郭仕杰++高鵬

摘 要文章首先簡(jiǎn)要闡述了電力監(jiān)控系統(tǒng)信息安全防護(hù)的基本要求，在此基礎(chǔ)上對(duì)信息安全防護(hù)技術(shù)在電力監(jiān)控自動(dòng)化系統(tǒng)中的應(yīng)用進(jìn)行論述。期望通過本文的研究能夠?qū)﹄娏ΡO(jiān)控系統(tǒng)的信息安全提供保障。

【關(guān)鍵詞】電力監(jiān)控系統(tǒng) 信息 安全防護(hù)技術(shù)

1 電力監(jiān)控系統(tǒng)信息安全防護(hù)的基本要求

電力監(jiān)控系統(tǒng)主要包括三大子系統(tǒng)，具體為生產(chǎn)控制信息子系統(tǒng)、生產(chǎn)管理信息子系統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)，在該系統(tǒng)的信息安全防護(hù)方面，應(yīng)滿足以下基本要求：

（1）必須遵循國(guó)家頒布的相關(guān)規(guī)定、規(guī)范和管理辦法，將其作為信息安全防護(hù)的執(zhí)行標(biāo)準(zhǔn)。2017年6月1日起，我國(guó)正式實(shí)施《網(wǎng)絡(luò)安全法》，進(jìn)一步確立了網(wǎng)絡(luò)信息安全的法律地位，為電力監(jiān)控系統(tǒng)信息安全防護(hù)工作的開展提供了法律支撐。

（2）系統(tǒng)信息安全防護(hù)方案必須具備一定預(yù)測(cè)性和預(yù)防性，在方案中要遵循網(wǎng)絡(luò)專用、安全分區(qū)、橫向隔離、縱向認(rèn)證的基本原則建設(shè)柵格狀安全防護(hù)體系，有效隔離外部網(wǎng)絡(luò)，引入先進(jìn)的技術(shù)快速診斷網(wǎng)絡(luò)存在的異常情況，安裝安全防護(hù)裝置和預(yù)警系統(tǒng)，防范信息泄露問題的發(fā)生。

（3）系統(tǒng)信息安全防護(hù)要實(shí)施等級(jí)保護(hù)，提高安全防護(hù)能力。等級(jí)保護(hù)要從電力監(jiān)控系統(tǒng)不同層面的安全管理入手，包括網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面，針對(duì)不同層面的安全等級(jí)制定不同的安全防護(hù)方案，確定安全保護(hù)等級(jí)，使系統(tǒng)具備防范惡意攻擊行為和實(shí)時(shí)感知網(wǎng)絡(luò)異常的功能。

（4）細(xì)化電力監(jiān)控系統(tǒng)的安全防線，使安全防線滿足系統(tǒng)邊界、網(wǎng)絡(luò)傳輸邊界以及業(yè)務(wù)主機(jī)的信息安全防護(hù)要求，在這三個(gè)層次中設(shè)置三道安全防線。

2 信息安全防護(hù)技術(shù)在電力監(jiān)控自動(dòng)化系統(tǒng)中的應(yīng)用

2.1 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)可防范網(wǎng)絡(luò)傳輸中可能出現(xiàn)的信息篡改、竊取、非法侵入等威脅，利用RSA、DES加密技術(shù)作為信息安全防護(hù)屏障。從實(shí)際應(yīng)用情況來(lái)看，RSA、DES兩種算法各自具備優(yōu)缺點(diǎn)，對(duì)稱密鑰加密系統(tǒng)不能完全被替代為公開密鑰加密系統(tǒng)，所以在電力監(jiān)控系統(tǒng)中應(yīng)結(jié)合兩者優(yōu)勢(shì)，實(shí)現(xiàn)最大的防護(hù)效用，即利用對(duì)稱加密技術(shù)對(duì)文件進(jìn)行加密，再利用公開密鑰加密技術(shù)對(duì)上述加密的文件進(jìn)行再加密，通過混合加密的形式提高運(yùn)算速度，強(qiáng)化密鑰的分配管理。從應(yīng)用范圍上來(lái)看，對(duì)稱加密技術(shù)適用于大量數(shù)據(jù)的加密處理，而公開加密技術(shù)適用于加密機(jī)密性、關(guān)鍵性的數(shù)據(jù)。在對(duì)電力監(jiān)控系統(tǒng)的應(yīng)用級(jí)進(jìn)行先期加密后，再進(jìn)行一級(jí)加密，能夠進(jìn)步擴(kuò)大加密范圍，保護(hù)系統(tǒng)數(shù)據(jù)安全。

2.2 防火墻技術(shù)

防火墻是一道阻隔屏障，將其設(shè)置在被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間可有效防范潛在破壞性行為的侵入。防火墻技術(shù)可對(duì)跨越防火墻的數(shù)據(jù)流進(jìn)行檢測(cè)、限制，最大程度地對(duì)外部網(wǎng)絡(luò)信息進(jìn)行屏蔽，避免外部非法信息入侵網(wǎng)絡(luò)。從實(shí)質(zhì)上來(lái)看，在電力監(jiān)控系統(tǒng)應(yīng)用防火墻技術(shù)能夠起到邏輯隔離的作用，保護(hù)信息安全。電力監(jiān)控系統(tǒng)需設(shè)置防火墻相關(guān)參數(shù)，以確保防火墻信息安全防護(hù)功能的實(shí)現(xiàn)，具體功能包括以下三個(gè)方面：

2.2.1 數(shù)據(jù)包過濾

在網(wǎng)絡(luò)層設(shè)置過濾邏輯，根據(jù)過濾邏輯選擇數(shù)據(jù)包，并對(duì)每個(gè)數(shù)據(jù)包中的協(xié)議狀態(tài)、目的地址、原地址、端口號(hào)等各個(gè)因素進(jìn)行逐一檢查和組合檢查，進(jìn)而確定該數(shù)據(jù)包是否能夠通過網(wǎng)絡(luò)層。

2.2.2 應(yīng)用級(jí)網(wǎng)關(guān)

將協(xié)議過濾和轉(zhuǎn)發(fā)功能建立在應(yīng)用層上，根據(jù)服務(wù)協(xié)議采用數(shù)據(jù)過濾邏輯對(duì)數(shù)據(jù)包進(jìn)行過濾，并且還要分析、登記和統(tǒng)計(jì)數(shù)據(jù)包的具體情況，生成數(shù)據(jù)包過濾報(bào)告。

2.2.3 代理服務(wù)

劃分跨越防火墻的網(wǎng)絡(luò)通信鏈路，由兩個(gè)終止代理服務(wù)器的鏈接對(duì)防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)進(jìn)行鏈接，為外部網(wǎng)絡(luò)提供代理服務(wù)。計(jì)算機(jī)系統(tǒng)在代理服務(wù)的作用下，能夠隔離防火墻內(nèi)外網(wǎng)絡(luò)，并分析登記過往數(shù)據(jù)包，形成過濾報(bào)告。一旦在代理服務(wù)過程中發(fā)現(xiàn)被攻擊現(xiàn)象，則及時(shí)發(fā)出警報(bào)，保留好被攻擊留下的痕跡。

2.3 身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)是保證網(wǎng)絡(luò)信息安全的重要技術(shù)，能夠?qū)τ脩羯矸葸M(jìn)行確認(rèn)，防止非法用戶入侵網(wǎng)絡(luò)。由于網(wǎng)絡(luò)通信中涉及多方用戶，所以要引入身份認(rèn)證技術(shù)驗(yàn)證用戶的身份，確保與預(yù)留的用戶信息一致，根據(jù)預(yù)設(shè)權(quán)限，允許合法用戶對(duì)網(wǎng)絡(luò)進(jìn)行訪問控制。為了保證網(wǎng)絡(luò)信息安全，必須利用身份認(rèn)證技術(shù)為用戶建設(shè)起身份，授予不同用戶特定的網(wǎng)絡(luò)資源使用權(quán)限，防范非法用戶訪問網(wǎng)絡(luò)資源，以及用戶超越自身權(quán)限訪問其他資源。身份認(rèn)證技術(shù)采用密鑰、口令、智能卡、指紋等認(rèn)證方法，在電力監(jiān)控系統(tǒng)中可采用證書授權(quán)的認(rèn)證形式，由證書授權(quán)中心分發(fā)和簽署所有客戶的證書，其中包含公開密鑰，確保用戶各自擁有獨(dú)立的私密密鑰，該密鑰與證書相對(duì)應(yīng)。若想獲取密鑰加密的信息，必須使用相應(yīng)的密鑰解除加密，如此一來(lái)可保證信息的安全性。最為常用的公開密鑰加密技術(shù)是數(shù)字簽名，能夠有效避免非法用戶入侵網(wǎng)絡(luò)。

2.4 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)可通過分析實(shí)時(shí)事件的列序或積累的記錄，快速檢測(cè)出入侵行為，并將檢測(cè)信息傳輸?shù)桨踩芾聿块T，發(fā)出安全入侵警告。該技術(shù)主要針對(duì)網(wǎng)絡(luò)異?；顒?dòng)進(jìn)行檢測(cè)，具體檢測(cè)方法如下：

（1）通過定期搜集、統(tǒng)計(jì)分析與合法用戶行為相關(guān)的數(shù)據(jù)，檢驗(yàn)所觀察的活動(dòng)，判斷活動(dòng)的可靠性，若活動(dòng)行為與合法用戶的行為相符，則判定為可信度高。

（2）預(yù)先定義規(guī)則，根據(jù)規(guī)則檢測(cè)入侵行為是否符合規(guī)則描述。在電力監(jiān)控系統(tǒng)中，入侵檢測(cè)技術(shù)是必要的信息安全防護(hù)技術(shù)，該技術(shù)可有效檢測(cè)并阻隔網(wǎng)絡(luò)攻擊者的入侵，應(yīng)對(duì)因口令密碼盜用帶來(lái)的網(wǎng)絡(luò)安全事件。

3 結(jié)論

綜上所述，在電力監(jiān)控自動(dòng)化系統(tǒng)中有著大量的數(shù)據(jù)信息，為確保這些信息的安全性，必須采取合理可行的防護(hù)技術(shù)，給信息的傳輸安全提供保障。在未來(lái)一段時(shí)期，應(yīng)當(dāng)加大信息安全防護(hù)方面的研究力度，除對(duì)現(xiàn)有的技術(shù)措施進(jìn)行完善之外，還應(yīng)研發(fā)一些新的技術(shù)，使其能夠更好地為電力系統(tǒng)的信息安全服務(wù)。

參考文獻(xiàn)

[1]劉勇.電力監(jiān)控系統(tǒng)二次安全防護(hù)的解決方案初探[J].電子制作，2016（08）：154-157.

[2]劉明鳳.電力二次系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)的設(shè)計(jì)研究[J].信息系統(tǒng)工程，2017（05）：109-111.

[3]岳麗華.電力信息系統(tǒng)常見安全分析及防護(hù)對(duì)策[J].硅谷，2014（24）：85-87.

作者單位

內(nèi)蒙古電力勘測(cè)設(shè)計(jì)院有限責(zé)任公司 內(nèi)蒙古自治區(qū)呼和浩特市 010010endprint