摘  要：本文通过对电力信息网络安全深入分析，具体阐述了电力信息网络的安全分区及相应的防护体系，并对电力信息网络安全防护技术进行了研究。
　　关键词：信息;网络;安全;防护
　　一、引言
　　随着社会的不断发展，对信息网络的安全越来越高。由于电力系统与外界业务接口的迅猛增加，为了保证电力业务顺利展开，确保电力信息网络安全十分必要，但是来自网络内部及外部攻击的安全问题层出不穷，并且外部攻击在电力系统中屡见不鲜，多次发生的威胁事件严重干扰电力系统安全稳定的运行。鉴于此分析研究电力信息网络相关安全问题则是当前企业信息化工作中的重中之重。
　　二、电力信息网络安全分析
　　根据业务和安全特点可以将电力企业的信息网络划分为四个安全区。其中生产控制大区包括安全I区和II区，管理信息大区包括安全III区和IV区。对于划分的这四个安全區不仅要求其对应不同的安全防护要求，而且其对应的安全等级及防护水平也不一样。

1. 安全I区即实时控制区，它提供的服务是电力生产的关键环节。实时控制区中的系统一般在线运行，其主要功能是即时监控电力系统。实时控制区对电力系统的实时控制主要通过调度自动化系统、配电自动化实时系统、广域相量测量系统、变电站自动化系统等来实现。实时控制区所对应的安全等级要求最高，它是电力系统至关重要的一部分，在电力系统中举足轻重，是电力信息系统安全防护的关键所在。
2. 安全II区是非控制生产区，主要是由继电保护系统、故障录波信息管理系统、水调自动化系统、电能量计量系统、电力电量交易系统等组成。安全II区是电力生产的重要环节，虽然它不具有控制功能，但与安全I区中的系统密切

　　相关，故其安全等级仅次于安全I区。其在线运行使用的是调度数据网。
　　3、安全III区是生产管理区，它主要是由调度生产管理系统、雷电检测系统和统计报表系统等组成。生产管理区中各类系统因为不需要提供实时控制功能，故不需要在线运行。生产管理区安全等级防护比生产控制区要求较低，但其与信息管理区的办公自动化系统紧密相关，应注意保障信息交互安全。
　　4、安全IV区是信息管理区，它主要是由管理信息系统、客户服务系统和办公自动化系统等组成。安全IV区的主要功能是实现办公自动化和电力信息管理，运用电力数据通信网络，桌面终端是其相应的业务系统接口。
　　电力信息网络由许多异构的复杂子系统构成，具有规模大，分布广和层次化等特点。因此必须考虑各类业务系统之间的交互来确保电力系统安全。整体电力信息网络的安全保障体系具体以“安全分区、网络专用、横向隔离、纵向认证”为原则。
　　三、电力信息网络安全威胁
　　现实中对电力信息系统的安全产生威胁有很多种，因此电力企业的信息系统面临的风险也是错综复杂的。面对如此复杂的环境就需要因地制宜依据其自身所具有的特点进行全方位整体防护。
　　1、物理安全
　　物理安全主要是保证信息系统的设备安全，其主要安全威胁是由于设备的本身特性及环境因素导致线路故障，从而引起的网络瘫痪。设备安全是信息系统安全的必要条件，只有确保了物理设备的安全稳定，才能有正常运行的网络信息系统。
　　2、网络安全
　　网络安全主要包括：内网与外网间信息隔离要切实有效、外网连接处防火墙设置必须设置合理、网络安全设置随需求改变而及时调节、对主干网络设备的处理应满足业务需求、保障主干通信线路安全及处理系统硬件需要有足够空间、对网络设备日常运行及业务交换要有相应的日志记录、在网络流量边界可以对端口扫描等攻击行为进行监控等。
　　3、主机系统安全
　　主机系统安全是保证系统权限不被内部或者外部人员通过一定手段获取造成信息系统威胁。主机系统安全可以分为操作系统安全和数据库系统安全。操作系统的安全威胁主要表现在安装不必要的附加模块，开放多余端口，不及时的安全配置及漏洞修补等而给入侵者制造机会。数据库安全威胁来源主要是指对数据本身的非法访问或是数据库系统服务器自身存在的安全威胁等。
　　4、数据备份及恢复安全
　　数据备份及恢复安全是要保证重要数据在存储和转发过程中的完整性校验或是加密算法对其处理时要对关键信息进行备份处理。并且应保证系统能够实现完善有效的数据恢复功能。
　　5、应用安全
　　应用安全主要是指电力信息系统在应用时应对其安全合理控制保证信息的完整与不公开，确保信息转发的确定性及资源的合理准确性，具有正确识别非法用户身份等功能保障其应用的安全。
　　四、电力信息网络安全防护设备
　　电力信息网络结合自身特性建设其相应的安全体系，通过在不同分区间设置安全隔离装置进行横向隔离，并且在外部网络与内部网络之间设置了防火墙，入侵检测等安全保障设备。
　　1、安全隔离装置
　　电力信息网络的专用安全隔离设备可以对不同安全分区边界进行防护，为电力系统安全提供横向保护。安全隔离装置安全防护强度高，可以在保证单向数据传递的前提下，阻止Web、E-mail等通过隔离装置跨区域进行。其具体设置如下。正向隔离装置其内部设有地址过滤，对外没有IP地址，可以取消TCP外所有网络功能。它可以通过采用非网络方式确保两侧网络不同时联通，以保证两个安全区之间数据交换的安全性。反向隔离装置不仅需要具备正向隔离装置的基本功能，而且还应具备应用网络管理功能，即它可以接收并转发数据的应用功能。
　　2 防火墙
　　防火墙部署在不同分区之间，它不仅可以实现不同区域的逻辑隔离而且还具有访问控制、报文过滤等功能。防火墙还可以部署在外部和内部网络之间，其目的是为了禁止威胁侵入信息网络中。通过防火墙可以对数据流进行检测和控制，可以在很大程度上屏蔽来自网络内部的信息，来保护网络的安全。通常按照采用的技术可将防火墙分为3类即数据包过滤、状态检测和应用级防火墙。
　　数据包过滤是通过在网络层选择数据包，选择数据包时根据在其内设置的过滤逻辑来选择。包过滤性数据包通过检测数据包的地址、端口号等来检测能否让此数据包通过。状态检测型的防火墙则主要是通过检查数据包的内容，根据数据包内容决定如何处理该包。应用级防火墙的原理是通过检测进出的数据包，透视应用层协议，按照既定的安全策略对其进行比较处理。
　　3 入侵检测系统
　　防火墙可作为第一道防线提供静态防御，在一定程度上防御黑客攻击，但是随着各种信息系统漏洞和应用系统漏洞的不断出现，新的攻击方式层出不穷，因此需要进一步完善安全保障体系。部署入侵检测系统作为电力信息网络系统内外部的另一道防线可以对防火墙起到很好的补充作用。它主要作用于整个网络，可以监控和分析来自网络内部和外部的威胁。根据其监控对象不同可将其分为三种类型即基于主机的入侵检测系统和基于网络的入侵检测系统以及混合分布式系统。
　　基于主机的入侵检测系统在单一的主机上工作，其检测系统安全入侵的方式主要是通过主机审计工作日志发现来自系统内外的威胁。基于网络的入侵监测系统其工作原理主要是首先通过在获取的信息中提取有用的信息如网络流量、协议分析等数据信息，然后将这些数据信息与已知入侵或网络正常行为的特征信息相匹配来识别入侵事件。混合分布式入侵监测系统则是将不同入侵检测系统结合到一起，可以更精确地识别各类网络入侵事件。
　　五、小结
　　本文的相关研究为企业后续电力信息系统的安全评估和电力信息网络的安全态势评估做准备工作。