探究電力監控系統網絡安全加固技術

唐朝蓉

（國網莆田供電公司，福建 莆田 351100）

眾所周知，隨著經濟的發展，我國的電力需求也在不斷地增長，保障電網安全一直是電力企業工作的重中之重。而電力監控系統能否安全運行與電網安全密切相關，經過認真分析和了解后發現，計算機網絡內部的威脅、計算機病毒、拒絕服務攻擊、黑客攻擊等構成了電力監控系統的主要安全威脅，常常會導致數據被刪除、篡改、程序運行錯誤或者死機，更甚者，將導致敏感信息的泄露、系統被非法訪問，從而威脅和影響電力系統的穩定運行，所以電力監控系統網絡安全工作人員需要思考如何加大電力監控系統安全防護力度，從而進一步提高電力監控系統運行的穩定性和安全性。基于此，本文主要對電力監控系統網絡安全加固技術展開深入的探討。

1 網絡安全加固技術分析

1.1 網絡安全加固技術含義

隨著社會信息化水平的提高，在企業生產、管理等多個領域中，信息系統越來越得到廣泛的應用，其在提高企業運營效率等多個方面發揮了至關重要的作用。計算機軟件、硬件與網絡構成信息系統，但經常由于軟、硬件自身存在漏洞、信息系統開發與部署中存在問題等，所以導致系統會頻繁出現某些問題，增加網絡安全風險出現的可能與概率，企業內部重要的信息也隨時都有泄露的可能。通過應用網絡安全加固技術，是保證信息系統網絡安全最直接有效的方法與手段。網絡安全加固技術將自己的作用全部發揮出來后，可以針對信息系統主要結構、軟、硬件漏洞等各種情況，再結合企業發展的實際情況，從而進一步提高信息系統抵御安全風險的實際能力。

1.2 電力監控系統網絡安全加固特點

電力行業在發展過程中，電力監控系統當中所包含的軟件、硬件設備可能存在老舊等各種情況，當工作人員針對這樣的情況進行網絡常規安全加固時，經常出現無法獲得成功等問題，甚至還會導致系統出現宕機的可能。因此，在對電力監控系統的加固時，需要在通用加固技術基礎上進行適當的剪裁。正式實施前，還需進行分析和研究，進行兼容性判定，嚴格按照相關標準進行落實，加固完成后，需做好相關的監測工作，判斷加固后電力監控系統業務是否受到影響。電力監控系統加固需要保證有極強的穩定性與安全性。

2 電力監控系統網絡安全管理情況分析

隨著關鍵系統越來越多越多地與互聯網連接，網絡攻擊對物理基礎設施的風險和影響也在增長，全國聯網的需要使電力監控系統所面臨的網絡安全危機極大，一些不法分子通過網絡，盜取電力系統中有價值、有意義的信息，甚至破壞電網安全，實現了“網絡-物理攻擊”，從而為自己謀取更多利益。國內外受網絡攻擊影響頻繁發生的大停電事故引起了電力企業對網絡安全防護管理的關注與重視。近年來，電力行業逐漸建立起了分級負責責任制的電力監控系統安全防護工作機制，規范了各單位電力監控系統安全防護管理要求，同時電力調度機構也建立了網絡安全的專職機構與隊伍，因為電力監控系統網絡安全管理工作與技術防護措施同樣重要。

2.1 電力監控系統網絡安全管理水平問題

部分電力企業尤其是中小規模電廠和用戶，目前為止仍未配備專職的電力監控系統網絡安全工作人員或管理人員，常由其他崗位工作人員兼任，工作人員缺乏豐富工作經驗，也并未有更多的實踐經驗。雖然現階段有一些電力企業在發展過程中，按照國家或者上級主管部門要求，配備必要的網絡安全軟件與硬件設備，這些軟、硬件設備都具有先進性的特點，在提高電力監控系統網絡安全防護水平發揮出重要的作用，但是，企業領導層機構對網絡安全重要性認識不夠、重視程度不足，忽略網絡安全運維工作人員的崗位培訓，所以造成他們的綜合素養與工作能力發生良莠不齊情況。

2.2 部分電力監控系統網絡安全作業缺乏規范性

電力監控系統網絡安全現場作業是否規范非常關鍵，也是電力監控系統網絡管理過程中的重要環節。現階段，我國電力行業中的電力監控系統網絡安全管理工作還存在較多的問題，安全防護設備策略未根據實際業務需要進行最小化配置，設備安全加固工作做得不到位，安全防護設備缺失等。另外，一些電力企業管理部門沒針對現場負責調試的技術人員進行嚴格管理，所以時常發生非法外聯的情況，導致系統內部數據出現被攻擊或者是泄露等嚴重問題。各電力企業需要對網絡安全加固技術加強關注，并且科學應用，以主動、積極的態度，針對相關技術人員進行科學管理，不斷完善相關的管理制度與方法，從而進一步規范電力監控系統網絡安全作業。

2.3 傳統、落后的安全防護設備管理方式

在電力監控系統正常運行過程中，要想將電力監控系統安防設備的功能、價值全面發揮出來，那么就需要安排專業工作人員，對安防設備進行規范配置，并且進行科學管理。但是，真實的情況卻不盡如此，據了解，在部分電力企業，電力監控系統安全防護設備存在管理方式落后、安全防護設備隨意擺放甚至形同虛設等各種問題。

2.4 供應鏈安全威脅日益突出

電力監控系統是基于計算機及網絡技術的業務系統及智能設備，已經成為典型的信息通信技術供應鏈的重要組成部分，除了傳統供應鏈的生產、集成、倉儲、交付等供應階段，還包括產品服務的設計開發階段和售后運維階段，涵蓋電力監控系統產品和服務的全生命周期。電力監控系統供應鏈面臨的安全威脅存在于產品的開發、供應和運維階段，比如，供應中斷、假冒偽劣產品進入電力監控系統、敏感信息如加密算法、加密芯片被泄露、供方違規收集和使用用戶數據、非法遠程控制等違規操作，以及在設計、開發、采購、生產、倉儲、物流、銷售、維護等任一環節，對電力監控系統產品或上游組件進行惡意篡改、替換和植入等，以嵌入包含惡意程序的軟件或者硬件。電力監控系統供應鏈安全設計范圍廣，影響因素眾多，如何建立完善的、成熟的防護體系，是電力企業今后仍需思考的工作方向。

3 電力監控系統網絡安全加固防護技術分析

3.1 夯實電力監控系統本體防護基礎

將安全加固真正落實到實處，是電力監控系統網絡安全工作中非常重要的內容，可有效提高系統抵御安全風險的能力。電力企業應強化對操作系統、數據庫和業務應用全加固，按照相關加固手冊逐項做好加固配置，并嚴格主機物理接口使用，關閉無用端口和服務。加強漏洞排查與治理，及時消除漏洞安全風險，更新安全防護設備的特征庫、病毒庫、漏洞庫等。電網控制功能嚴格應用調度數字證書進行身份認證，杜絕明文通信、高風險端口開放、弱口令等現象。

3.2 筑牢電力監控系統網絡空間邊界

電力監控系統應遵循“安全分區、網絡專用、橫向隔離、縱向認證”方針，嚴格橫向隔離裝置、縱向加密認證裝置、防火墻等邊界安防裝備的安全防護策略，確保訪問控制策略按照白名單、最小化原則開放。縱向加密認證裝置部署于生產控制大區與廣域網的縱向聯接處，可以實現雙向身份認證、數據加密和訪問控制，保證電力監控系統的安全性，即使受到外界因素所帶來的影響，也可以降低信息被盜取的可能性。電力系統中包含專門的加密算法，相關的加密設置以及解密都需要完全按照國家所制定的相關規定進行操作，保證電力監控數據和信息更加準確和真實。電力監控系統生產控制大區應當部署安全可靠的硬件防火墻，防火墻的功能、性能和電磁兼容性應經過國家相關部門檢測認證。防火墻部署于安全Ⅰ區和安全Ⅱ區之間，可以實現不同安全區域之間的邏輯隔離、報文過濾的訪問控制等功能。電力專用橫向隔離裝置用于生產控制大區與管理信息大區之間數據通信的強隔離，分為正向型和反向型，正向安全隔離裝置用于生產控制大區到管理信息大區的非網絡方式的單向數據傳輸。而反向安全隔離裝置則是用于從管理信息大區到生產控制大區的非網絡方式的單向數據傳輸，是管理信息大區到生產控制大區的唯一數據傳輸途徑。橫向隔離裝置、縱向加密認證裝置、防火墻作為電力監控系統安全邊界最基本也是最重要的安全防護設備，必須保證其安全策略按照實際業務需求開啟最小化白名單策略，白名單之外的應拒絕訪問，禁止開放大明通策略，確保邊界防護的有效性。另外，應做好網絡末梢安全管控，堅決杜絕網絡違規外聯，加強網廠交互平臺、無線安全接入區安全防護措施，全面強化網絡安全邊界。

3.3 嚴格管控供應鏈渠道，強化供應鏈安全

針對前文提出的供應鏈安全問題，電力企業可以通過擴大備品備件儲備，短期內可應對技術封鎖，更重要的是要推進國產化替代，長遠解決芯片卡脖子問題，防止供應中斷的風險；針對專用安全防護設備，從技術和管理兩方面入手，對設備全壽命周期開展全過程安全管控，細化各環節安全保密措施，提升設備可追溯性和防篡改、防竊取能力，與設備供應商簽署保密協議，實施終身負責制，以杜絕信息泄露、違規操作等風險；此外，應規范電力監控系統各種軟件版本管理，建立軟件版本管控系統，收集過檢產品軟件版本信息，運行單位應通過離線校驗和在線校驗兩種方式實現對被測系統或設備軟件的軟件版本合法性校驗，升級軟件或安裝補丁前，做好相關版本確認和安全測試，保證送檢版本和應用版本的一致性，避免電力監控系統軟件被惡意篡改。

3.4 提高政治站位，強化網絡安全意識

電力企業應充分認識到網絡安全的重要性，重視電力監控系統網絡安全工作的經費投入，納入年度預算。企業應成立電力監控系統網絡安全工作領導機構，配備專職網絡安全管理人員和運維人員，針對這些人員定期開展專業培訓，培訓應注重理論與實踐相結合，從而加深他們對培訓內容的理解和記憶，提高他們的素養與工作能力。在培訓期間，還需要為工作人員營造出良好的氛圍與環境，制定出更加完善的激勵措施，即對于在工作中表現良好的人員，可以給予口頭、物質、金錢等獎勵；而對于那些出現敷衍、馬虎態度的人員，則需要按照相關的規定對其進行處罰。

此外，在新時期的背景下，重多的新工藝、新技術、新材料應運而生，出現在人們的面前。電力監控系統網絡安全防護技術也在緊緊跟隨時代發展的腳步，不斷更新與變化。因此，對工作人員提出諸多的要求，工作人員需要在日常的工作中，不斷進行經驗總結和認真學習，從而滿足崗位發展過程中對自己所提出來的要求。在電力監控系統網絡安全防護技術使用的過程中，技術工作人員需結合企業的真實情況，構建出完善的系統網絡安全防護平臺，大幅度提高電力系統網絡安全防護的質量和水平。

再者，要強化各級電力監控系統工作人員網絡安全意識，要做好信息交互保密措施，落實安全保密工作要求，加強工作人員保密教育，簽訂保密協議，強化保密意識，明確保密責任，確保電力監控系統相關安全防護方案、系統結構等涉密資料安全，嚴防泄密事件的發生。

3.5 全面推廣基于可信計算技術的可信驗證模塊部署

《國家能源局關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》（國能安全〔2015〕36 號）對基因安全進行了關注，提出生產控制大區具備控制功能的系統應當逐步推廣應用以密碼硬件為核心的可信計算技術。據悉，供電企業已開始在關鍵服務器上可信驗證模塊的試點部署工作，對通用計算部件，包括通用硬件和固件、操作系統、應用軟件及服務進行度量和控制，確保這些計算部件不會受到惡意篡改，從根源上建立對惡意代碼攻擊的防御機制，從而確保整個計算環境的可信。下一步，應擴大部署范圍，從而保證整個電力監控系統的計算環境可信。

3.6 提高網絡安全監測及應急處置能力

各個單位都需要針對網絡安全監測以及應急管理工作加強關注，并且加強對相關工作的管控力度，及時探測感知電力監控系統網絡安全風險，使用新型的技術，探索建立電力監控系統網絡安全管理平臺全景感知防御體系，規范應急處置流程，早發現、早阻斷、早處置，確保將安全風險隔離在最小范圍內。

4 結語

總之，通過對電力監控系統網絡安全加固進行認真的分析，發現其具有動態性特點，系統與多方面都有緊密的聯系，需要保證穩定與安全的平衡，以循序漸進的方式向前發展和推進。現如今，電力領域在實際發展過程中，網絡安全問題時有發生，系統的網絡安全加固是特別重要工作，需要將技術與管理進行充分融合，在二者相輔相成中，保證網絡更加的安全。另外，企業要想在新時期下獲得更好的發展，就必須對電力監控系統網絡安全監測技術加強關注與重視，安排專業工作人員，參與網絡安全防護運行系統構建過程，并且制定出更加完善的網絡安全監測控制體系，保證電力監控系統安全穩定地運行。