安全隔離技術在電力信息網絡安全防護中的應用

馬毅

【摘 要】在電力系統的實際運行過程中，需要大量的信息傳播，因此也建立了對應的信息網絡系統。但是在實際運行的過程之中，仍然有多重因素會導致電力系統信息網絡存在諸多安全問題，有效地保障電力企業的安全和保障電力信息網絡安全，對于推動我國國民經濟穩定發展具有非常重要的作用。

【關鍵詞】電力；信息；網絡；安全

1 引言

信息技術的快速發展，有效的帶動了計算機網絡的發展速度，企業已全面開始信息化建設。計算機網絡已成為企業生產經營過程中不可或缺的重要工具，但由于計算機網絡具有聯結形式多樣、開放性和互聯性的特點，這就導致網絡在運行過程中極易受到惡意的攻擊和破壞，面臨著嚴懲的安全隱患，而且在應用的各個環節都面臨著網絡安全的威脅，所以加強網絡信息安全防護工作具有極為重要性。目前無論電力企業處于局域網還是廣域網中，都存在著潛在的威脅，所以在網絡運行過程中需要針對電力企業網絡所存在的脆弱性和潛在威脅，從而加強安全防護措施，確保網絡信息的保密性、完整性和安全性。

2 電力系統信息網絡存在的安全問題

2.1 網絡病毒

電力系統信息網絡安全中，最常見的安全隱患就是網絡病毒。隱蔽性、可復制性、傳播速度快等都是網絡病毒的特點。網絡病毒對電力系統信息網絡破壞非常嚴重。假如感染上了網絡病毒，輕則是對電力信息系統的正常運行受到阻礙，使數據丟失、信息不能及時共享；嚴重則會導致電力信息系統癱瘓，整個電力系統的功能將會因此受到影響而不能正常發揮作用。除此之外，電力設備還可能因此遭到網絡病毒的破壞，造成不可估量的損失。

2.2 黑客攻擊

在電力系統信息網絡運行的過程之中，網絡安全問題也會因為受到黑客的攻擊而出現，導致電力系統信息網絡安全出現故障，甚至會造成大范圍的電力故障發生，具有非常大的危害力，這也是電力系統信息網絡存在的主要隱患。電力企業涉及到很多電力信息量，假如被黑客攻擊獲取機密信息，則會對電力系統的正常運行和經濟效益造成極大的損失。黑客對電力系統信息網絡的攻擊方式比較多，比如利用數字控制系統（DCS）對電力企業的基層系統進行控制，造成基層系統癱瘓。此外，黑客也可以利用某個系統對其他系統進行控制和破壞，對電力系統造成非常惡劣的影響。

2.3 脆弱的身份認證

電力行業中計算機應用系統大部分是基于商用軟硬件系統設計和開發，而基本上都是使用口令為用戶身份認證的鑒別模式，而這種模式最容易被黑客攻破。部分應用系統還使用自己的用戶鑒別方式，用數據庫或者文件將口令、用戶名和一些安全控制信息用明文的方式記錄。當今，這種脆弱的安全控制措施已經不再適用。

2.4 內部惡意操作

電力信息系統安全漏洞還存在內部人員惡意操作導致。惡意操作就是指蓄意破壞。信息系統在運行過程之中需要人進行監督和控制，加入人的因素存在主管惡意，則會使網絡信息系統出現問題。電力系統安全管理的制度上規范可能比較健全，但是只能防范人的控制，一旦出現人為因素，大災難將會降臨到電力信息系統上。

2.5 信息網絡安全意識淡薄

在電力信心網絡的建設以及運營過程之中，安全防護和安全監督工作都需要信息網絡安全意識高的專業人員從事。隨著信息化程度的不斷提高和信息防護技術的不斷更新，電力信息網絡的安全等級也逐漸提高。但是，不能否認的是，實際的安全防護技術和電力企業信息網絡安全防護需求仍然存在很大差異。一方面是由于電力企業本身信息化技術比較低導致出現安全問題；另一方面則是超高的安全防護技術帶來高昂的成本，電力企業的效益降低，導致電力企業的實施與應用受到影響。更加重要的是目前的電力信息網絡安全整體維護工作水平不高，同時網路安全人員的安全防護意識缺乏，出現違規操作、不按照規范進行操作等現象發生而出現問題。

2.6 信息網絡安全制度缺失

隨著電力信息化程度的不斷深入，要加強信息網絡安全制度的規范，不斷創設完整的信息網絡安全防護制度顯得非常重要，這樣才能夠確實提高電力企業信息網絡安全，保障企業經濟效益。當時目前而言，在電力信息網絡運行的過程之中仍然缺乏統一的規范安全防護制度和監督制度，很大程度上對電力系統信息網絡安全造成危害，影響電力信息化水平提高。同時，在電力系統信息網絡運行，由于缺乏科學的安全管理制度，很容易在運行過程之中出現大漏洞和缺陷。

3 安全隔離技術應用分析

3.1 物理隔離

物理隔離的數據傳輸機制是存儲和轉發。網絡隔離則是在物理隔離的基礎上，綜合利用過濾、認證、日志等技術和專用硬件，保證兩個網絡在鏈路層斷開的前提下實現數據安全傳輸和資源共享，實現一個綜合的安全平臺。

3.1.1 已有物理隔離與數據自動交換技術。物理隔離一般是指通過網絡與網絡分離來實現的網絡隔離，它是網絡隔離的一種形式，其目的是禁止網絡之間的資源共享，防止一個網絡的信息泄露到另一個網絡上去。物理隔離就是必須嚴格從網絡的物理層起就與其他系統徹底隔離開來。當然，能夠實現基于第一層的物理隔離是再安全不過了，但是如果沒有數據交換，就難以達到應用的效果和目的。

3.1.2網閘和GAP技術。網絡物理隔離的一個特征，就是內網與外網永不連接。內部主機和外部主杌在同一時間最多只有一個同固態存儲介質建立非TCP/IP協議的數據連接。網絡隔離的好處是明顯的，即使外網在最壞的情況下，內網也不會有任何破壞，修復外網系統也非常容易。以上這種基于兩個單邊主機（內部主機和外部主機）之間數據交換的網絡隔離技術，被稱作網閘。網閘是很多安全網絡隔離的選擇，但網閘代理業務的方式不同，協議隔離的概念不斷變化，所以在選擇網閘時要注意網閘的具體實現方式。

3.1.3 通用網閘類技術

通用網閘類技術指的是利用兩個完全獨立的計算機來處理系統兩端連接的不同安全等級的網絡，這樣的話，在兩套完全不一樣的系統中，進行數據的交換往來，就能夠確保內網、外網都做到同步隔離。通過對http協議進行數據分析，來實現數據訪問安全的控制。

3.2 雙網隔離技術

“網閘類技術的安全強度能夠滿足信息網隔離要求，但這種技術適合于各個業務系統分別布置在不同的分級區域中，而且這種裝置還無法對數據庫專用通信協議進行解析和強過濾，不能滿足現有電力信息內外雙網隔離的架構與需求。

參考文獻：

[1]華建祥.企業網絡安全隔離技術分析研究[J].武夷學院學報，2011（5）.

[2]黨林.電力企業信息系統數據的安全保護措施分析[J].電子技術與軟件工程，2013（17）.

[3]李志茹，張華峰，黨倩.電網企業信息系統安全防護措施的研究與探討[J].電力信息化，2012（04）.

（作者單位：國網太原供電公司）