电力系统信息安全防护技术部署

1.电力信息系统安全防护体系结构

结合我国电力工业的特点和企业计算机及信息网络技术应用的实际情况,全国电力二次系统安全防护总体框架将电力信息划分“三层四区”。按照信息业务功能，电力信息系统可以划分为三层：第一层为自动化系统;第二层为生产管理系统;第三层为电力信息管理系统。将电力信息业务的三层功能与电力信息网络结构对应起来，具体又可以分成实时控制区、非控制生产区、生产管理区和管理信息区四个安全区域。如图1所示：

其中实时控制区为调度信息网支撑的自动化系统，是生产的核心环节，直接实现对电力一次系统的实时监控，包括电力数据采集和监控系统等。非控制生产区为调度信息网支撑的生产管理系统，其特点是在线运行但不具备控制功能，典型业务包括调度员培训模拟系统(DTS)等电力生产的重要业务系统。生产管理区为电力信息网支撑的生产管理系统，形式上主要采用B/S结构的方式，主要功能是实现对相应业务的处理。管理信息区为电力信息网支撑的电力信息管理系统，包括办公及OA系统等，该区域与互联网存在接口，因此安全威胁来源比较多。

针对电力信息业务的这种层次结构，电力信息安全体系的防护框架采用分层、分区进行防护。首先是进行分层管理，按照电力信息业务的三层功能，层间使用隔离装置实施网络间隔离。其次是进行分区管理，各区之间使用网络物理隔离设备进行网络隔离，对实时控制区等关键业务实施重点防护，并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。我国目前采用专用网络和公共网络相结合的电力信息网络结构。调度信息网和电力信息网是电力专用网络，它们有力地支撑了电力信息安全性的要求。按照电力信息的重要性，不同的功能采用不同的网络，并且在确保安全的前提下，实现与互联网的对接。

2.安全防护的关键技术部署

在上述的总体框架下，针对电力信息系统的物理安全、数据安全、网络安全和系统安全，全面、系统地部署安全防护技术。

2.1 物理安全

对于企业来说，最珍贵的不是计算机、服务器、交换机和路由器等硬件设备，而是存储在存储介质中的数据信息。为了防止自然灾害以及物理运行环境等因素造成数据信息的丢失和失效，数据备份和容灾体系是必不可少的。因此电力企业必须建立集中和分散相结合的数据备份设施、制定切合实际的数据备份策略和数据备份管理制度、采用先进灾难恢复技术并对数据备份的介质妥善保管才能有效地保证信息系统在出现不可预见的毁灭性灾难时，可在短时间内恢复信息服务。

2. 2数据安全

考虑数据在存储和传输中的安全及对数据或文件访问的控制，电力企业必须通过文件加密、信息摘要和访问控制等安全措施，来实现文件存储和传输过程中保密性、完整性和不可抵赖性等要求。电力行业具体可以通过构建企业内部的公钥基础设施(PKI)平台、建立全网统一的认证与授权机制、全网统一的时间服务，保证信息在产生 、存输和处理过程中的保密、完整、抗抵赖和可用;并且将所有的信息系统用户纳入到统一的用户管理体系中;实现了网络环境中对实体身份的认证功能，从而可以解决信息安全中用户身份识别的问题。

PKI的基础技术包括信息加密、数字签名、数字证书认证、数字信封等。

1)信息加密技术

密码技术是信息安全领域的一种基本实用且非常重要的技术。密码技术主要分对称密码技术(如DES算法)和非对称密钥技术(也叫公开密钥技术，如RAS算法)。

2)数字签名(Digital Signature)技术

数字签名技术是不对称加密算法的典型应用。数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。

3) 数字证书认证技术

数字证书是由证书授权中心即CA中心分发并签名，能够提供在网络上进行身份验证的一种权威性电子文档，人们可以在网络交往中用它来证明自己的身份和识别对方的身份。CA是Certificate Authority的缩写， 即证书授权，是证书的签发机构,它是PKI的核心。在电子商务系统中，所有实体的证书都是由证书授权中心(CA 中心)分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。电力市场交易系统就其实质来说，是一个典型的电子商务系统，它必须保证交易数据安全。在电力市场技术支持系统中，作为市场成员交易各方的身份确认、物流控制、财务结算、实时数据交换系统中，均需要权威、安全的身份认证系统。在电力系统中，电子商务逐步扩展到电力营销系统、电力物质采购系统、电力燃料供应系统等许多方面。因此，电力企业需要建立自己的信息安全身份认证体系，对企业员工上网用户进行统一的身份安全认证。

4) 数字信封

数字信封是公钥密码体制在实际中的一个应用，是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。在数字信封中，信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密(这部分称数字信封)之后，将它和加密后的信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开加密信息。这种技术的安全性相当高，数字信封主要包括数字信封打包和数字信封拆解，数字信封打包是使用对方的公钥将加密密钥进行加密的过程，只有对方的私钥才能将加密后的数据(通信密钥)还原;数字信封拆解是使用私钥将加密过的数据解密的过程。

2. 3 网络安全

电力调度信息网作为电力生产的重要平台，对网络的可靠性、安全性有着非常严格的要求。与此同时，电力信息通信网承载了电力调度管理系统、电力市场交易、电力电量计量系统、语音和视频等大数据量业务，对网络的性能和业务连续性也提出了很高的保障要求，而且电力信息网络也是攻击发起的重要途径，因此必须组建科学严密的防火墙体系，并在关键位置装入入侵检测系统、安全监控系统，采取入侵防护、病毒防护、漏洞扫描、服务器核心防护、日志审计系统、专用安全隔离装置、IP认证加密装置、SSL VPN、专用数字证书等防护措施对其重点防范，实现全面的防护，有效地阻止攻击者进入网络系统。

2. 4系统安全

考虑操作系统和应用系统的安全性，电力企业应该开发并使用专用的操作系统安全加固软件，并设置操作系统的安全机制，对关键操作系统实现管理员权限限制，为应用系统提供强身份认证，有力地保障数据的完整性、机密性、正确性、抗抵赖性。基于PKI公钥基础设施，在数字证书认证体系建成后，电力企业应该加强对办公自动化系统、GIS公用基础平台、虚拟专用网络(VPN)、企业门户(Porta1)、数字档案馆、调度DMIS系统、供电生产管理系统、营销管理系统、党务管理系统等应用系统基于数字证书的安全改造， 实现应用系统的强身份认证，保证数据的完整性、机密性及行为的不可否认，并在此基础上形成应用系统的安全开发规范，提高应用系统的安全强度，从而进一步提高电力信息安全防护水平。

3.结论

目前，信息安全技术和产品日新月异，防病毒、防火墙、入侵检测系统等信息安全产品已经得到了普遍认可和广泛的应用，但这些产品也有自身的局限性，仅凭单一的安全产品不足以抵抗黑客的攻击。为此，建立综合、动态的电力信息系统安全防护体系是非常必要的。基于此要求，电力企业必须建立从防火墙、入侵检测系统、漏洞扫描系统、防病毒系统、数据备份、主机防护等多方面建立全方位的综合防护体系。