姚旭 魏东 王钢

（1、内蒙古工业大学信息工程学院，内蒙古 呼和浩特010080 2、内蒙古电力科学研究院热控所，内蒙古 呼和浩特010020)

电力二次系统是指由各级电力监控系统、调度数据网络(SPDnet)、电力数据通信网络(SPTnet)、各级电网管理信息系统(MIS)、电厂管理信息系统及电力通信系统等构成的复杂系统[1-2]。电力二次系统的安全防护是电力系统安全平稳运行的基本条件，当下因网络安全问题引发的网络袭击而导致供电事故的案列屡见不鲜，例如：2015 年乌克兰发生停电事故主要原因是电力系统遭受到恶意代码攻击导致当地停电的事故。我国近几年虽然没有发生由于网络安全问题导致较大范围的停电，但电力二次系统的网络安全问题已然是一个值得关注的问题。本文分析了目前电力二次系统存在的安全风险和目前使用的网络防护技术和设备，为今后电力二次系统安全防护的研究和发展提供信息资料支持。

1 电力二次系统目前存在的风险

由于电力二次系统在电力系统中处于非常重要的地位，目前电力二次系统存在面临的安全风险主要包括旁路控制、破坏完整性、违反授权、工作人员管理或操作有误、信息泄漏、非法使用、拦截、篡改、欺骗、伪装、拒绝服务、窃听等[4]；主要由以下原因引起：①电力系统及业务更新，但网络防护设备和技术并未相应跟上；②目前防御仍以被动防御为主，不能在发生之前检测并阻止；③加密及认证机制、预警机制、漏洞扫描等技术不完善；④病毒库更新方式不科学且效率低，缺乏实时性、主动性；⑤安全防护目标、策略和体系不健全，安全管理各项制度政策不完善；⑥分区后的各区之间对数据进行统一管理困难[4]。

2 电力二次系统安全防护总体方案

2.1 电力二次系统安全防护策略

根据2004 国家电力监管委员会第5 号令《电力二次系统安全防护规定》。安全防护原则为“安全分区、网络专用、横向隔离、纵向认证”[1]。按照规定进行部署，电力二次系统安全防护方案的整体架构如图1 所示。

2.2 电力二次系统安全防护主要设备

2.2.1 交换机。电力二次系统安防策略中规定了安全分区的原则，而交换机主要用于各区业务划分、业务接入以及ACL 访问控制。交换机一般工作在OSI 模型数据链路层上，其中三层交换机，结合了二层交换机和三层路由技术，克服了传统路由器的不足。在对VLAN 的划分上有效的保证了网络效能。2.2.2 路由器。路由器就是根据路由表来转发分组数据的网络设备，路由器主要实现数据信息的转发与交换。路由器的主要功能是转发数据包和选择最佳的转发路径，此外路由器还具有流量控制、网络管理和访问控制等功能。2.2.3 防火墙。防火墙根据特定的规则，允许或限制数据通过。其基本功能在于隔离网络，硬件防火墙还具有负载均衡、网络地址转换、虚拟专用网和身份认证等功能。在上述的规则中，防火墙可以对两个网络之间进行流量监控，仅让那些通过审核的、安全的信息 进入或流出内部网络等。2.2.4 横向隔离装置。横向隔离装置主要采用双机加存储器的结构，即内部处理机、存储器和外部处理机。由于内外部处理机和外部处理机不能同时对存储器进行读写操作，这样内外两个网络就相当于是相互隔离的，从而达到物理隔离安全级别。按照数据的通信方向，电力二次系统横向隔离装置分为正向型和反向型[1]。2.2.5 纵向加密认证装置。纵向加密认证装置指采用认证、加密、访问控制等技术实现数据的远方安全传输以及纵向边界安全防护[1]。其实现原理主要基于加密技术和身份认证技术[1]。

2.3 等级保护业务安全防护体系

2019 年5 月10 日发布了《信息安全技术 网络安全等级保护基本要求》，等级保护2.0[3]详细规定了各级别对于网络防护的基本要求以及扩展要求。电力二次系统一般定位为第3 级或第4 级的安全要求。本文按照第4 级要求进行分析。2.3.1 安全物理环境：主要是对机房场地建设和机房内部物理设备的防护要求，还提出了对出入机房人员的控制以及其他物理突发事件的应急设备布置。电力二次系统涉及到的硬件设备存放地点都需要满足以上要求。2.3.2 安全通信网络：通信网络设备及使用性能可以满足其业务需求；在通信传输上面采用更安全的密码技术[5]。在密码算法方面，加大国产密码算法商密、普密、核密的算法研究。2.3.3 安全区域边界：电力二次系统安全分区的边界防护以及整个系统与外网的边界防护，目前主要采用主被动结合的方式来对系统网络进行防护。可以采用入侵检测以及入侵防御系统来对边界进行监控和阻止恶意代码攻击等。2.3.4 安全计算环境：主要是对系统内的数据以及工作流程来防范恶意代码攻击，文献[6]主要对等保2.0 下的安全计算环境中可信技术的主动防御安全方面进行了阐述。提出了在计算运行时实时动态的进行防控，及时识别异常情况，干预任何产生问题行为，目的是平稳有序的完成所有的系统任务[6]。主机安全免疫可信方案通过对系统的数据及流程进行分析找出置信区间，采用系统设定值对超出置信区间数值的任务作出响应，予以排查和阻止[6]。2.3.5 安全管理中心：实现安全机制统一集中管理，目前大部分采用安全态势感知平台、堡垒机等。2.3.6 安全管理制度：严格建立相应的制度，建立相应职位的责任条例。2.3.7 安全管理机构：完善部门机构，实现相互监督，制约管理。2.3.8 安全管理人员：对员工离职、入职的管理除了人事上的变动，更加注意系统内的使用，及时维护在职人员的权限、角色，匹配相应工作任务的功能。2.3.9 安全建设管理：对电力二次系统内使用的电力相关或无关的系统及设备进行定级和备案，采购设备严格按照相关规定执行。2.3.10 安全运维管理：对电力设备及系统后期的运维和管理。此部分还包括了应急预案以及变更管理等。

图1 电力二次系统安全防护方案

3 安全防护防御技术研究现状

3.1 被动防御技术

在传统的网络安全防御技术中，通常采用被动防御技术，主要通过分析以往系统产生的威胁来预先设计相关规则，对已有的攻击进行防御[7]。常用的被动防御技术有防火墙技术、身份认证技术、访问控制技术、入侵检测技术等。

3.2 主动防御技术

随着现代网络技术的不断发展，被动防御策略已经不能满足对网络安全的研究。主动防御主要任务就是在入侵行为发生之前或发生时，能够及时精准预警并采取相应的阻止措施[8]。为了更好的保证电力二次系统的网络安全，目前的防御手段采用主被动防御技术相结合。3.2.1 蜜罐技术。蜜罐系统是一个包含漏洞的诱骗系统[8]。蜜罐模拟真实系统，诱骗攻击者攻击，同时拖延攻击者对真正目标攻击，转移了攻击目标。文献[8]中介绍了目前使用蜜罐技术的一些产品，如Specter 是一种商业化的低交互蜜罐。文献[8]还提到了蜜网技术，该技术主要使用在蜜网工程（是最为著名的公开蜜罐项目）中，这个技术目前主要用于研究。3.2.2 入侵防御技术。入侵防御技术，主要功能是主动监视网络内的系统的各种活动，主动检测存在的攻击行为，如若发生攻击行为及时采取相应的阻断措施[8]。IPS 部署在内外网交界处以提高电力二次系统的主动安全防御能力。这样使电力二次系统内外网交互的安全防护程度得到有力保障。3.2.3 漏洞扫描技术。漏洞扫描是指基于漏洞数据库，通过扫描等手段进行检测，发现可利用的漏洞的一种安全检测行为。可以使用漏洞扫描工具，根据长期对漏洞分析形成的漏洞库进行匹配检测[8]。

结束语

对电力二次系统网络安全防护，需同时从软件、硬件、网络、基础装置等角度进行，才能够抵挡现在网络环境快速发展带来的隐患。本文分析了目前常用的防御策略及技术。目前已经将完全被动防御逐步改善为主被动相结合的防御方式，应积极发展主动防御技术，同时也要大力研究仿真技术。结合等保2.0 按照规定要求从物理环境、计算环境到人员管理等把握好每一个细节，提升电力信息系统的安全防护等级，更有效的防止因错误、防护不当或防御能力不强导致电力系统瘫痪、故障的事故。