云南電網(wǎng)有限責任公司玉溪供電局    

皇劍、馮程、何杰、王子豪

引言

今年來(lái)，隨著(zhù)“勒索”病毒以及window系統自然存在各類(lèi)漏洞問(wèn)題，對電力系統的的網(wǎng)絡(luò )安全造成了嚴重的隱患，由于網(wǎng)絡(luò )是否安全已經(jīng)成為各個(gè)部門(mén)、各項工作必不可少的基礎條件，同時(shí)網(wǎng)絡(luò )技術(shù)大量運電網(wǎng)的在線(xiàn)監測系統以及調控系統，同時(shí)，目前電網(wǎng)系統的“智能化”發(fā)展大量的運行網(wǎng)絡(luò )技術(shù)，假如電力系統受到網(wǎng)絡(luò )攻擊，將造成電網(wǎng)企業(yè)系統安全穩定運行造成威脅，嚴重的話(huà)，會(huì )造成區域電網(wǎng)與大電網(wǎng)系統解列或者區域電網(wǎng)系統癱瘓，動(dòng)搖國民基礎。

1 目前電力系統所涉及的在線(xiàn)監測系統

電力設備在線(xiàn)監測以及相應局級主站系統主要有：變壓器油色譜在線(xiàn)監測系統、變壓器套管在線(xiàn)監測系統、SF6氣體微水在線(xiàn)監測系統、GIS局部放電在線(xiàn)監測系統、容性設備在線(xiàn)監測系統、避雷器在線(xiàn)監測系統、視頻及環(huán)境監控系統、變電站獨立五防系統、無(wú)線(xiàn)測溫系統等。

2 目前電力系統網(wǎng)絡(luò )安全主要存在的問(wèn)題有

1、工作人員網(wǎng)絡(luò )安全意識淡薄，電力企業(yè)的大部分工作人員網(wǎng)絡(luò )安全意識較為淡薄，同時(shí)系統內基本上所學(xué)專(zhuān)業(yè)都是電力系統專(zhuān)業(yè)，針對網(wǎng)絡(luò )安全的專(zhuān)業(yè)人員極少，無(wú)法滿(mǎn)足系統內對專(zhuān)業(yè)網(wǎng)絡(luò )化人員的需求，遠遠不能滿(mǎn)足網(wǎng)絡(luò )安全的要求，使得電力系統的網(wǎng)絡(luò )信息安全處于被動(dòng)的、封堵漏滑的消極狀態(tài)。由于人員的網(wǎng)絡(luò )知識及網(wǎng)絡(luò )安全意識的淡薄，對電力系統的網(wǎng)絡(luò )安全防護工作的落實(shí)不到位，造成了電力系統網(wǎng)絡(luò )安全的隱患。

2、病毒的侵害，計算機病毒是對其網(wǎng)絡(luò )安全的最大威脅，自從產(chǎn)生計算機病毒以來(lái)，它就是計算機系統的最大敵人，它是網(wǎng)絡(luò )安全的最大阻礙。病毒感染能夠造成網(wǎng)絡(luò )通信的阻塞，使得系統數據與文件系統均受到破壞，從而導致系統無(wú)法服務(wù)，甚至在被破壞后無(wú)法恢復的現象，目前電力系統在線(xiàn)監測裝置使用的系統都是老舊的Windows XP及Windows Vista系統，隨著(zhù)微軟公司對Windows XP及Windows Vista系統后臺維護升級的停止，這就對電力系統的網(wǎng)絡(luò )安全造成了嚴重的威脅。今年來(lái)隨著(zhù)“勒索”病毒以及window系統自然存在各類(lèi)漏洞問(wèn)題，對電網(wǎng)的網(wǎng)絡(luò )安全造成了嚴重威脅。

3、信息化機構、制度的不健全，信息化作為一項系統工程，它的順利進(jìn)行除了需要專(zhuān)門(mén)的機構來(lái)推動(dòng)之外，還需要企業(yè)各個(gè)部門(mén)的積極配合。然而由于信息部門(mén)對此重視程度不夠，信息部門(mén)在電力公司也沒(méi)有設立專(zhuān)門(mén)的機構配置，也沒(méi)有規范的制度和崗位，從而加劇了網(wǎng)絡(luò )信息的不安全。

3 電力系統在線(xiàn)監測系統網(wǎng)絡(luò )安全對策

3.1 做好電力基礎設施的安全管理

結合電力行業(yè)的特點(diǎn)，做好電力基礎設施的安全管理，在電力系統內進(jìn)行數據備份，并且根據各個(gè)基礎設施的分布，形成相應的應急預案。為了進(jìn)一步保證電力在線(xiàn)監測系統網(wǎng)絡(luò )安全，除了做好網(wǎng)絡(luò )層面的安全管理之外，基礎設施安全管理也不可忽視。根據電力系統穩定運行狀況和企業(yè)生產(chǎn)經(jīng)營(yíng)情況，確定基礎設施的不同安全等級，制定相應的安全控制手段。借助現代化的網(wǎng)絡(luò )信息技術(shù)，對這里基礎設施進(jìn)行全方位的監控，一旦出現故障，可以及時(shí)發(fā)現并且進(jìn)行故障診斷，及時(shí)地找出故障發(fā)生的位置和故障出現的原因，根據應急預案的內容進(jìn)行優(yōu)先處理，進(jìn)一步優(yōu)化基礎設施，保證信息安全。

3.2 完善電力在線(xiàn)監測系統網(wǎng)絡(luò )安全管理制度

進(jìn)一步完善電力在線(xiàn)監測系統網(wǎng)絡(luò )安全管理制度，做好對電力在線(xiàn)監測系統網(wǎng)絡(luò )的安全管理，選擇層次化管理模式，將電力在線(xiàn)監測系統網(wǎng)絡(luò )進(jìn)行層次劃分，根據不同區域的實(shí)際情況，采取針對性的手段進(jìn)行區域化管理，能夠符合電力在線(xiàn)監測系統網(wǎng)絡(luò )安全管理特點(diǎn)，也能夠符合各個(gè)電力企業(yè)的實(shí)際情況，對于電力企業(yè)展開(kāi)實(shí)時(shí)控制。

3.3 建立電力在線(xiàn)監測系統網(wǎng)絡(luò )監控體系

針對電力在線(xiàn)監測系統網(wǎng)絡(luò )安全問(wèn)題，建立統一的電力在線(xiàn)監測系統網(wǎng)絡(luò )監控體系，確保電力在線(xiàn)監測系統網(wǎng)絡(luò )安全，根據這一監控體系可以整合現有的安全技術(shù)手段，及時(shí)的發(fā)現故障，根據監控內容，制定一些預防措施，避免系統出現安全問(wèn)題。借助信息安全真空管理體系，能夠及時(shí)的發(fā)現電力在線(xiàn)監測系統網(wǎng)絡(luò )安全漏洞，并且可以進(jìn)行模擬攻擊測試，模仿黑客攻擊，及時(shí)發(fā)現安全漏洞，并且根據安全漏洞的情況，進(jìn)一步完善電力系統的配置，消除安全漏洞。結合電力企業(yè)的運行要求，展開(kāi)網(wǎng)絡(luò )違規情況的定期掃描，合理限制不同員工的權限，避免人為破壞，對建立信息網(wǎng)絡(luò )進(jìn)行安全檢查，建立數據備份中心，確保電力在線(xiàn)監測系統網(wǎng)絡(luò )安全運行。數據備份是電力在線(xiàn)監測系統網(wǎng)絡(luò )安全的必要前提條件，理想的備份狀況是通過(guò)硬件來(lái)進(jìn)行全方位的對，分避免出現故障，如果由于一些軟件故障和人員的外部攻擊以及操作失誤等，造成電力信息數據的損壞，可以借助這一備份系統來(lái)恢復系統數據。同時(shí)，數據備份不僅僅可以應對網(wǎng)絡(luò )工具對于電力基礎設施的破壞來(lái)說(shuō)，也能起到良好的預防效果。外部基礎設施的破壞經(jīng)管會(huì )影響到電力在線(xiàn)監測系統網(wǎng)絡(luò )安全，但是由于數據備份，可以對電力系統進(jìn)行多層次的防護，避免出現邏輯損壞。

4 電力系統在線(xiàn)監測系統網(wǎng)絡(luò )安全工作落實(shí)

4.1 色譜后臺服務(wù)器以及在線(xiàn)監測裝置升級改造

電力系統在線(xiàn)監測系統Windows主機改造工作，目前針對玉溪電網(wǎng)存在的Windows XP、Windows Vista及Windows 2000等操作系統由于微軟公司已停止官方技術(shù)支持及后續的漏洞升級服務(wù)，完成對不符合Windows7操作系統的后臺服務(wù)器完成更換同時(shí)系統升級為Windows7操作系統。同時(shí)針對升級完成后的Windows系統對油色譜在線(xiàn)監測系統兼容問(wèn)題不足的問(wèn)題進(jìn)行專(zhuān)項處理。

4.2 系統退網(wǎng)

全部變電站設備在線(xiàn)監測系統原則上應退出綜合數據網(wǎng)進(jìn)行全面查殺與安全加固。退出方法為：在各變電站綜合數據網(wǎng)接入交換機上通過(guò)交換機命令，斷開(kāi)變電站設備在線(xiàn)監測系統連接端口。

4.3 邊界加固

在綜合數據網(wǎng)接入交換機上配置ACL策略，用白名單的方式只允許在線(xiàn)監測系統業(yè)務(wù)的接入端口及雙向訪(fǎng)問(wèn)的IP地址，并在黑名單的方式在該交換機所有端口禁止139、445等高風(fēng)險端口業(yè)務(wù)的雙向訪(fǎng)問(wèn)。

完善邊界防護策略，在綜合數據網(wǎng)接入交換機上配置ACL策略，用白名單的方式在該交換機對設備在線(xiàn)監測系統接入端口雙向訪(fǎng)問(wèn)的IP地址及端口進(jìn)行限制，并用黑名單的方式在該交換機所有端口禁止139、445等高風(fēng)險端口業(yè)務(wù)的雙向訪(fǎng)問(wèn)。

全面排查設備在線(xiàn)監測系統邊界安全防護設備（隔離裝置、防火墻、縱向加密裝置等）的部署、配置及運行情況，確保策略配置正確和設備穩定運行，在防火墻中置頂顯式加入禁止135、137、138、139、445和3389端口的安全策略，并開(kāi)啟日志功能。

全面排查設備在線(xiàn)監測系統的網(wǎng)絡(luò )互聯(lián)情況，形成設備在線(xiàn)監測系統網(wǎng)絡(luò )拓撲圖（網(wǎng)省兩級需配備），徹底杜絕跨網(wǎng)互聯(lián)、違規連接等問(wèn)題。

4.4 病毒查殺

WINDOWS及LINUX服務(wù)器/終端：操作系統管理用戶(hù)身份鑒別信息應不易被冒用，口令復雜度應滿(mǎn)足要求并定期更換?？诹铋L(cháng)度不得小于8位，且為字母、數字或特殊字符的混合組合，用戶(hù)名和口令不得等同，禁止應用軟件明文存儲口令。

進(jìn)行設備在線(xiàn)監測系統服務(wù)器及終端主機進(jìn)行病毒查殺及的安全加固。關(guān)停Windows操作系統的135、137、138、139、445、3389端口，禁止啟用相關(guān)系統服務(wù)。及時(shí)測試并更新Windows操作系統補丁，并對微軟公司不再提供服務(wù)支持的操作系統進(jìn)行版本升級（包括Windows XP、Windows Vista、Windows 2000、Windows 2003、Windows 2008等）。

5 結語(yǔ)

電力系統作為一個(gè)復雜的多領(lǐng)域的系統性工程，涉及到電力發(fā)電、變電、輸電、配電等諸多環(huán)節，電力系統信息安全防護主要包括電網(wǎng)調度數據化、電力負荷控制、繼電保護和配網(wǎng)自動(dòng)化外，還涉及電力系統營(yíng)銷(xiāo)及繼電保護安全裝置等，其關(guān)系到營(yíng)銷(xiāo)、生產(chǎn)與管理等多個(gè)方面，是一個(gè)復雜且龐大的網(wǎng)絡(luò )系統，其安全穩定運行與正常的配送電有直接的影響，關(guān)系到社會(huì )的發(fā)展穩定，做好電力系統的網(wǎng)絡(luò )安全防護，避免各類(lèi)病毒及各類(lèi)網(wǎng)絡(luò )安全漏洞對電力系統的網(wǎng)絡(luò )安全帶來(lái)的嚴峻威脅，保證電力系統的安全穩定，避免給企業(yè)、社會(huì )帶來(lái)?yè)p失，保證國家社會(huì )穩定。

參考文獻

[1] 謝銘，陳祖斌，張鵬等.基于人工智能的電力在線(xiàn)監測系統網(wǎng)絡(luò )安全自防御研究[J].現代工業(yè)經(jīng)濟和信息化，2019，9（01）：71-72+79.

[2] 張民磊.網(wǎng)絡(luò )安全法與電力信息安全管理應用思考[J].網(wǎng)絡(luò )安全技術(shù)與應用，2019（02）：78-79.

[3] 李雨泰.電力企業(yè)信息網(wǎng)絡(luò )安全管理系統的構建分析[J].信息系統工程，2019（01）：74.

[4] 李慎之.關(guān)于計算機網(wǎng)絡(luò )安全防御技術(shù)分析[J].赤子，2019（7）：132.

[5] 張葛.計算機網(wǎng)絡(luò )安全現狀和防御技術(shù)分析[J].山東工業(yè)技術(shù)，2019（4）：141.

[6] 劉超南.計算機網(wǎng)絡(luò )安全現狀及防御技術(shù)[J].通訊世界，2019，26（1）：123-124.

[7] 程鵬.計算機網(wǎng)絡(luò )安全現狀與防御技術(shù)分析[J].文存閱刊，2018（24）：201.

[8] 夏飛，王磊.計算機網(wǎng)絡(luò )安全現狀與防御技術(shù)分析[J].數字通信世界，2018（12）：107