供电公司信息安全防护技术方案的研究

李蓉　冯国礼

摘要：信息化是社会发展的必然趋势，是我国精神文明社会建设的一项重要指标。信息化建设能够提高企业的管理水平，同时加大企业的生产效能，信息资源的重要性也逐渐被人们所认识。在全球信息化变更发展的推动下，电力系统也越来越依赖于无所不在的网络系统，在这样的环境下保障电力企业信息安全也成为每个供电公司的重要任务。

关键词：供电公司；信息安全；防护技术方案

中图分类号：TP391 文献标识码：A 文章编号：1009-3044（2017）36-0019-02

Abstract：Informatization is an inevitable trend of the production methods and the development of social productive forces，and is an important symbol of remarkable civilization construction.Information construction can promote the enterprise management level and production efficiency，as an important resource， information resources are becoming more and more important.With the development of the global information， the power system is dependent on the information network and information system more and more.In such an environment to protect the information security of power companies has become an important task for each power supply company.

Key words：power company；information security；protection technical scheme

1 概述

随着技术的不断更新发展，电力信息化的发展需求也日益增进，电力网络系统的通信协议也逐步采用开放通用的TCP/IP 协议[1]，无疑，非法攻击者可以采用各种已知或未知的攻击技术，以巨大的网络信息空间为载体，对电力信息系统进行攻擊，破坏电力系统的可靠运行，甚至导致大面积停电事件的发生[2]。故而在这样的大环境下，如何有效地避免信息安全事件的发生，保障电力系统健康地运行，便成为电力企业亟待解决的关键问题[3]。文章对电力企业信息安全存在的安全隐患及安全防护技术方案进行了介绍。

2 电力企业存在的安全隐患分析

2.1 硬实力较低

大部分城市，乡县的供电公司使用的防病毒软件都是省级电力公司统一部署的防病毒软件，Windows操作系统的终端上安装的还是单机版的瑞星等防病毒软件，更有甚者，有的内网终端都没有安装任何防病毒软件。因此，针对病毒入侵和黑客攻击的防护能力有所不足。同时，各供电公司未能够建立起一套完善的数据备份恢复机制[4]。没有对新上线的网络设备、安全设备、服务器主机、内网操作机进行上线前安全加固配置检查，缺乏专业厂商提供技术支持。在没有足够防护能力的情况下，还没有一套完善的安全审计系统，因此即使电力系统被破坏后，依然无法针对破坏事件就行追溯，无法网络设备运行状况、用户行为等日志记录进行还原[5]，进而为之后有针对性的防护制定精准的措施。

2.2 观念上不够重视

从国家制定《网络安全法》到人们都知道个人信息被黑产上大肆的贩卖，因此，信息安全的重要性也随着时代的发展而日益凸显[6]。大多数供电公司在国家政策以及总部的要求下，已经意识到了系统安全的重要性，但往往领导的专业方向以及信息化水平不高，导致其对信息安全管理认知水平较低，同时，由于平时工作任务繁重，也没有精力去学习相关安全知识，最终恶性循环，导致其信息安全观念的缺失。

3 信息安全防护的技术方案

从技术层面上，可以进行全面的安全漏洞体检，针对检测和分析出来的结果，制定针对性强的防范措施，并提供精准的解决方案；正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统[7]。下面以电力监控系统为例浅谈电力系统的安全防护方案。

电力监控系统实行“安全分区、网络专用、横向隔离、纵向认证”的安全防护技术方案。

3.1 安全分区

电力公司的信息系统庞大而繁杂，为了方便管理，更重要的是为了安全起见，将各类系统进行分类，并逐个划分进不同的控制区中，主要分为两大区，及生产控制大区和管理信息大区[8]。

生产控制大区因为涉及电力生产、计算以及发电等业务，因此其重要性不言而喻，同在生产控制大区的系统又可以进一步细分，即控制区（安全区I）和非控制区（安全区Ⅱ）；同理，涉及非生产的系统统一称作管理信息大区，管理信息大区内部网络在不影响I/II区安全的前提下，可以根据各企业不同的安全要求进行分区。

3.2 网络专用

由于电力监控系统的重要性，故而其所载体也是单独架构且使用独立的网络设备组网，称作调度数据网，调度数据网在物理层面上，可以实现与电力监控系统和网络之间的安全隔离。

调度数据网的划分又分为实时子网和非实时子网[9]，分别连接控制区和非控制区，实现双向冗余。

3.3 横向隔离

如上所述，电力监控系统处于生产控制大区，其重要性是所有电力系统所不可比拟的，因此在生产控制大区与管理信息大区之间必须进行物理隔离，保证任何攻击与入侵不能从生产控制大区以外的地方攻入。因此两个区之间必须按照要求部署单向隔离装置[9]。

同时，同属于生产控制大区或者管理信息大区的各类系统，系统之间也要进行安全隔离，此隔离的程度无需像隔离生产控制大区一样，因此，每个区中的各类系统只需进行逻辑隔离即可，即各类系统之间部署具有访问控制功能的设备，如防火墙等安全设备。

3.4 纵向认证

为了保证电力系统中的数据在传输过程中不被黑客破译，即使黑客攻击导致数据泄露，也要保证黑客所截取的数据无法被破译，保证电力信息无法真正意义上的被破译。那么就要在生产控制大区与广域网的纵向连接处进行安全保护，即进行加密传输。因此，公司规定在纵向传输数据的网络体系中必须部署符合规定的纵向加密认证装置或加密机[9]。

3.5 边界防护

网络体系内部安全措施满足后，就要考虑到各类网络的边界防护状况，然而，邊界防护往往是管理者容易遗漏或者防护不全面的地方，因此，在边界防护中，要绝对杜绝私自外联，不该连通的网络，在边界路由器上就要删除或禁用无关路由，同时要部署相关设备对私自外联的现状进行检查，逐一禁止。

3.6 综合防护

综合防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过程。

4 结束语

技术是安全的载体，管理是安全的灵魂，要想保障信息安全，就必须将技术与管理合二为一，不偏不倚。同时，无论在硬件或软件中，如若出现问题，则必将威胁整个网络安全，导致出现问题。电力企业的信息安全则更为重要且要求更高，必须要进行风险评估才能够制定出合理的计划，并提出提高网络安全性的措施。

参考文献：

[1] 王浩，顾志伟.地区级供电企业信息安全风险评估研究[J].电力信息与通信技术， 2009， 7（9）：36-39.

[2] 姜勇，田正山.浅析供电企业信息安全防护体系建设[J].现代制造，2011（6）：4-5.

[3] 刘申.关于提高供电企业信息安全防护水平的探讨题[J].电子技术与软件工程， 2013（21）：115-116.

[4] 李铮，姚芳.基于防火墙的供电企业信息安全应用研究[J].河北工业大学学报， 2005，34（6）：104-108.

[5] 浮小学，冯海英，刘伟，韩运荣.关于提高供电企业信息安全防护水平的探讨[J].中国信息化， 2012.

[6] 朱健华.海门市供电公司信息系统安全管理[J].电子技术与软件工程，2013（22）：253-254.

[7] 索晶浩.供电企业计算机网络信息安全存在的问题及防护措施[J].工程技术：文摘版， 2016（3）：00026-00026.

[8] 谢睿.供电企业信息网络安全防护的管理[J].城市建设理论研究：电子版，2014（36）.

[9] 袁松，姚笛，黄耀宏.对提高供电企业信息安全防护水平的分析[J].决策与信息旬刊，2015（9）：232-232.