智能电网信息安全及其防护技术研究

来源:用户上传      作者:

　　摘 要：本文主要论述了智能电网信息安全概况和方案设计，例举了智能电网信息安全的实例。智能电网对外界具有开放性和交互性。因此安全的信息系统成为了保证智能电网稳定运行的基础。基于以上对智能电网信息安全及其防护技术进行了分级分域、边界安全防护、网络环境安全防护、主机与系统、应用系统防护技术和具体设备的部署等几个方面的研究。
　　关键词：智能电网;信息安全;防护技术
　　中图分类号：TM76 文献标识码：A 文章编号：1671-2064（2019）23-0039-02
　　0 引言
　　信息化建设对智能电网的智能程度起决定作用，信息化建设程度越高则智能电网的智能水平越高。智能电网作为信息时代主要产物之一，给人们的生活方式带来了很大改变。电网工程“SG186”的建设和国家电网公司“统一坚持智能电网”推动了我国电网的进一步发展。
　　1 智能电网信息安全概况
　　1.1 智能电网安全信息内容
　　目前我国智能电网在信息传输时需要通过一定的安防措施来提高网络的完整性和可靠性。智能电网的运行有独特性，包括稳定、安全、兼容、交互、协调、高效、优质和集成。根据这些特点，其安全需求大，需要多方面的共同努力。首先，是物理安全的保障，目前大多供电企业的信息通信数据储存在设备上，这就需要设备有較高的安全性。因此电力企业需要以先进的手段对数据储存媒介进行妥善保存。同时需要网络安全的保障电力信息网的类型较多，电力企业应对不同网络设立不同级别的安全防控。以电力调度信息网为例，该网站是电力生产数据交流的主要平台，对网络安全性要求高，网站需要配防火墙、病毒防护系统、安全监控系统等，同时又不能降低网速。其次，智能电网信息的应用安全也是重要的，应用系统经常由于电力企业员工的误操作产生安全问题。加上企业内部管控松懈，运维机制安全性不高。再次，还有数据安全方面，一是数据自身的安全程度，二是数据防护的安全。电力企业对数据安全的要求特殊，电力企业需要对文件进行加密，并对访问数据的人进行身份的审核，以此来保证文件的准确性和保密性。最后电力企业也要注意主机安全，主要是对数据信息库进行加固，防范黑客攻击和病毒的入侵。
　　1.2 智能电网信息安全实例
　　1.2.1 供电公司智能电网网络环境分析
　　以国网神农架供电公司为例，其业务范围大且数量多而复杂，对供电数据信息的安全性要求极高。企业内有很多部门，根据其业务类型分为生产、营销、财务和办公几大类。根据《信息安全技术信息安全等级保护基本要求》和SG186工程安全防护方案的要求，国网神农架供电公司把信息网分为内网和外网。
　　1.2.2 主机及应用系统分析
　　供电公司的主机系统主要由Windows和Unix组成，Windows系统的安全性和稳定性有很大隐患，想进行改良可以用防毒软件进行安全加固。这就要求安全措施跟紧业务的变化，并为这两种系统陪陪不同的防护计划。但公司机器系统保护和杀毒软件更新不及时，密码安全性低。这需要建立一个安全措施来防止内部和外部网络上的计算机混用以及文件的随便传输。由于桌面终端的操作系统是基于Windows的而且数量大，以桌面终端系统安全设置就需要统一的部署和一套完整程序来解决这个问题。
　　1.2.3 安全分析
　　根据《国家电网公司信息化“SG186”工程安全防护总体方案》要求，国网神农架供电公司对企业内外网进行了重新划分。内网分为：营销管理系统域、财务系统域、二级系统域和内网桌面终端域。外网则分为外网应用系统域、外网桌面终端域[1]。
　　2 智能电网信息安全方案设计
　　2.1 设计目标
　　中国国家电网公司信息化工程安全防护体系建设的总体目标是防止信息网络崩溃、业务应用程序被破坏、关键数据被更改以及防止企业信息泄露，同时避免病毒和木马、有害信息和恶意渗透攻击，确保信息系统运行安全稳定。
　　2.2 设计原则
　　总体安全保护计划要结合供电企业等级保护的分级结果、应用系统管理和业务相似性进一步划分。以保障安全域系统的安全保护措施应设计有针对性。信息系统安全域划分可以分解复杂的安全保护问题，有助于实现信息系统的分层保护，并具有针对性的实施信息边境保护，避免安全问题扩大。
　　以国网神农架供电公司等级保护系统的解决方案设计为例，在计划时要清晰定义模型。这样不仅可以相对准确地描述信息系统各个方面的内容及当前的安全局势，也可以代表绝大多数区域和各种类型的信息系统。同时，也要进行分域防护，确保信息系统在遇到一种保护的时候不会被损坏，需要根据类型、重要性和关键程度合理划分区域，确定安全等级[2]。
　　3 智能电网信息安全及其防护技术研究
　　3.1 分级分域
　　安全域是指由在同一工作环境中、具备相同或相似的安全保护需求和保护策略、彼此信任、相互关联或相互作用的IT要素的集合。在建立智能电网数据防护系统前，要先划分电网信息的安全域。以国网神农架供电公司为例，可以依靠逻辑性强的隔离设备用物理方式对信息网分别进行内外网的划分。这种方式技能提升信息内网安全性，又能满足信息外网交换数据的需要。
　　根据国家要求的方法划分安全域后，信息内网分为营销管理系统域、ERP系统域、二级系统域和内网桌面终端域。安全领域中的应用系统根据每个系统所属的安全级别和系统在主机的安全级别受到保护。网络和信息外联网边界保护的基础，是满足安全域中每个系统的最高级别进行安全建设。而企业信息外网分为外网应用系统域和外网桌面终端域。以便于对业务访问需求进行控制和安全性的保护。
　　3.2 边界安全防护技术
　　边界安全防护重视数据流的检测和控制。需要对网络边界的恶意代码进行清除，对网络上进行交换的信息进行过滤筛选，可用IDS进行检测。由此实现对超文本传输协议、FTP协议、TELNET端口、简单邮件传输协议、POP3等边界内容进行访问过滤，同时对网络最大流量数进行控制。有效的控制措施包括根据会话状态信息为数据流提供允许访问和控制强度的明确能力。同时按照用户和系统之间允许的访问规则，决定允许还是拒绝用户进行资源访问。边境安全保护的首要任务是明确界定安全边界，供电企业联系安全域边界，边界是信息外部第三方的安全边界、信息网络内部第三方的安全边界以及信息网络内部和外部的安全边界。每个区域的访问控制需要通过防火墙来实现，同时每个地区也实现了内容过滤、带宽管理和其他应用层控制要求[3]。 　　3.3 网络环境安全防护
　　网络环境安全防护也针对企业网络、路由器、防火墙和交换机等基础设备。为国家电网公司提供所有域的网络支持服务设备，按满足三级安全保护的基本要求进行保护。其措施包括结构安全、安全接入控制、设备安全管理、安全弱点扫描、安全事件审计、配置文件备份和网络业务信息流安全防护。其中，结构安全主要是保证网络设备处理业务的能力具有富余空间，因此，公司的核心设备和主要链路应为热备用冗余链路，主链路应为双链路。而安全接入控制主要基于网络设备的准入控制，依赖控制协意。由此可见，能依靠联合软认证系统实现全网控制。能够控制未注册的主机无法正常的应用网络，同时利用北新源桌面管理系统实现移动存储和非法外联等管理。安全弱点扫描则是将绿联极光漏洞扫描系统部署在网络中，定期检查系统、网络设备、应用程序数据库扫描，及时检测系统中可能存在的漏洞，防止被黑客利用。网络业务信息流安全防护就主要是通过链路加密的当时实现，防止网络之间的通讯存在窃取数据的安全隐患，能够通过防火墙的虚拟专用网来实现。
　　3.4 主机与系统
　　服务器承载公司的应用系统和业务数据，这对于应用服务器的安全当从操作系统安全性和数据库安全性以及桌面管理三个方面进行设计。首先是操作系统安全性，操作系统足以承载业务应用和数据库应用的基本载体，并保证业务应用的安全性。一旦操作系统出现安全问题，对业务系统和业务数据的安全就构成了严重的威胁。想保障操作系统安全可通过操作系统基础防护、身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制和系统备份等方法进行完成。其次是数据库安全的保证方法，可以用身份鉴别、访问控制、安全审计和入侵防范等方式进行操作。对不同级别的用户授予不同程度的權限，严格控制用户访问资源的权限。
　　3.5 应用系统防护技术
　　想对应用系统进行保护，需要进行应用系统安全加固，应用系统链路加入防御设备，随时进行漏洞扫描和系统检测;身份认证方案，按用户名和密码进行身份验证，同时规定密码的长度、复杂性和使用周期，系统应采取用户身份唯一性和认证信息复杂性检查功能，禁止密码以明文形式存储在系统中;系统应设定用户登录错误锁定、会话超时退出等功能。并对授权变更制定严格的审核、批准和操作程序，要求授权变更只有经过审核和批准后才能生效;根据权限最小化原则，用户被给予适当的权限，角色分离、禁止多人共享帐户，同时定期审查权限。将用户登录时间、地点和操作记录输出到审计平台;数据存储保密工作要提供本地数据备份和恢复功能，每人至少备份一次数据，备份介质应该存放在场外。当环境发生变化时，执行定期备份恢复测试以确保准备工作数据的可恢复副本、利用通信网络提供远程数据备份功能，定期批量处理关键数据，转移到备用站点、严格管理备份介质，防止未经授权访问业务备份数据、采用冗余技术确保关键应用的可用性[4]。
　　3.6 具体设备布置
　　联网的开放性和自由性决定了互联网上有各种各样的人他们也有着不同的意图。使用防火墙技术经过仔细配置后，通常可以为不同的安全域提供安全的网络保护，降低网络安全风险。但是只使用防火墙保障网络安全还不够，还需要特殊的部署系统。网络入侵检测系统也可以与防火墙和其他安全产品紧密结合，为网络系统提供最大的安全性。网络入侵检测系统是检测和控制网络入侵行为的系统。通过监控计算机网络数据消息，并对这些消息进行协议分析和模式匹配，发现网络或系统中是否存在违反安全策略的情况。一旦发现攻击迹象，可以发布报告，警方也能及时采取相应的措施，如封锁、追踪和反击。同时，记录攻击过程，为网络或系统恢复和跟踪攻击源提供基本数据。目前最新的网络入侵检测系统还引入了全面的流量监控功能，检测异常并结合地理信息定位入侵事件，分析资产相关的风险。同时为提高检测准确率，就要求检测系统有性能较高的文件处理功能[4]。
　　4 结语
　　综上所述，智能电网的产生是电网进入现代化发展阶段的标志，信息系统保证了智能电网的安全稳定运行。为实现智能电网持续健康发展，应对电网信息的安全进行深入研究。
　　参考文献
　　[1] 马虹哲.智能电网信息安全威胁及防护关键技术研究[J].信息通信，2017（12）：162-163.
　　[2] 王铭.智能电网信息系统安全防护措施分析[J].信息安全与技术，2015，6（09）：51-52.
　　[3] 刘鑫.智能电网信息安全技术研究及其应用[J].电子技术与软件工程，2014（22）：220.
　　[4] 穆芮.智能电网信息安全技术研究与应用[D].山东大学，2013.
转载注明来源:https://www.xzbu.com/8/view-15098105.htm