张 媛

（太原学院，山西 太原 030012）

0 引言

当前，计算机技术广泛应用于各个行业，提升了我国各行业的工作效率，也使我国步入了现代化发展的进程。电网企业为进一步提高供电的可靠性，提升企业效率以及服务能力，开始大力发展配网自动化技术，通过配电网（以下简称“配网”） 自动化系统来实现配网设备及系统的监控、控制以及故障处理，以提高配网运行的可靠性。但在配网自动化的实际运行中，配网自动化信息安全时常受到威胁，严重影响电力系统的安全可靠运行[1]，配网自动化网络信息安全有效防护技术的开发及应用刻不容缓。

1 配网自动化技术应用的优势

1.1 配网自动化系统的重要性

在电力供应过程中，各配网设备的运行状况受传统电力建设标准的限制，对配网变电站及线路设备的运行状况未能及时、全面掌握，电力维护及故障查找、处理的滞后性严重影响设备安全及供电可靠性，无法为用户带来良好的用电体验。为解决上述问题，提高供电的可靠性和工作效率，电网企业开始大力发展配网自动化技术，使电力供应更加安全、可靠，大大提高了用户的电力获得感。

1.2 建立配网自动化系统提高了电力部门工作效率

电力配网系统是电力部门的工作核心，采用配网自动化系统，可适时地监控各线路及变电站的运行负荷情况，依据各线路的负荷预测及优化配置，针对实际运行情况，及时调整各线路及地区的电力供应，从而更好地实现电力的灵活可靠调度，大大提高了配网运行的安全性及用户的电力供应可靠性，有效地避免了用电高峰期部分设备的超负荷运行风险以及部分线路供电不足的安全风险[2]。

2 配网自动化系统网络安全防护问题

2.1 网络环境对配网自动化系统网络安全的影响

当前，电力配网自动化运行需要依靠互联网进行工作，然而互联网又是一个相对开放的环境，这就使配网自动化系统的网络安全受到威胁。因为配网自动化系统的工作需要在网络中进行，所以一些不法分子就会利用网络的开放性对配网自动化系统的网络进行攻击，比如远程木马病毒攻击，这种攻击方式给系统网络带来的危害是长久的，虽然在前期工作过程中看不出任何端倪，但是当木马病毒掌握了一定数据后，就会对系统网络进行攻击，轻则使配网自动化系统重启，部分文件被木马病毒删除，重则就会导致系统瘫痪，无法正常工作，给电力部门以及配网自动化系统带来威胁，造成不可估量的经济损失。

2.2 网络物理防护欠缺带来的威胁

导致电力配网自动化系统网络出现安全风险的一个原因是系统网络物理防护机制的欠缺。电力配网管理系统是在网络上进行工作的，并且管理系统的验证方式也较落后，这就导致一些不法分子可以轻易地进入管理系统，对电力配网自动化系统进行破坏，甚至还可以随意修改系统数据，使电力配网自动化系统瘫痪，给电力部门的工作带来严重影响。因此，电力部门一定要重视网络物理防护机制的建立，避免不法分子通过管理系统对网络进行破坏[3]。

3 配网自动化网络安全防护技术

配网作为电力系统的重要组成部分经常会遭受到各种攻击，其中，分布式拒绝服务DDoS（distributed denial of service） 攻击和挑战黑洞CC（challenge collapsar） 攻击是最为常见的攻击方式[4]。最常见的DDoS 攻击有SYN 风暴和Smurf 攻击，DDoS 攻击会以极大的信息量冲击网络，网络中的带宽都被消耗殆尽，以及建立大量的“半连接”来冲击网络，使IP 地址之间不能正常连接；CC攻击则是攻击者控制主机发送大量数据包给对方服务器，造成服务器资源耗尽，无法进行正常的服务。因此，建立安全的配网局域网系统结构是保证电力配网系统安全运行的基础和根本。

3.1 建立Nginx+Zabbix 的框架结构管理

Nginx 反向代理及访问控制的配置充当反向代理的角色用于隐藏真实IP，并实现访问控制，抵抗CC 攻击。数据库同步与网络文件系统NFS（network file system） 备份，将数据库同步挂载、同步备份，并利用负载均衡可实现快速切换减少数据损失。Nginx 反向代理可用实现映射虚IP 及故障时快速切换服务以达到分布式系统高可用的性能。Zabbix 监控部署可实现实时流量监控。安全防护设备的部署及漏洞扫描设备部署实现安全防护及安全检查。本次安全架构主要以Nginx 反向代理Zabbix 实时监控两者结合使得这个系统充分实现隐藏服务器真实IP、访问控制及负载均衡的功能[5]，可抵挡大流量攻击时小流量窃取下载数据造成的服务器意外宕机。利用NFS 实现MariaDB 数据库远程挂载，在网站数据出现问题后可以快速有效地进行安全恢复。搭建最新的云锁、安全狗设备保护网站的安全性，同时定期使用最新的安全扫描器比如X-SCAN 和Super-Scan对服务器主机扫描和对Web 网站进行扫描以检查是否存在最新的漏洞，做到全面安全防护[6]。

3.2 建立以防火墙为核心的安全网络体系

防火墙作为最重要的网络安全防护设备起到了物理上的逻辑隔离作用，它是整个网络安全防护的第一道大门，但它也存在诸多不足，比如“防外不防内”，它认为内部网络值得信任，非常安全，但80%以上的攻击反而是来自于内部网络，因此在电力配网系统中建议选择分布式防火墙。分布式防火墙分为网络防火墙、主机防火墙、中心管理3 个部分，网络防火墙（传统防火墙）、主机防火墙用来解决来自内部的攻击，增强内部攻击的安全性，对桌面机以及移动便携主机进行保护，其管理中心采用分布技术进行安全策略的分发。管理中心统一对日志进行汇总和分析。防火墙也可以配合入侵检测系统对网络进行动态监护，比如BlackICE 和“冰之眼”都是不错的选择。入侵检测系统IDS（intrusion detection system） 检测到入侵后告诉防火墙在系统访问控制列表ACL（access control list） 表中加一条规则，阻止黑客入侵。防火墙也可以与反病毒软件联动安放在整个开放系统互联OSI（open system interconnection） 参考模型的数据链路层和网络层之间，从源头对IP数据包进行切断，还可以配合认证系统、审计系统，从而保证配网系统的全面安全。

数据加密机制对配网系统中数据包在不同局域网之间相互传输，保证电力数据在传输过程中的安全性也是极其重要的手段。可以采用Hash 加密中的数据加密标准DES（data encryption standard）算法进行64 位的Hash 加密，保证数据包传送过程中的安全，以及使用一些安全加密软件，使加密过程更加高效便捷。

3.3 提升网络物理防护措施

在配网自动化系统中，应在原有系统中建立安全接入区，由接入数据交换系统实现公网与主站的隔离；同时对终端的安全接入进行控制与数据过滤，通过安全接入网关对设备之间的通信以及参数进行签名，实现终端设备对应用层系统的身份鉴别与报文内容的保护。部署可信安全的接入网关——配网主站前置机，防止防护设备被劫持后，入侵前置机反控大量配电终端的问题。鉴于配网自动控制系统中终端的多样性，在网络安全防护的基础上，要提升网络物理防护机制。在登录管理系统中，同时设定管理员账号及动态登录密码，或建立生物登录系统，如面部认证登录、指纹识别登录等，这样不仅可以提升网络安全系数，而且有效避免了不法人员破解账号密码，攻击配网自动化系统的事故发生[7]。

3.4 串联加密认证设备

配网终端多，终端数据通信的方式存在差异性，且扩容性不强，针对配网终端实际运行情况，可通过通信过程串联终端加密认证设备，在配电终端多种通信方式、多厂家、多型号的终端通信系统中，利用终端加密认证设备，进行各通信方式的认证及安全屏蔽防护，特别在电力物联网新的自动控制需求下，采用上述技术措施，在感知层的配电终端和网络层之间串接加密认证设备，可更好地满足各类通信方式连接的配电终端下的电力供应自动化控制。

4 结束语

电力配网自动化作为电力供应、运行、控制的关键系统，关系到电力的稳定、安全、可靠供应，同时也关系到各地区用户的安全。因此，配网自动化一定要建立相应有效的系统网络安全防护机制，从而保证配网的稳定运行。与此同时，要结合设备、系统安全防护技术，不断优化网络设备、系统结构、网络防护方式，以提高配网自动化系统网络安全系数，从而推动配网自动化的安全、快速发展。