探究电力监控系统网络安全加固技术

唐朝蓉

（国网莆田供电公司，福建 莆田 351100）

众所周知，随着经济的发展，我国的电力需求也在不断地增长，保障电网安全一直是电力企业工作的重中之重。而电力监控系统能否安全运行与电网安全密切相关，经过认真分析和了解后发现，计算机网络内部的威胁、计算机病毒、拒绝服务攻击、黑客攻击等构成了电力监控系统的主要安全威胁，常常会导致数据被删除、篡改、程序运行错误或者死机，更甚者，将导致敏感信息的泄露、系统被非法访问，从而威胁和影响电力系统的稳定运行，所以电力监控系统网络安全工作人员需要思考如何加大电力监控系统安全防护力度，从而进一步提高电力监控系统运行的稳定性和安全性。基于此，本文主要对电力监控系统网络安全加固技术展开深入的探讨。

1 网络安全加固技术分析

1.1 网络安全加固技术含义

随着社会信息化水平的提高，在企业生产、管理等多个领域中，信息系统越来越得到广泛的应用，其在提高企业运营效率等多个方面发挥了至关重要的作用。计算机软件、硬件与网络构成信息系统，但经常由于软、硬件自身存在漏洞、信息系统开发与部署中存在问题等，所以导致系统会频繁出现某些问题，增加网络安全风险出现的可能与概率，企业内部重要的信息也随时都有泄露的可能。通过应用网络安全加固技术，是保证信息系统网络安全最直接有效的方法与手段。网络安全加固技术将自己的作用全部发挥出来后，可以针对信息系统主要结构、软、硬件漏洞等各种情况，再结合企业发展的实际情况，从而进一步提高信息系统抵御安全风险的实际能力。

1.2 电力监控系统网络安全加固特点

电力行业在发展过程中，电力监控系统当中所包含的软件、硬件设备可能存在老旧等各种情况，当工作人员针对这样的情况进行网络常规安全加固时，经常出现无法获得成功等问题，甚至还会导致系统出现宕机的可能。因此，在对电力监控系统的加固时，需要在通用加固技术基础上进行适当的剪裁。正式实施前，还需进行分析和研究，进行兼容性判定，严格按照相关标准进行落实，加固完成后，需做好相关的监测工作，判断加固后电力监控系统业务是否受到影响。电力监控系统加固需要保证有极强的稳定性与安全性。

2 电力监控系统网络安全管理情况分析

随着关键系统越来越多越多地与互联网连接，网络攻击对物理基础设施的风险和影响也在增长，全国联网的需要使电力监控系统所面临的网络安全危机极大，一些不法分子通过网络，盗取电力系统中有价值、有意义的信息，甚至破坏电网安全，实现了“网络-物理攻击”，从而为自己谋取更多利益。国内外受网络攻击影响频繁发生的大停电事故引起了电力企业对网络安全防护管理的关注与重视。近年来，电力行业逐渐建立起了分级负责责任制的电力监控系统安全防护工作机制，规范了各单位电力监控系统安全防护管理要求，同时电力调度机构也建立了网络安全的专职机构与队伍，因为电力监控系统网络安全管理工作与技术防护措施同样重要。

2.1 电力监控系统网络安全管理水平问题

部分电力企业尤其是中小规模电厂和用户，目前为止仍未配备专职的电力监控系统网络安全工作人员或管理人员，常由其他岗位工作人员兼任，工作人员缺乏丰富工作经验，也并未有更多的实践经验。虽然现阶段有一些电力企业在发展过程中，按照国家或者上级主管部门要求，配备必要的网络安全软件与硬件设备，这些软、硬件设备都具有先进性的特点，在提高电力监控系统网络安全防护水平发挥出重要的作用，但是，企业领导层机构对网络安全重要性认识不够、重视程度不足，忽略网络安全运维工作人员的岗位培训，所以造成他们的综合素养与工作能力发生良莠不齐情况。

2.2 部分电力监控系统网络安全作业缺乏规范性

电力监控系统网络安全现场作业是否规范非常关键，也是电力监控系统网络管理过程中的重要环节。现阶段，我国电力行业中的电力监控系统网络安全管理工作还存在较多的问题，安全防护设备策略未根据实际业务需要进行最小化配置，设备安全加固工作做得不到位，安全防护设备缺失等。另外，一些电力企业管理部门没针对现场负责调试的技术人员进行严格管理，所以时常发生非法外联的情况，导致系统内部数据出现被攻击或者是泄露等严重问题。各电力企业需要对网络安全加固技术加强关注，并且科学应用，以主动、积极的态度，针对相关技术人员进行科学管理，不断完善相关的管理制度与方法，从而进一步规范电力监控系统网络安全作业。

2.3 传统、落后的安全防护设备管理方式

在电力监控系统正常运行过程中，要想将电力监控系统安防设备的功能、价值全面发挥出来，那么就需要安排专业工作人员，对安防设备进行规范配置，并且进行科学管理。但是，真实的情况却不尽如此，据了解，在部分电力企业，电力监控系统安全防护设备存在管理方式落后、安全防护设备随意摆放甚至形同虚设等各种问题。

2.4 供应链安全威胁日益突出

电力监控系统是基于计算机及网络技术的业务系统及智能设备，已经成为典型的信息通信技术供应链的重要组成部分，除了传统供应链的生产、集成、仓储、交付等供应阶段，还包括产品服务的设计开发阶段和售后运维阶段，涵盖电力监控系统产品和服务的全生命周期。电力监控系统供应链面临的安全威胁存在于产品的开发、供应和运维阶段，比如，供应中断、假冒伪劣产品进入电力监控系统、敏感信息如加密算法、加密芯片被泄露、供方违规收集和使用用户数据、非法远程控制等违规操作，以及在设计、开发、采购、生产、仓储、物流、销售、维护等任一环节，对电力监控系统产品或上游组件进行恶意篡改、替换和植入等，以嵌入包含恶意程序的软件或者硬件。电力监控系统供应链安全设计范围广，影响因素众多，如何建立完善的、成熟的防护体系，是电力企业今后仍需思考的工作方向。

3 电力监控系统网络安全加固防护技术分析

3.1 夯实电力监控系统本体防护基础

将安全加固真正落实到实处，是电力监控系统网络安全工作中非常重要的内容，可有效提高系统抵御安全风险的能力。电力企业应强化对操作系统、数据库和业务应用全加固，按照相关加固手册逐项做好加固配置，并严格主机物理接口使用，关闭无用端口和服务。加强漏洞排查与治理，及时消除漏洞安全风险，更新安全防护设备的特征库、病毒库、漏洞库等。电网控制功能严格应用调度数字证书进行身份认证，杜绝明文通信、高风险端口开放、弱口令等现象。

3.2 筑牢电力监控系统网络空间边界

电力监控系统应遵循“安全分区、网络专用、横向隔离、纵向认证”方针，严格横向隔离装置、纵向加密认证装置、防火墙等边界安防装备的安全防护策略，确保访问控制策略按照白名单、最小化原则开放。纵向加密认证装置部署于生产控制大区与广域网的纵向联接处，可以实现双向身份认证、数据加密和访问控制，保证电力监控系统的安全性，即使受到外界因素所带来的影响，也可以降低信息被盗取的可能性。电力系统中包含专门的加密算法，相关的加密设置以及解密都需要完全按照国家所制定的相关规定进行操作，保证电力监控数据和信息更加准确和真实。电力监控系统生产控制大区应当部署安全可靠的硬件防火墙，防火墙的功能、性能和电磁兼容性应经过国家相关部门检测认证。防火墙部署于安全Ⅰ区和安全Ⅱ区之间，可以实现不同安全区域之间的逻辑隔离、报文过滤的访问控制等功能。电力专用横向隔离装置用于生产控制大区与管理信息大区之间数据通信的强隔离，分为正向型和反向型，正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。而反向安全隔离装置则是用于从管理信息大区到生产控制大区的非网络方式的单向数据传输，是管理信息大区到生产控制大区的唯一数据传输途径。横向隔离装置、纵向加密认证装置、防火墙作为电力监控系统安全边界最基本也是最重要的安全防护设备，必须保证其安全策略按照实际业务需求开启最小化白名单策略，白名单之外的应拒绝访问，禁止开放大明通策略，确保边界防护的有效性。另外，应做好网络末梢安全管控，坚决杜绝网络违规外联，加强网厂交互平台、无线安全接入区安全防护措施，全面强化网络安全边界。

3.3 严格管控供应链渠道，强化供应链安全

针对前文提出的供应链安全问题，电力企业可以通过扩大备品备件储备，短期内可应对技术封锁，更重要的是要推进国产化替代，长远解决芯片卡脖子问题，防止供应中断的风险；针对专用安全防护设备，从技术和管理两方面入手，对设备全寿命周期开展全过程安全管控，细化各环节安全保密措施，提升设备可追溯性和防篡改、防窃取能力，与设备供应商签署保密协议，实施终身负责制，以杜绝信息泄露、违规操作等风险；此外，应规范电力监控系统各种软件版本管理，建立软件版本管控系统，收集过检产品软件版本信息，运行单位应通过离线校验和在线校验两种方式实现对被测系统或设备软件的软件版本合法性校验，升级软件或安装补丁前，做好相关版本确认和安全测试，保证送检版本和应用版本的一致性，避免电力监控系统软件被恶意篡改。

3.4 提高政治站位，强化网络安全意识

电力企业应充分认识到网络安全的重要性，重视电力监控系统网络安全工作的经费投入，纳入年度预算。企业应成立电力监控系统网络安全工作领导机构，配备专职网络安全管理人员和运维人员，针对这些人员定期开展专业培训，培训应注重理论与实践相结合，从而加深他们对培训内容的理解和记忆，提高他们的素养与工作能力。在培训期间，还需要为工作人员营造出良好的氛围与环境，制定出更加完善的激励措施，即对于在工作中表现良好的人员，可以给予口头、物质、金钱等奖励；而对于那些出现敷衍、马虎态度的人员，则需要按照相关的规定对其进行处罚。

此外，在新时期的背景下，重多的新工艺、新技术、新材料应运而生，出现在人们的面前。电力监控系统网络安全防护技术也在紧紧跟随时代发展的脚步，不断更新与变化。因此，对工作人员提出诸多的要求，工作人员需要在日常的工作中，不断进行经验总结和认真学习，从而满足岗位发展过程中对自己所提出来的要求。在电力监控系统网络安全防护技术使用的过程中，技术工作人员需结合企业的真实情况，构建出完善的系统网络安全防护平台，大幅度提高电力系统网络安全防护的质量和水平。

再者，要强化各级电力监控系统工作人员网络安全意识，要做好信息交互保密措施，落实安全保密工作要求，加强工作人员保密教育，签订保密协议，强化保密意识，明确保密责任，确保电力监控系统相关安全防护方案、系统结构等涉密资料安全，严防泄密事件的发生。

3.5 全面推广基于可信计算技术的可信验证模块部署

《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全〔2015〕36 号）对基因安全进行了关注，提出生产控制大区具备控制功能的系统应当逐步推广应用以密码硬件为核心的可信计算技术。据悉，供电企业已开始在关键服务器上可信验证模块的试点部署工作，对通用计算部件，包括通用硬件和固件、操作系统、应用软件及服务进行度量和控制，确保这些计算部件不会受到恶意篡改，从根源上建立对恶意代码攻击的防御机制，从而确保整个计算环境的可信。下一步，应扩大部署范围，从而保证整个电力监控系统的计算环境可信。

3.6 提高网络安全监测及应急处置能力

各个单位都需要针对网络安全监测以及应急管理工作加强关注，并且加强对相关工作的管控力度，及时探测感知电力监控系统网络安全风险，使用新型的技术，探索建立电力监控系统网络安全管理平台全景感知防御体系，规范应急处置流程，早发现、早阻断、早处置，确保将安全风险隔离在最小范围内。

4 结语

总之，通过对电力监控系统网络安全加固进行认真的分析，发现其具有动态性特点，系统与多方面都有紧密的联系，需要保证稳定与安全的平衡，以循序渐进的方式向前发展和推进。现如今，电力领域在实际发展过程中，网络安全问题时有发生，系统的网络安全加固是特别重要工作，需要将技术与管理进行充分融合，在二者相辅相成中，保证网络更加的安全。另外，企业要想在新时期下获得更好的发展，就必须对电力监控系统网络安全监测技术加强关注与重视，安排专业工作人员，参与网络安全防护运行系统构建过程，并且制定出更加完善的网络安全监测控制体系，保证电力监控系统安全稳定地运行。