浅谈电力系统中的信息安全
摘要：通过对电力系统计算机网络存在的网络安全问题的分析，提出相应的安全对策，并介绍应用于电力系统计算机网络的网络安全技术。

关键词：电力；信息安全；策略
abstract: based on the analysis of network security existing in computer network of power system, this paper puts forward the corresponding solutions about security, and introduces the network security technology applied in the computer network of power system.
keywords: electric power; information security; strategy 中途分类号：f407.61 文献标识码：a 文章编码：
在全球信息化的推动下，计算机信息网络作用不断扩大的同时，信息网络的安全也变得日益重要，一旦遭受破坏，其影响或损失也十分巨大，电力系统信息安全是电力系统安全运行和对社会可靠供电的保障，是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。

应结合电力工业特点，深入分析电力系统信息安全存在的问题，探讨建立电力系统信息安全体系，保证电网安全稳定运行，提高电力企业社会效益和经济效益，更好地为国民经济高速发展和满足人民生活需要服务。

研究电力系统信息安全问题、制定电力系统信息遭受内部外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。

一、电力系统的信息安全体系
信息安全指的是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

一个全面、合理的电力信息系统安全体系和模型，应该满足下列安全需求。

保密性
即确保信息仅对被授权者可用。

信息的保护通过确保数据被限制于授权者(这里通过可审性来配合)使用，另外还应考虑信息所在的形式和状态，是物理的纸面形式、电子文档形式，还是传输中的介质形式。

2、完整性是指数据不以未经授权方式进行改变或损坏的特性。

电力企业的许多开放系统应用都有依赖于数据完整性的安全需求。

完整性同样应考虑信息所在的形式和形态。

3、可用性指确保被授权用户在需要时可以访问系统中的信息和相关资产，不会因自然或人为原因使系统中信息的存储、传输或处理延迟，或者系统服务被破坏、被拒绝达到不能容忍的程度。

4、可控性指授权机构对信息的内容及传播具有控制能力，可以控制授权访问内的信息流向以及方式。

5、不可抵赖性也称信息的可确认性，是传统社会的不可否认需求在信息社会的延伸。

不可抵赖性包括证据的生
成、验证和记录，以及在解决纠纷时随即进行的证据恢复和再次验证。

6、可审性可审性不是信息自身的安全需求，不能针对攻击提供保护，但具有信息的责任需求，和他安全需求相结合使之更加有效。

虽然可审性需求会增加系统的复杂性，降低系统的使用能力。

但是其事后可追查这一特性，在电力信息系统安全中是重要的。

以上六个方面是保证信息系统的信息安全最基本的需求，它们互不能蕴含。

信息安全涉及的因素有，物理安全、信息安全、网络安全、文化安全。

作为全方位的、整体的信息安全体系是分层次的，不同层次反映了不同的安全问题。

信息安全应该实行分层保护措施，有以下五个方面，
①物理层面安全，环境安全、设备安全、介质安全，②网络层面安全，网络运行安全，网络传输安全，网络边界安全，③系统层面安全，操作系统安全，数据库管理系统安全，④应用层面安全，办公系统安全，业务系统安全，服务系统安全，⑤管理层面安全，安全管理制度，部门与人员的组织规则。

二、电力系统的信息安全策略
电力系统的信息安全具有访问方式多样，用户群庞大、网络行为突发性较高等特点。

信息安全问题需从网络规划设计阶段就仔细考虑，并在实际运行中严格管理。

为了保障信息安全，采取的策略如下：
(一)设备安全策略
这是在企业网规划设计阶段就应充分考虑的安全问题。

将一些重要的设备，如各种服务器、主干交换机、路由器等尽量实行集中管理。

各种通信线路尽量实行深埋、穿线或架空，并有明显标记，防止意外损坏。

对于终端设备，如工作站、小型交换机、集线器和其它转接设备要落实到人，进行严格管理。

(一)安全技术策略
为了达到保障信息安全的目的，要采取各种安全技术，其不可缺少的技术层措施如下：
1．防火墙技术。

防火墙是用于将信任网络与非信任网络隔离的一种技术，它通过单一集中的安全检查点，强制实施相应的安全策略进行检查，防止对重要信息资源进行非法存取和访问。

电力系统的生产、计量、营销、调度管理等系统之间，信息的共享、整合与调用，都需要在不同网段之间对这些访问行为进行过滤和控制，阻断攻击破坏行为，分权限合理享用信息资源。

2．病毒防护技术。

为免受病毒造成的损失，要采用的多层防病毒体系。

即在每台pc机上安装防病毒软件客户端，在服务器上安装基于服务器的防病毒软件，在网关上安装基于网关的防病毒软件。

必须在信息系统的各个环节采用全网全面的防病毒策略，在计算机病毒预防、检测和病毒库的升级分发等环节统一管理，建立较完善的管理制度，才能有效的防止和控制病毒的侵害。

3．虚拟局域网技术(vlan技术)。

vlan技术允许网络管理者将一
个物理的lan逻辑地划分成不同的广播域，每一个vlan都包含一组有着相同需求的计算机工作站，与物理上形成的lan有相同的属性。

但由于它是逻辑而不是物理划分，所以同一个lan内的各工作站无须放置在同一物理空间里，既这些工作站不一定属于同一个物理lan网段。

一个vlan内部的广播和单播流量都不会转发到其他vlan中，有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。

4．数据与系统备份技术。

电力企业的数据库必须定期进行备份，按其重要程度确定数据备份等级。

配置数据备份策略，建立企业数据备份中心，采用先进灾难恢复技术，对关键业务的数据与应用系统进行备份，制定详尽的应用数据备份和数据库故障恢复预案，并进行定期预演。

确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统，从而保证信息系统的可用性和可靠性。

5．安全审计技术。

随着系统规模的扩展与安全设施的完善，应该引入集中智能的安全审计系统，通过技术手段，实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。

6．建立信息安全身份认证体系。

ca是certificate authority 的缩写，即证书授权。

在电子商务系统中，所有实体的证书都是由证书授权中心(ca中心)分发并签名的。

一个完整、安全的电子商务
系统必须建立起一个完整、合理的ca体系。

ca体系由证书审批部门和证书操作部门组成。

电力市场交易系统就其实质来说，是一个典型的电子商务系统，它必须保证交易数据安全。

在电力市场技术支持系统中，作为市场成员交易各方的身份确认、物流控制、财务结算、实时数据交换系统中，均需要权威、安全的身份认证系统。

在电力系统中，电子商务逐步扩展到电力营销系统、电力物质采购系统、电力燃料供应系统等许多方面。

因此，建立全国和网、省公司的ca机构，对企业员工上网用户统一身份认证和数字签名等安全认证，对系统中关键业务进行安全审计，并开展与银行之间、上下级ca机构之间、其他需要ca机构之间的交叉认证的技术研究及试点工作。