电力系统信息通信网络安全防护措施探讨
2022-11-22朱鑫泉张泽宇
朱鑫泉,张 艺,张泽宇
(1国网电科院检测认证技术有限公司 江苏 南京 211106)
(2网络安全与通信紫金山实验室 江苏 南京 211106)
(3安徽农业大学 安徽 合肥 230031)
0 引言
跟随时代发展节奏,电网建设蔓延至我国各地区,随着服务面积的扩大,电力系统网络通信的作用及重要性愈发凸显,特别是在信息时代背景中,数据安全受到的关注持续增加。信息化网络技术的应用,使电力系统信息通信更加便利与高效,全面提升了电力系统的运行水平及对客户的服务能力,但信息通信面对着诸多风险,为避免电力企业遭受损失,应当积极落实网络安全防护措施。
1 电力系统信息通信网络安全防护的意义
电力信息系统运行中会涉及许多数据链接,若遭受外部网络攻击或病毒入侵,将会导致信息传输异常,影响到电力系统的正常运行,并造成大量的关键数据丢失、被窃取,使电力企业遭受经济损失外,在市场上的口碑也大幅降低。特别是在社会经济高速发展,电力系统大面积覆盖的背景下,电力信息通信网络安全防护愈发重要[1]。
2 电力系统信息通信网络的特点与风险
在当前社会背景下,电能覆盖全国各地区,智能电网随此趋势迅速扩大,电力系统的维护与日常运行向着信息化靠拢,对通信网络的依赖性越来越大。因此,加强通信网络的安全防护显得十分必要。
2.1 专业性特点
电力系统的信息通信网络需要具备相关专业知识的人才可以承担起应有的责任,非专业人员处于其中只会觉得毫无头绪。电力系统信息网络技术涵盖领域较广,包括计算机、自动化、电力技术等,对通信系统工作人员提出了较高要求[2]。
2.2 通信网络内容多且有地域性特点
电力系统通信网络中包含配电、用电等内容,这些内容之间有着紧密的关联性。此外,众所周知我国各地区发展程度相差较大,电力系统在各地区所面对的问题和需求也不尽相同,这也造成各地区通信网络建设水平不一[3]。
2.3 信息通信网络的风险
2.3.1 网络病毒
指有高危害性、高传播性的程序,这种程序在传播进入计算机后,便会按照程序设定对计算机造成不同程度破坏,一般会导致数据丢失、系统损坏等。若是电力系统通信网络遭遇网络病毒的侵害,造成的损失不可估算,在造成经济损失外,还会引起大面积停电,这对电力企业口碑造成重创(表1为当前常见的病毒类型)。
表1 常见的病毒
2.3.2 网络攻击
网络攻击与网络病毒的不同之处在于,网络攻击由人实时控制,而网络病毒则是设计好的一种“机械”程序。进行网络攻击的人被称为黑客,他们使用的手段包括但不限于网络病毒,往往有针对性地窃取某部分重要数据信息,同时对通信网络造成破坏,产生的损失非网络病毒所能并论。
3 电力系统信息通信网络安全防护具体措施
根据我国当前电力领域网络通信系统状态,借鉴国外先进的安全管理模式与管理理念,结合我国电力系统的基本情况,从这几方面提出防护措施。
3.1 设置有效的防火墙
增加通信建设的资金投入,引进国外先进技术,优化更新通信网络安全机制,提高信息通信的安全性。其次,设置访问权限及配置防火墙,防火墙是每台计算机中都会附带的一种网络安全防护程序,它可以有效地对用户信息进行保护(其结构原理如下图1) 。计算机防火墙的运行机制有多种形式,以代理防火墙和过滤防护这两种应用较为普遍运行机制为例,代理防火墙是通过对计算机系统进行“体检”,寻找其中可能存在问题,在发现问题的第一时间关停该软件的运行,并对相关数据进行记录,以便之后的病毒库更新。过滤防护技术是防火墙运行的主要工作原理,它可以及时地察觉到计算机中存在的安全问题,并进行隔离,需要注意的是,这无法有效地屏蔽病毒或者来自漏洞的影响[5]。
图1 防火墙结构原理图
3.2 提高数据保密等级
采用保密技术为系统通信再加防护层,并定期更换访问密码,确保电力信息的安全性。电力系统通信网络中数据传递时极易被拦截,为避免这类情况,便需要建立信息传递线路的保护机制,以信息加密形式对数据施加保护层,防止不法分子的恶意网络攻击,持续提高数据保密等级,可以使信息通信愈加安全。现阶段,在我国内电力系统的通信网络采取的分布式模式,网络中存储有大量数据信息,且数据类型繁杂,这也间接提升了信息数据的处理难度、安全管理难度。为保护通信网络中的数据,可选择现阶段十分流行的公开密钥技术加密信息,通过实际应用效果来看,较为理想。比如,信用卡资金的交易使用都是被严格机密的,银行在设计信用卡时便采用了加密算数,加密算数使卡中数据结构更加多样性、复杂性,有效达到了对资金数据的保护,规避了信用卡数据被恶意窃取的风险[6]。
3.3 建设网络管理系统
网络管理系统分为四层,分别为:网元层、网络层、服务层、业务层。网元层:着重管理单个网元组件,并为上层网络提供相应的支持,以通信系统为基础标准,对各方面进行监管、维护。网络层:此层次主要通过达成对于网络管理系统的构建、调整以及终结等功效,来实现构建其网络管理层,进而提高其安全性,在对网元组件进行调整时,可以充分地对其网络所具有的功效以及运用率等方面实施全面深入剖析,以此作为调整的参考数据。服务层:主要为通信网络的服务对象与维护者,这两者间,通过为服务者供应接口以及组织通道等,实现接口性能数据及其他数据的收集、存储,以及服务费用信息的收集、整理等。业务层,此层面主要在于通过联合电力通信来对相应的管理人员实施调度,从而对电力系统其通信网络的判定方向来实施管理[7]。通过这四个管理层构建而成的管理体系,不仅可对各类数据进行充分监督、控制,还可及时发现通信网络中存在的问题,精确定位、捕捉问题数据,并采取针对性措施处理。此外,这一管理体系,在实现各项数据的自用收集与整理传输外,还可对部分风险进行预测,在某种程度上可以做到防患于未然。因此,这一管理系统建立,对电力系统的发展有着深远的意义,就现状而言对电力系统整体安全性的提升也有较大帮助[8]。
3.4 关注物理层防护
物理层防护可从两个方向入手:(1)避免雷电自然因素对电力系统产生影响,造成巨额损失。若是雷电预防措施的建设不符合实际需求或实际条件,那么将会使系统的各设备、线路受到安全威胁。为避免相关安全风险,电力系统相关人员需要定期检查系统的各项防护设置,若是发现异常应当立即上报,并采取修正措施处理问题,防止雷电灾害对电力信息通信网络系统产生影响,促使电力系统的正常运行。(2)维护通信设备机房环境,确保机房整洁、通风效果良好,这可很大程度上规避电磁干扰风险、电磁辐射风险。同时,加装滤波器,进一步管控电磁干扰,将其产生影响缩小至最低范围。此外,对部分特殊设备来讲,电力企业需要对设备操作权限人进行严格筛选,并实施身份验证机制,避免由人为问题导致出现安全事故。(3)为了保证设备安全,要结合信息通信网络设备的特点制定安全管理制度和规范,对设备防盗防毁、电源保护等建立维护检查制度,定期检查相关设备,并针对不同设备合理采取防护手段,如设备防盗可以设置移动报警器、部件上锁等手段;对电源保护可以采用连续性保护、稳定性保护等手段;对设备防毁可以设置防砸外壳,达到防护效果。
3.5 身份认证
在信息通信网络中,终端服务器识别访问计算机的身份,可有效规避违法分子获取高权限数据而使企业遭受经济损失,这可在一定程度上确保通信网络的安全。CA身份认证是当前广泛应用的一种,CA为认证证书,每个计算机网络证书都由CA签字并授权,证书中置有公开密匙,CA不仅授权计算机网络证书,同时也可管理每台计算机的网络证书,CA身份认证技术为信息通信网络提供了极高的安全性。
3.6 数据库备份技术
为避免数据丢失对企业造成经济损失,在信息通信网络中可以采用数据库备份技术,通过云技术将通信数据备份至云端,让虚拟云和主服务器间保持数据同步,在电力系统信息网络遭遇数据丢失事故时,就可以将云端数据重新下载至服务器,使系统恢复正常运行,最大程度挽回损失,其简易结构图如图2。
图2 云备份技术简易结构图
在数据库备份技术的使用中,可以采用完整数据库备份、差异备份、事务日志备份等方式,其中完整数据库备份主要是对数据库内所有数据进行重建,后结合所定义的时间定期对数据库内的数据进行备份;差异备份主要是只对上一次的完整备份后所变化的数据备份,上次完整的备份后一些数据发生多次变化后,此差异备份仅仅对更改的最新数据存储,数据错误或者发生风险后,只需要还原上一次的差异备份数据即可;事务日志备份能够对从上次事务日志的备份后所发生的全部事务进行记录和存储,借助此备份技术,当信息通信网络的数据发生变化或者错误后,数据库能够恢复至变化前的最后事务状态,实现对电力信息数据的有效防护。
3.7 应用网络防护专业技术
3.7.1冗余技术
冗余技术是指根据系统正常运行所需的资源数据再增加一部分,比如软硬件、运行时间等,为系统运行提供容错。冗余是容错技术的基础,冗余技术的应用,大幅提升了系统运行的稳定性。冗余技术有结构、时间、信息冗余三种(见表2)。冗余技术在计算机领域中极为常见,大多计算机活动中都可见冗余技术的影子,这是提高系统稳定性的最佳技术。在电力系统通信网络中,电路组件的每组结构都有着独立性,每组两个不同操作系统形成一个冗余系统。一般而言,其中某个系统占据主导位置,在系统受到外部创伤或者内部产生问题时,主控便会发出指令,之后冗余系统发挥作用,利用动态冗余精确定位故障位置,之后检测故障、修复故障,大幅提高了系统容错率。
表2 结构、信息、时间冗余技术
3.7.2 物理隔离
顾名思义,物理隔离就是从物理层面实现通信网络的内网、外网隔离,避免通信系统受到外界黑客的远程攻击、病毒植入。通过物理隔离把网络通信内网规划为多个区域,每个区域界限明显,可以大幅度提高电力信息系统的安全性、可操作性,再借助监控系统及安全管理措施,能够使管理人员快速定位出现问题区域,并采取相应的措施进行处理。物理隔离主要包含两部分内容:(1)时间分隔,通过一系列的设置转换,为内外网创造了交流平台。(2)在计算机上设置安全分离卡,这一操作的目的是在计算机中开辟虚拟系统,使计算机具备两种模式——公用状态与安全状态。在此模式下,可使一台计算机同时连接内外网,实现双端信息交互[9]。
4 总结
综上所述,在电力系统运行中,若遭受外部网络攻击或病毒入侵,将会导致信息传输异常,影响到电力系统的正常运行。为避免这类问题发生,电力企业需要认识到信息通信网络安全防护的意义,结合电力系统信息通信网络的特点与风险,积极探索和合理采用电力系统信息通信网络安全防护措施,从而有效确保电力系统通信网络具有良好安全性。