浅谈如何提高电力监控系统网络安全防护水平

浅谈如何提高电力监控系统网络安全防护水平

发表时间：2018-08-13T17:21:43.170Z 来源：《电力设备》2018年第12期作者：赵宇超苏宝贵

[导读] 摘要：文章首先简要阐述了电力监控系统信息安全防护的基本要求，在此基础上对信息安全防护技术在电力监控自动化系统中的应用进行论述。

（国网青海省电力公司海南供电公司青海共和 813000）

摘要：文章首先简要阐述了电力监控系统信息安全防护的基本要求，在此基础上对信息安全防护技术在电力监控自动化系统中的应用进行论述。期望通过本文的研究能够对电力监控系统的信息安全提供保障。

关键词：电力监控系统；信息；安全防护技术

近年来，随着综合继电保护设备、计算机技术和网络技术的飞速发展，使得用电力监控系统来综合管理整个电力系统成为可能。利用电力系统中现场智能设备所采集的信息，可以对电力系统的信息进行计算分析、远程调整智能设备的工作状态，这将有利于运行人员分析处理事故、调整系统的运行方式和设备的技术管理，而监控系统设计方案的选择则在项目的实施和系统的运行起着至关重要的作用。

1 电力监控系统信息安全防护的基本要求

电力监控系统主要包括三大子系统，具体为生产控制信息子系统、生产管理信息子系统、通信网络子系统，在该系统的信息安全防护方面，应满足以下基本要求：

1.1必须遵循国家颁布的相关规定、规范和管理办法，将其作为信息安全防护的执行标准。2017年6月1日起，我国正式实施《网络安全法》，进一步确立了网络信息安全的法律地位，为电力监控系统信息安全防护工作的开展提供了法律支撑。

1.2系统信息安全防护方案必须具备一定预测性和预防性，在方案中要遵循网络专用、安全分区、横向隔离、纵向认证的基本原则建设栅格状安全防护体系，有效隔离外部网络，引入先进的技术快速诊断网络存在的异常情况，安装安全防护装置和预警系统，防范信息泄露问题的发生。

1.3系统信息安全防护要实施等级保护，提高安全防护能力。等级保护要从电力监控系统不同层面的安全管理入手，包括网络、主机、应用、数据等层面，针对不同层面的安全等级制定不同的安全防护方案，确定安全保护等级，使系统具备防范恶意攻击行为和实时感知网络异常的功能。

1.4细化电力监控系统的安全防线，使安全防线满足系统边界、网络传输边界以及业务主机的信息安全防护要求，在这三个层次中设置三道安全防线。

2电力监控系统的功能

EMCS电力监控系统具有以下几个基本功能。

2.1事件顺序记录

事件顺序记录包括断路器合闸／分闸记录和保护动作顺序记录。

2.2故障记录

故障记录是记录继电保护动作前后与故障有关的电流量和母线电压等。

2.3远程操作

操作人员可通过计算机对断路器和隔离开关进行分、合闸操作。为防止计算机系统故障时无法操作被控设备，在设计时考虑保留人工直接分、合闸手段。断路器操作有闭锁功能。无论就地操作或远程操作都应有防误操作的闭锁措施，必须有对象校核、操作性质和命令执行三步，保证操作的正确性。

3信息安全防护技术在电力监控自动化系统中的应用

3.1 数据加密技术

数据加密技术可防范网络传输中可能出现的信息篡改、窃取、非法侵入等威胁，利用RSA、DES加密技术作为信息安全防护屏障。从实际应用情况来看，RSA、DES两种算法各自具备优缺点，对称密钥加密系统不能完全被替代为公开密钥加密系统，所以在电力监控系统中应结合两者优势，实现最大的防护效用，即利用对称加密技术对文件进行加密，再利用公开密钥加密技术对上述加密的文件进行再加密，通过混合加密的形式提高运算速度，强化密钥的分配管理。从应用范围上来看，对称加密技术适用于大量数据的加密处理，而公开加密技术适用于加密机密性、关键性的数据。在对电力监控系统的应用级进行先期加密后，再进行一级加密，能够进步扩大加密范围，保护系统数据安全。

3.2 防火墙技术

防火墙是一道阻隔屏障，将其设置在被保护网络与外部网络之间可有效防范潜在破坏性行为的侵入。防火墙技术可对跨越防火墙的数据流进行检测、限制，最大程度地对外部网络信息进行屏蔽，避免外部非法信息入侵网络。从实质上来看，在电力监控系统应用防火墙技术能够起到逻辑隔离的作用，保护信息安全。电力监控系统需设置防火墙相关参数，以确保防火墙信息安全防护功能的实现，具体功能包括以下三个方面：

3.2.1 数据包过滤

在网络层设置过滤逻辑，根据过滤逻辑选择数据包，并对每个数据包中的协议状态、目的地址、原地址、端口号等各个因素进行逐一检查和组合检查，进而确定该数据包是否能够通过网络层。

3.2.2 应用级网关

将协议过滤和转发功能建立在应用层上，根据服务协议采用数据过滤逻辑对数据包进行过滤，并且还要分析、登记和统计数据包的具体情况，生成数据包过滤报告。

3.2.3 代理服务

划分跨越防火墙的网络通信链路，由两个终止代理服务器的链接对防火墙内外计算机系统进行链接，为外部网络提供代理服务。计算机系统在代理服务的作用下，能够隔离防火墙内外网络，并分析登记过往数据包，形成报告。一旦在代理服务过程中发现被攻击

现象，则及时发出警报，保留好被攻击留下的痕迹。

3.3 身份认证技术

身份认证技术是保证网络信息安全的重要技术，能够对用户身份进行确认，防止非法用户入侵网络。由于网络通信中涉及多方用户，所以要引入身份认证技术验证用户的身份，确保与预留的用户信息一致，根据预设权限，允许合法用户对网络进行访问控制。为了保证网络信息安全，必须利用身份认证技术为用户建设起身份，授予不同用户特定的网络资源使用权限，防范非法用户访问网络资源，以及用户超越自身权限访问其他资源。身份认证技术采用密钥、口令、智能卡、指纹等认证方法，在电力监控系统中可采用证书授权的认证形式，由证书授权中心分发和签署所有客户的证书，其中包含公开密钥，确保用户各自拥有独立的私密密钥，该密钥与证书相对应。若想获取密钥加密的信息，必须使用相应的密钥解除加密，如此一来可保证信息的安全性。最为常用的公开密钥加密技术是数字签名，能够有效避免非法用户入侵网络。

3.4 入侵检测技术

入侵检测技术可通过分析实时事件的列序或积累的记录，快速检测出入侵行为，并将检测信息传输到安全管理部门，发出安全入侵警告。该技术主要针对网络异常活动进行检测，具体检测方法如下：（1）通过定期搜集、统计分析与合法用户行为相关的数据，检验所观察的活动，判断活动的可靠性，若活动行为与合法用户的行为相符，则判定为可信度高。

（2）预先定义规则，根据规则检测入侵行为是否符合规则描述。在电力监控系统中，入侵检测技术是必要的信息安全防护技术，该技术可有效检测并阻隔网络攻击者的入侵，应对因口令密码盗用带来的网络安全事件。 4结论

综上所述，在电力监控自动化系统中有着大量的数据信息，为确保这些信息的安全性，必须采取合理可行的防护技术，给信息的传输安全提供保障。在未来一段时期，应当加大信息安全防护方面的研究力度，除对现有的技术措施进行完善之外，还应研发一些新的技术，使其能够更好地为电力系统的信息安全服务。

参考文献：

[1]刘勇.电力监控系统二次安全防护的解决方案初探[J].电子制作，2016（08）：154-157.

[2]刘明凤.电力二次系统网络信息安全防护的设计研究[J].信息系统工程，2017（05）：109-111.

[3]岳丽华.电力信息系统常见安全分析及防护对策[J].硅谷，2014（24）：85-87.