邓 涛

（国网湖南省电力有限公司郴州供电分公司，湖南 郴州 423000）

0 引 言

随着社会经济的发展，现代社会对电力的需求不断增大，这对供电公司的供电能力提出了更高要求。为提升电力网络的供电水平，电力公司在电力网络管理中引入信息技术，并开放了通信协议中的TCP/IP协议。这虽然提升了电力网络的通信效率，但是降低了电力网络的信息安全水平。信息安全风险因素不会直接对人员的生命健康造成威胁，但是会导致信息泄露或是设备损坏，从而造成较大的经济损失。现代电力系统的信息化水平明显提升，但规模巨大的电力网络也成为承受众多已知和未知技术攻击的载体，对电力系统的稳定性运行造成了巨大威胁。因此，需深入研究供电公司信息安全防护方案，进而提升电力网络的安全水平。

1 电力系统信息安全问题

1.1 外部因素

常见的外部因素是病毒攻击。病毒的隐蔽性强，破坏性大，其中网络病毒广泛存在于下载的文件和网络中心，并随着信息的传输实现指数级传播，如熊猫烧香和震网病毒等[1]。这些病毒有的会收集用户信息，破坏系统；有的会直接破坏计算机硬件，潜伏期难以被发现，清除也相当困难，对信息安全造成了很大威胁。对电力系统来说，最重要的是保证电力的稳定供应。一方面病毒会破坏电力系统，导致发生电力事故；另一方面是黑客的攻击，一般会侵入电力系统数据库拦截信息，主要目的是盗取网络信息从中牟利，过程中可能会破坏关键信息，影响电力系统的稳定性，甚至可能导致电力系统瘫痪。

1.2 内部因素

由于经营管理需要，电力企业内部不同系统部门之间信息共享。利用网络进行信息传输能够提升工作效率，但由于网络具有很大的开放性，使得不法分子盗取信息有机可乘，极大地威胁着电力企业的信息安全。电力企业内部的信息安全防护水平与网络技术的发展速度相比存在很大的滞后性，同时内部工作人员普遍缺乏信息安全防护意识，相关的信息安全管理制度也不完善，很多企业的信息安全防护系统都存在较大漏洞。这种漏洞既体现在技术层面也体现在管理层面，导致电力企业易遭受网络攻击，并且防护能力较差。

2 电力企业信息安全隐患分析

2.1 硬件较为落后

随着电力企业信息安全意识的加强，电力系统使用的办公电脑都安装了防护软件。这些防护软件一般是由省级电力公司统一部署，但是从实际安装情况看，很多企业安装的都是不能联网更新的单机版瑞星杀毒软件，每年都会出现大量新型病毒，而单机版的杀毒软件的防护能力有效。另外，很多单位还在使用Windows xp版本的系统，而微软公司已经停止了对该版本系统的更新维护，无法从系统层面保证信息安全。此外，电力企业很多内网终端没有安全防护软件，因此无法有效应对网络攻击。一旦发生黑客入侵或其他技术手段的攻击，将给电力企业带来巨大的经济损失。为保证信息安全，电力企业需建立完善的信息数据备份系统。但是，绝大部分电力企业没有重视信息备份，因此在遭受信息安全事故后，恢复生产变得相对困难。为提升电力网络性能，电力公司经常会上线一些新的网络设备，但在这些设备投入使用前并没有进行详细的信息安全检查。大部分厂商只负责安装调试，但不提供相应的安全服务，因此电力网络的安全防护能力较弱。此外，由于缺乏安全审计系统，一旦信息遭到攻击，对事件追溯将变得困难，一些日志信息遭受破坏很难恢复，因此难以根据信息攻击的特征进行有针对性的安全防护。

2.2 对信息安全没有引起重视

有关数据统计显示，全球每年因信息安全引发的损失超过千亿。近些年，国家越来越重视对信息安全的保护，出台了《网络安全法》，有效遏制打击了网络信息黑产，信息安全也被社会大众所关注。目前，大多数电力企业的信息安全意识有所提升，但由于缺乏专业的信息安全人员，导致企业信息安全防护能力不足。信息安全防护对专业性有很高要求，但企业的领导者不一定是该专业出身，所以导致对信息安全防护管理的认知水平较低。

3 供电公司信息安全防护方案

供电公司需要构筑全面的信息安全防护体系。评估现有的信息安全防护方案，可从技术层面检测企业的信息安全能力，根据安全评估的结果找出企业安全系统存在的漏洞，从而制定安全防护方案，从多个维度提升企业的信息安全水平。系统层面应正确配置防火墙，保证入侵检测系统能够发挥作用，建立有效的安全认证系统，有效提升企业信息安全防护水平。此外，建立安全分区，以提升电力网络的信息安全水平。专网专用保证网络设备不会遭受大规模的病毒感染，同时将横向隔离与纵向认证相结合。

3.1 安全分区

电力网络的规模较大，电力企业部门众多，增加了信息安全管理难度。建立安全分区一方面可以有效降低信息安全管理的难度，减少工作量，另一方面能提升网络的安全性，降低网络攻击造成的损失。对各类系统进行分类，划分不同的功能区，一般划分成生产控制区和信息管理区两个主要区域[2]。生产控制区控制生产类业务，如发电和传输等，对电力企业具有十分重要的意义。另外，生产控制区还可细分为控制一区（控制区）和控制二区（非控制区）。信息管理区是指不直接参与生产的系统，主要涉及企业日常管理环节，同样可以进行细分，但不能影响生产控制区的控制一区和控制二区。

3.2 网络专用

电力企业中，电力监控系统十分重要，需优先保证监控系统的安全性。监控系统一般单独架构，所使用的网络也是独立的。监控系统的网络也被称为调度数据网，可实现与其他电力网络在物理层面上的隔离。调度数据网划分为实时子网和非实时子网，分别实现对控制区和非控制区的信息传输，实现双向冗余。

3.3 横向隔离

电力监控系统属于生产控制区，在电力系统中具有十分关键的作用，同时也是容易受到网络攻击的系统。为了保证电力监控信息安全，有必要保证网络的独立性。因此，生产控制区与管理信息区需要物理隔离，使用独立的网络。在生产控制区与管理信息区之间设置专门的隔离装置，使得一个分区遭受网络攻击不会对另一个分区造成影响。

为进一步提升网络安全性，管理信息区与生产控制区的各个子系统也需要安全隔离（如图1所示），但隔离的级别低于生产控制区与信息管理区的隔离，只需进行逻辑隔离就能满足网络信息安全的需求，但需要在各个系统间布置访问控制设备，有效防止网络攻击的蔓延，常见的是网络防火墙安全设备。

3.4 纵向认证

图1 网络安全隔离策略

电力系统的信息安全防护一方面是防止网络攻击对电力系统的正常运行造成影响，另一方是防止电力系统的信息泄露[3]。防止重要的电力信息被黑客破译造成信息泄露，需要加大信息安全防护的力度，同时对信息进行加密，这样即使黑客获取了电力系统的信息也无法解读。想要实现这一点需要重点加强生产控制区的防护，在生产控制区和广域网的纵向连接处加强安全防护，尤其是需要对信息进行加密。同时，电力系统的信息传输体系中需要设置相应的加密装置，以保证加密的效果。

3.5 边界防护

以上措施是加强网络体系的内部信息安全，但仅仅对内部网络的安全防护等级进行加强是不够的，还需要提高网络边界的安全防护等级。边界防护是建立网络信息安全防护体系中最容易忽视的部分，易出现防护遗漏或防护不全面问题。边界防护要严格控制私自外联现象，如果发生私自外联现象，将会对网络安全防护体系造成很大的威胁。为防止私自外联现象的发生，可删除系统中无关的路由。边界防护需要加强人员的信息安全意识，监督检查私自外联现象，尽可能防止发生私自外联现象。

3.6 改变能源的供给方式

能源的供给方式对电力企业的信息安全有很大影响，可通过优化能源的供给方式提升信息安全的防护水平，而大数据技术可以在这方面发挥作用。从用户角度看，用户的用电行为受到很多因素影响。实际的能源供给中，一般采用微网分布式能源供给。另外，太阳能和风电在接入时需要与前端用户的用电行为结合，但实现低成本、高效率的能源供给很困难[4]。利用大数据技术可以分析用户的用电行为，优化能源的供给配置，统计电力网络中的异常现象，能对网络攻击起到预警作用，提升电力系统的信息安全防护水平。

3.7 完善信息安全管理制度

对供电公司来说，完善安全管理制度十分必要。首先，工作人员必须提高信息安全防护意识，防止日常工作中信息泄露。针对一些关键性部门和关键性资料，需要将信息备份，并将备份信息单独保存，提升电力网络的信息安全水平。其次，需要严格控制网络访问人员的资质，不同的工作职能给予不同的访问权限，定期备份数据库的内容，一旦发生意外，可以迅速恢复数据库信息。最后，加强对网络信息安全人才的引进和培养，有效提升供电公司的信息安全水平。

4 结 论

随着科技的发展，供电公司的信息化水平有了显著提高，但也带来了一定的信息安全问题，对电力网络安全性造成了很大威胁。因此，需要重视完善供电公司信息安全防护技术方案，不断提升企业的信息安全水平，保证供电网络的稳定性。