摘要：随着国民生活质量的增长，社会公众开始对与日常生活息息相关的电力信息网络安全管理提出了更多、更严格的要求。结合现有的电力信息网络安全防护现状来看，存在较多的不足之处，影响电力信息网络总体安全性。為此，本次研究着重分析了安全隔离技术在电力信息网络安全防护中的应用，并探讨了具体的应用效果，旨在为相关人员提供参考。

关键词：安全隔离技术；电力信息；网络安全；防护；效果

信息技术的不断发展进步，有效推进了电力工业未来面向更加信息化的方向进步，同时也为电力系统信息工程的建设与发展发挥了重要助推作用。虽然电力系统构建为国民生产生活带来了便利，但是随着时间的累积，也开始出现越来越多的网络安全问题，从而诱发各类信息系统安全风险，导致电力信息安全遭受威胁。鉴于此，本次结合安全隔离技术进行防护效果分析具有重要意义。

一、电力信息网的安全状况

电力企业的经营发展中，安全管理工作很大程度需要依赖于信息技术、网络技术以及科学技术水平的提升。但同时，伴随着信息技术的不断发展进步，电力系统运行期间的信息安全管理问题也随之日益突出起来，甚至由于信息系统所爆发的安全问题，已经严重影响了国家电力安全建设水平提升[1]。结合电力企业当前的网络信息安全管理现状进行分析，可以发现以下内容：

其一，电力信息网络在结构构成上，相对更为复杂，因此在数据量统计工作任务完成方面压力比较大，基本承载电力企业全部业务信息，包括电力的营销、交易等，一旦发生信息安全问题，影响企业经济效益的同时，还会直接对社会发展稳定性构成威胁。

其二，电力企业经营管理中，所有的网络信息接收和发布，均需要依赖于互联网的支持，一旦发生黑客突然攻击事件或是非法入侵事件，就会直接影响到电力系统内部数据安全以及电力调度管理成效。

其三，部分电力企业在进行信息管理时，对于重要信息乃至机密信息的保护意识仍然有较大的提升空间，且信息管理过于依赖集成化管理模式，导致数据库安全管控强度存在不一致的情况，最终影响电力信息安全防护效果。

二、安全隔离技术在电力信息网络安全防护中的应用

（一）硬件防护技术

本次电力信息网络安全防护过程中，应用安全隔离技术开展防护工作时，采用了如图1所示的隔离设备完成，主要以虚线框部位为主，隔离硬件组成包含两个接口计算机，且为计算机配置了中软Linux操作系统，将安全等级提升至B1级别，并将所有的常规性网络功能全部剔除掉，以此提升研究的针对性[2]。两个接口计算机在功能上，主要用于去完成计算机实时、信息两个系统的接口安全管理工作，其中，接口计算机A的信息网络中需要设置网络结点，本次为1个，接口计算机B的信息网络设置同上，在A与B连接时，选用高速数据总线完成连接，包括通用串行总线口（USB）以及双端口（RAM）等，目的在于全面确保物理层中的网络数据传输安全。上述物理层安全隔离工作的开展，也明显将对接口计算机的安全成效提升。

（二）软件防护技术

进行电力信息网络安全防护处理时，除需要做好安全隔离硬件防护工作以外，在软件防护方面也不可忽视，本次研究中结合图2中的内容展开防护分析工作。软件配置中，分别配置了2个接口计算机，且计算中还相应地配置了访问控制、综合过滤、应用代理模块等，上述配置下，所有来源于非实时网络的数据信息（报文）均需要外网侧的接口计算机来对其进行过滤处理，且当数据信息传输符合安全规则之时，即要求数据信息顺利通过合法的MAC/IP地址以及端口的安全过滤之后，才能按照程序连接到访问控制模块中完成对应的处理工作。安全隔离软件技术应用中，访问控制也可充分应用安全认证技术，将部分不合法的连接需求和申请全部截断，例如在数据申请传输时，唯有其通过由内网面向外网的连接请求审核之后，才能实现数据传输目标。当已经建立起合法的连接程序之后，应该结合数据传输的具体安全需求，去分别接入不同安全等级的网关服务代理，并借此达成应用协议级的安全控制目标，例如在数据送出处理时，只能且唯一的送出通道就是实时网络（内网侧），且外网侧不得面向内网侧去输入数据信息，此项软件安全隔离设计目的，主要是为了保障所有的数据传输流均是由内网侧面向外网侧传输，且以单向数据传输流为主。

另外，在内、外网侧的接口计算机安全隔离处理时，应该结合非标准通信接口的数据要求去配置更契合电力信息传输需求的交换程序，随后按照自定义交换协议的各项要求，顺利完成数据双方的信息传输和转发。经过上述一系列的数据传输安全隔离处理之后，数据出现传输请求时，就必须从外网侧面向内网侧完成传输和控制，且均需要经过多层控制，在此过程中，内网、外网的主机之间，不会形成直接通信渠道，且数据在转发时，也主要采用非标准的协议完成。综合本次研究中所使用安全隔离软件技术来讲，初步达成了链路层、网络层以及应用层三方之间的安全隔离目标，以此为电力信息安全的防护成效提升起到促进作用。

三、安全隔离技术在电力信息网络安全防护中的实现

（一）代理服务实现

电力信息网络安全防护工作开展过程中，安全隔离技术应用时，必须做好其技术实现的相关管理工作，才能进一步提升信息安全的防护成效，而做好代理服务的实现管理就显得至关重要。本次安全隔离技术应用中，主要通过对代理服务器充分与外网侧之间所构建的有效应用连接，来达成内网信息传递和运输的安全效果，究其原因，主要是由于安全隔离技术应用下，将电力信息的内网系统隔离为一类独立存在且呈封闭状态的网络环境。具体而言，在实现代理服务的过程中，应该充分做好以下工作内容：

其一，应用代理服务完成安全隔离管理工作时，不仅可以发挥安全控制功能，还能够同步为CACHE功能的运行效率提升起到促进作用，促使网络安全响应速度得到提升。

其二，在代理服务器的日志统计后，主要是为电力信息网络安全管理员提供必要的、延伸类型的管理信息，以此促进代理服务的安全隔离管理效果提升。

其三，本次研究中，所选用的代理服务器包括但不限于HTTP、FTP两种，还专项为提升安全隔离技术应用成效，配置了几种电力行业内专用的通信协议代理，主要为IEC TASE、DL476-92等。

（二）综合过滤实现

常规性的网络信息传递过程中，包过滤功能的运行，是所有网络数据成功、安全传输的基础性支持技术，在此过程中，安全过滤功能会将数据IP包之内的所有信息截获，并逐步分析每一个IP之中的数据信息源地址、目的地址以及端口号等，唯有IP数据包之中的所有网络数据信息均通过安全系统综合查验之后，才能通过“过滤网”，并在过滤逻辑支持下，完成各类IP数据包的传递和传播。对于过滤安全审查中不满足各类安全需求的IP数据包，将会被安全系统抛弃，隔离在传输范围外。进行安全隔离防护处理期间，需要将三条规则链内置于Linux内核之中，规则链分别是接收安全检测规则链（input chain）、转发安全检测规则链（forward chain）以及发送安全检测规则链（output chain）这三种，不同的规则链运行之时，所对应的运行函数分别是接收安全检测规则链[p_rcv（ ）]、转发安全检测规则链[ip_forward（ ）]以及发送安全检测规则链[ip_output（ ）]这三种，但需要重点注意，不同的安全检测规则链运行之时，会执行缺省策略。另外，借助对不同规则链的命令和处理，包括输入、转发、输出等流程，均需要对其往复传递的数据包进行安全过滤。

（三）非网络接口的数据交换

本次研究中，着重对Linux之内的USB驱动程序做好安全隔离防护应用工作，并在此过程中高度利用自定义模式的交换协议，推进双机之间的数据安全传输工作，主要将解决方案应用于两方面，首先是电力信息数据传输带宽提升方面，其间，替换掉传统的一问一答式安全机制完成数据传输处理，而是更新为“窗口机制”，要求完成4个报文后等待1个应答报文，以此促使信息数据的交换速率提升至限速标准[3]。其次，需要解决掉多路重复利用的问题。具体而言，进行非网络接口的数据交换处理时，需要重点做好如下安全隔离防护处理工作：

其一，为了找出多路复用问题解决方案，避免电力信息系统传输遭受安全风险威胁，同时也为了提升代理服务水平，需要将代理进程与内、外两个网侧的守护进程做数据交换处理，主要借助数据传输管道来完成。当此过程中出现新客户端登录状况时，安全防护系统会直接将其进程与外网侧的守护进程之间建立起关联性，并由守护进程派生子进程，用以完成新客户端进程的数据传输安全检测和处理工作。与此同时，外网侧守护进程运行中，还会获取到派生子进程的pid数值，并将其以参数的功能下发给本地数据传输进程，而本地将派生的子进程pid数值存储之后，才会将该数值传递至对方系统的数据传输进程，对方系统接收到该pid值时，则会将该值传递至内网侧守护进程，以此完成安全防护目的。

其二，所有电力信息数据传递的过程中，所涉及的PID数值都是唯一的，因此当系统运行中发送或是接收PID数值后，可以在信息封装的基础上将其直接赋值于某一个数据位之上，随后再对信息之中的PID值做判断分析，结合分析结果将其发送至内网侧守护进程所派生的子进程之中，以此提升电力信息整个传输过程的安全隔离防护质量。

四、安全隔离技术运用在电力信息网络安全防护中的效果测试

（一）平均传输延迟

电力信息网络安全防护及管理工作，想要全面凸显出安全隔离技术的应用效果，就必须针对隔离技术的效果做好测试工作，当进行平均传输延迟测试时，需要先行了解传输延迟的定义，其主要是指数据分组之下，最后一位从源结点，直至将信息传输到目的点之间所需要经历的时间长度，整个传输过程，均需要依赖于网络来完成。本次研究中，主要针对安全隔离技术支持下的两种延迟进行了效果测试，分别是直接连接时的延迟效果测试和代理服务下的延迟效果测试，具体测试结果如图2所示。

（二）吞吐率

吞吐量主要是指，在网络传输数据时，针对传输能力加以度量的一项数据统计方式，同时也用于指代单位时间内网络传输时的总体通信量。本次研究中将吞吐率主要划分为两种，分别是总吞吐率和净吞吐率。其中，总吞吐率是指固定的单位时间之内，所有通过网络完成信息传输的数据量；净吞吐率是指固定的单位时间内通过网络完成用户信息传输的数据量。进行吞吐率的测量和评价时，最为直观、便捷的方法，就是将端到端的用户吞吐量计算出来，随后用计算结果去处于整个传输过程的数据传送时间，具体的计算公式如下：

（1）

公式中，M指代的是信息傳输的吞吐量，T指代的是数据完成全程传送的总体时间，本次研究中T主要用于指代信息传递的延迟时间，具体的信息传递吞吐率示意图如图3所示。

结合上述图2、图3中的内容进行分析可以发现，以太网直接连接和通过隔离设备连接时的端到端传输延迟和有效吞吐量的比较。通过测试和分析能够发现，在传输电力信息数据规格在4k以内的信息时，以太网直接连接下与隔离设备应用连接下，其传输的延迟性和吞吐率处理上，为各方面相对等的测试结果。但是，常规情况下电力实时控制网络的数据传输尺寸往往低于4k，由此可见，应用网络安全隔离技术完成电力数据信息的管理工作，高度有利于电力信息安全管理成效提升。

五、结束语

综上所述，网络安全管理工作本身，属于一类十分复杂的问题，且问题主要集中在技术更新层面。网络安全隔离技术作为一类能够达成实时管控网络安全的技术手段，在电力信息安全防护方面发挥了极大的作用。一方面，需要做好硬件隔离的安全技术应用工作，促使管理工作质量随之得以提升。另一方面，则主要集中在软件隔离技术应用方面，以此实现应用配置、系统管理等多个层面的安全防护成效，最终促进电力信息安全管理水平随之得到提升。

作者单位：谢光南 长春市德普信息技术有限公司

参  考  文  献

[1] 房亮. 安全隔离技术在电力信息网络安全防护中的应用[J]. 网络安全技术与应用，2021（05）：132-133.

[2] 潘丹，谢静怡，刘宇轩，等.安全隔离技术在电力信息网络安全防护中的应用[J]. 丝路视野，2021（15）：118-119.

[3] 罗靖，毛源睿. 安全隔离技术在电力监控系统网络安全防护中的应用[J]. 电力系统装备，2021（24）：126-127.

谢光南（1982.08-），男，汉族，吉林长春，本科，中级工程师，研究方向：网络安全，信息安全，网络安全法相关 国家网络安全相关标准。