三、電力行業(yè)提升網(wǎng)絡(luò)安全水平的措施

加強電力行業(yè)網(wǎng)絡(luò)安全的建設(shè)，需深入研究電力企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的特性，優(yōu)化網(wǎng)絡(luò)管理，提出科學(xué)措施：

1、合理設(shè)置防火墻配置

防火墻是阻隔網(wǎng)絡(luò)內(nèi)外環(huán)境的有效保障，合理設(shè)置電力系統(tǒng)的防火墻參數(shù)，有效組織外部攻擊[2]。例如：在企業(yè)網(wǎng)絡(luò)系統(tǒng)內(nèi)外交互的空間處，安裝防火墻，嚴格管理外部廣域環(huán)境的訪問，控制不良訪問行為，保持原有拓撲結(jié)構(gòu)，分析攻擊路徑，將其阻隔在網(wǎng)絡(luò)系統(tǒng)外部，避免影響內(nèi)部網(wǎng)絡(luò)運行。較為常用的防火墻技術(shù)為過濾技術(shù)，檢測數(shù)據(jù)包的狀態(tài)，過濾無用數(shù)據(jù)，排除入侵數(shù)據(jù)，強化硬件管理，完善系統(tǒng)控制，優(yōu)化防火墻配置。

2、應(yīng)用單向隔離裝置

在電力網(wǎng)絡(luò)系統(tǒng)內(nèi)，引入單項隔離裝置，其屬于網(wǎng)絡(luò)安全建設(shè)的設(shè)備，運用隔離技術(shù)，確保網(wǎng)絡(luò)穩(wěn)定。該裝置的運行原理為：利用雙模塊主機板，隔離網(wǎng)絡(luò)層，區(qū)分電力網(wǎng)絡(luò)，為信息通訊設(shè)置兩項關(guān)口，①外網(wǎng)到裝置;②裝置到內(nèi)網(wǎng)，控制內(nèi)網(wǎng)與外網(wǎng)的傳輸數(shù)據(jù)，保障電力網(wǎng)絡(luò)信息的通訊質(zhì)量，提高通訊的安全級別。建設(shè)電力行業(yè)網(wǎng)絡(luò)，對單項隔離裝置的應(yīng)用較為廣泛，著實提高網(wǎng)絡(luò)安全水平，例如：實時控制區(qū)，隔離Ⅰ區(qū)、Ⅱ區(qū)、Ⅲ區(qū)及Ⅳ區(qū)，促使實時電力數(shù)據(jù)依次傳遞，只能保持單項傳遞的質(zhì)量和安全環(huán)境，實現(xiàn)Ⅰ→Ⅳ區(qū)，如果電力數(shù)據(jù)反向傳輸，則不能實現(xiàn)，如此，嚴格防止網(wǎng)絡(luò)病毒、木馬入侵，還可避免黑客攻擊。“捍馬”是比較常用的單向隔離裝置，協(xié)助電力網(wǎng)絡(luò)實現(xiàn)整體防護，捍馬裝置既可以實現(xiàn)電力數(shù)據(jù)的傳輸隔離和保護，還可以實現(xiàn)高效的自我保護。

3、入侵監(jiān)測系統(tǒng)防御

入侵監(jiān)測主要是以電力行業(yè)的內(nèi)網(wǎng)為防御對象，屬于防火墻的延伸技術(shù)。在內(nèi)網(wǎng)關(guān)鍵位置，設(shè)置監(jiān)測點，實現(xiàn)電力網(wǎng)絡(luò)行為的監(jiān)控和跟蹤，快速識別入侵行為。入侵監(jiān)測的內(nèi)容包括：監(jiān)控電力網(wǎng)絡(luò)系統(tǒng)內(nèi)的所有數(shù)據(jù)信息，重點監(jiān)測流動數(shù)據(jù)，分析數(shù)據(jù)路徑，讀取內(nèi)網(wǎng)狀態(tài);跟蹤網(wǎng)絡(luò)安全攻擊，利用監(jiān)測系統(tǒng)附帶的數(shù)據(jù)庫，識別攻擊模式，迅速實行自我保護，防止網(wǎng)絡(luò)攻擊擴大;自動啟動報警，判斷網(wǎng)絡(luò)安全級別，根據(jù)事件規(guī)模，給予相應(yīng)警報，警報表現(xiàn)形式主要為郵件和聲音兩項;網(wǎng)絡(luò)事件前后分析，利用流量統(tǒng)計，記錄運行數(shù)據(jù)，以表格和圖形的方式，顯示結(jié)果，提供網(wǎng)絡(luò)事件的識別依據(jù);監(jiān)測系統(tǒng)中包含豐富的默認設(shè)置，安全事件種類較多，提高時間識別與判斷的能力;協(xié)助數(shù)據(jù)恢復(fù)，利于常規(guī)協(xié)議讀取;多項監(jiān)控，利用一臺主機，監(jiān)控電力行業(yè)中的其他分機，體現(xiàn)集中監(jiān)控的便捷性。

4、加密傳輸信息

電力行業(yè)網(wǎng)絡(luò)系統(tǒng)的文件傳輸，處于整體網(wǎng)絡(luò)環(huán)境中，提高安全水平，需要實行二次加密[3]。傳輸加密作用于文件的收發(fā)端，例如：在路由器工作的環(huán)境中，安裝加密機，重點加密網(wǎng)絡(luò)層，通過認證與加密技術(shù)，保障文件傳輸?shù)陌踩浴Ｐ畔⒓用艿姆绞饺纾杭用軅鬏斖ǖ?，快速識別收、發(fā)雙方身份，讀取身份信息，實現(xiàn)訪問控制;生成傳輸日志，日志是記錄文件傳輸?shù)幕?，詳細記錄日志，為信息分配提供識別服務(wù)，提高加密信息的安全性;采用VPN模式，直接連接數(shù)據(jù)與程序，簡化加密數(shù)據(jù)傳輸流程，確保主機程序與數(shù)據(jù)的安全價值;加強身份認證，合理控制外部訪問。

5、構(gòu)建病毒防御系統(tǒng)

根據(jù)電力行業(yè)對網(wǎng)絡(luò)操作系統(tǒng)的應(yīng)用，構(gòu)建病毒防御系統(tǒng)。電力企業(yè)常用的操作系統(tǒng)基本為WINDOWS、UNIX，提升相應(yīng)的防御體系。防御系統(tǒng)投入使用前，先進行檢測，保障防御系統(tǒng)與操作系統(tǒng)的融合性，部分電力行業(yè)應(yīng)用的防御系統(tǒng)來源于Symantec企業(yè)，防御效果極其明顯。

6、優(yōu)化電力網(wǎng)絡(luò)系統(tǒng)的報警機制

優(yōu)化網(wǎng)絡(luò)系統(tǒng)的報警機制，主動提高系統(tǒng)的保護能力，根據(jù)電力網(wǎng)絡(luò)運行實際，合理引入系統(tǒng)報警機制，結(jié)合電力信息的運行情況，實現(xiàn)預(yù)警。利用報警機制，時刻監(jiān)控網(wǎng)絡(luò)系統(tǒng)內(nèi)的電力信息，確保電力信息處于合理狀態(tài)，同時實時檢測電力設(shè)備，主要在電力設(shè)備的參數(shù)、數(shù)據(jù)方面，實行提前預(yù)測，發(fā)現(xiàn)偏離正常運行狀態(tài)的設(shè)備或系統(tǒng)，及時發(fā)出警報，迅速通知檢修人員，采取防護措施，加強網(wǎng)絡(luò)信息維護，保障網(wǎng)絡(luò)信息的通暢性。通過報警機制，有效發(fā)現(xiàn)電力網(wǎng)絡(luò)系統(tǒng)的安全隱患，降低網(wǎng)絡(luò)與信息運行過程中不安全的因素，提高網(wǎng)絡(luò)系統(tǒng)檢修與維護的能力，加強電力網(wǎng)絡(luò)系統(tǒng)的水平，滿足電力行業(yè)對網(wǎng)絡(luò)系統(tǒng)的需求。