甄創(chuàng)和

（廣東順暢科技有限公司，廣東 江門 529000）

0 引 言

隨著能源互聯(lián)網(wǎng)的發(fā)展，電力數(shù)據(jù)通信網(wǎng)要承載多樣化的業(yè)務(wù)，更加需要保證數(shù)據(jù)的安全性，抵御隱患威脅的任務(wù)更重。由于電力數(shù)據(jù)通信的規(guī)模較為龐大，很容易遭受攻擊，出現(xiàn)安全隱患，所以需要做好電力數(shù)據(jù)通信網(wǎng)絡(luò)安全防護工作，必要時可以使用一些先進的技術(shù)與管理方法，綜合運用多種防御手段，實現(xiàn)從“知防不知攻”到“知攻知防”的轉(zhuǎn)變。

1 電力通信網(wǎng)數(shù)據(jù)安全的現(xiàn)狀

（1）對于電力通信網(wǎng)運行中存在的安全問題，通過現(xiàn)代先進技術(shù)及管理方法的應(yīng)用，可以有效規(guī)避安全問題，并且利用打補丁的方式，對安全問題進行處理，從而保證通信網(wǎng)的安全，且這樣的方式綜合效益高，成本低。（2）借助冗余保護技術(shù)來保證通信網(wǎng)的安全防護效果即預(yù)留信息承載裕量來應(yīng)對突發(fā)極端情況。這種方式能降低運行中的安全風(fēng)險，但初期的投資成本增大。（3）相關(guān)安全隱患問題不斷增加，主要是受到用戶激增的原因造成的。當(dāng)下，電網(wǎng)企業(yè)在通信系統(tǒng)建設(shè)期間，未能對安全防護架構(gòu)進行明確，所以強化安全防護的重視程度很重要。（4）電網(wǎng)運行期間設(shè)備不同發(fā)生的故障不同，通信網(wǎng)絡(luò)一旦出現(xiàn)故障，就會出現(xiàn)比較模糊的情況。所以在對故障問題進行處理時，打補丁的方式是十分有效的，且是被使用最多的方式，能有效提升安全防護能力[1]。

2 電力通信網(wǎng)的安全隱患分析

2.1 管理層

電力通信網(wǎng)的建立通常滯后于電力系統(tǒng)的發(fā)展，通信網(wǎng)安全管理體系易存在缺陷，如通信網(wǎng)的安全口令不能合理設(shè)置、沒有明確的用戶權(quán)限、安全管理缺少健全的制度及電力通信網(wǎng)運營管理沒有結(jié)合數(shù)據(jù)安全防護。

2.2 網(wǎng)絡(luò)層

電力通信網(wǎng)包含不同的操作系統(tǒng)，操作系統(tǒng)如果存在安全漏洞易受到非法入侵。黑客利用操作系統(tǒng)的漏洞會進入通信網(wǎng)，篡改、竊取信息，對操作系統(tǒng)惡意攻擊，通信網(wǎng)會中止服務(wù)，嚴重時發(fā)生網(wǎng)絡(luò)癱瘓。通信網(wǎng)依據(jù)口令來對用戶的身份加以認證和識別，而基于商業(yè)用途的網(wǎng)絡(luò)系統(tǒng)存在較多的安全漏洞，伴隨著安全風(fēng)險。通信網(wǎng)的信息儲存于系統(tǒng)文件與數(shù)據(jù)庫中，但是數(shù)據(jù)存儲與運輸都采用明文，安全防護等級受到限制，信息處理、傳輸、儲存存在風(fēng)險。通信網(wǎng)組網(wǎng)時，沒有系統(tǒng)設(shè)計安全防范，安全防護設(shè)施不健全，易受到外部的攻擊和入侵。

2.3 物理層

通信網(wǎng)物理層的安全問題體現(xiàn)在：通信機房缺少嚴格的管理，如自動報警系統(tǒng)不完善，缺少防火防盜措施；通信設(shè)備的安全防護能不足，通信設(shè)備會受到外部原因造成的破壞；微波信號存在人為因素或外部因素的干擾，電力通信網(wǎng)的安全運行受到影響。

3 電力通信網(wǎng)數(shù)據(jù)安全方案防護的總體架構(gòu)

3.1 安全策略

制定安全策略需結(jié)合電力系統(tǒng)的實際。安全策略體現(xiàn)出安全管理思想，是通信網(wǎng)實施安全防護的依據(jù)。策略要明確被保護的主體，明確具體職責(zé)，提供應(yīng)對問題的解決基準。策略要體現(xiàn)出普遍性，要為強化系統(tǒng)的安全創(chuàng)造基礎(chǔ)條件。安全策略還要明確哪些是需要保護的、防范的，這些內(nèi)容是通信網(wǎng)保證風(fēng)險得以控制的關(guān)鍵。安全策略通過安全服務(wù)方案得以實現(xiàn)，結(jié)合對各種數(shù)據(jù)的評估量化結(jié)果，設(shè)計適用于電力系統(tǒng)的安全解決方案；結(jié)合網(wǎng)絡(luò)建設(shè)的內(nèi)容以及安全產(chǎn)品對系統(tǒng)的適應(yīng)性，提出可行的安全防護方案[2]。

3.2 安全防護

安全防護要作用于路由器、交換機、工作站等設(shè)備的保護，以免通信網(wǎng)絡(luò)的硬件受到自然災(zāi)害、人為因素的影響。安全防護要考慮到數(shù)據(jù)的妥善保管，防止非法偷竊和破壞活動，防止發(fā)生電磁泄漏。當(dāng)前主要的措施是對傳導(dǎo)發(fā)射的防護和對輻射的防護。當(dāng)前網(wǎng)絡(luò)隔離的主要手段是設(shè)立防火墻。防火墻結(jié)合網(wǎng)絡(luò)流的來源進行限制，禁止非法網(wǎng)絡(luò)流。在通信系統(tǒng)中，還要采用軟件安全防護，實現(xiàn)動態(tài)防御與靜態(tài)殺毒相結(jié)合。

3.3 安全檢測

安全檢測就是要實時監(jiān)測網(wǎng)絡(luò)中與安全有關(guān)的事件，如資料竊取、非法入侵、泄密行為、違規(guī)使用等。系統(tǒng)需要對情況加以真實記錄，阻斷違規(guī)行為。安全檢測要具有防銷毀和篡改的特性，要跟蹤記錄有關(guān)安全的信息，分析和報告跟蹤中得來的信息。安全檢測要考慮選擇什么信息加以跟蹤檢測。安全檢測可以用于對內(nèi)部的越權(quán)操作審計，阻止越權(quán)操作。

4 電力通信網(wǎng)安全方案的設(shè)計

4.1 網(wǎng)絡(luò)出口的安全解決方案

網(wǎng)絡(luò)出口是網(wǎng)絡(luò)安全防范的關(guān)鍵。針對電力通信網(wǎng)的出口，除了借助防火墻進行安全控制外，生產(chǎn)控制大區(qū)的二次系統(tǒng)安全防護要在技術(shù)上系統(tǒng)性地考慮上下級各種數(shù)據(jù)業(yè)務(wù)需求、網(wǎng)絡(luò)的縱向互聯(lián)、橫向互聯(lián)和數(shù)據(jù)通信的安全性問題，

在對網(wǎng)絡(luò)黑客和惡意代碼攻擊等安全問題進行防御時，一般會通過安全區(qū)、專用網(wǎng)絡(luò)等劃分，實現(xiàn)多層次的防線，保證對系統(tǒng)進行實時監(jiān)控，實現(xiàn)業(yè)務(wù)的正常運行。

4.2 網(wǎng)絡(luò)邊界安全解決方案

網(wǎng)絡(luò)邊界要作用于災(zāi)難發(fā)生時的抑制點，以控制影響的擴散。安全域要保證域邊界的安全防護。電力系統(tǒng)的邊界安全控制主要采用了防火墻和入侵防御。其中，防火墻是目前使用最廣泛的網(wǎng)絡(luò)安全技術(shù)，其核心思想是在網(wǎng)間環(huán)境中構(gòu)造相對安全的子網(wǎng)。防火墻在網(wǎng)絡(luò)間設(shè)置了訪問控制，限制了被保護網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的信息傳遞。防火墻作為隔離控制技術(shù)，可以結(jié)合通信網(wǎng)絡(luò)的安全策略控制信息流。

4.3 接入管理

接入管理技術(shù)圍繞著用戶身份認證和外設(shè)合規(guī)檢查及網(wǎng)絡(luò)狀態(tài)監(jiān)控展開。整個運行機制包括“檢測-決策-執(zhí)行”三個環(huán)節(jié)。

檢測包括準入前檢測和準入后檢測。對外設(shè)網(wǎng)的網(wǎng)絡(luò)權(quán)限進行限制，一般需要在準入前完成，認證用戶身份，對外設(shè)是否合格進行檢查，檢查的內(nèi)容有用戶/外設(shè)綁定與IP/MAC綁定等的安全狀態(tài)。在準入后，需要對外設(shè)安全狀態(tài)及用戶的合規(guī)操作進行周期性的檢測，確保在網(wǎng)絡(luò)訪問期間，外設(shè)不會受到影響。

針對檢測結(jié)果和管理者設(shè)置的安全規(guī)則，系統(tǒng)會對這些內(nèi)容進行分析，然后提供決策，這些內(nèi)容有允許/組織訪問網(wǎng)絡(luò)等。

準入控制器通過準入決策的分析，可以執(zhí)行相關(guān)的工作，執(zhí)行的工作有允許與阻斷等?！皺z測-決策-執(zhí)行”是一個周期性的循環(huán)，能對外設(shè)安全狀態(tài)進行捕獲，及時發(fā)現(xiàn)是否存在安全轉(zhuǎn)態(tài)改變的問題，這樣就能確保網(wǎng)絡(luò)準入的有效控制。

4.4 網(wǎng)絡(luò)準入控制系統(tǒng)

（1）在對訪問網(wǎng)絡(luò)進行請求時，受控實體是外設(shè)設(shè)備，一般為筆記本與臺式電腦等。外設(shè)安全狀態(tài)信息的采集是由客戶端軟件負責(zé)的，同時也對安全策略進行檢查，與第三方安全產(chǎn)品實行聯(lián)動，對產(chǎn)品安全進行有效的監(jiān)管。外設(shè)數(shù)據(jù)包在沒有客戶端的情況下，是由準入控制器負責(zé)獲取的，對外設(shè)的運行狀態(tài)進行檢查，然后對安全狀態(tài)進行評估。

（2）準入控制器。網(wǎng)絡(luò)準入控制系統(tǒng)中準入控制器是策略執(zhí)行單元，也是網(wǎng)絡(luò)準入控制系統(tǒng)的關(guān)鍵部位。外設(shè)設(shè)備的網(wǎng)絡(luò)訪問請求被準入控制器接收后，服務(wù)器可以接收到相關(guān)的信息進行檢查，并且在進行準入控制決策時，需要準入服務(wù)器的幫助，對外設(shè)實施準入控制，這時就可以對外設(shè)訪問網(wǎng)絡(luò)進行有效的控制。

（3）準入服務(wù)器。網(wǎng)絡(luò)準入控制系統(tǒng)中準入服務(wù)器是策略管理單元。管理員需要將網(wǎng)絡(luò)準入策略預(yù)先設(shè)置在準入服務(wù)器上；基于網(wǎng)絡(luò)準入策略與準入控制器傳遞的用戶，準入服務(wù)器可以對安全狀態(tài)信息進行評估，然后對準入控制進行合理決策。

4.5 流量風(fēng)險控制

流量控制技術(shù)原理是通過對業(yè)務(wù)流量進行實時監(jiān)測，精準識別其中的異常攻擊流量，在不影響正常業(yè)務(wù)的前提下，清洗掉異常流量，實現(xiàn)服務(wù)器的流量限流，減輕攻擊流量對服務(wù)器造成的損害，保證服務(wù)正?？捎?。整個過程可以分為流量檢測和流量清洗兩個部分。

流量檢測是檢測單位時間內(nèi)通過網(wǎng)絡(luò)設(shè)備或傳輸介質(zhì)的信息量（報文數(shù)、數(shù)據(jù)包數(shù)或字節(jié)數(shù)）。應(yīng)用不同的方法對網(wǎng)絡(luò)中不同位置的不同空間粒度及粒度下的網(wǎng)絡(luò)流量進行采集，然后在數(shù)理統(tǒng)計、隨機過程等數(shù)學(xué)工具的應(yīng)用下，對網(wǎng)絡(luò)流量的相關(guān)屬性進行定義，然后可以對網(wǎng)絡(luò)流量進行有效分析，可以得到網(wǎng)絡(luò)流量的具體構(gòu)成、分布等特征，稱為流量檢測。

流量清洗，即網(wǎng)絡(luò)層惡意流量清洗（AnTI Malicious Network Traffic），是指針對通過網(wǎng)絡(luò)層訪問業(yè)務(wù)的所有網(wǎng)絡(luò)流量，進行惡意流量排除，保障業(yè)務(wù)系統(tǒng)的流量當(dāng)中排除了攻擊及惡意流量。從業(yè)務(wù)場景來說，流量清洗應(yīng)涵蓋DDoS攻擊防護、CC攻擊防護、Web攻擊防護、批量機器行為防御、業(yè)務(wù)安全/風(fēng)控及網(wǎng)絡(luò)限流等防護能力。

4.6 電力通信網(wǎng)需求分析

基于信息化與網(wǎng)絡(luò)化快速發(fā)展背景，促使計算機得到進一步普及。通信技術(shù)已經(jīng)成為民眾生活重要組成部分，為通信市場拓展提供良好技術(shù)支撐。然而在市場需求持續(xù)增加過程中，對流量輸出與企業(yè)信息等帶來更多調(diào)整，所以需要對電力發(fā)展方向以及需求等進行充分分析。

（1）財務(wù)管理系統(tǒng)應(yīng)用。借助前沿計算機軟件，能夠促使電力信息體系更加系統(tǒng)化與自動化，客戶辦理電子業(yè)務(wù)不需要人力即可完成，計算機借助系統(tǒng)和軟件進行有機結(jié)合，可以使通信體系環(huán)節(jié)更加簡化，有效促進工作效率。

（2）計量系統(tǒng)應(yīng)用。該系統(tǒng)可以有效監(jiān)控電力通信中所有環(huán)節(jié)，并處理系統(tǒng)工作中收費與流量等信息，還能夠整理、反饋處理結(jié)果，管理人員可以進一步分析反饋結(jié)果，及時發(fā)現(xiàn)通信需求的問題。該系統(tǒng)促使傳統(tǒng)計量手段得到充分優(yōu)化，有效提高計量速率，并保證計量結(jié)果準確性。

（3）即時通信體系應(yīng)用。該系統(tǒng)能夠按照用戶信息有效控制用戶權(quán)限，對于不同用戶等級，其享有的授權(quán)也會存在一定差異。有效提高訪問數(shù)據(jù)庫流程的保密程度，促使用戶在數(shù)據(jù)安全方面的要求得到充分滿足。同時，該系統(tǒng)可以記錄重要數(shù)據(jù)信息，避免由于數(shù)據(jù)丟失使用戶受到一定損失[3]。

5 結(jié) 論

電力通信網(wǎng)的發(fā)展推動了電網(wǎng)企業(yè)的發(fā)展，對于管理層、網(wǎng)絡(luò)層以及物理層等方面數(shù)據(jù)安全問題。數(shù)據(jù)安全防護方案的選擇要結(jié)合電力通信存在的安全隱患，結(jié)合網(wǎng)絡(luò)安全的發(fā)展趨勢，積極通過網(wǎng)絡(luò)出口的安全解決方案、網(wǎng)絡(luò)邊界安全解決方案、接入管理、流量風(fēng)險控制以及電力通信需求分析等手段，最大限度保證電力通信網(wǎng)的數(shù)據(jù)安全，促進電力行業(yè)穩(wěn)定、健康發(fā)展。