火力发电企业信息网络安全初探--中国期刊网

字体：大中小

首页> 原创作品> 正文

火力发电企业信息网络安全初探

发表时间：2021/5/14 来源：《基层建设》2021年第2期作者：庄浩君

[导读] 摘要：随着信息技术的迅猛发展，信息网络和大量的IT技术产品已被发电企业广泛应用于电力生产的各个环节，覆盖了整个电力生产管理流程，发电企业的信息业务系统得到了快速增长，作为电力能源生产输出企业，由于信息网络技术在电力生产过程中被大量应用，发电企业如何保障信息网络的安全运行面临越来越多的挑战。

        华电国际电力股份有限公司十里泉发电厂 277103
        摘要：随着信息技术的迅猛发展，信息网络和大量的IT技术产品已被发电企业广泛应用于电力生产的各个环节，覆盖了整个电力生产管理流程，发电企业的信息业务系统得到了快速增长，作为电力能源生产输出企业，由于信息网络技术在电力生产过程中被大量应用，发电企业如何保障信息网络的安全运行面临越来越多的挑战。基于此，文章通过分析电力生产企业信息网络安全的问题，提出防护安全问题的对策，为发电企业的安全生产运行奠定稳定基础。
        关键词：发电企业；网络安全；工控安全；防护对策
        一、发电系统信息网络安全防护的重要价值
        在发电企业的生产经营过程中，采用的网络化自动化控制设备、各生产系统的工况监控、生产实时数据的拓展利用等都离不开稳健的信息网络运行，因此，保障发电企业信息网络的安全运行至关重要。网络安全隐患会直接影响发电控制系统的稳定运行及与电网的调度配合。随着我国电力行业不断完善智能电网系统建设，发电企业构建智慧电厂也得到国家的大力支持，对信息网络安全在发电企业中的要求越来越高，发电企业的信息网络结构也越来越复杂，常见的火力发电企业信息网络拓扑如下图所示：

        图一.火力发电企业信息典型网络拓扑
        目前，发电企业信息网络运行中主要需要防范的安全隐患包括：第一，病毒。随着计算机技术的发展，当前的计算机病毒具有隐蔽性强、传播速度快等特点，尤其是针对工控系统进行攻击的病毒，发电企业信息网络一旦受到此类病毒的入侵，将对电力生产各环节产生严重影响，造成重要生产数据被篡改和丢失，严重时甚至会威胁整个电力系统的稳定运行，使电力系统遭受严重损失。第二，网络攻击。出于各种目的，社会上的黑客会利用计算机系统存在的各种漏洞对电力系统发起攻击，当系统受到恶意攻击后，严重时会造成大面积停电事故，引发社会恐慌。电力系统存在大量信息资源，若黑客窃取资源也将威胁电力企业的经济利益。第三，不可抗力因素。主要包括雷电、海啸、地震等自然灾害因素，信息网络系统属于弱电系统，在受到以上不可抗力因素影响时，会严重威胁网络安全，给电力生产带来严重破坏。需要根据实际情况采取合理的防护手段，保障网络基础物理系统的安全运行。第四，设备原因。由于信息设备老化等因素导致信息系统的突发性故障，引发电力生产安全事故的发生。电力系统设备已经使用很长一段时间，很多设备的部件出现老化问题，极容易发生安全事故，对工作顺利开展产生直接影响，严重时还会引发安全事故，造成电力企业的重大经济损失。
        二、电力信息网络安全存在的问题
        1.对信息系统安全重视程度不够，管理人员安全意识薄弱
        目前，在电力企业市场竞争日趋激烈的形势下，发电企业的管理人员往往更加注重企业运营的经济效益，而忽视信息网络安全方面的技术问题。此外，个别企业信息安全管理制度不够完善，缺乏网络安全相关管理机制，或者仅仅是应付上级检查等，造成管理人员的信息安全观念较为淡薄，增加了企业信息系统的安全风险。究其原因，在于目前的电力企业对信息安全技术管理问题不够重视，对员工缺乏系统的网络安全教育，没有做好对企业职工的相关培训工作，造成企业职工的信息安全意识和技能水平偏低，增加了电力企业的信息网络安全风险。
        2.对电力生产工控系统的防护力度偏弱
        发电企业的工控系统通常采用单独组网的方式独立运行，这种运行模式给人造成一种错觉，以为在物理上与其它网络隔离会很安全，从而忽视了对生产工控系统的安全防护。近年来虽然发电企业不断采用新技术加强网络安全防护，但从当前情况分析，对工控系统尚未建立一套缜密的网络安全防护体系，应用安全防护技术并未形成一整套闭环防护。工控系统的安全防护实际效果并不理想，无论是技术环节还是管理制度，仍然存在诸多漏洞，威胁电力生产的安全。
        3.对终端用户的信息安全保障性投入偏低
        由于信息终端的安全防护是信息网络安全的主要薄弱环节，尽管终端用户具备一定的安全意识，但由于企业对终端安全的支出不够，比如正版操作系统、安全防护软件、安全软件的持续更新服务等资金投入，造成了信息终端的基本防护不到位，这是仅靠员工提高安全意识不能解决的问题。
        4.信息网络安全管理力度欠缺，安全管理制度不健全
        发电企业通常对生产安全很重视，但对网络安全的管理存在明显不足，不仅相关的管理机制不完善，缺少必要的规范性，也缺少相关依据。发电企业内部工种结构复杂，生产班组繁多，员工的计算机应用水平参差不齐，导致信息安全管理工作的开展难度较高。
        三、电力信息网络安全建设的对策
        1.建立完善的信息安全管理制度，构建稳定的信息网络安全生态
        建立健全稳定有效的信息安全管理机制，从制度层面完善信息安全要求，有助于促进发电企业信息网络的安全平稳健康运行，可有效增强员工的安全防护意识，从人的层面入手，可以有效规避企业网络系统中所存在的各种安全隐患。
        “三分技术，七分管理”是网络安全领域的一句至理名言，安全管理制度是关键，是落实相关技术和产品的基础。因此，建立健全一个优秀的安全管理制度框架，为各种安全策略在该框架内可得以准确实施，落到实处，才能有效实现等级保护对象的持续安全。只有建立了完善的信息安全管理制度、机构设置、人员配备、运维管理等方面进行系统的规划设计，建立起统一的网络安全管理体系，使各项管理制度得以落实，才可以构建出一个安全、持续、稳定的发电企业信息网络安全生态。
        2.充分利用科技优势，引入必要的技术手段
        随着信息技术的发展和信息安全需求的不断提高，信息网络各环节的智能化安全产品越来越丰富，发电企业应根据自身电力生产的具体特点和信息网络的实际运行情况，尤其是在关系安全生产的工控系统中，采纳相关的应用安全可视化、统一运维等创新技术手段，既能简化网络安全管理的运维难度，又可提升安全管理的效率，最终做到整体防御、分区隔离；积极防护、兼防内外；自身防御、主动免疫；纵深防御，技管并重。
        可从如下两个方面做出努力：一是在信息网络系统中部署入侵检测系统，加强对生产信息流的管理。该系统可实时对信息网络系统中存在的恶意入侵程序及行为进行有效识别，并对此做出积极的响应，从而起到对网络内部的有害行为进行实时监测。由于发电企业的通信系统中会涉及很多的设备，信息流管理的主要任务就是对这些节点设备的通讯异常进行科学有效的管理，为发电企业的信息安全提供保障和前提。
        二是加强电力生产网络的准入控制，在网络系统中部署网络安全接入系统，它可以识别网络中有多少各种设备、终端，能够准确管理入网终端进行身份识别、接入授权、安全检查与修复、访问权限管理、使用状态监控，来实现接入的安全管理。准入控制系统的应用，可以从终端、网络、人员、管理四个维度，对网络使用、安全、管理中的各种元素进行全面的管控。第一，对网络中的终端进行终端授权管理，防止未经批准的终端设备接入电力生产网络，同时确保接入的终端符合网络安全要求并持续对其行为进行监视和响应；第二，基于网络的物理层面对已接入网络的各种终端设备进行设备定位透视、网络拓扑、结构透视；第三，提供灵活易控的员工身份认证机制，对不同岗位的员工采用不同级别和强度的认证，并合理规划员工对不同区域的访问权限和审计追溯；第四，在技术管理层面，可为管理员提供可持续进行网络健康状况检测及管理提供方便的手段。
        3.提高工控网络安全防护水平
        目前各类信息安全均面临着广泛的威胁，对发电企业而言，工控系统的安全尤为突出，主要是因为工控制领域信息安全的先天不足，如DCS工控协议本身普遍在设计之初就较少考虑信息安全方面的问题。工控信息安全主要分为边界防护、审计监控和主机防护三个类别。目前使用较多的工控信息安全产品主要有两类：
        第一类为隔离类产品，主要部署在工控系统中控制网与管理网之间，隔离产品之间不使用传统的TCP/IP进行通信，而是对协议进行剥离，仅将原始数据以私有协议（非TCP/IP）格式进行传输。其次还有网闸，除了做协议剥离，还采用了摆渡模块，使得内外网之间在同一时间是不联通的。另外还有单向导入设备，主要采用单向光纤、VGA视频信号等方式从物理上保证传输的单向性，对于将控制网中的监测数据传输到企业办公网是可行的。总体来说，由于隔离类产品采用私有协议通信，即使外端机被攻击者控制，也无法侵入内端机，其安全性要高于防火墙设备。
        第二类为工控防火墙，在电力企业内部各网络区域设置防火墙是目前电力企业对内部信息进行保障的常用措施，这能够实现对网络访问的有效控制。根据防护的需要，防火墙在工控系统中部署的位置存在多种情况，通常用于各层级之间、各区域之间的访问控制，也可能部署在单个或一组控制器前方提供保护。工控防火墙主要对基于TCP/IP工业控制协议进行防护。通过链路层、网络层、传输层及应用层的过滤规则分别实现对MAC地址、IP地址、传输协议（TCP、UDP）和端口，以及工控协议的控制命令和参数的访问控制。工控防火墙从形态来说主要分两种，一类是在传统IT防火墙的基础上增加工控防护功能，对工控协议做深度检查及过滤。还有一类是参考多芬诺工业防火墙的模式来实现的。在网络系统当中，防火墙能够借助监控系统对网络进行有效隔离，以此来有效拦截外部网络的侵袭。与此同时，对监控系统的盲区进行有效管理，实现对管理系统的有效完善，也能建立起有效的安全集成联动系统。
        4.加强电力生产工控网络的审计管理
        工控监控与审计系统，是通过对网络流量进行分析，专门针对工业控制网络的信息安全审计系统。这种架构通常采用旁路部署或串入部署，以实现对工业生产过程的“零风险”。它基于对工业控制协议（如Modbus TCP、DNP3、IEC104、OPC、S7等）的通信报文进行深度解析（DPI，Deep Packet Inspection），这种解析均为类似指令级，所以对于工业现场来说意义较大，这种监控系统能够实时检测针对工业协议的网络攻击、用户违规/误操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录所有网络通信行为，包括指令级的工业控制协议通信记录。这不但可以脱离于系统原有厂商的监控系统，作为第三方监控，对事后追溯提供有力证据，为工业控制系统的安全事故调查提供坚实的基础。
        结论
        在社会经济和信息技术快速发展的当下，发电企业中的信息安全问题成为电力企业管理工作关注的重点。虽然有不少IT产品厂商为电力生产行业提供了很多优秀的解决方案，但每一种解决方案都有各自的特点与不足。为确保发电企业中的信息安全，作为电力生产企业的发电厂也需要增加此方面的专业技术管理人员和投入，毕竟各种技术手段需要专业人员进行合理的使用，那样才能为计算机网络信息系统的安全提供一定的保障，促使计算机网络系统真正效能的发挥，为发电企业运行效率的提升奠定基础，促使整个电力行业内企业实现可持续健康发展的目标。
        参考文献：
        [1]聂君，李燕，何扬军.企业安全建设指南：金融行业安全架构与技术实践，2019，5（11）：186.
        [2]熊伟，吴辉.电力企业信息网络安全建设的几点探讨[J].中国新通信，2018，20（19）：137.
        [3]杜嘉薇.网络安全态势感知：提取、理解和预测，2018（13）：203-204.
        [4]牛斐.浅析主动防御新技术及其在电力信息网络安全中的应用[J].中国新通信，2018，20（21）：124.
        [5]王新飞.刘希伟.电力企业网络安全存在的问题和对策研究，2019，56（19）：102-106.