电力行业计算机应用论文

1电力行业所面临的网络安全威胁

如果电力系统中缺少严格的验证机制，或者不同业务系统之间缺乏有效的访问控制，可能导致非法用户使用到关键业务系统，引发非法侵入的业务安全风险。

2电力行业计算机应用网络安全结构的内容

基于电力行业所面临的网络安全风险，为保障整个电力系统的安全、稳定运行，必须建立一套符合电力行业自身特点的网络安全结构。而所谓电力行业计算机应用网络的安全结构，即是应用和实施一个基于多层次安全系统的全面网络安全策略，在多个层次上部署相关的安全产品，以实现控制网络和主机存取，降低系统被攻击危险，从而达到安全防护的目的。网络安全结构的内容主要有以下几个方面：2.1网络安全防护结构体系电力行业网络安全防护的基础是网络安全域的划分。根据《电网和电厂计算机监控系统及调度数据网络安全防护规定》的要求，电力系统的网络可划分为四级网。其中，电力调度生产控制与实时监测可作为一、二级网，它与三、四级网络是进行物理隔离的。第三级网为DMIS网，第四级网为MIS网，网络安全防护的重点也是第三、第四级网络。根据整个电力行业计算机应用网络的特点，还可对三、四级网络进行进一步安全域的划分，并划清网络的边界，综合采用路由器、防火墙、入侵监测等技术对三、四级网络进行综合防护。2.2安全防护技术的应用电力行业网络安全防护技术，主要包括了防护墙技术、漏洞扫描技术、入侵检测技术、病毒防治技术等，这些安全防护技术作为网络防护结构的基础组成部分，在统一的安全策略指导下，以保障系统的整体安全。其中，防火墙技术、入侵检测技术和漏洞扫描技术，主要是针对内部信息系统不同安全域进行的安全防护；而病毒防治技术则主要是面对电力系统内的客户端及各种服务器提供安全服务。

3电力行业计算机应用网络安全结构的设计

3.1网络安全结构设计的原则

（1）安全性原则。是指网络安全结构的设计方案，应充分确保电力系统的安全性；所采用的安全技术产品应有着良好的产品质量与可靠性，以充分保证系统的安全。

（2）一致性原则。主要是电力行业网络安全问题应与整个网络的工作周期同时存在，所制定的安全体系结构也必须与网络的安全需求相一致。

（3）易操作性原则。网络安全结构的相关技术措施需要由人为去完成，如果所采用的技术措施过于复杂，对人的要求也过高，这自身就降低了系统的安全性。

（4）分布实施原则。由于电力网络系统随着规模的扩大和应用领域的增加，网络受到攻击的可能性也不断增加，想一劳永逸的解决电力网络安全问题是不现实的，而且网络安全措施的实施也需要相当的费用支出。因此，网络安全结构的建设可采用分布实施的方式，既可满足当前网络对信息安全的需要，也可为今后系统的扩展与完善奠定良好的基础。

3.2网络安全结构具体设计方案的应用

（1）电力系统局域网内部网络安全结构设计整个电力行业计算机应用网络，不仅会受到外部的攻击，也同时会受到内部攻击。内部网络主要是指用于控制电力设备以及采集运行数据的设备层网络系统，如SCADA系统DSC系统等，由于这部分网络需和电力控制设备之间直接进行数据间的交换，任何非法入侵的数据都可能引发电力设备的故障，并可能导致整个电网的安全运行受到影响。为了有效解决内网的安全防护问题，可在电站系统的局域网内部，使用防火墙技术对不同的网段进行隔离，并且采用IPS设备加强对关键应用部位的监控与保护。如图1所示，即为电力系统局域网内部网络安全结构设计。在该设计方案中：

①使用防火墙集群将内部与外部网络隔离，保证电力网络外部的攻击与漏洞扫描等，不会影响到内网数据的正常传输与交流；

②再将内部网络的不同区域进行隔离，使之能具备不同级别的访问权限，以有效保证内网数据的安全性；

③对电站关键部位的安全防护还可采用IPS装置，以保证内部重要数据的可监控性、可审计性以及防止恶意流量的攻击。

（2）省级电力骨干网络安全结构设计省级电力骨干网络的核心中部署有众多的业务，如用电营销、工程管理、办公自动化系统、电力生产信息平台以及GIS系统等，同时还包含了与其它企业及各种服务系统的系统。正是由于各种业务的流量都需由电力骨干网络进行传输和汇集，对网络的安全性与可靠性也有着极高的要求。因此，对于省级电力骨干网络的安全结构设计，可部署2~4点的防火墙集群作为网络系统的省级安全核心，并对系统的多链路情况进行负载均衡，以充分满足省级电力骨干网络对安全防护的要求。省级电力骨干网络的安全结构建设，主要包括了两方面的任务：

①利用防火墙技术对外部接口区域和内部服务器区域进行划分，并综合应用病毒防治技术、漏洞扫描技术等多种安全防护技术，从而实现系统在访问控制、漏洞扫描、病毒防护、入侵检测、集中安全管理以及日志记录等多个环节的安全防护；

②通过安全结构的建设以实现系统多链路情况下的负载均衡，保证系统具有足够的收发速度和响应速度，并能有效避免网络服务的中断。

（3）电力广域网整体网络安全结构设计对于整个电力系统的广域网，为了保证端对端、局对局的安全性，并有效保证整个系统的安全性与可靠性，可对整个电力广域网采用分布式的安全结构设计方案。其安全结构的特点是：

①通过分布式架构，可以使广域网的安全结构真正实现多台防火墙的同时Active技术，有效保证了网络的安全性。

②通过过滤规则设置，可以实现对广域网内部资源对外开放程度的有效控制，尤其是电力公司和Internet公共网络之间的连接可仅开放某特殊段的IP端口，从而有效避免了病毒攻击和非法侵入。

③通过客户端认证规则的应用，可以确保电力广域网不同的内部用户享受到不同的访问外部资源的级别。同时还对内部用户严格区分网段，其自动的反地址欺骗有效杜绝了从外网发起的对于内网的访问，而对于内网发起的对外网的访问则可以不受到限制。

4总结

本文从电力行业所面临的网络安全威胁出发，并着重就电力行业计算机应用网络的安全体系、安全防护技术应用、安全结构设计原则以及具体的设计方案等多个方面的内容进行研究与探讨。对于电力网络安全结构的设计与建设，我们应当严格遵循安全性、一致性、易操作性和分布实施的原则，积极采取基于多层次安全系统的网络安全策略，并在多个层次上部署相关的安全产品，以有效降低电力系统被攻击的危险，从而真正保证电力网络的安全。

作者：赵昕宇 杨波 单位：国网咸阳供电公司信息通信分公司