淺談電力系統企業內網網絡安全

文｜田銳

淺談電力系統企業內網網絡安全

文｜田銳

《中華人民共和國網絡安全法》于2017年6月1日起發布施行了，網絡安全已經受到國家的重視。電力系統企業內網的安全問題也引起高度重視，需要不斷加強對網絡安全的管理工作，從而更好地保護企業信息的安全性。

一、電力系統網絡現狀及存在安全隱患

當前，電力系統正在飛速發展，在電力企業中，計算機網絡已經得到普遍應用，目前電力系統的網絡可分為兩部分，一是生產控制系統和生產實時數據傳輸網，依靠計算機網絡的數據傳輸技術，實現信息數據傳輸的高效與實時。二是輔助辦公網絡，常用的應用有OA系統、設備缺陷管理系統和各種web應用等。網絡安全是影響電力生產安全的一個重要因素，因此，電力系統網絡建設通常會將生產控制系統網絡與輔助辦公網絡進行物理隔離，這樣可以避免許多來自網絡以外的因素對生產控制系統網絡造成損害。目前生產控制系統網絡及輔助辦公網絡的主要風險是硬件設備和軟件系統的故障，同時也有內部用戶使用不當造成的危害，或組建及升級系統的過程中所帶來的威脅，以及外部的物理環境造成的損害。這些風險造成的后果往往是重要數據的損壞或丟失，因而無法滿足電力系統對數據完整性與保密性的要求。正是由于存在著許多風險，電力系統的網絡安全建設也必須要引起我們的重視。

二、加強電力系統網絡安全的策略

電力系統的網絡安全，相對于其他企業來說，尤其重要，根據常見的網絡安全風險，大致可分為以下幾個方面。

（一）物理設備硬件損壞及故障

計算機網絡的物理設備硬件安全指的是網絡硬件設備、計算機、服務器、光纖收發器等硬件設備的安全防護，還包括了對通信鏈路等各種連接線路的保護，避免這些設施被人為破壞以及自然災害所帶來的損壞。

物理設備硬件損壞和故障，是較為常見一種安全風險，這種風險一般是不可預見風險，由于計算機、網絡設備及通信鏈路等硬件設備存在因生命周期、外部環境影響、電源影響及人為破環等原因，使網絡中各節點的硬件故障無法做到預判預防，因此我們通常采用選購國內知名品牌的設備及雙機雙鏈路熱備的方式運行，以達到單一故障節點不會導致網絡中斷，因而不影響數據的實時傳輸。

（二）病毒、惡意程序及黑客攻擊

由于計算機病毒具有隱蔽性、傳染性和破環性，給電力系統網絡安全帶來嚴重的威脅，同時有效預防來自網絡黑客的攻擊行為，也要格外引起重視。

計算機病毒是大家所熟知的影響網絡安全的一個重要方面，因各種原因導致網絡中感染了計算機病毒或者惡意程序，都會給計算機網絡造成極大的影響，導致數據傳輸錯誤或者數據中斷，甚至會造成整個網絡中斷。因此，對于計算機病毒的防和控都十分重要。對于生產控制系統網絡，要對網絡內的計算機安裝防病毒軟件及定期進行系統補丁升級，網絡交換機開啟DHCP snooping、使用靜態ARP表、shutdown空余端口等安全配置。同時嚴格要求禁止用戶私自使用便攜存儲設備，禁止單一計算機使用雙網卡連接生產控制系統網絡和輔助辦公網絡，禁止無關人員使用及連接生產控制系統網絡內的計算機和網絡設備。對預防黑客攻擊行為，可以在網絡出口處加裝單向隔離裝置，使生產數據單向傳輸，確保不受網絡黑客的攻擊。

（三）電源故障及自然災害的防護

網絡設備及計算機均要使用獨立供電系統，對供電電源的電壓及電流穩定性也有較高要求，電源電壓及電流波動帶來的影響對網絡設備及計算機來說是致命的。

電源故障也是影響網絡安全的重要因素。因為電源故障對網絡設備及計算機造成的損害十分嚴重，雷電及供電設備故障引起的高電壓，會將設備的電路板擊穿，甚至引起火災，因此，為防止電源故障帶來的災害，需要對機房建筑物安裝避雷裝置，同時設置雙路電源供電，并加裝雙電源自動切換開關。為防止開關切換過程設備掉電，同時需配置UPS不間斷供電電池及整流裝置，防止電源故障引起設備損壞而導致網絡中斷。

（四）進行訪問控制

電力系統外來人員較多，新舊設備調試及各種系統上線都會有許多外部人員需要使用電力系統內部網絡，而外部人員所使用的設備安全性無法確定。同時內部人員的終端是否符合安全入網的規則，不同層級的員工訪問需求也各不相同。訪問控制就是按用戶身份及其歸屬劃分，限制用戶對某些信息的訪問，或限制對某些控制功能使用的一種技術。為保證電力系統內部網絡資源不被非法訪問，需要對不同的人員分別進行訪問控制。我們常用的訪問控制實現策略有入網訪問控制、網絡權限限制、目錄級安全控制、網絡服務器安全控制、網絡監測和鎖定控制、網絡端口和節點的安全控制以及防火墻控制。這些策略的使用可以保證網絡數據的安全，防止數據資料外泄，對電力系統的網絡安全起著至關重要的作用。

（五）進行數據加密

數據加密目前仍是計算機系統對信息進行保護的一種最可靠的辦法。它利用密碼技術對信息進行加密，實現信息隱蔽，從而起到保護信息安全的作用。數據加密技術可分為數據傳輸加密技術、數據存儲加密技術、數據完整性的鑒別技術和密鑰管理技術。電力系統一般使用專用縱向加密認證裝置，設置于電力控制系統的內部局域網與電力調度數據網絡之間，用于安全區的廣域網邊界保護，同時為上下級控制系統之間的廣域網通信提供認證與加密服務，實現數據傳輸的機密性、完整性保護。

（六）完善的管理制度

在電力系統的網絡安全管理中，除了擁有良好的技術方法和防護措施外，還必須建立起完善的管理制度。擁有完善的管理制度，可以更好的規范員工使用網絡資源，明確管理職責，引導員工更好的利用網絡資源，學習網絡技術。因此還應做到以下幾點：劃分安全管理等級和范圍，制定網絡管理規程、應用系統管理規范、數據定期備份管理和出入機房管理等制度，制定網絡系統的維護制度和各種應急措施，定期進行應急演練。

三、結束語

計算機網絡安全對電力系統來說十分重要，整個電力系統的員工都應引起重視，對于計算機網絡在電力系統中的安全防護問題，電力企業仍然有許多的工作要做，這都需要整個電力企業的員工共同努力，逐步完善。電力企業的網絡安全建設任重而道遠。

作者單位：華電國際十里泉發電廠