電網監控系統的網絡隔離措施研究

陳晟

摘 要：文章對電網監控系統的網絡隔離相關問題及其系統的安全要求與可靠性要求進行分析，指明在電力網絡體系中有必要采取針對性措施將電力監控體統同其它系統分隔開來，并對采取的隔離措施進行探討。以期為我國安全管理制度的完善提供幫助，旨在確保電網監控系統的安全及有效。

關鍵詞：電網監控體系統；信息系統；網絡隔離

中圖分類號：TM764 文獻標識碼：A 文章編號：1006-8937（2015）12-0090-02

現階段互聯網的飛速發展一方面給我國的信息安全問題帶來了機遇，同時也在其它層面為其制造著新的危機和挑戰。基于電力系統的信息安全問題在這一方面承受著強大壓力，一旦信息出現安全問題竟會極大的影響電力系統運行，導致其經濟性、穩定性受損。鑒于此，如何開發保護系統，制定相應防范措施避免信息系統遭受侵襲是現階段完善電網信息系統的主要工作方向之一，可以說，確保系統信息安全是優化電網管理的關鍵，也是保證電網提供可靠供電的關鍵。

1 網絡環境

1.1 監控系統與其它信息系統的特點

監控系統包括多項系統和裝置，它主要作用于電網運行期間，除了ACG系統、DCS系統之外，還包括繼電保護、安全自動裝置、實時監控系統、模擬微波等。ACG系統和DCS系統主要用于自動發電控制和火電機組。另外，故障錄波、電力系統光線、數字微波也屬于這一系統的構成范圍。它屬于一種數據業務，其主要工作流程基于TCP/IP，數據流較為恒定，不僅業務性較強，而且對速率要求不高，故具有很強的實用性。從適用范圍角度分析來看，在我國各地的電廠、變電站中，分布有生產控制系統，但是此列業務相對狹窄，也比較特殊。信息系統主要基于計算機網絡，它始終圍繞著電力信息主干網絡，聯系著各涉及發電、用電的企業和單位。此類業務具有突發性，同監控類系統不同，速率要求和保密性要求均較高，出生產控制類之外，幾乎覆蓋其它同類的所有業務，通常要求寬帶網絡，實用性較弱，多分布在行政辦公處。

1.2 監控系統與信息系統互聯情況

從內含角度來看，近幾年監控系統延伸較大，隨著信息系統愈加快速的發展，兩者互聯的發展模式成為必然。在這方面，目前互聯主要有兩種連接方式，一種是串行口連接，另一種是網絡連接。基于對不同連接方式分析來看，前者收攻擊或病毒影響很小，安全性極高，但是數據交互麻煩。故應用該種鏈接方式時多使用網關聯系，但是一旦這樣做，實時監控系統就易遭遇攻擊、病毒、信息泄漏問題，造成電網安全危機。這種互聯的系統發展具有一定特殊性，在信息傳輸方面可包含以下兩方面內容：①實時數據；②非實時數據。其中前者在規約基礎上進行實時信息交換，而后者則主要包括數據庫、畫面等信息。

2 網絡隔離

2.1 網絡安全

在信息系統中，安全包含多個層面，除了保證網絡、系統安全之外，還需要實現物理方面、應用方面的安全并做好人員管理。對于網絡安全主要指保護系統軟硬件、避免在服務中信息收到破壞、更改，從而實現系統持續、安全運行，以實現不中斷性服務。廣義上說，只要涉及到關于信息保密性、可用性的研究都屬于這一研究領域，確保其完整性及真是可控性。從層次方面看，網絡安全涉及技術和管理，故實現網絡管理需要實現其互補，缺一不可。即一方面防止惡意攻擊，另一方面防止內部因素干擾。

2.2 網絡隔離

《計算機信息系統國際聯網保密管理規定》指出，國家級信息系統需進行隔離，不得與其它信息系統連接，無論是國際互聯網還是國內范圍內的公共信息網絡。電力事關民生，其安全性異常重要，故同樣需要隔離，保證其實時、安全、可靠。與此相關的信息則要做到完整與保密，信息都要隔離。目前，防火墻的應用在我國電力系統中多用，通常情況下是在Internet出口位置出增設，其主要作用是用于隔離，保證基于此的信息技術能夠不受外界信息影響。以此為基礎，基于本人觀點，認為需進一步確保系統可靠。實際操作可以設立格力裝置，將其安裝在監控、信息系統中，尤其是兩者的唯一接入點。系統可分級，以確保安保的有效性的靈活性。這種專業性的裝置擁有兩個接口，一是LAN接口，聯系監控與信息系統，此外還有一個借口用于連接管理機，其目的在于配置和管理裝置。

3 技術平臺

現階段，主要防火墻廠家多是使用Linux，以此來實現操作系統控制。但是相對于國外，防火墻廠家多采用更專業的系統，帶有自助性質的進行硬件設計。同防火墻相比，安裝隔離裝置的保障性要更高。對此我國國內的防火隔離控制應該在保證Linux基礎性能上進行優化，進而實現使用專業性更強的系統操作控制。如果只單純使用通用系統，那么其本身所具有的開放性將會導致其很容易受外界影響。盡管其功能多樣，但是由于其自存在不足故在應用中很容易導致安全危機出現。這些系統不足通常是在使用中被不斷發現，雖然過程緩慢，但是一經發現便被人多認識一分，攻擊辦法也隨之更新，最終導致發生無法應付的局面。對此，在通用Linux時，可以進行如下優化調整，以彌補其不足：

①對于系統中存在安全問題的部分或者是具有風險的部分需要取消調用，有必要時也可以進行截獲；②對于命令的執行，可以選擇有針對性的進行權限限制；③檢查分組借口，對于IP原有的轉發功能可將其取消，以隨機序號鏈接；④采用安全內核，主流過濾模塊；⑤限制動態路由功能，必要時可進行取消。

通過上述調整和優化，在原有基礎上進行完善，開發出不僅專業性強且獨立性高的操作系統，只有在此基礎之上的才更具優越性，相對個隔離效果及效率才會更高。

4 應用實現

隔離軟件包括多個模塊，不僅有主要的內核模塊、NAT模塊，用戶界面模塊、應用代理模塊、審計模塊，還包括寬帶管理模塊、透明模式模塊、統計流量模塊等多種。其中隔離模塊和應用代理模塊中還包括狀態檢測模塊和過濾模塊；透明模式模塊也包括路由轉發模塊等。此外，軟件中還包括部分小模塊，如自我保護模塊，或是用于綁定地址的模塊等。總體來說，系統構成較為復雜。

在網絡聯機方面，其要求也較為復雜。首先需要有監控網中主機，該系統可以單方面的進行協議傳輸，與DMIS主機相連接，端口9000，以通信規約作應用層。根據上述系統模塊及要求，首先制定系統規則，操作完成后，對端口、協議等進行安全控制，從而實現網絡隔離。在這一過程中，它能夠識別非法請求，有效防止數據被跨越訪問，進而把監控系統安全性集中至隔離裝置上，通過網絡安全進一步將其加固，而不是實行分散管理，在很大程度上簡化了保護工作流程。

5 結 語

綜上所述，在電力系統中，要實現網絡安全最重要的是保證電網監控系統、信息系統能夠同其它系統隔離開來，由此可以看出，研發并應用專業性更強、實用性性能更好的隔離裝置十分必要。此外，在管理方面也需要有針對性的開展措施，防止因人為因素而導致安全問題的出現，從而實現真正意義上的系統安全。

參考文獻：

[1] 陳國軍.基于ARM的網絡控制系統在電網監控中的應用[J].微計算機信息，2009，（23）.

[2] 魯冰.電網監控的最新方案[J].電子產品世界，2009，（12）.

[3] 施莉莉，羊珉.無人值守電網監控自動化改造研究[J].科技創新導報，2009，（34）.

[4] 吳彬，李玉忍.基于單片機AT89C52的電網監控器設計[J].現代電子技術，2007，（3）.

[5] 錢昊，趙榮祥，杜茵.基于DSP的電網監控系統[J].江南大學學報（自然科學版），2007，（1）.