智能電網信息安全及其防護技術研究

劉學鋒 張平 韓青

摘 要：本文主要論述了智能電網信息安全概況和方案設計，例舉了智能電網信息安全的實例。智能電網對外界具有開放性和交互性。因此安全的信息系統成為了保證智能電網穩定運行的基礎。基于以上對智能電網信息安全及其防護技術進行了分級分域、邊界安全防護、網絡環境安全防護、主機與系統、應用系統防護技術和具體設備的部署等幾個方面的研究。

關鍵詞：智能電網;信息安全;防護技術

中圖分類號：TM76 文獻標識碼：A 文章編號：1671-2064（2019）23-0039-02

0 引言

信息化建設對智能電網的智能程度起決定作用，信息化建設程度越高則智能電網的智能水平越高。智能電網作為信息時代主要產物之一，給人們的生活方式帶來了很大改變。電網工程“SG186”的建設和國家電網公司“統一堅持智能電網”推動了我國電網的進一步發展。

1 智能電網信息安全概況

1.1 智能電網安全信息內容

目前我國智能電網在信息傳輸時需要通過一定的安防措施來提高網絡的完整性和可靠性。智能電網的運行有獨特性，包括穩定、安全、兼容、交互、協調、高效、優質和集成。根據這些特點，其安全需求大，需要多方面的共同努力。首先，是物理安全的保障，目前大多供電企業的信息通信數據儲存在設備上，這就需要設備有較高的安全性。因此電力企業需要以先進的手段對數據儲存媒介進行妥善保存。同時需要網絡安全的保障電力信息網的類型較多，電力企業應對不同網絡設立不同級別的安全防控。以電力調度信息網為例，該網站是電力生產數據交流的主要平臺，對網絡安全性要求高，網站需要配防火墻、病毒防護系統、安全監控系統等，同時又不能降低網速。其次，智能電網信息的應用安全也是重要的，應用系統經常由于電力企業員工的誤操作產生安全問題。加上企業內部管控松懈，運維機制安全性不高。再次，還有數據安全方面，一是數據自身的安全程度，二是數據防護的安全。電力企業對數據安全的要求特殊，電力企業需要對文件進行加密，并對訪問數據的人進行身份的審核，以此來保證文件的準確性和保密性。最后電力企業也要注意主機安全，主要是對數據信息庫進行加固，防范黑客攻擊和病毒的入侵。

1.2 智能電網信息安全實例

1.2.1 供電公司智能電網網絡環境分析

以國網神農架供電公司為例，其業務范圍大且數量多而復雜，對供電數據信息的安全性要求極高。企業內有很多部門，根據其業務類型分為生產、營銷、財務和辦公幾大類。根據《信息安全技術信息安全等級保護基本要求》和SG186工程安全防護方案的要求，國網神農架供電公司把信息網分為內網和外網。

1.2.2 主機及應用系統分析

供電公司的主機系統主要由Windows和Unix組成，Windows系統的安全性和穩定性有很大隱患，想進行改良可以用防毒軟件進行安全加固。這就要求安全措施跟緊業務的變化，并為這兩種系統陪陪不同的防護計劃。但公司機器系統保護和殺毒軟件更新不及時，密碼安全性低。這需要建立一個安全措施來防止內部和外部網絡上的計算機混用以及文件的隨便傳輸。由于桌面終端的操作系統是基于Windows的而且數量大，以桌面終端系統安全設置就需要統一的部署和一套完整程序來解決這個問題。

1.2.3 安全分析

根據《國家電網公司信息化“SG186”工程安全防護總體方案》要求，國網神農架供電公司對企業內外網進行了重新劃分。內網分為：營銷管理系統域、財務系統域、二級系統域和內網桌面終端域。外網則分為外網應用系統域、外網桌面終端域[1]。

2 智能電網信息安全方案設計

2.1 設計目標

中國國家電網公司信息化工程安全防護體系建設的總體目標是防止信息網絡崩潰、業務應用程序被破壞、關鍵數據被更改以及防止企業信息泄露，同時避免病毒和木馬、有害信息和惡意滲透攻擊，確保信息系統運行安全穩定。

2.2 設計原則

總體安全保護計劃要結合供電企業等級保護的分級結果、應用系統管理和業務相似性進一步劃分。以保障安全域系統的安全保護措施應設計有針對性。信息系統安全域劃分可以分解復雜的安全保護問題，有助于實現信息系統的分層保護，并具有針對性的實施信息邊境保護，避免安全問題擴大。

以國網神農架供電公司等級保護系統的解決方案設計為例，在計劃時要清晰定義模型。這樣不僅可以相對準確地描述信息系統各個方面的內容及當前的安全局勢，也可以代表絕大多數區域和各種類型的信息系統。同時，也要進行分域防護，確保信息系統在遇到一種保護的時候不會被損壞，需要根據類型、重要性和關鍵程度合理劃分區域，確定安全等級[2]。

3 智能電網信息安全及其防護技術研究

3.1 分級分域

安全域是指由在同一工作環境中、具備相同或相似的安全保護需求和保護策略、彼此信任、相互關聯或相互作用的IT要素的集合。在建立智能電網數據防護系統前，要先劃分電網信息的安全域。以國網神農架供電公司為例，可以依靠邏輯性強的隔離設備用物理方式對信息網分別進行內外網的劃分。這種方式技能提升信息內網安全性，又能滿足信息外網交換數據的需要。

根據國家要求的方法劃分安全域后，信息內網分為營銷管理系統域、ERP系統域、二級系統域和內網桌面終端域。安全領域中的應用系統根據每個系統所屬的安全級別和系統在主機的安全級別受到保護。網絡和信息外聯網邊界保護的基礎，是滿足安全域中每個系統的最高級別進行安全建設。而企業信息外網分為外網應用系統域和外網桌面終端域。以便于對業務訪問需求進行控制和安全性的保護。

3.2 邊界安全防護技術

邊界安全防護重視數據流的檢測和控制。需要對網絡邊界的惡意代碼進行清除，對網絡上進行交換的信息進行過濾篩選，可用IDS進行檢測。由此實現對超文本傳輸協議、FTP協議、TELNET端口、簡單郵件傳輸協議、POP3等邊界內容進行訪問過濾，同時對網絡最大流量數進行控制。有效的控制措施包括根據會話狀態信息為數據流提供允許訪問和控制強度的明確能力。同時按照用戶和系統之間允許的訪問規則，決定允許還是拒絕用戶進行資源訪問。邊境安全保護的首要任務是明確界定安全邊界，供電企業聯系安全域邊界，邊界是信息外部第三方的安全邊界、信息網絡內部第三方的安全邊界以及信息網絡內部和外部的安全邊界。每個區域的訪問控制需要通過防火墻來實現，同時每個地區也實現了內容過濾、帶寬管理和其他應用層控制要求[3]。

3.3 網絡環境安全防護

網絡環境安全防護也針對企業網絡、路由器、防火墻和交換機等基礎設備。為國家電網公司提供所有域的網絡支持服務設備，按滿足三級安全保護的基本要求進行保護。其措施包括結構安全、安全接入控制、設備安全管理、安全弱點掃描、安全事件審計、配置文件備份和網絡業務信息流安全防護。其中，結構安全主要是保證網絡設備處理業務的能力具有富余空間，因此，公司的核心設備和主要鏈路應為熱備用冗余鏈路，主鏈路應為雙鏈路。而安全接入控制主要基于網絡設備的準入控制，依賴控制協意。由此可見，能依靠聯合軟認證系統實現全網控制。能夠控制未注冊的主機無法正常的應用網絡，同時利用北新源桌面管理系統實現移動存儲和非法外聯等管理。安全弱點掃描則是將綠聯極光漏洞掃描系統部署在網絡中，定期檢查系統、網絡設備、應用程序數據庫掃描，及時檢測系統中可能存在的漏洞，防止被黑客利用。網絡業務信息流安全防護就主要是通過鏈路加密的當時實現，防止網絡之間的通訊存在竊取數據的安全隱患，能夠通過防火墻的虛擬專用網來實現。

3.4 主機與系統

服務器承載公司的應用系統和業務數據，這對于應用服務器的安全當從操作系統安全性和數據庫安全性以及桌面管理三個方面進行設計。首先是操作系統安全性，操作系統足以承載業務應用和數據庫應用的基本載體，并保證業務應用的安全性。一旦操作系統出現安全問題，對業務系統和業務數據的安全就構成了嚴重的威脅。想保障操作系統安全可通過操作系統基礎防護、身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制和系統備份等方法進行完成。其次是數據庫安全的保證方法，可以用身份鑒別、訪問控制、安全審計和入侵防范等方式進行操作。對不同級別的用戶授予不同程度的權限，嚴格控制用戶訪問資源的權限。

3.5 應用系統防護技術

想對應用系統進行保護，需要進行應用系統安全加固，應用系統鏈路加入防御設備，隨時進行漏洞掃描和系統檢測;身份認證方案，按用戶名和密碼進行身份驗證，同時規定密碼的長度、復雜性和使用周期，系統應采取用戶身份唯一性和認證信息復雜性檢查功能，禁止密碼以明文形式存儲在系統中;系統應設定用戶登錄錯誤鎖定、會話超時退出等功能。并對授權變更制定嚴格的審核、批準和操作程序，要求授權變更只有經過審核和批準后才能生效;根據權限最小化原則，用戶被給予適當的權限，角色分離、禁止多人共享帳戶，同時定期審查權限。將用戶登錄時間、地點和操作記錄輸出到審計平臺;數據存儲保密工作要提供本地數據備份和恢復功能，每人至少備份一次數據，備份介質應該存放在場外。當環境發生變化時，執行定期備份恢復測試以確保準備工作數據的可恢復副本、利用通信網絡提供遠程數據備份功能，定期批量處理關鍵數據，轉移到備用站點、嚴格管理備份介質，防止未經授權訪問業務備份數據、采用冗余技術確保關鍵應用的可用性[4]。

3.6 具體設備布置

聯網的開放性和自由性決定了互聯網上有各種各樣的人他們也有著不同的意圖。使用防火墻技術經過仔細配置后，通常可以為不同的安全域提供安全的網絡保護，降低網絡安全風險。但是只使用防火墻保障網絡安全還不夠，還需要特殊的部署系統。網絡入侵檢測系統也可以與防火墻和其他安全產品緊密結合，為網絡系統提供最大的安全性。網絡入侵檢測系統是檢測和控制網絡入侵行為的系統。通過監控計算機網絡數據消息，并對這些消息進行協議分析和模式匹配，發現網絡或系統中是否存在違反安全策略的情況。一旦發現攻擊跡象，可以發布報告，警方也能及時采取相應的措施，如封鎖、追蹤和反擊。同時，記錄攻擊過程，為網絡或系統恢復和跟蹤攻擊源提供基本數據。目前最新的網絡入侵檢測系統還引入了全面的流量監控功能，檢測異常并結合地理信息定位入侵事件，分析資產相關的風險。同時為提高檢測準確率，就要求檢測系統有性能較高的文件處理功能[4]。

4 結語

綜上所述，智能電網的產生是電網進入現代化發展階段的標志，信息系統保證了智能電網的安全穩定運行。為實現智能電網持續健康發展，應對電網信息的安全進行深入研究。

參考文獻

[1] 馬虹哲.智能電網信息安全威脅及防護關鍵技術研究[J].信息通信，2017（12）：162-163.

[2] 王銘.智能電網信息系統安全防護措施分析[J].信息安全與技術，2015，6（09）：51-52.

[3] 劉鑫.智能電網信息安全技術研究及其應用[J].電子技術與軟件工程，2014（22）：220.

[4] 穆芮.智能電網信息安全技術研究與應用[D].山東大學，2013.