防止存儲環節上的數據失迷，可以分為密文存儲和存取控制兩種。前者是通過加密算法轉換、附加密碼、加密模塊等方法，將所要存儲的數據以密文的形式存放在存儲介質上；后者則是對用戶資格、權限等加以審查和限制，防止非法用戶存取數據或者合法用戶越權存取數據。數據完整性鑒別技術的目的是對信息傳送、存取、處理人的身份和相關數據進行驗證，達到保密的要求，鑒別內容包括口令、密鑰、身份、數據等項。為了數據使用方便，數據加密在很多場合集中表現為密鑰的應用。密鑰的媒體有磁卡、磁帶、磁盤、半導體存儲內存等，密鑰管理技術包括密鑰的產生、分配、保存、更換與銷毀等。根據密鑰的特點，密碼可分為對稱密碼和非對稱密碼兩種體制。對稱密碼體制具有完全的可逆性和對稱性，在加解密的過程中用一個密鑰來完成，這種保密系統對密鑰的安全傳送要求較高，密鑰泄漏會導致系統的崩潰。非對稱密碼體制中有公鑰和私鑰兩個密鑰，加密和解密算法是互補的。當一方向另一方傳送信息時，使用公鑰對數據進行加密，接受者接受到密文‘以后，用私鑰進行解密。非對稱密鑰是目前最為廣泛應用的一種加密方式。

三、電力系統的網絡安全

根據電力系統的特點，信息安全按其業務性質一般可分為四類：一是電網運行實時控制系統。包括電網自動發電控制系統及支持其運行的調度自動化系統、火電廠分布控制系統(D CS，BMS，DEH，cCS)、水電廠計算機監控系統、變電所及集控站自動化系統、電網繼電保護及安全系統、電力市場技術支持系統；二是電力營銷系統。包括電量計費系統、負荷管理系統；三是企業管理信息系統。四是不直接參與電力企業過程控制和生產管理的多種經營系統。

就大多數國家電力公司直屬省級子公司而言，電力信息網已基本覆蓋了公司的電力生產、施工、建設、設計、經營等領域，并己深入到用電營業所和變電所，信息網承載了財務、物資、用電、生產、勞人、安全監察、計劃統計和電網實時信息，實現了綜合信息查詢和辦公自動化。公司局域網不但實現了與基層單位的互聯，還實現了與國家電力公司、省政府經濟信息中心的互聯。

電網調度自動化系統作為電力系統的重電網調度自動化系統作為電力系統的重要基礎設施，不僅與電力系統的生產、經營、服務相關，還擔負著整個電網安全穩定運行的重任，直接關系到國計民生，因此電網調度自動化系統是安全保護的核心。按國家有關規定，電網調度自動化系統不得與因特網連接，因此安全問題主要來自內部。網絡管理員必須對系統劃分不同的安全等級，確保安全等級優先的系統得到最妥善的保護。

對于不承載電網調度自動化系統的網絡，由于與因特網互聯而帶來較多安全問題。考慮安全問題時，首先應防止來自互聯網的非法惡意攻擊和破壞，采用防火墻技術，對于進入防火墻的所有信息進行驗證和過濾，并應用審計功能。其次應解決內聯網用戶的安全，可以對內聯網用戶加裝防火墻客戶端軟件，用捆綁網卡地址加用戶和口令的雙重驗證保證安全。