浅谈电力系统企业内网网络安全

2017-11-30田锐

中国信息化 2017年9期

关键词：访问控制网络设备电源

文｜田锐

浅谈电力系统企业内网网络安全

文｜田锐

《中华人民共和国网络安全法》于2017年6月1日起发布施行了，网络安全已经受到国家的重视。电力系统企业内网的安全问题也引起高度重视，需要不断加强对网络安全的管理工作，从而更好地保护企业信息的安全性。

一、电力系统网络现状及存在安全隐患

当前，电力系统正在飞速发展，在电力企业中，计算机网络已经得到普遍应用，目前电力系统的网络可分为两部分，一是生产控制系统和生产实时数据传输网，依靠计算机网络的数据传输技术，实现信息数据传输的高效与实时。二是辅助办公网络，常用的应用有OA系统、设备缺陷管理系统和各种web应用等。网络安全是影响电力生产安全的一个重要因素，因此，电力系统网络建设通常会将生产控制系统网络与辅助办公网络进行物理隔离，这样可以避免许多来自网络以外的因素对生产控制系统网络造成损害。目前生产控制系统网络及辅助办公网络的主要风险是硬件设备和软件系统的故障，同时也有内部用户使用不当造成的危害，或组建及升级系统的过程中所带来的威胁，以及外部的物理环境造成的损害。这些风险造成的后果往往是重要数据的损坏或丢失，因而无法满足电力系统对数据完整性与保密性的要求。正是由于存在着许多风险，电力系统的网络安全建设也必须要引起我们的重视。

二、加强电力系统网络安全的策略

电力系统的网络安全，相对于其他企业来说，尤其重要，根据常见的网络安全风险，大致可分为以下几个方面。

（一）物理设备硬件损坏及故障

计算机网络的物理设备硬件安全指的是网络硬件设备、计算机、服务器、光纤收发器等硬件设备的安全防护，还包括了对通信链路等各种连接线路的保护，避免这些设施被人为破坏以及自然灾害所带来的损坏。

物理设备硬件损坏和故障，是较为常见一种安全风险，这种风险一般是不可预见风险，由于计算机、网络设备及通信链路等硬件设备存在因生命周期、外部环境影响、电源影响及人为破环等原因，使网络中各节点的硬件故障无法做到预判预防，因此我们通常采用选购国内知名品牌的设备及双机双链路热备的方式运行，以达到单一故障节点不会导致网络中断，因而不影响数据的实时传输。

（二）病毒、恶意程序及黑客攻击

由于计算机病毒具有隐蔽性、传染性和破环性，给电力系统网络安全带来严重的威胁，同时有效预防来自网络黑客的攻击行为，也要格外引起重视。

计算机病毒是大家所熟知的影响网络安全的一个重要方面，因各种原因导致网络中感染了计算机病毒或者恶意程序，都会给计算机网络造成极大的影响，导致数据传输错误或者数据中断，甚至会造成整个网络中断。因此，对于计算机病毒的防和控都十分重要。对于生产控制系统网络，要对网络内的计算机安装防病毒软件及定期进行系统补丁升级，网络交换机开启DHCP snooping、使用静态ARP表、shutdown空余端口等安全配置。同时严格要求禁止用户私自使用便携存储设备，禁止单一计算机使用双网卡连接生产控制系统网络和辅助办公网络，禁止无关人员使用及连接生产控制系统网络内的计算机和网络设备。对预防黑客攻击行为，可以在网络出口处加装单向隔离装置，使生产数据单向传输，确保不受网络黑客的攻击。

（三）电源故障及自然灾害的防护

网络设备及计算机均要使用独立供电系统，对供电电源的电压及电流稳定性也有较高要求，电源电压及电流波动带来的影响对网络设备及计算机来说是致命的。

电源故障也是影响网络安全的重要因素。因为电源故障对网络设备及计算机造成的损害十分严重，雷电及供电设备故障引起的高电压，会将设备的电路板击穿，甚至引起火灾，因此，为防止电源故障带来的灾害，需要对机房建筑物安装避雷装置，同时设置双路电源供电，并加装双电源自动切换开关。为防止开关切换过程设备掉电，同时需配置UPS不间断供电电池及整流装置，防止电源故障引起设备损坏而导致网络中断。

（四）进行访问控制

电力系统外来人员较多，新旧设备调试及各种系统上线都会有许多外部人员需要使用电力系统内部网络，而外部人员所使用的设备安全性无法确定。同时内部人员的终端是否符合安全入网的规则，不同层级的员工访问需求也各不相同。访问控制就是按用户身份及其归属划分，限制用户对某些信息的访问，或限制对某些控制功能使用的一种技术。为保证电力系统内部网络资源不被非法访问，需要对不同的人员分别进行访问控制。我们常用的访问控制实现策略有入网访问控制、网络权限限制、目录级安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制以及防火墙控制。这些策略的使用可以保证网络数据的安全，防止数据资料外泄，对电力系统的网络安全起着至关重要的作用。

（五）进行数据加密

数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息安全的作用。数据加密技术可分为数据传输加密技术、数据存储加密技术、数据完整性的鉴别技术和密钥管理技术。电力系统一般使用专用纵向加密认证装置，设置于电力控制系统的内部局域网与电力调度数据网络之间，用于安全区的广域网边界保护，同时为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。

（六）完善的管理制度

在电力系统的网络安全管理中，除了拥有良好的技术方法和防护措施外，还必须建立起完善的管理制度。拥有完善的管理制度，可以更好的规范员工使用网络资源，明确管理职责，引导员工更好的利用网络资源，学习网络技术。因此还应做到以下几点：划分安全管理等级和范围，制定网络管理规程、应用系统管理规范、数据定期备份管理和出入机房管理等制度，制定网络系统的维护制度和各种应急措施，定期进行应急演练。