高俊彦+曾麟+郑晓钟+陈志民

【摘 要】随着电网智能化程度的不断提升，电力系统对网络的依赖程度也越来越高，本文探讨在做好国网“十六字”安全防护总体策略的同时，对现有电力系统安全防护体系进一步强化，以保障电网安全运行。

【关键词】电力系统；网络设备；安全防护

引言

当前国网电力系统已经进入”电力流、信息流、业务流“高度融合的智能电网阶段，随着电网调度控制系统功能不断丰富、调度数据网覆盖范围的扩展以及对相关应用的用户数量的增长，使得电力监控系统信息安全威胁来源愈发多元化。当前国际上已经出现针对电网系统从地市级乃至国家级网络攻击案例。因此在围绕2002年国家 “863”项目由“国家电网调度中心安全防护体系研究及示范”提出了我国电力系统信息安全防护总体策略的十六字方针：“安全分区、网络专用、横向隔离、纵向认证”。本文探讨在全面落实十六字安全方针的基础上，在地市局电力企业层面如何进一步强化电网监控系统信息安全，使之成为电力生产网络重大保电项目的一个重要保障。

一、当前电力系统所面临的网络安全风险

目前针对电力系统信息安全主要攻击网络途径有：

1.远程非法突破网络边界，利用通用网络服务进入内部网络和系统；

2.绕过过建筑物、机房等基础设施的物理安全防护，直接接触内部网络或主机，从内部网络设备的端口和串口，主机设备的USB接口、串口和光驱进入系统；

3.越过建筑物、机房等基础设施的物理安全防护，直接接触内部网络或主机的输入输出设备，冒用合法用户或超越自身用户权限（软件安装、程序运行、配置变更、应用操作）。

二、如何加强电力系统安全防护

（一）在保障数据可靠方面

地市级电网调控作为调度数据网的接入层，纵向向上可达省调监控中心向下则邻接各个220kV变电站乃至110kV、35kV变电站，数据传输的保密性通过纵向加密装置对业务流进行非对称加解密处理，其算法使用国密局为电力专用的sxx06算法，使得传输的业务流具有”看不懂、改不了“的特性。但纵向加密系统就像个向下扣在桌上玻璃杯，四周严密但下方与桌面的接缝却存在一定的空隙。这个缝隙正是分布在各地区的无人值守变电站和电厂，这些地方由于无人值守的机制，导致现场人员、管控手段的缺乏，往往会成为安全防护的突破口。因此有必要在纵向加密之外，在变电站的站控层级进行小区域的业务过滤和安全判断，例如首先可以通过网管软件对各站之间网络端口流量进行监测对发现的流量异常行为及时排查，其次可以采用在核心变电站场站安装网络风险监测装置对远动机、保护装置间网络通讯进行监测、监测异常u盘插入等行为，并通过调度数据网络将异常数据上传到内网安全监视平台，对危害行为提前感知。

（二）在减少危害方面

除了在大区之间正反向隔离装置、安全区防火墙过滤、服务器、工程作业机终端补丁加固等传统做法外，还应根据地理分布范围、人员使用情况、使用重要性等进行划分，实现小区域的安全防护；例如：

1.在调控主站与其外延伸到各运维中心的交换机之间架设防火墙，防御外来安全管控较薄弱区域可能攻击；

2.在大楼内部不同部门间交换机上启用软件防火墙策略限定指定端口，以限制局部区域的病毒传播；

3.对接入硬件mac地址进行限定等手段限制危害扩展；

4.针对变电站数量多，安全防护设备难以全面部署的情况，启用软防火墙策略过滤的手段以弥补硬件数量不足的缺口。

5.在window系统设备上不仅应安装必要安防软件，更为重要的是考虑到软件系统自身系统缺陷也可能成为薄弱点，如在每次升级前，使用离线测试机监测对生产业务系统的影响；正式升级时，对业务系统设备升级分批次分时段进行，以避免出现系统业务或终端全面瘫痪的安全事故。

（三）组建安全信任体系

近年来大量新型攻击方式不断涌现，“震网”“火焰”以及“BlackEnergy”等一批恶意代码均为电力系统量身定制，扩散及破坏非常隐蔽，能突破传统的以隔离为主的安全防护体系。随着安全威胁代码库规模的迅速增长，使得电网企业以往主要依赖定期升级病毒库的查杀手段存在滞后性，面对数量规模数万级、快速增长的病毒木马和新出现的未知恶意代码时拙荆见肘。

在“拦不住、查不清”的情况下，面临被攻进来怎么办的情况？这时通过“计算+保护”的双计算体系，建立可信的计算环境，将调度数字证书和安全标签技术融入SCADA控制的各个环节，形成自动识别“自我”和“非我”程序的安全免疫机制。将成为未来电网安全防护重点发展的方向，目前主要可信计算包括以下六个方面：

1.基于白名单的静态可信度量.

通过白名单机制对系统中所有装载的可执行文件代码（例如，EXE、DLL、COM等）进行控制； 在程序加载前先进入验证过程：程序有签名时，对可执行文件、动态库、内核模块文件进行验签，通过白名单验证软件的完整性、来源和检测情况；没有签名时，对可执行文件、动态库、内核模块文件进行摘要计算，通过白名单验证软件的完整性；

2.软件版本管理.

由电力调度数字证书系统根证书依次派生出开发证书、检测证书、可信管理中心平台证书和管理员身份验证证书；针对软件开发、检测、管理员登录、策略模板等环节进行验签和身份鉴别；

3.可信网络连接.

当客户端A业务访问请求客户端B时，需要先建立双向认证的可信连接，通过认证后，允许建立业务连接。

4.动态度量.

对运行状态中的内核关键数据及进程状态进程度量。其中，度量对象包括操作系统内核的代码段、只读数据段、关键跳转表和应用层的进程代码段。除了为可信证明机制提供支撑外，内核度量功能主要服务于可信软件基的自身保护机制，应用度量功能主要服务于访问控制机制。

5.强制执行控制.

目标是对特定代码的执行进行限制，阻止其被恶意侵入的进程或误操作启动。即，要求指定程序/动态库不能在指定方式以外的情况下执行/加载。可信计算安全模块将系统公有库及基本应用划分为公有域，同时，将不同应用划分为不同的私有域集合；默认情况下，公有域不能执行私有域中的代码，私有域间也不允许互相调用；

6.系统配置管理.

依据智能电网调度控制系统中的“执行、立法、监督”三权分立原则以及最小特权和权值分离原则，将系统的超级管理员特权划分为系统管理员、安全管理员以及审计管理员。

三、结语

网络病毒危险源是随着计算机技术的发展不断演变的，因此电网企业网络安防工作始终在路上。只有在不断细化現有安全措施的情况下，不断强化人为操作的信任、软件自身操作行为再判断这两个方面的工作，才能以不变应万变，提升系统自身免疫力。

参考文献：

[1]邓建成.变电运维工作的安全风险分析与管理实践[J].经营管理者.2013（30）：96-96.