电力企业系统信息网络安全及防护措施的探讨.doc

1、1电力企业系统信息网络安全及防护措施的探讨摘要：从电力系统信息网络的安全角度出发，结合国家电网目前的电力信息系统和信息网络在电力信息安全上的一些问题，并提出了防护电力信息安全风险的技术和管理措施。 关键词：电力信息系统：安全防范；措施 中图分类号：F407.61 文献标识码：A 文章编号： 前言 随着近年来自然灾害的发生，在我国极大地破坏了国家电网公司的属下电网，造成多个地方发生大面积停电事故。电力信息系统如不能正常工作(如技术故障、遭受人为破坏、遇到自然灾害等)，也将危及电网的安全运行。研究电力信息安全问题，开发相应的应用系统，设计出系统的安全防护方案，制定电力信息系统遭受外部攻击时的防范措

2、施以及系统恢复措施等，进行信息安全应急预案是非常重要的。 1 电力信息安全存在的问题 国家电网已经构建了一个较完善的电力信息系统，并初步建立了电力信息系统的安全体系，实现了电力信息网络和电力运行实时控制网络的隔离，在网络间设置了防火墙，购买了网络防病毒软件，设有数据备份设备。但仍有很多单位没有网络防火墙，没有数据备份的观念，更没有对网络安全做统一长远的规划，信息网络中尚存在许多风险和问题。 (1)对计算机及信息网络的安全意识亟待提高。近年来计算机信息安2全策略和技术取得了非常大的进展，但在电力系统各种计算机应用中，对信息安全的认识跟实际需要差距较大，对新出现的信息安全问题认识不足。 (2)缺乏

3、统一的信息安全管理规范。电力系统虽然对计算机安全一直非常重视，但目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。 (3)缺乏与电力行业特点相适应的计算机信息安全体系。近年来，计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是，在计算机安全策略、安全技术、安全措施、安全体系建设方面投入相对较少。 (4)计算机网络化必须面对外部的安全攻击。电力系统较早的计算机系统一般都是内部的局域网，并没有同外界连接。所以，早期的计算机安全只是防止意外破坏或者确保内部人员的安全控制。在连成广域网后，就必须要面对国际互联网上各种安全攻击，如网络病毒和电脑“黑客”等。

4、 (5)脆弱的身份认证。电力行业中计算机应用系统基本上基于商用软硬件系统设计和开发，用户身份认证基本上采用基于口令的鉴别模式，而这种模式很容易被攻破。有的应用系统还使用自己的用户鉴别方法，将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中。如今，这种脆弱的安全控制措施已不能再用了。 (6)没有完善的数据备份措施。目前，很多单位仅选择一台工作站备份一下数据，没有完善的数据备份设备，没有数据备份策略，没有数据3备份的管理制度，没有对数据备份介质的妥善保管。 2 电力信息安全的防护措施 鉴于电力信息安全的重要性，国家电网公司及其属下各单位应制定一系列相关的防护措施，以保证电力信息系统

5、的安全。 21 建立电力信息安全体系的防护框架 应结合我国电力工业的特点和企业计算机及信息网络技术应用的实际情况，建立电力信息安全体系的防护框架(见图 1)按照信息业务功能，电力信息系统可以划分为 3 层：第一层为自动化系统；第二层为生产管理系统；第三层为电力信息管理系统。针对电力信息业务的这种层次结构，电力信息安全体系的防护框架采用分层、分区进行防护。进行分层管理，按照电力信息业务的 3 层功能，层间使用隔离装置实施网络间隔离。 进行分区管理，将电力信息业务的 3 层功能与电力信息网结构对应起来，具体又可以分成实时控制区、非控制生产区、生产管理区和管理信息区 4 个区。各区之间使用网络物理隔

6、离设备进行网络隔离，对实时控制区等关键业务实施重点防护，并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。 22 采用各种安全防护技术措施 (1)信息加密技术。密码技术是信息安全领域的一种基本实用且非常重要的技术。密码技术主要分对称密码技术(如 DES 算法)和非对称密钥技术(也叫公开密钥技术，如 RAS 算法)。 (2)信息确认和网络控制技术。当前，成熟的信息确认和网络安全控制技术主要包括身份认证、存取控制、数据完整性、防止否认、防火墙4技术，这些技术都是基于计算机网络开展的，涉及业务信息安全的主要技术，应根据电力企业业务系统的性质、任务，制定最优控制策略。 (3)计算机网络防

7、病毒技术。计算机病毒已经向网络化、多态化、灾难化发展，应在省公司及区域电网建立计算机防病毒网络中心，实施网络化管理。 (4)防“黑客”攻击技术。 “黑客”主要针对信息系统网络和主机存在的一些漏洞进行攻击。按照计算机应用环境及业务重要程度，制定相应的防“黑客”攻击措施，重点是要检测系统信息安全漏洞予以及时解决。对特别重要的系统(如电力实时运行控制系统)应采用物理隔离措施。(5)数据备份与灾难恢复技术。采用多种备份措施，按重要程度确定数据备份等级，配置数据备份措施，建立省级和区域数据备份中心，采用先进灾难恢复技术，保证信息系统可靠性和数据完备性。 23 加强各种安全防护管理措施 (1)人员管理。要

8、加强信息人员的安全教育，保持信息人员特别是网络管理人员和安全管理人员的相对稳定，防止网络机密泄露，尤其要防范人员调离时的网络机密泄露。对网络设备、服务器、存储设备的操作要履行签字许可制度和操作监护制度，杜绝误修改和非法修改。 (2)密码管理。对各类密码要妥善管理，杜绝默认密码、出厂密码、无密码，不要使用容易猜测的密码。密码要及时更新，特别是有人员调离时密码一定要更新。 (3)技术管理。主要是指各种网络设备、网络安全设备的安全策略，5如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。 (4)数据管理。数据的备份策略要合理，备份要及时，备份介质保管要安全，要注意备份介质的异地保存。

9、 (5)安全管理。建立电力系统信息安全各种标准、规范与制度。在安全组织，运行操作管理、场地与设施管理、操作系统与数据库、应用系统等方面进行安全管理。 24 建立完备的电力信息系统监控中心 为保证电力系统信息安全，建立一个综合、统一的信息安全监控中心是十分必要的。该监控中心设在各级信息网管中心，将各项信息安全应用技术有机进行整合，无论出现什么可能影响信息安全问题，均可尽快解决。对可能出现的异常或故障，按监视系统所提供信息，及时提出预防措施，消除可能发生问题的条件，防止发生系统异常或故障。 25 制订必要的应急措施 可根据国内外发生过的网络信息安全的案例，结合国家电网信息系统当前运行状态和可能存在

10、的问题，设计安全应急措施，部署安全应对机制，奠定紧急控制的基础。一旦发生电力信息安全事件，可根据预防控制设定的安全应急措施，立即启动相应的安全机制，减小安全事件的波及范围，避免造成更大的损失。国家电网的黑启动方案就是一个很好的例子。 3 结束语 电力信息安全是电力系统安全运行和对社会可靠供电的保障，是一6项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。电力信息的不安全，会造成电力系统的生产经营和管理巨大的损失。各电力企业应积极吸收国外信息安全领域的丰富经验和先进技术，结合各自电网的特点，建立完善的电力信息安全防护体系和监控中心，研究出相应的安全策略，制定相关的技术措施和管理措施，确保电力信息系统以及电力系统安全、可靠、稳定、高效的运行。 参考文献： 1 牛慧斌，李骏仁企业内部网络信息安全与防御对策分析J网络通信与安全，2007(2)：338339 2 张锐军企业网络安全与防护J计算机安全，201 1(5)：8788 3 余志荣浅析电力企业网络安全J福建电脑，201l(7)：9394