如何做好電廠二次網絡安全隔離與管理

華潤電力（常熟）有限公司 陸 琳

隨著電力企業的不斷發展，在進行電力資源的生產與配置過程中，需通過二次網絡的調節管理更好地優化電廠服務，使高質量的電能資源能按照提前設計好的分流方式實現供應配給。在系統內二次網絡的運行與應用過程中必須重視安全防護問題，特別是對于一些利用網絡系統實現惡意攻擊和病毒入侵的問題中必須通過安全隔離的方式加強保護效果，使電廠電力資源生產與供電配給的核心信息能得到有效防護，避免出現數據竊取等影響電廠正常運轉的現象。

1 電廠企業中的二次網絡管理概述

黑客網絡攻擊。黑客攻擊是一種被動性的電廠企業二次網絡運行安全隱患，主要是指一些黑客通過計算機竊取的方式在網絡連接的過程當中獲取電廠企業生產運行的一些機要信息，對其決策發展與電力供應等產生了極大的安全威脅。在攻擊過程當很有可能會通過內外兩層網絡連接的形式實現多效攻擊，而一些常見防火墻與保護裝置等很難有效應對這種高技術的網絡信息竊取。一些黑客在盜用電廠企業運行參數后還會通過惡意修改方式影響電力生產設備的正常運轉，不僅造成了企業巨大經濟損失，還有可能會因設備參數間不匹配而造成不可逆安全隱患事故，是較為嚴重的一種網絡管理風險。

木馬病毒入侵。木馬病毒是通過一些非法鏈接的形式對電力企業二次網絡實現病毒植入的一種方式，特別是在網絡連接與移動連接過程中很容易通過一些搭載性的設備與線路實現病毒的轉移，也是一種較為常見的電力企業二次網絡攻擊現象。在木馬與蠕蟲等網絡病毒入侵二次網絡過程當中會造成大量電腦設備癱瘓故障，無法對電力系統中其他電器設備發出對應的操作命令，留存了較大的系統運行安全隱患問題。在木馬病毒影響下，一些后臺信息的端口鏈入很有可能會通過無限復制的方式被攻破，許多機要信息都會直接暴露在病毒前，一些病毒植入者會通過非法操作與遠程控制方式對電力企業的二次網絡系統實現猛烈攻擊。

2 電力企業的二次網絡區域設計與防護

網絡分區防護。在電力企業運轉過程中需不同的信息參數和工作部門協同配合才能完成穩定的電力資源輸出，意味著在進行二次網絡調試與運轉過程中須實現有效的分區設計才能提高整體防護效果，也能在出現惡意攻擊和病毒入侵情況下快速封鎖對應區塊，將企業的損失控制在最低限度內。在進行分區防護過程中，要利用較為科學的方式進行安全區域的關聯性處理，在這些區域內搭建有效連接通道的同時，通過不同的系統加密方法實現安全防護與封鎖隔離，確保在系統運行過程中只能有掌握密碼的安全管理人員才能實現統一的系統登錄與查驗，有效提升了區域隔離與防護效果。

橫向隔離防護。橫向隔離是指在二次網絡區域設計中實現橫向上的安全劃分，在每一個橫向模塊中利用防火墻實現有效保護，整體隔離的形式更為精確清晰。針對一般規模的電廠生產運行而言，在橫向隔離防護的應用過程中劃分3個區域即可，并在防火墻的連接過程中應用一些物理性的隔離裝置實現橫向網絡間的雙向信息交換隔離，有效保證了在不同網絡區域內信息流轉時的獨立性與安全性。橫向隔離防護在電力企業二次網絡設計中可提前通過系統改造的方式實現，需設計人員提前考慮到二次網絡循環的信息體量、隔離防護效果、信息保障需求等多維度的參數進行科學劃分處理，不斷優化網絡系統當中的橫向防護效果。

縱向認證防護。縱向的認證防護設計是和橫向隔離形成相對應的一種安全防護對策，在實踐應用過程中也有較好表現。在橫向認證系統中加強了在不同區塊劃分邊緣連接處的安全認證效用，即管理人員在使用安全密碼進行登陸時還需完成縱向的認證處理，只有通過雙重加密保護的賬號才能完成對應權限的電廠信息獲取，是一種更為有效且精密的二次網絡系統防護對策[1]。在縱向系統邊緣連接處也設置了對應的防火墻以更好地對抗潛在的病毒危機，在雙重保障的應用過程當中也能更好地和權限的分級隔離間形成有效銜接，在充分保障信息安全的基礎上使電廠內部二次網絡安全管理系統更加精確可靠。

3 電力企業二次網絡管理辦法分析

物理隔離設計。物理隔離的防護應用是從二次網絡的區域設計實行的一種有效防護對策，通過切斷內外網絡聯系的方式更好地維護了內部網絡運轉的高效與穩定，是一種能從根本上解決黑客攻擊和病毒入侵的防護手段[2]。在二次網絡運行過程中只能在電廠內部實現聯通與流轉，而互聯網則因人為處理的方式實現了切斷，有效確保了在互聯網平臺中一些存在的安全風險性能夠和電廠的二次網絡間形成有效隔離，也進一步保障了內部網絡中的一些客戶用電與電力生產信息的安全性。物理隔離系統的應用并不是只在電廠內完全不涉及互聯網的連接，而是指應用一種更加先進的技術手段介入到內網與外網之間，通過處理器雙向切換的方式有效實現了隔離防護。

分級授權管理。由于電力企業在經營發展的過程當中規模會逐漸擴大，而電力資源的生產也需多個技術工作崗位協同配合后才能有效完成。為切實保障二次網絡循環的安全性，需對工作人員的登錄權限做好分級授權。二次網絡中的分區需安全密碼才能登陸，而針對一些較為核心的電廠信息須要有管理層小范圍內掌握其安全密碼，做好集中性的保密預處理。管理人員在登錄對應的權限等級后只能查閱相關數據信息而不能實現后臺修改、復制等操作，這也是從系統設計方面根本杜絕了內部信息泄露的可能性，是目前大規模電廠企業內部管理中常用的一種工作模式，是一種從技術手段優化上切實實行的安全防護措施[3]。

網絡容災備份。在電廠運行過程中會受到設備壽命、自然環境等多方因素影響，特別是對一些突發性和不可預防性的災害須采用切實有效的緊急預案處理，對電廠二次網絡中的相關重要參數信息進行備份轉移，有效避免了信息損壞與丟失問題。在二次網絡協同中需建立電子化的信息數據庫，特別是對一些用戶與經營間的數據須開辟數據庫專用空間進行儲存，在進行容災備份時能快速利用已搭建好的傳輸線路實現高效復制，切實保障了對機要信息維護的有效性[4]。在一些電廠電氣設備運行故障突發情況下，可通過容災備份信息重載的方式對其進行修復處理，特別是對新更換設備零件，錄入運行參數后能更好地實現應用匹配、保證高效運轉。

移動存儲管理。移動存儲的管理過程中須做好對病毒的預防與查殺，特別是對一些移動存儲設備在接入到電廠內網系統時須進行嚴格檢驗后才能插入，否則會有一些攜帶性的病毒通過移動硬盤、U盤等進入到二次網絡中實現攻擊與竊取。在進行數據信息備份時，要注意對其機密等級進行合理判斷，只有符合可復制存儲要求的信息數據才能通過移動存儲設備進行轉移，而其他一些機密性的信息須應用系統防護的有效方式減少惡意攻擊和數據外流的可能性[5]。在一些安全隔離等級較高的空間區域內，移動存儲設備的使用也應受到一定的限制與要求，還有一些容易被忽略的光盤、媒體設備等也很容易存在病毒的搭載現象，須實行全面防護查殺以有力促進電廠二次網絡的運行安全。

系統安全審計。由于網絡技術的不斷更新與發展，電廠二次網絡管理的安全防護與隔離系統也需定期進行審計和升級，結合已有系統運行參數進行安全性能的評估、還有一些市面上已存在的攻擊病毒特點實現有效融合后提升系統的防護效力，使安全隔離系統能隨著計算機網絡的技術進行同向革新。在系統運維與檢修過程中須做好詳細信息備份與記錄，特別是對一些故障損壞性問題需通過資料備份方式實現有效記錄保留，便于在進行后續排查與工作移交時能保障完整性[6]。對一些已發生系統安全事件，需采用更加精細化的升級記錄方式將事件類型、經過與結果等予以妥善留存，并和對應的電廠二次網絡安全防護管理實現有效工作對接。

總之，在電力企業的二次網絡管理過程中，可應用一些物理性的隔離設計，通過切斷內外網絡聯系的方式有效維護電廠內部的管理安全性，避免了一些網絡病毒和黑客攻擊通過聯網方式影響二次網絡正常運轉。針對不同工作要求的人員在進行二次網絡登錄時要通過分級授權方式進行區分，特別是一些機要性信息須實現高度保密。在網絡中出現突發災害情況時須及時做好信息備份管理，利用平臺安全防護的方式快速實現信息的移交，做好安全防護的把關。