電力系統(tǒng)信息通信網(wǎng)絡(luò)安全的防護(hù)研究

江育鋒

（公誠管理咨詢有限公司 第六分公司，廣東 佛山 528000）

0 引 言

網(wǎng)絡(luò)安全是威脅信息通信運行體系最大的隱患，電力系統(tǒng)管理部門要結(jié)合實際應(yīng)用要求和規(guī)范落實有效的安全風(fēng)險防護(hù)工作，創(chuàng)設(shè)安全、可靠以及規(guī)范的運行環(huán)境，實現(xiàn)經(jīng)濟(jì)效益和社會效益的雙贏。

1 電力系統(tǒng)信息通信的特點

電力系統(tǒng)信息通信存在專業(yè)度要求高且綜合性強的特點，電力系統(tǒng)信息網(wǎng)絡(luò)技術(shù)的覆蓋面較廣，不僅包括配電項目和電力傳輸項目，還涉及用電管理等。隨著計算機技術(shù)的發(fā)展，電力系統(tǒng)信息通信融合自動化技術(shù)、數(shù)據(jù)挖掘技術(shù)以及電力系統(tǒng)技術(shù)的趨勢逐漸明朗，這就需要專業(yè)人員綜合多項管理要求，落實具體控制工作。此外，電力系統(tǒng)信息通信應(yīng)用的地域性強，加之不同區(qū)域的發(fā)展程度有所差異，這就使得電力系統(tǒng)信息通信網(wǎng)絡(luò)的應(yīng)用范圍也需要進(jìn)行調(diào)整，只有落實針對性較強的管控方案，才能真正發(fā)揮系統(tǒng)的應(yīng)用價值[1]。

綜上所述，在電力系統(tǒng)信息通信網(wǎng)絡(luò)安全管控工作中，要充分融合其運行特征，建立時效性好、針對性強以及可靠性高的綜合管控模式，從而最大化降低安全風(fēng)險產(chǎn)生的不良影響。

2 電力系統(tǒng)信息通信網(wǎng)絡(luò)安全風(fēng)險

電力系統(tǒng)信息通信網(wǎng)絡(luò)安全風(fēng)險主要分為內(nèi)部風(fēng)險和外部風(fēng)險。

2.1 外部風(fēng)險

2.1.1 攻擊TCP和UDP

對于整個電力系統(tǒng)信息通信網(wǎng)絡(luò)而言，綁定TCP端口網(wǎng)絡(luò)服務(wù)的對象就是主機系統(tǒng)，這也成為了攻擊的主要方向。一般而言，任何干擾TCP連接的攻擊都會被設(shè)定為TCP攔截，其中主要包括會話攔截和ICMP攔截等。例如，SYN攻擊因為電力系統(tǒng)信息通信網(wǎng)絡(luò)每個TCP在實施分配過程中連接不同的電力信息網(wǎng)絡(luò)地址和端口，所以當(dāng)受到攻擊時，必然會產(chǎn)生嚴(yán)重的內(nèi)存消耗。若是鏈接數(shù)量超出限制，那么就會造成電力系統(tǒng)信息通信網(wǎng)絡(luò)被切斷，無法及時獲取電力數(shù)據(jù)，具體如圖1所示[2]。

圖1 連接切斷

2.1.2 DNS風(fēng)險

在電力系統(tǒng)信息通信網(wǎng)絡(luò)運行過程中，DNS系統(tǒng)的初始設(shè)定是服務(wù)器互聯(lián)過程安全可行，匹配的電力信息交互無障礙，因此沒有設(shè)置對應(yīng)的身份鑒定過程，這就增加了信息被篡改的可能性。首先無法進(jìn)行身份識別的響應(yīng)，若是黑客根據(jù)DNS請求偽造回答，甚至設(shè)置授權(quán)標(biāo)記，那么將會造成電力信息傳遞連接失效。其次會導(dǎo)致DNS緩存受損，電力系統(tǒng)信息通信網(wǎng)絡(luò)會匯總和收集大量的電力信息、輸配電數(shù)據(jù)以及用電管理信息等，緩存結(jié)構(gòu)受損會使得相應(yīng)的數(shù)據(jù)信息無法建立合理的交流[3]。最后造成盲目攻擊，也就是說，黑客若是利用一個公用的域名形成無數(shù)個DNS回答，就會嚴(yán)重影響電力系統(tǒng)信息通信網(wǎng)絡(luò)的安全性。DNS盲目攻擊如圖2所示。

圖2 DNS盲目攻擊

2.1.3 SMTP郵件風(fēng)險

在電力系統(tǒng)信息通信網(wǎng)絡(luò)中，SMTP的使用模型如圖3所示。

圖3 SMTP使用模型示意圖

主要的風(fēng)險問題圍繞偽裝報頭、垃圾郵件以及中繼攔截等，黑客會借助對應(yīng)技術(shù)破壞其運行穩(wěn)定性，這就使得大量的電力信息被竊取，不僅會影響企業(yè)發(fā)展，也會造成較為嚴(yán)重的經(jīng)濟(jì)損失[4]。

2.1.4 人為破壞風(fēng)險

人為破壞風(fēng)險主要是由電力系統(tǒng)信息通信網(wǎng)絡(luò)運行中工作人員信息錄入錯誤或者是操作流程錯誤等造成，不僅會影響信息網(wǎng)絡(luò)運行效率，也會形成惡性循環(huán)，制約電力系統(tǒng)信息通信監(jiān)督效果和管理水平。

2.2 內(nèi)部風(fēng)險

一方面，網(wǎng)絡(luò)設(shè)備、移動存儲介質(zhì)以及移動終端受到病毒影響，產(chǎn)生一系列后續(xù)攻擊，在使用終端設(shè)備的過程中，就會對整個電力系統(tǒng)信息通信網(wǎng)絡(luò)形成不良作用。另一方面，電力系統(tǒng)運行時會應(yīng)用大量的設(shè)施，系統(tǒng)內(nèi)部出現(xiàn)了電磁輻射的問題，亦或是一些特殊設(shè)備在接收輻射后直接激活，都會造成設(shè)備互相作用產(chǎn)生不良攻擊[5]。

3 電力系統(tǒng)信息通信網(wǎng)絡(luò)安全防護(hù)建議

在全面分析電力系統(tǒng)信息通信網(wǎng)絡(luò)安全風(fēng)險問題后，就要結(jié)合實際情況落實相應(yīng)的防護(hù)控制機制，建立更加合理的管控體系，從而維持電力系統(tǒng)信息通信網(wǎng)絡(luò)安全防護(hù)的質(zhì)量。

3.1 強化密鑰管理

電力系統(tǒng)中電力信息和數(shù)據(jù)非常重要，要提升其保密等級，并且聯(lián)合密鑰處理技術(shù)強化安全防護(hù)工作的效果。電力系統(tǒng)信息通信網(wǎng)絡(luò)的兩個客戶端要結(jié)合密鑰分配方式形成共享密鑰，然后結(jié)合具體情況及時更新密鑰[6]。密鑰獲取方式如表1所示。

表1 密鑰獲取方式

一般而言，電力系統(tǒng)信息通信網(wǎng)絡(luò)中會選取第四種方式，在向KDC發(fā)出密鑰請求后得到回應(yīng)，然后獲取一次性會話密鑰和身份密鑰，將其轉(zhuǎn)發(fā)到對應(yīng)系統(tǒng)中，就能獲取匹配的電力系統(tǒng)信息，這種方式能提升信息交互的合理性，也能最大化提高信息通信網(wǎng)絡(luò)的安全性。

3.2 強化通信安全系統(tǒng)管理

在通信安全系統(tǒng)管理工作中，要重視不同系統(tǒng)內(nèi)部模塊攻擊防護(hù)工作，打造合理且可靠的應(yīng)用處理方案。

首先，針對SYN攻擊的防護(hù)工作要從過濾網(wǎng)關(guān)防護(hù)工作出發(fā)，設(shè)置超時設(shè)置模式，在防火墻設(shè)置轉(zhuǎn)發(fā)超時參數(shù)模式，當(dāng)參數(shù)在服務(wù)器Timeout時間內(nèi)確認(rèn)發(fā)送SYN包，若是計數(shù)器到期依舊沒有接到確認(rèn)包，那么發(fā)送RST包，從而減少對應(yīng)的信息數(shù)據(jù)[7]。過濾網(wǎng)關(guān)防護(hù)示意如圖4所示。另外也可以利用加固TCP/IP協(xié)議棧的方式有效增加最大連接數(shù)，并且盡量縮短超時時間，借助SYN cookies技術(shù)建立HASH運算模式，保證通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>

圖4 過濾網(wǎng)關(guān)防護(hù)示意圖

其次，針對DNS的風(fēng)險可以利用網(wǎng)絡(luò)地址信息統(tǒng)一管理的方式落實維護(hù)工作。設(shè)計人員在應(yīng)用對應(yīng)技術(shù)方案時要關(guān)注靈活性和可擴(kuò)展性，確保能綜合考量安全要素。一方面，針對直接威脅，可以借助DNS服務(wù)器或者是主機補丁限制單個服務(wù)器被破壞的程度，從而有效實現(xiàn)DNS平衡，并且要盡量拒絕不匹配的回答，提升緩沖間隔的合理性。另一方面，針對技術(shù)威脅，要加固服務(wù)器和防火墻，最大化提升對潛在攻擊的應(yīng)對能力。

最后，積極融合同步數(shù)字體系，利用SDH建立貼合國際通信體系要求的安全管理模式，借助映射、定位以及復(fù)用的模式完成傳輸業(yè)務(wù)信號的處理，大大提升數(shù)字信號收集和匯總的合理性。電力系統(tǒng)可以借助SDH實現(xiàn)多設(shè)備分組交換業(yè)務(wù)處理，提供E1和STM-1等接口，保證電力系統(tǒng)信息通信網(wǎng)絡(luò)的安全效果。

3.3 強化網(wǎng)絡(luò)設(shè)備安全管理

在電力系統(tǒng)信息通信的網(wǎng)絡(luò)安全防護(hù)工作中，要想維護(hù)其綜合運行質(zhì)量，保證電力企業(yè)常規(guī)化管控工作的效果，就要對網(wǎng)絡(luò)設(shè)備安全管理工作環(huán)節(jié)予以重視，在強化信息技術(shù)管理效果的同時，確保網(wǎng)絡(luò)設(shè)備和系統(tǒng)安全都能得到重視，有效整合相應(yīng)的管理方案，維護(hù)綜合控制水平。首先要篩選進(jìn)入電力系統(tǒng)信息通信網(wǎng)絡(luò)的信息，組織危險信息的同時，依據(jù)具體應(yīng)用要點和規(guī)范建立訪問權(quán)限，保證個性化設(shè)置工作的完整度，最大化提升網(wǎng)絡(luò)設(shè)備安全管理工作的綜合效果。其次要階段性科學(xué)評估系統(tǒng)網(wǎng)絡(luò)設(shè)備，及時匯總并處理存在的安全隱患，有效提高常規(guī)化管控的效果，避免設(shè)備風(fēng)險隱患的留存。最后要重視原始數(shù)據(jù)，按照加密或者是密文處理的方式，保證重要電力數(shù)據(jù)文檔的安全性，也能減少惡意用戶的訪問和數(shù)據(jù)查詢，減少信息外泄的可能性[8]。

3.4 強化物理層防護(hù)

為了保證電力系統(tǒng)信息通信網(wǎng)絡(luò)安全水平，要結(jié)合系統(tǒng)運行要求從系統(tǒng)管理和物理層防護(hù)兩個層面入手，提高對應(yīng)控制工作的綜合效果。建立個性化的管理系統(tǒng)結(jié)構(gòu)，應(yīng)用網(wǎng)元數(shù)據(jù)采集、管理以及業(yè)務(wù)管控等模塊保證信息統(tǒng)一監(jiān)管和控制，并且及時告警處理異常信息，結(jié)合集控中心分析判斷過程，維持多平臺作業(yè)的綜合質(zhì)量，并提升信息管理的基本水平，也能及時預(yù)測和分析故障原因，建立針對性較好的控制機制，真正意義上推動電力系統(tǒng)信息通信網(wǎng)絡(luò)安全防護(hù)工作的全面進(jìn)步[9]。此外，要定期檢查和管理通信機房中的設(shè)備及線路，保證防雷接地等基礎(chǔ)操作環(huán)節(jié)的有序性，重視用戶權(quán)限、機房環(huán)境以及電磁干擾傳導(dǎo)路徑防護(hù)等細(xì)節(jié)，確保時效性管控工作的綜合效果符合預(yù)期，真正建立合理且可靠的監(jiān)督監(jiān)管模式，弱化電磁干擾，為電力系統(tǒng)信息通信網(wǎng)絡(luò)安全防護(hù)水平的進(jìn)步奠定堅實基礎(chǔ)[10]。

4 結(jié) 論

電力系統(tǒng)的覆蓋面積在不斷增大，為了建立健全完善且合理的信息化管控方案，要重視通信網(wǎng)絡(luò)安全防護(hù)工作，整合計算機技術(shù)和系統(tǒng)安全建設(shè)流程的基礎(chǔ)上，保證工作細(xì)則得以落實，真正實現(xiàn)綜合發(fā)展多向監(jiān)管的目標(biāo)，為電力企業(yè)經(jīng)濟(jì)效益、管理效益以及社會效益的共贏奠定堅實基礎(chǔ)。