張 媛

（太原學(xué)院，山西 太原 030012）

0 引言

當前，計算機技術(shù)廣泛應(yīng)用于各個行業(yè)，提升了我國各行業(yè)的工作效率，也使我國步入了現(xiàn)代化發(fā)展的進程。電網(wǎng)企業(yè)為進一步提高供電的可靠性，提升企業(yè)效率以及服務(wù)能力，開始大力發(fā)展配網(wǎng)自動化技術(shù)，通過配電網(wǎng)（以下簡稱“配網(wǎng)”） 自動化系統(tǒng)來實現(xiàn)配網(wǎng)設(shè)備及系統(tǒng)的監(jiān)控、控制以及故障處理，以提高配網(wǎng)運行的可靠性。但在配網(wǎng)自動化的實際運行中，配網(wǎng)自動化信息安全時常受到威脅，嚴重影響電力系統(tǒng)的安全可靠運行[1]，配網(wǎng)自動化網(wǎng)絡(luò)信息安全有效防護技術(shù)的開發(fā)及應(yīng)用刻不容緩。

1 配網(wǎng)自動化技術(shù)應(yīng)用的優(yōu)勢

1.1 配網(wǎng)自動化系統(tǒng)的重要性

在電力供應(yīng)過程中，各配網(wǎng)設(shè)備的運行狀況受傳統(tǒng)電力建設(shè)標準的限制，對配網(wǎng)變電站及線路設(shè)備的運行狀況未能及時、全面掌握，電力維護及故障查找、處理的滯后性嚴重影響設(shè)備安全及供電可靠性，無法為用戶帶來良好的用電體驗。為解決上述問題，提高供電的可靠性和工作效率，電網(wǎng)企業(yè)開始大力發(fā)展配網(wǎng)自動化技術(shù)，使電力供應(yīng)更加安全、可靠，大大提高了用戶的電力獲得感。

1.2 建立配網(wǎng)自動化系統(tǒng)提高了電力部門工作效率

電力配網(wǎng)系統(tǒng)是電力部門的工作核心，采用配網(wǎng)自動化系統(tǒng)，可適時地監(jiān)控各線路及變電站的運行負荷情況，依據(jù)各線路的負荷預(yù)測及優(yōu)化配置，針對實際運行情況，及時調(diào)整各線路及地區(qū)的電力供應(yīng)，從而更好地實現(xiàn)電力的靈活可靠調(diào)度，大大提高了配網(wǎng)運行的安全性及用戶的電力供應(yīng)可靠性，有效地避免了用電高峰期部分設(shè)備的超負荷運行風(fēng)險以及部分線路供電不足的安全風(fēng)險[2]。

2 配網(wǎng)自動化系統(tǒng)網(wǎng)絡(luò)安全防護問題

2.1 網(wǎng)絡(luò)環(huán)境對配網(wǎng)自動化系統(tǒng)網(wǎng)絡(luò)安全的影響

當前，電力配網(wǎng)自動化運行需要依靠互聯(lián)網(wǎng)進行工作，然而互聯(lián)網(wǎng)又是一個相對開放的環(huán)境，這就使配網(wǎng)自動化系統(tǒng)的網(wǎng)絡(luò)安全受到威脅。因為配網(wǎng)自動化系統(tǒng)的工作需要在網(wǎng)絡(luò)中進行，所以一些不法分子就會利用網(wǎng)絡(luò)的開放性對配網(wǎng)自動化系統(tǒng)的網(wǎng)絡(luò)進行攻擊，比如遠程木馬病毒攻擊，這種攻擊方式給系統(tǒng)網(wǎng)絡(luò)帶來的危害是長久的，雖然在前期工作過程中看不出任何端倪，但是當木馬病毒掌握了一定數(shù)據(jù)后，就會對系統(tǒng)網(wǎng)絡(luò)進行攻擊，輕則使配網(wǎng)自動化系統(tǒng)重啟，部分文件被木馬病毒刪除，重則就會導(dǎo)致系統(tǒng)癱瘓，無法正常工作，給電力部門以及配網(wǎng)自動化系統(tǒng)帶來威脅，造成不可估量的經(jīng)濟損失。

2.2 網(wǎng)絡(luò)物理防護欠缺帶來的威脅

導(dǎo)致電力配網(wǎng)自動化系統(tǒng)網(wǎng)絡(luò)出現(xiàn)安全風(fēng)險的一個原因是系統(tǒng)網(wǎng)絡(luò)物理防護機制的欠缺。電力配網(wǎng)管理系統(tǒng)是在網(wǎng)絡(luò)上進行工作的，并且管理系統(tǒng)的驗證方式也較落后，這就導(dǎo)致一些不法分子可以輕易地進入管理系統(tǒng)，對電力配網(wǎng)自動化系統(tǒng)進行破壞，甚至還可以隨意修改系統(tǒng)數(shù)據(jù)，使電力配網(wǎng)自動化系統(tǒng)癱瘓，給電力部門的工作帶來嚴重影響。因此，電力部門一定要重視網(wǎng)絡(luò)物理防護機制的建立，避免不法分子通過管理系統(tǒng)對網(wǎng)絡(luò)進行破壞[3]。

3 配網(wǎng)自動化網(wǎng)絡(luò)安全防護技術(shù)

配網(wǎng)作為電力系統(tǒng)的重要組成部分經(jīng)常會遭受到各種攻擊，其中，分布式拒絕服務(wù)DDoS（distributed denial of service） 攻擊和挑戰(zhàn)黑洞CC（challenge collapsar） 攻擊是最為常見的攻擊方式[4]。最常見的DDoS 攻擊有SYN 風(fēng)暴和Smurf 攻擊，DDoS 攻擊會以極大的信息量沖擊網(wǎng)絡(luò)，網(wǎng)絡(luò)中的帶寬都被消耗殆盡，以及建立大量的“半連接”來沖擊網(wǎng)絡(luò)，使IP 地址之間不能正常連接；CC攻擊則是攻擊者控制主機發(fā)送大量數(shù)據(jù)包給對方服務(wù)器，造成服務(wù)器資源耗盡，無法進行正常的服務(wù)。因此，建立安全的配網(wǎng)局域網(wǎng)系統(tǒng)結(jié)構(gòu)是保證電力配網(wǎng)系統(tǒng)安全運行的基礎(chǔ)和根本。

3.1 建立Nginx+Zabbix 的框架結(jié)構(gòu)管理

Nginx 反向代理及訪問控制的配置充當反向代理的角色用于隱藏真實IP，并實現(xiàn)訪問控制，抵抗CC 攻擊。數(shù)據(jù)庫同步與網(wǎng)絡(luò)文件系統(tǒng)NFS（network file system） 備份，將數(shù)據(jù)庫同步掛載、同步備份，并利用負載均衡可實現(xiàn)快速切換減少數(shù)據(jù)損失。Nginx 反向代理可用實現(xiàn)映射虛IP 及故障時快速切換服務(wù)以達到分布式系統(tǒng)高可用的性能。Zabbix 監(jiān)控部署可實現(xiàn)實時流量監(jiān)控。安全防護設(shè)備的部署及漏洞掃描設(shè)備部署實現(xiàn)安全防護及安全檢查。本次安全架構(gòu)主要以Nginx 反向代理Zabbix 實時監(jiān)控兩者結(jié)合使得這個系統(tǒng)充分實現(xiàn)隱藏服務(wù)器真實IP、訪問控制及負載均衡的功能[5]，可抵擋大流量攻擊時小流量竊取下載數(shù)據(jù)造成的服務(wù)器意外宕機。利用NFS 實現(xiàn)MariaDB 數(shù)據(jù)庫遠程掛載，在網(wǎng)站數(shù)據(jù)出現(xiàn)問題后可以快速有效地進行安全恢復(fù)。搭建最新的云鎖、安全狗設(shè)備保護網(wǎng)站的安全性，同時定期使用最新的安全掃描器比如X-SCAN 和Super-Scan對服務(wù)器主機掃描和對Web 網(wǎng)站進行掃描以檢查是否存在最新的漏洞，做到全面安全防護[6]。

3.2 建立以防火墻為核心的安全網(wǎng)絡(luò)體系

防火墻作為最重要的網(wǎng)絡(luò)安全防護設(shè)備起到了物理上的邏輯隔離作用，它是整個網(wǎng)絡(luò)安全防護的第一道大門，但它也存在諸多不足，比如“防外不防內(nèi)”，它認為內(nèi)部網(wǎng)絡(luò)值得信任，非常安全，但80%以上的攻擊反而是來自于內(nèi)部網(wǎng)絡(luò)，因此在電力配網(wǎng)系統(tǒng)中建議選擇分布式防火墻。分布式防火墻分為網(wǎng)絡(luò)防火墻、主機防火墻、中心管理3 個部分，網(wǎng)絡(luò)防火墻（傳統(tǒng)防火墻）、主機防火墻用來解決來自內(nèi)部的攻擊，增強內(nèi)部攻擊的安全性，對桌面機以及移動便攜主機進行保護，其管理中心采用分布技術(shù)進行安全策略的分發(fā)。管理中心統(tǒng)一對日志進行匯總和分析。防火墻也可以配合入侵檢測系統(tǒng)對網(wǎng)絡(luò)進行動態(tài)監(jiān)護，比如BlackICE 和“冰之眼”都是不錯的選擇。入侵檢測系統(tǒng)IDS（intrusion detection system） 檢測到入侵后告訴防火墻在系統(tǒng)訪問控制列表ACL（access control list） 表中加一條規(guī)則，阻止黑客入侵。防火墻也可以與反病毒軟件聯(lián)動安放在整個開放系統(tǒng)互聯(lián)OSI（open system interconnection） 參考模型的數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間，從源頭對IP數(shù)據(jù)包進行切斷，還可以配合認證系統(tǒng)、審計系統(tǒng)，從而保證配網(wǎng)系統(tǒng)的全面安全。

數(shù)據(jù)加密機制對配網(wǎng)系統(tǒng)中數(shù)據(jù)包在不同局域網(wǎng)之間相互傳輸，保證電力數(shù)據(jù)在傳輸過程中的安全性也是極其重要的手段?？梢圆捎肏ash 加密中的數(shù)據(jù)加密標準DES（data encryption standard）算法進行64 位的Hash 加密，保證數(shù)據(jù)包傳送過程中的安全，以及使用一些安全加密軟件，使加密過程更加高效便捷。

3.3 提升網(wǎng)絡(luò)物理防護措施

在配網(wǎng)自動化系統(tǒng)中，應(yīng)在原有系統(tǒng)中建立安全接入?yún)^(qū)，由接入數(shù)據(jù)交換系統(tǒng)實現(xiàn)公網(wǎng)與主站的隔離；同時對終端的安全接入進行控制與數(shù)據(jù)過濾，通過安全接入網(wǎng)關(guān)對設(shè)備之間的通信以及參數(shù)進行簽名，實現(xiàn)終端設(shè)備對應(yīng)用層系統(tǒng)的身份鑒別與報文內(nèi)容的保護。部署可信安全的接入網(wǎng)關(guān)——配網(wǎng)主站前置機，防止防護設(shè)備被劫持后，入侵前置機反控大量配電終端的問題。鑒于配網(wǎng)自動控制系統(tǒng)中終端的多樣性，在網(wǎng)絡(luò)安全防護的基礎(chǔ)上，要提升網(wǎng)絡(luò)物理防護機制。在登錄管理系統(tǒng)中，同時設(shè)定管理員賬號及動態(tài)登錄密碼，或建立生物登錄系統(tǒng)，如面部認證登錄、指紋識別登錄等，這樣不僅可以提升網(wǎng)絡(luò)安全系數(shù)，而且有效避免了不法人員破解賬號密碼，攻擊配網(wǎng)自動化系統(tǒng)的事故發(fā)生[7]。

3.4 串聯(lián)加密認證設(shè)備

配網(wǎng)終端多，終端數(shù)據(jù)通信的方式存在差異性，且擴容性不強，針對配網(wǎng)終端實際運行情況，可通過通信過程串聯(lián)終端加密認證設(shè)備，在配電終端多種通信方式、多廠家、多型號的終端通信系統(tǒng)中，利用終端加密認證設(shè)備，進行各通信方式的認證及安全屏蔽防護，特別在電力物聯(lián)網(wǎng)新的自動控制需求下，采用上述技術(shù)措施，在感知層的配電終端和網(wǎng)絡(luò)層之間串接加密認證設(shè)備，可更好地滿足各類通信方式連接的配電終端下的電力供應(yīng)自動化控制。

4 結(jié)束語

電力配網(wǎng)自動化作為電力供應(yīng)、運行、控制的關(guān)鍵系統(tǒng)，關(guān)系到電力的穩(wěn)定、安全、可靠供應(yīng)，同時也關(guān)系到各地區(qū)用戶的安全。因此，配網(wǎng)自動化一定要建立相應(yīng)有效的系統(tǒng)網(wǎng)絡(luò)安全防護機制，從而保證配網(wǎng)的穩(wěn)定運行。與此同時，要結(jié)合設(shè)備、系統(tǒng)安全防護技術(shù)，不斷優(yōu)化網(wǎng)絡(luò)設(shè)備、系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)防護方式，以提高配網(wǎng)自動化系統(tǒng)網(wǎng)絡(luò)安全系數(shù)，從而推動配網(wǎng)自動化的安全、快速發(fā)展。