電力系統(tǒng)信息通信網(wǎng)絡(luò)安全的防護(hù)研究

江育鋒

（公誠管理咨詢有限公司 第六分公司，廣東 佛山 528000）

0 引 言

網(wǎng)絡(luò)安全是威脅信息通信運(yùn)行體系最大的隱患，電力系統(tǒng)管理部門要結(jié)合實(shí)際應(yīng)用要求和規(guī)范落實(shí)有效的安全風(fēng)險(xiǎn)防護(hù)工作，創(chuàng)設(shè)安全、可靠以及規(guī)范的運(yùn)行環(huán)境，實(shí)現(xiàn)經(jīng)濟(jì)效益和社會(huì)效益的雙贏。

1 電力系統(tǒng)信息通信的特點(diǎn)

電力系統(tǒng)信息通信存在專業(yè)度要求高且綜合性強(qiáng)的特點(diǎn)，電力系統(tǒng)信息網(wǎng)絡(luò)技術(shù)的覆蓋面較廣，不僅包括配電項(xiàng)目和電力傳輸項(xiàng)目，還涉及用電管理等。隨著計(jì)算機(jī)技術(shù)的發(fā)展，電力系統(tǒng)信息通信融合自動(dòng)化技術(shù)、數(shù)據(jù)挖掘技術(shù)以及電力系統(tǒng)技術(shù)的趨勢(shì)逐漸明朗，這就需要專業(yè)人員綜合多項(xiàng)管理要求，落實(shí)具體控制工作。此外，電力系統(tǒng)信息通信應(yīng)用的地域性強(qiáng)，加之不同區(qū)域的發(fā)展程度有所差異，這就使得電力系統(tǒng)信息通信網(wǎng)絡(luò)的應(yīng)用范圍也需要進(jìn)行調(diào)整，只有落實(shí)針對(duì)性較強(qiáng)的管控方案，才能真正發(fā)揮系統(tǒng)的應(yīng)用價(jià)值[1]。

綜上所述，在電力系統(tǒng)信息通信網(wǎng)絡(luò)安全管控工作中，要充分融合其運(yùn)行特征，建立時(shí)效性好、針對(duì)性強(qiáng)以及可靠性高的綜合管控模式，從而最大化降低安全風(fēng)險(xiǎn)產(chǎn)生的不良影響。

2 電力系統(tǒng)信息通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

電力系統(tǒng)信息通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要分為內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)。

2.1 外部風(fēng)險(xiǎn)

2.1.1 攻擊TCP和UDP

對(duì)于整個(gè)電力系統(tǒng)信息通信網(wǎng)絡(luò)而言，綁定TCP端口網(wǎng)絡(luò)服務(wù)的對(duì)象就是主機(jī)系統(tǒng)，這也成為了攻擊的主要方向。一般而言，任何干擾TCP連接的攻擊都會(huì)被設(shè)定為TCP攔截，其中主要包括會(huì)話攔截和ICMP攔截等。例如，SYN攻擊因?yàn)殡娏ο到y(tǒng)信息通信網(wǎng)絡(luò)每個(gè)TCP在實(shí)施分配過程中連接不同的電力信息網(wǎng)絡(luò)地址和端口，所以當(dāng)受到攻擊時(shí)，必然會(huì)產(chǎn)生嚴(yán)重的內(nèi)存消耗。若是鏈接數(shù)量超出限制，那么就會(huì)造成電力系統(tǒng)信息通信網(wǎng)絡(luò)被切斷，無法及時(shí)獲取電力數(shù)據(jù)，具體如圖1所示[2]。

圖1 連接切斷

2.1.2 DNS風(fēng)險(xiǎn)

在電力系統(tǒng)信息通信網(wǎng)絡(luò)運(yùn)行過程中，DNS系統(tǒng)的初始設(shè)定是服務(wù)器互聯(lián)過程安全可行，匹配的電力信息交互無障礙，因此沒有設(shè)置對(duì)應(yīng)的身份鑒定過程，這就增加了信息被篡改的可能性。首先無法進(jìn)行身份識(shí)別的響應(yīng)，若是黑客根據(jù)DNS請(qǐng)求偽造回答，甚至設(shè)置授權(quán)標(biāo)記，那么將會(huì)造成電力信息傳遞連接失效。其次會(huì)導(dǎo)致DNS緩存受損，電力系統(tǒng)信息通信網(wǎng)絡(luò)會(huì)匯總和收集大量的電力信息、輸配電數(shù)據(jù)以及用電管理信息等，緩存結(jié)構(gòu)受損會(huì)使得相應(yīng)的數(shù)據(jù)信息無法建立合理的交流[3]。最后造成盲目攻擊，也就是說，黑客若是利用一個(gè)公用的域名形成無數(shù)個(gè)DNS回答，就會(huì)嚴(yán)重影響電力系統(tǒng)信息通信網(wǎng)絡(luò)的安全性。DNS盲目攻擊如圖2所示。

圖2 DNS盲目攻擊

2.1.3 SMTP郵件風(fēng)險(xiǎn)

在電力系統(tǒng)信息通信網(wǎng)絡(luò)中，SMTP的使用模型如圖3所示。

圖3 SMTP使用模型示意圖

主要的風(fēng)險(xiǎn)問題圍繞偽裝報(bào)頭、垃圾郵件以及中繼攔截等，黑客會(huì)借助對(duì)應(yīng)技術(shù)破壞其運(yùn)行穩(wěn)定性，這就使得大量的電力信息被竊取，不僅會(huì)影響企業(yè)發(fā)展，也會(huì)造成較為嚴(yán)重的經(jīng)濟(jì)損失[4]。

2.1.4 人為破壞風(fēng)險(xiǎn)

人為破壞風(fēng)險(xiǎn)主要是由電力系統(tǒng)信息通信網(wǎng)絡(luò)運(yùn)行中工作人員信息錄入錯(cuò)誤或者是操作流程錯(cuò)誤等造成，不僅會(huì)影響信息網(wǎng)絡(luò)運(yùn)行效率，也會(huì)形成惡性循環(huán)，制約電力系統(tǒng)信息通信監(jiān)督效果和管理水平。

2.2 內(nèi)部風(fēng)險(xiǎn)

一方面，網(wǎng)絡(luò)設(shè)備、移動(dòng)存儲(chǔ)介質(zhì)以及移動(dòng)終端受到病毒影響，產(chǎn)生一系列后續(xù)攻擊，在使用終端設(shè)備的過程中，就會(huì)對(duì)整個(gè)電力系統(tǒng)信息通信網(wǎng)絡(luò)形成不良作用。另一方面，電力系統(tǒng)運(yùn)行時(shí)會(huì)應(yīng)用大量的設(shè)施，系統(tǒng)內(nèi)部出現(xiàn)了電磁輻射的問題，亦或是一些特殊設(shè)備在接收輻射后直接激活，都會(huì)造成設(shè)備互相作用產(chǎn)生不良攻擊[5]。

3 電力系統(tǒng)信息通信網(wǎng)絡(luò)安全防護(hù)建議

在全面分析電力系統(tǒng)信息通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題后，就要結(jié)合實(shí)際情況落實(shí)相應(yīng)的防護(hù)控制機(jī)制，建立更加合理的管控體系，從而維持電力系統(tǒng)信息通信網(wǎng)絡(luò)安全防護(hù)的質(zhì)量。

3.1 強(qiáng)化密鑰管理

電力系統(tǒng)中電力信息和數(shù)據(jù)非常重要，要提升其保密等級(jí)，并且聯(lián)合密鑰處理技術(shù)強(qiáng)化安全防護(hù)工作的效果。電力系統(tǒng)信息通信網(wǎng)絡(luò)的兩個(gè)客戶端要結(jié)合密鑰分配方式形成共享密鑰，然后結(jié)合具體情況及時(shí)更新密鑰[6]。密鑰獲取方式如表1所示。

表1 密鑰獲取方式

一般而言，電力系統(tǒng)信息通信網(wǎng)絡(luò)中會(huì)選取第四種方式，在向KDC發(fā)出密鑰請(qǐng)求后得到回應(yīng)，然后獲取一次性會(huì)話密鑰和身份密鑰，將其轉(zhuǎn)發(fā)到對(duì)應(yīng)系統(tǒng)中，就能獲取匹配的電力系統(tǒng)信息，這種方式能提升信息交互的合理性，也能最大化提高信息通信網(wǎng)絡(luò)的安全性。

3.2 強(qiáng)化通信安全系統(tǒng)管理

在通信安全系統(tǒng)管理工作中，要重視不同系統(tǒng)內(nèi)部模塊攻擊防護(hù)工作，打造合理且可靠的應(yīng)用處理方案。

首先，針對(duì)SYN攻擊的防護(hù)工作要從過濾網(wǎng)關(guān)防護(hù)工作出發(fā)，設(shè)置超時(shí)設(shè)置模式，在防火墻設(shè)置轉(zhuǎn)發(fā)超時(shí)參數(shù)模式，當(dāng)參數(shù)在服務(wù)器Timeout時(shí)間內(nèi)確認(rèn)發(fā)送SYN包，若是計(jì)數(shù)器到期依舊沒有接到確認(rèn)包，那么發(fā)送RST包，從而減少對(duì)應(yīng)的信息數(shù)據(jù)[7]。過濾網(wǎng)關(guān)防護(hù)示意如圖4所示。另外也可以利用加固TCP/IP協(xié)議棧的方式有效增加最大連接數(shù)，并且盡量縮短超時(shí)時(shí)間，借助SYN cookies技術(shù)建立HASH運(yùn)算模式，保證通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>

圖4 過濾網(wǎng)關(guān)防護(hù)示意圖

其次，針對(duì)DNS的風(fēng)險(xiǎn)可以利用網(wǎng)絡(luò)地址信息統(tǒng)一管理的方式落實(shí)維護(hù)工作。設(shè)計(jì)人員在應(yīng)用對(duì)應(yīng)技術(shù)方案時(shí)要關(guān)注靈活性和可擴(kuò)展性，確保能綜合考量安全要素。一方面，針對(duì)直接威脅，可以借助DNS服務(wù)器或者是主機(jī)補(bǔ)丁限制單個(gè)服務(wù)器被破壞的程度，從而有效實(shí)現(xiàn)DNS平衡，并且要盡量拒絕不匹配的回答，提升緩沖間隔的合理性。另一方面，針對(duì)技術(shù)威脅，要加固服務(wù)器和防火墻，最大化提升對(duì)潛在攻擊的應(yīng)對(duì)能力。

最后，積極融合同步數(shù)字體系，利用SDH建立貼合國際通信體系要求的安全管理模式，借助映射、定位以及復(fù)用的模式完成傳輸業(yè)務(wù)信號(hào)的處理，大大提升數(shù)字信號(hào)收集和匯總的合理性。電力系統(tǒng)可以借助SDH實(shí)現(xiàn)多設(shè)備分組交換業(yè)務(wù)處理，提供E1和STM-1等接口，保證電力系統(tǒng)信息通信網(wǎng)絡(luò)的安全效果。

3.3 強(qiáng)化網(wǎng)絡(luò)設(shè)備安全管理

在電力系統(tǒng)信息通信的網(wǎng)絡(luò)安全防護(hù)工作中，要想維護(hù)其綜合運(yùn)行質(zhì)量，保證電力企業(yè)常規(guī)化管控工作的效果，就要對(duì)網(wǎng)絡(luò)設(shè)備安全管理工作環(huán)節(jié)予以重視，在強(qiáng)化信息技術(shù)管理效果的同時(shí)，確保網(wǎng)絡(luò)設(shè)備和系統(tǒng)安全都能得到重視，有效整合相應(yīng)的管理方案，維護(hù)綜合控制水平。首先要篩選進(jìn)入電力系統(tǒng)信息通信網(wǎng)絡(luò)的信息，組織危險(xiǎn)信息的同時(shí)，依據(jù)具體應(yīng)用要點(diǎn)和規(guī)范建立訪問權(quán)限，保證個(gè)性化設(shè)置工作的完整度，最大化提升網(wǎng)絡(luò)設(shè)備安全管理工作的綜合效果。其次要階段性科學(xué)評(píng)估系統(tǒng)網(wǎng)絡(luò)設(shè)備，及時(shí)匯總并處理存在的安全隱患，有效提高常規(guī)化管控的效果，避免設(shè)備風(fēng)險(xiǎn)隱患的留存。最后要重視原始數(shù)據(jù)，按照加密或者是密文處理的方式，保證重要電力數(shù)據(jù)文檔的安全性，也能減少惡意用戶的訪問和數(shù)據(jù)查詢，減少信息外泄的可能性[8]。

3.4 強(qiáng)化物理層防護(hù)

為了保證電力系統(tǒng)信息通信網(wǎng)絡(luò)安全水平，要結(jié)合系統(tǒng)運(yùn)行要求從系統(tǒng)管理和物理層防護(hù)兩個(gè)層面入手，提高對(duì)應(yīng)控制工作的綜合效果。建立個(gè)性化的管理系統(tǒng)結(jié)構(gòu)，應(yīng)用網(wǎng)元數(shù)據(jù)采集、管理以及業(yè)務(wù)管控等模塊保證信息統(tǒng)一監(jiān)管和控制，并且及時(shí)告警處理異常信息，結(jié)合集控中心分析判斷過程，維持多平臺(tái)作業(yè)的綜合質(zhì)量，并提升信息管理的基本水平，也能及時(shí)預(yù)測(cè)和分析故障原因，建立針對(duì)性較好的控制機(jī)制，真正意義上推動(dòng)電力系統(tǒng)信息通信網(wǎng)絡(luò)安全防護(hù)工作的全面進(jìn)步[9]。此外，要定期檢查和管理通信機(jī)房中的設(shè)備及線路，保證防雷接地等基礎(chǔ)操作環(huán)節(jié)的有序性，重視用戶權(quán)限、機(jī)房環(huán)境以及電磁干擾傳導(dǎo)路徑防護(hù)等細(xì)節(jié)，確保時(shí)效性管控工作的綜合效果符合預(yù)期，真正建立合理且可靠的監(jiān)督監(jiān)管模式，弱化電磁干擾，為電力系統(tǒng)信息通信網(wǎng)絡(luò)安全防護(hù)水平的進(jìn)步奠定堅(jiān)實(shí)基礎(chǔ)[10]。

4 結(jié) 論

電力系統(tǒng)的覆蓋面積在不斷增大，為了建立健全完善且合理的信息化管控方案，要重視通信網(wǎng)絡(luò)安全防護(hù)工作，整合計(jì)算機(jī)技術(shù)和系統(tǒng)安全建設(shè)流程的基礎(chǔ)上，保證工作細(xì)則得以落實(shí)，真正實(shí)現(xiàn)綜合發(fā)展多向監(jiān)管的目標(biāo)，為電力企業(yè)經(jīng)濟(jì)效益、管理效益以及社會(huì)效益的共贏奠定堅(jiān)實(shí)基礎(chǔ)。