分析安全隔離技術運用在電力信息網絡安全防護中的效果

摘要：隨著國民生活質量的增長，社會公眾開始對與日常生活息息相關的電力信息網絡安全管理提出了更多、更嚴格的要求。結合現有的電力信息網絡安全防護現狀來看，存在較多的不足之處，影響電力信息網絡總體安全性。為此，本次研究著重分析了安全隔離技術在電力信息網絡安全防護中的應用，并探討了具體的應用效果，旨在為相關人員提供參考。

關鍵詞：安全隔離技術；電力信息；網絡安全；防護；效果

信息技術的不斷發展進步，有效推進了電力工業未來面向更加信息化的方向進步，同時也為電力系統信息工程的建設與發展發揮了重要助推作用。雖然電力系統構建為國民生產生活帶來了便利，但是隨著時間的累積，也開始出現越來越多的網絡安全問題，從而誘發各類信息系統安全風險，導致電力信息安全遭受威脅。鑒于此，本次結合安全隔離技術進行防護效果分析具有重要意義。

一、電力信息網的安全狀況

電力企業的經營發展中，安全管理工作很大程度需要依賴于信息技術、網絡技術以及科學技術水平的提升。但同時，伴隨著信息技術的不斷發展進步，電力系統運行期間的信息安全管理問題也隨之日益突出起來，甚至由于信息系統所爆發的安全問題，已經嚴重影響了國家電力安全建設水平提升[1]。結合電力企業當前的網絡信息安全管理現狀進行分析，可以發現以下內容：

其一，電力信息網絡在結構構成上，相對更為復雜，因此在數據量統計工作任務完成方面壓力比較大，基本承載電力企業全部業務信息，包括電力的營銷、交易等，一旦發生信息安全問題，影響企業經濟效益的同時，還會直接對社會發展穩定性構成威脅。

其二，電力企業經營管理中，所有的網絡信息接收和發布，均需要依賴于互聯網的支持，一旦發生黑客突然攻擊事件或是非法入侵事件，就會直接影響到電力系統內部數據安全以及電力調度管理成效。

其三，部分電力企業在進行信息管理時，對于重要信息乃至機密信息的保護意識仍然有較大的提升空間，且信息管理過于依賴集成化管理模式，導致數據庫安全管控強度存在不一致的情況，最終影響電力信息安全防護效果。

二、安全隔離技術在電力信息網絡安全防護中的應用

（一）硬件防護技術

本次電力信息網絡安全防護過程中，應用安全隔離技術開展防護工作時，采用了如圖1所示的隔離設備完成，主要以虛線框部位為主，隔離硬件組成包含兩個接口計算機，且為計算機配置了中軟Linux操作系統，將安全等級提升至B1級別，并將所有的常規性網絡功能全部剔除掉，以此提升研究的針對性[2]。兩個接口計算機在功能上，主要用于去完成計算機實時、信息兩個系統的接口安全管理工作，其中，接口計算機A的信息網絡中需要設置網絡結點，本次為1個，接口計算機B的信息網絡設置同上，在A與B連接時，選用高速數據總線完成連接，包括通用串行總線口（USB）以及雙端口（RAM）等，目的在于全面確保物理層中的網絡數據傳輸安全。上述物理層安全隔離工作的開展，也明顯將對接口計算機的安全成效提升。

（二）軟件防護技術

進行電力信息網絡安全防護處理時，除需要做好安全隔離硬件防護工作以外，在軟件防護方面也不可忽視，本次研究中結合圖2中的內容展開防護分析工作。軟件配置中，分別配置了2個接口計算機，且計算中還相應地配置了訪問控制、綜合過濾、應用代理模塊等，上述配置下，所有來源于非實時網絡的數據信息（報文）均需要外網側的接口計算機來對其進行過濾處理，且當數據信息傳輸符合安全規則之時，即要求數據信息順利通過合法的MAC/IP地址以及端口的安全過濾之后，才能按照程序連接到訪問控制模塊中完成對應的處理工作。安全隔離軟件技術應用中，訪問控制也可充分應用安全認證技術，將部分不合法的連接需求和申請全部截斷，例如在數據申請傳輸時，唯有其通過由內網面向外網的連接請求審核之后，才能實現數據傳輸目標。當已經建立起合法的連接程序之后，應該結合數據傳輸的具體安全需求，去分別接入不同安全等級的網關服務代理，并借此達成應用協議級的安全控制目標，例如在數據送出處理時，只能且唯一的送出通道就是實時網絡（內網側），且外網側不得面向內網側去輸入數據信息，此項軟件安全隔離設計目的，主要是為了保障所有的數據傳輸流均是由內網側面向外網側傳輸，且以單向數據傳輸流為主。

另外，在內、外網側的接口計算機安全隔離處理時，應該結合非標準通信接口的數據要求去配置更契合電力信息傳輸需求的交換程序，隨后按照自定義交換協議的各項要求，順利完成數據雙方的信息傳輸和轉發。經過上述一系列的數據傳輸安全隔離處理之后，數據出現傳輸請求時，就必須從外網側面向內網側完成傳輸和控制，且均需要經過多層控制，在此過程中，內網、外網的主機之間，不會形成直接通信渠道，且數據在轉發時，也主要采用非標準的協議完成。綜合本次研究中所使用安全隔離軟件技術來講，初步達成了鏈路層、網絡層以及應用層三方之間的安全隔離目標，以此為電力信息安全的防護成效提升起到促進作用。

三、安全隔離技術在電力信息網絡安全防護中的實現

（一）代理服務實現

電力信息網絡安全防護工作開展過程中，安全隔離技術應用時，必須做好其技術實現的相關管理工作，才能進一步提升信息安全的防護成效，而做好代理服務的實現管理就顯得至關重要。本次安全隔離技術應用中，主要通過對代理服務器充分與外網側之間所構建的有效應用連接，來達成內網信息傳遞和運輸的安全效果，究其原因，主要是由于安全隔離技術應用下，將電力信息的內網系統隔離為一類獨立存在且呈封閉狀態的網絡環境。具體而言，在實現代理服務的過程中，應該充分做好以下工作內容：

其一，應用代理服務完成安全隔離管理工作時，不僅可以發揮安全控制功能，還能夠同步為CACHE功能的運行效率提升起到促進作用，促使網絡安全響應速度得到提升。

其二，在代理服務器的日志統計后，主要是為電力信息網絡安全管理員提供必要的、延伸類型的管理信息，以此促進代理服務的安全隔離管理效果提升。

其三，本次研究中，所選用的代理服務器包括但不限于HTTP、FTP兩種，還專項為提升安全隔離技術應用成效，配置了幾種電力行業內專用的通信協議代理，主要為IEC TASE、DL476-92等。

（二）綜合過濾實現

常規性的網絡信息傳遞過程中，包過濾功能的運行，是所有網絡數據成功、安全傳輸的基礎性支持技術，在此過程中，安全過濾功能會將數據IP包之內的所有信息截獲，并逐步分析每一個IP之中的數據信息源地址、目的地址以及端口號等，唯有IP數據包之中的所有網絡數據信息均通過安全系統綜合查驗之后，才能通過“過濾網”，并在過濾邏輯支持下，完成各類IP數據包的傳遞和傳播。對于過濾安全審查中不滿足各類安全需求的IP數據包，將會被安全系統拋棄，隔離在傳輸范圍外。進行安全隔離防護處理期間，需要將三條規則鏈內置于Linux內核之中，規則鏈分別是接收安全檢測規則鏈（input chain）、轉發安全檢測規則鏈（forward chain）以及發送安全檢測規則鏈（output chain）這三種，不同的規則鏈運行之時，所對應的運行函數分別是接收安全檢測規則鏈[p_rcv（ ）]、轉發安全檢測規則鏈[ip_forward（ ）]以及發送安全檢測規則鏈[ip_output（ ）]這三種，但需要重點注意，不同的安全檢測規則鏈運行之時，會執行缺省策略。另外，借助對不同規則鏈的命令和處理，包括輸入、轉發、輸出等流程，均需要對其往復傳遞的數據包進行安全過濾。

（三）非網絡接口的數據交換

本次研究中，著重對Linux之內的USB驅動程序做好安全隔離防護應用工作，并在此過程中高度利用自定義模式的交換協議，推進雙機之間的數據安全傳輸工作，主要將解決方案應用于兩方面，首先是電力信息數據傳輸帶寬提升方面，其間，替換掉傳統的一問一答式安全機制完成數據傳輸處理，而是更新為“窗口機制”，要求完成4個報文后等待1個應答報文，以此促使信息數據的交換速率提升至限速標準[3]。其次，需要解決掉多路重復利用的問題。具體而言，進行非網絡接口的數據交換處理時，需要重點做好如下安全隔離防護處理工作：

其一，為了找出多路復用問題解決方案，避免電力信息系統傳輸遭受安全風險威脅，同時也為了提升代理服務水平，需要將代理進程與內、外兩個網側的守護進程做數據交換處理，主要借助數據傳輸管道來完成。當此過程中出現新客戶端登錄狀況時，安全防護系統會直接將其進程與外網側的守護進程之間建立起關聯性，并由守護進程派生子進程，用以完成新客戶端進程的數據傳輸安全檢測和處理工作。與此同時，外網側守護進程運行中，還會獲取到派生子進程的pid數值，并將其以參數的功能下發給本地數據傳輸進程，而本地將派生的子進程pid數值存儲之后，才會將該數值傳遞至對方系統的數據傳輸進程，對方系統接收到該pid值時，則會將該值傳遞至內網側守護進程，以此完成安全防護目的。

其二，所有電力信息數據傳遞的過程中，所涉及的PID數值都是唯一的，因此當系統運行中發送或是接收PID數值后，可以在信息封裝的基礎上將其直接賦值于某一個數據位之上，隨后再對信息之中的PID值做判斷分析，結合分析結果將其發送至內網側守護進程所派生的子進程之中，以此提升電力信息整個傳輸過程的安全隔離防護質量。

四、安全隔離技術運用在電力信息網絡安全防護中的效果測試

（一）平均傳輸延遲

電力信息網絡安全防護及管理工作，想要全面凸顯出安全隔離技術的應用效果，就必須針對隔離技術的效果做好測試工作，當進行平均傳輸延遲測試時，需要先行了解傳輸延遲的定義，其主要是指數據分組之下，最后一位從源結點，直至將信息傳輸到目的點之間所需要經歷的時間長度，整個傳輸過程，均需要依賴于網絡來完成。本次研究中，主要針對安全隔離技術支持下的兩種延遲進行了效果測試，分別是直接連接時的延遲效果測試和代理服務下的延遲效果測試，具體測試結果如圖2所示。

（二）吞吐率

吞吐量主要是指，在網絡傳輸數據時，針對傳輸能力加以度量的一項數據統計方式，同時也用于指代單位時間內網絡傳輸時的總體通信量。本次研究中將吞吐率主要劃分為兩種，分別是總吞吐率和凈吞吐率。其中，總吞吐率是指固定的單位時間之內，所有通過網絡完成信息傳輸的數據量；凈吞吐率是指固定的單位時間內通過網絡完成用戶信息傳輸的數據量。進行吞吐率的測量和評價時，最為直觀、便捷的方法，就是將端到端的用戶吞吐量計算出來，隨后用計算結果去處于整個傳輸過程的數據傳送時間，具體的計算公式如下：

" " " " " " " " （1）

公式中，M指代的是信息傳輸的吞吐量，T指代的是數據完成全程傳送的總體時間，本次研究中T主要用于指代信息傳遞的延遲時間，具體的信息傳遞吞吐率示意圖如圖3所示。

結合上述圖2、圖3中的內容進行分析可以發現，以太網直接連接和通過隔離設備連接時的端到端傳輸延遲和有效吞吐量的比較。通過測試和分析能夠發現，在傳輸電力信息數據規格在4k以內的信息時，以太網直接連接下與隔離設備應用連接下，其傳輸的延遲性和吞吐率處理上，為各方面相對等的測試結果。但是，常規情況下電力實時控制網絡的數據傳輸尺寸往往低于4k，由此可見，應用網絡安全隔離技術完成電力數據信息的管理工作，高度有利于電力信息安全管理成效提升。

五、結束語

綜上所述，網絡安全管理工作本身，屬于一類十分復雜的問題，且問題主要集中在技術更新層面。網絡安全隔離技術作為一類能夠達成實時管控網絡安全的技術手段，在電力信息安全防護方面發揮了極大的作用。一方面，需要做好硬件隔離的安全技術應用工作，促使管理工作質量隨之得以提升。另一方面，則主要集中在軟件隔離技術應用方面，以此實現應用配置、系統管理等多個層面的安全防護成效，最終促進電力信息安全管理水平隨之得到提升。

作者單位：謝光南 長春市德普信息技術有限公司

參" 考" 文" 獻

[1] 房亮. 安全隔離技術在電力信息網絡安全防護中的應用[J]. 網絡安全技術與應用，2021（05）：132-133.

[2] 潘丹，謝靜怡，劉宇軒，等.安全隔離技術在電力信息網絡安全防護中的應用[J]. 絲路視野，2021（15）：118-119.

[3] 羅靖，毛源睿. 安全隔離技術在電力監控系統網絡安全防護中的應用[J]. 電力系統裝備，2021（24）：126-127.

謝光南（1982.08-），男，漢族，吉林長春，本科，中級工程師，研究方向：網絡安全，信息安全，網絡安全法相關 國家網絡安全相關標準。