康 鹏

（山东黄金电力有限公司，山东 莱州 261400）

0 引 言

为了促进我国电力系统运行水平的提升，应对信息通信网络安全问题进行深入分析与探讨。通过采取有效的防护措施保证电力监控系统通信安全，提升电力系统的稳定性，从而使企业的供电质量可以得到提高。

1 电力系统通信网络概述

电力系统信息通信网络具有专业性与综合性特点。专业性是指网络技术、电力系统等操作必须由专业的工作人员才能完成，对信息通信和电力系统不够了解的工作人员无法胜任这项工作，也无法参与深入的管理工作。信息通信网络具有综合性强的特点，其中涉及自动化技术、电力技术、计算机技术等，内容非常复杂。如果国家的科学技术水平不高，将会影响电力系统通信网络技术的发展[1]。我国地域辽阔，不同地区的经济发展程度和用电需求也存在较大差异，影响电力系统通信网络的运营效果和建设规模。

工控系统主要由电网各个部分自动化控制子系统构成，在高新信息技术发展过程中，异构终端被接入到工控系统中，使得数据呈现多元化，影响了网络安全防护系统的作用。人们对于网络安全问题有所忽视，对于网络运行中出现漏洞没有及时解决，如果受到外界攻击，会造成很大的经济损失[2]。随着电力系统智能化建设，操作人员的工作量得到减少，工作强度得到减轻，但是对其技术要求更为严格。在人工操作过程中，电力系统通信网络受其影响较大。目前，一些电力企业对于员工的培训不到位，导致相关人员的操作水平不能满足电力系统的要求，从而造成一些不安全的操作隐患，对电力系统的稳定运行造成影响。电力通信网的构成如图1所示。

图1 电力通信网

2 电力监控信息安全存在的主要问题

首先，网络设备中存在一定的风险。设备维修过程中难免会有人为漏洞，系统安全性不能得到保障。如果系统被黑客入侵，将会造成不可估量的后果。此外，部分网络设备中存在一些能够被唤醒的程序，如果被恶意利用，将会导致电力系统通信网络中断或设备瘫痪。

其次，系统内部存在一定的安全风险。在信息技术不断发展的过程中，网络信息系统对电力系统的影响较大[3]。例如，计算机中产生的电辐射会干扰电力监控系统，使之产生安全风险。在电力系统无线传输过程中，如果没有进行加密，则电力系统容易受到人为的攻击或者破坏。

3 电力监控自动化系统中的信息安全防护设计

3.1 安全隔离设计

在电力系统网络安全防护中，可以通过安全隔离设计保护电力系统的信息安全。

3.1.1 防火墙设计

通过防火墙设计，可以实现对电力监控自动化系统内网和外网的隔离，保障信息的安全性。在设计防火墙时，通过过滤等方式对电力监控自动化系统中的内网环境进行保护。当前，防火墙技术可以发挥有效的隔离作用，在标记、预防和跟踪攻击等方面有着非常重要的作用。但是，防火墙也只能起到防护的作用，不能对存在的漏洞进行修补。如果信息风险是由系统程序本身引起的，防火墙的作用就无法体现出来。例如，防火墙对于电子邮件类型的病毒植入就不能有效辨别，从而失去防护效用，此时需要通过物理隔离的方法来解决[4]。

3.1.2 物理隔离

物理隔离是在防火墙的基础上发展而来，通过硬件设备对主机和主机、主机和网络、网络和网络实现物理隔离。信息安全防护设计应严格控制物理隔离设备的标准，对信息传递进行控制，通过多级访问制提升物理隔离的防护水平。物理隔离需要有多个接口，工作人员利用不同的接口对系统的运行进行监督，做到实时监控，保障安全管理。

3.2 安全区的划分

在电力监控自动化系统中，信息安全防护设计主要采用划分安全区域的方式，一般从横向和纵向两个方向出发，对安全区的防护应用进行分析。某电厂电力监控自动化系统分为横向、纵向安全路径，包括安全1区、安全2区和安全3区。

横向安全设计中，在安全1区和安全2区中间位置设置断开点，通过连接防火墙对内网到外网以及外网到内网的数据包进行过滤，并对信息的流向进行控制，做好安全风险防范。

纵向安全设计一般分为两个部分。一部分是在电力监控自动化系统中实现安全1区和安全2区与长站端连接，并在自动化设备中进行加密认证，保证纵向信息流能够规范流通，防止信息泄露；另一部分主要是在电力监控厂站端将二次系统中远方拨号的通信设置改为认证加密设置，防止信息出现丢失的问题[5]。监控系统安全分区及边界防护如图2所示。

图2 监控系统安全分区及边界防护图

3.3 信息安全防护

电力监控自动化系统也要进行安全区分，通过调度自动化、通信自动化以及配电自动化进行连接。电厂生产现场能够实现实时监控，中心数据通过路由器和防火墙过滤筛选后输送到自动化系统。在区域电力信息安全管理系统中接入防火墙以及调度指挥管理系统，可以在物理隔离和防火墙的隔离作用下接入到通信自动化区域中，防护各个区域电力信息安全，保证电力监控自动化系统的安全性，防止出现被窃取和干扰的问题。

4 电力监控系统安全防护要点

4.1 提升安全防护人员自身素质和专业能力

为了保证通信网络安全的运行，应强化防护人员系统操作能力。在通信网络安全防护工作中，工作人员需要不断提升自身素质和专业能力，可以通过手机App中的学习软件随时学习。电力公司可以借助互联网组织培训，提供线上培训平台，并在培训后进行考核。此外，电力企业还可以开展各种通信网络安全防护比赛和演练活动，通过比赛和演练提高工作人员对通信网络安全系统的重视。在实际网络安全攻防演练中，可以围绕“以攻促防、攻防结合；政企联动，全面应急”的原则展开，采用模拟竞赛的方式组织员工模拟攻击网上营业厅系统。参赛人员可以被分为多个小组进行网络安全攻防竞赛，让员工在实际操作中加深理解。

4.2 加强网络安全监控体系

在电力监控系统网络关键节点中，可以部署安全审计、工业入侵检测以及日志审计系统，监测网络流量，对操作中出现的异常做好相关记录，方便后续进行取证和定责。在网络运行过程中，加强对数据包的检测和分析。对于存在的异常数据或者非法操作的数据包进行深入分析，分辨其是否存在外界入侵或者不合规的操作。对于存在的异常情况进行审计，并发出警报，实地现场运维人员可以及时处理。在进行安全审计过程中，对于出现的故障能够进行分析，同时对于不完善的地方可以优化部署，为安全保护类设备的安全策略提供数据支持。此外，还可以对安全事件的数据进行整合、分析和评估，为安全事件追溯、追责提供证据。

4.3 加强区域边界安全建设

在电力通信系统通信安全技术应用过程中，通过专业隔离实现对产品边界的防护，对于存在的漏洞和攻击行为进行拦截与警告。

4.4 加强计算环境安全建设

在电力通信系统安全防护过程中，还应建设安全的计算环境。计算环境安全管理包括入侵检测、恶意代码防护、剩余信息保护、系统漏洞、安全审计以及外设管理等。在实际安全防护工作中，可以采用白名单技术保证软件和程序的正常运行，加强对代码的审计工作和监测，通过完整监测法发现程序被修改后采取措施。对USB接口和网络端口的情况进行实时监控，提供自定义的外设管理，对非授权外设接入进行严格控制，并提供完备的操作日志，泄密事故发生后可以从操作日志中追溯泄密文件、日期以及设备等信息，为后续的追责提供证据。对此，通过安装漏洞扫描系统，为客户提供专业的漏洞分析，并提出漏洞修补的建议，从而做到防患于未然。

4.5 加强安全防御体系建设

在系统建设过程中，经常会出现身份不确定、过程不可控、事中不透明、授权不清晰、事后无法审计以及责任不明等问题，导致存在运维风险。在电力监控系统运维系统中，应实现对网络设备、服务器、安全设备的监控。对账号进行集中管理，应用访问授权、高强度认证加固、加密与图形操作协议审计等，实现可控、可见、可管状态，对运维操作步骤进行规范，防止出现失误操作，也可以防止非授权操作带来的隐患。在原有防范系统的基础上，加强安全管理平台对现场设备和软件的集中管理，通过统一的策略配置接口确保设备和软件的运行状态正常。在安全防护设置中，对装置进行统一的配置和管理，对网络通信的流量与安全事件进行监测，降低安全威胁，消除信息孤岛，从整体角度进行安全攻击溯源，解决安全防护设备和运维导致的信息不流畅等问题。在电力通信网络安全技术应用过程中，应重视物理设备的安全。为了保证设备安全稳定运行，合适的物理环境尤为关键。一般而言，需要实时监测和调整机房的温湿度，同时还要做好防火、防水、防静电以及防雷击等安全防护工作。

5 结 论

为了解决电力通信网络安全问题，应当加强网络信息安全防护，保证电力供应的稳定性和安全性。在电网运行过程中，应通过信息通信安全防护措施提升系统的安全性能，有效抵御恶意攻击和破坏，提高智能电网建设水平，从而提升供电可靠性和供电质量。