电力系统信息通信网络安全的防护研究

江育锋

（公诚管理咨询有限公司 第六分公司，广东 佛山 528000）

0 引 言

网络安全是威胁信息通信运行体系最大的隐患，电力系统管理部门要结合实际应用要求和规范落实有效的安全风险防护工作，创设安全、可靠以及规范的运行环境，实现经济效益和社会效益的双赢。

1 电力系统信息通信的特点

电力系统信息通信存在专业度要求高且综合性强的特点，电力系统信息网络技术的覆盖面较广，不仅包括配电项目和电力传输项目，还涉及用电管理等。随着计算机技术的发展，电力系统信息通信融合自动化技术、数据挖掘技术以及电力系统技术的趋势逐渐明朗，这就需要专业人员综合多项管理要求，落实具体控制工作。此外，电力系统信息通信应用的地域性强，加之不同区域的发展程度有所差异，这就使得电力系统信息通信网络的应用范围也需要进行调整，只有落实针对性较强的管控方案，才能真正发挥系统的应用价值[1]。

综上所述，在电力系统信息通信网络安全管控工作中，要充分融合其运行特征，建立时效性好、针对性强以及可靠性高的综合管控模式，从而最大化降低安全风险产生的不良影响。

2 电力系统信息通信网络安全风险

电力系统信息通信网络安全风险主要分为内部风险和外部风险。

2.1 外部风险

2.1.1 攻击TCP和UDP

对于整个电力系统信息通信网络而言，绑定TCP端口网络服务的对象就是主机系统，这也成为了攻击的主要方向。一般而言，任何干扰TCP连接的攻击都会被设定为TCP拦截，其中主要包括会话拦截和ICMP拦截等。例如，SYN攻击因为电力系统信息通信网络每个TCP在实施分配过程中连接不同的电力信息网络地址和端口，所以当受到攻击时，必然会产生严重的内存消耗。若是链接数量超出限制，那么就会造成电力系统信息通信网络被切断，无法及时获取电力数据，具体如图1所示[2]。

图1 连接切断

2.1.2 DNS风险

在电力系统信息通信网络运行过程中，DNS系统的初始设定是服务器互联过程安全可行，匹配的电力信息交互无障碍，因此没有设置对应的身份鉴定过程，这就增加了信息被篡改的可能性。首先无法进行身份识别的响应，若是黑客根据DNS请求伪造回答，甚至设置授权标记，那么将会造成电力信息传递连接失效。其次会导致DNS缓存受损，电力系统信息通信网络会汇总和收集大量的电力信息、输配电数据以及用电管理信息等，缓存结构受损会使得相应的数据信息无法建立合理的交流[3]。最后造成盲目攻击，也就是说，黑客若是利用一个公用的域名形成无数个DNS回答，就会严重影响电力系统信息通信网络的安全性。DNS盲目攻击如图2所示。

图2 DNS盲目攻击

2.1.3 SMTP邮件风险

在电力系统信息通信网络中，SMTP的使用模型如图3所示。

图3 SMTP使用模型示意图

主要的风险问题围绕伪装报头、垃圾邮件以及中继拦截等，黑客会借助对应技术破坏其运行稳定性，这就使得大量的电力信息被窃取，不仅会影响企业发展，也会造成较为严重的经济损失[4]。

2.1.4 人为破坏风险

人为破坏风险主要是由电力系统信息通信网络运行中工作人员信息录入错误或者是操作流程错误等造成，不仅会影响信息网络运行效率，也会形成恶性循环，制约电力系统信息通信监督效果和管理水平。

2.2 内部风险

一方面，网络设备、移动存储介质以及移动终端受到病毒影响，产生一系列后续攻击，在使用终端设备的过程中，就会对整个电力系统信息通信网络形成不良作用。另一方面，电力系统运行时会应用大量的设施，系统内部出现了电磁辐射的问题，亦或是一些特殊设备在接收辐射后直接激活，都会造成设备互相作用产生不良攻击[5]。

3 电力系统信息通信网络安全防护建议

在全面分析电力系统信息通信网络安全风险问题后，就要结合实际情况落实相应的防护控制机制，建立更加合理的管控体系，从而维持电力系统信息通信网络安全防护的质量。

3.1 强化密钥管理

电力系统中电力信息和数据非常重要，要提升其保密等级，并且联合密钥处理技术强化安全防护工作的效果。电力系统信息通信网络的两个客户端要结合密钥分配方式形成共享密钥，然后结合具体情况及时更新密钥[6]。密钥获取方式如表1所示。

表1 密钥获取方式

一般而言，电力系统信息通信网络中会选取第四种方式，在向KDC发出密钥请求后得到回应，然后获取一次性会话密钥和身份密钥，将其转发到对应系统中，就能获取匹配的电力系统信息，这种方式能提升信息交互的合理性，也能最大化提高信息通信网络的安全性。

3.2 强化通信安全系统管理

在通信安全系统管理工作中，要重视不同系统内部模块攻击防护工作，打造合理且可靠的应用处理方案。

首先，针对SYN攻击的防护工作要从过滤网关防护工作出发，设置超时设置模式，在防火墙设置转发超时参数模式，当参数在服务器Timeout时间内确认发送SYN包，若是计数器到期依旧没有接到确认包，那么发送RST包，从而减少对应的信息数据[7]。过滤网关防护示意如图4所示。另外也可以利用加固TCP/IP协议栈的方式有效增加最大连接数，并且尽量缩短超时时间，借助SYN cookies技术建立HASH运算模式，保证通信网络数据传输的安全性和可靠性。

图4 过滤网关防护示意图

其次，针对DNS的风险可以利用网络地址信息统一管理的方式落实维护工作。设计人员在应用对应技术方案时要关注灵活性和可扩展性，确保能综合考量安全要素。一方面，针对直接威胁，可以借助DNS服务器或者是主机补丁限制单个服务器被破坏的程度，从而有效实现DNS平衡，并且要尽量拒绝不匹配的回答，提升缓冲间隔的合理性。另一方面，针对技术威胁，要加固服务器和防火墙，最大化提升对潜在攻击的应对能力。

最后，积极融合同步数字体系，利用SDH建立贴合国际通信体系要求的安全管理模式，借助映射、定位以及复用的模式完成传输业务信号的处理，大大提升数字信号收集和汇总的合理性。电力系统可以借助SDH实现多设备分组交换业务处理，提供E1和STM-1等接口，保证电力系统信息通信网络的安全效果。

3.3 强化网络设备安全管理

在电力系统信息通信的网络安全防护工作中，要想维护其综合运行质量，保证电力企业常规化管控工作的效果，就要对网络设备安全管理工作环节予以重视，在强化信息技术管理效果的同时，确保网络设备和系统安全都能得到重视，有效整合相应的管理方案，维护综合控制水平。首先要筛选进入电力系统信息通信网络的信息，组织危险信息的同时，依据具体应用要点和规范建立访问权限，保证个性化设置工作的完整度，最大化提升网络设备安全管理工作的综合效果。其次要阶段性科学评估系统网络设备，及时汇总并处理存在的安全隐患，有效提高常规化管控的效果，避免设备风险隐患的留存。最后要重视原始数据，按照加密或者是密文处理的方式，保证重要电力数据文档的安全性，也能减少恶意用户的访问和数据查询，减少信息外泄的可能性[8]。

3.4 强化物理层防护

为了保证电力系统信息通信网络安全水平，要结合系统运行要求从系统管理和物理层防护两个层面入手，提高对应控制工作的综合效果。建立个性化的管理系统结构，应用网元数据采集、管理以及业务管控等模块保证信息统一监管和控制，并且及时告警处理异常信息，结合集控中心分析判断过程，维持多平台作业的综合质量，并提升信息管理的基本水平，也能及时预测和分析故障原因，建立针对性较好的控制机制，真正意义上推动电力系统信息通信网络安全防护工作的全面进步[9]。此外，要定期检查和管理通信机房中的设备及线路，保证防雷接地等基础操作环节的有序性，重视用户权限、机房环境以及电磁干扰传导路径防护等细节，确保时效性管控工作的综合效果符合预期，真正建立合理且可靠的监督监管模式，弱化电磁干扰，为电力系统信息通信网络安全防护水平的进步奠定坚实基础[10]。

4 结 论

电力系统的覆盖面积在不断增大，为了建立健全完善且合理的信息化管控方案，要重视通信网络安全防护工作，整合计算机技术和系统安全建设流程的基础上，保证工作细则得以落实，真正实现综合发展多向监管的目标，为电力企业经济效益、管理效益以及社会效益的共赢奠定坚实基础。