电力企业网络安全存在的问题和对策分析.pdf

电力企业网络安全存在的问题和对策分

析

摘要：在我国，电力企业的发展速度是非常快的，其中，电力企业网络安

全对电力企业的发展起着非常关键的作用。本文论述了电力企业网络安全存在的

问题，以及解决问题的对策。

关键词：电力企业；网络安全；问题；对策

从目前网络技术的发展情况来看，基本上呈现出一种网络防护技术略落后于

网络攻击技术的现状。虽然网络技术的普及和应用，在很大程度上给我国的电力

企业的经营和管理带来了极大的便利，也极大的促进了我国电力企业的进一步发

展，但是伴随而来的也有一定程度的网络安全威胁和隐患，这也在很大程度上阻

碍了电力企业的进一步发展。

一、电力企业网络信息安全方面的问题分析

(一)电力工控系统的网络安全问题。随着国内《中国制造2025》的全面开启，

加快新一代信息通信技术与制造业的深度融合，以推广智能制造为切入点，推动

制造业数字化网络化和智能化。国外工业4.0的提出，以实现虚拟世界和物理世

界的彻底打通为目标，建立物理与数字世界的全面实时联系，显著提高生产效率，

例如传感器持续开展重要检测，并向数字化平台传输数据，数字化平台开展实时

分析，通过比较透明的形式优化运营流程。工业自动化的程度越高，工控设备的

安全问题也日趋严重。

1.企业边界扩大。虽然，我国绝大多数的电力企业都进行了信息网络系统的

完善工作，但是随着新能源及配网的发展，导致电力行业的边界不断扩展，风险

点增加，使得其系统方面可能会存在一定程度的漏洞，例如由于系统设计人员设

计程序时考虑的较为片面或者是细节上的疏忽等导致的安全隐患，严重时甚至会

造成整个系统的瘫痪；除此之外，电力企业信息网络构建完毕后，不时会进行一

定的对外远程服务，例如远程维护、数据传输等，在此过程中可能会存在一些不

法分子利用系统漏洞非法的入侵系统，给企业带来难以预估的损失。

2.电力工控系统风险。能源行业遭遇到的网络攻击在数量上远超其它行业，

在电力系统中，电力基础设施首要原则是保障业务连续性，在设计之初并没有考

虑安全因素，缺乏安全设计，使用大量的专有和私有协议，另外电力工控系统网

络范围覆盖全国，具有规模大、距离远、覆盖范围广的特点，对故障范围控制及

实时响应要求更高。信息基础设施是为电力基础设施服务的，服务于电力系统的

信息基础设施很大程度上属于典型的工业控制系统，因此工控系统自身存在的安

全漏洞、工控系统运行所处的系统和环境存在安全漏洞和隐患。

(二)数据安全问题。数据安全涉及国家安全、国家利益及公民隐私，国家出

台的《网络安全法》在数据收集、传输、存储等方面有明确的规定，通过管理和

技术手段保障数据安全。2018年欧盟开始实施《通用数据保护条例》，该条例取

代了现行的欧盟数据保护指令，这是20多年来欧盟对数据保护指令进行的一次

力度最大的改革。这体现国内外已将数据保护提升至国家的战略高度。2018年3

月17日曝光Facebook上超过5000万用户信息数据被一家名为“剑桥分析”的

数据挖掘公司泄露，导致只有一半的人信任Facebook遵守美国的隐私法，公司

市值蒸发了360多亿美元。这起事件源于Facebook和剑桥分析公司合作开发一

款新应用，经用户授权合法获取27万用户数据，剑桥分析公司通过分析这些数

据以及Facebook数据开放规则的缺陷，非法获取了5000万用户数据，由于与第

三方企业合作，企业的违规商用操作和企业平台数据规则的缺失，导致用户数据

的大量泄漏。

在电力企业中，企业间相互合作，采用业务外包和劳务外包以及专业外包的

形式普遍，第三方人员因工作需要接入企业内网，能够轻而易举的获取企业核心

数据，因此传统的划分内网和外网，限制外部人员访问内网数据，基于防火墙、

IPS等安全设备构建的网络安全体系都不再适用了，第三方人员的管理问题，内

部人员违规操作、内部恶意人员信息外泄，都极大的增加企业核心数据外泄的风

险。另外，虽然业务外包是通过合法合规的方式授予第三方企业获取信息的权力，

但无法限制第三方企业通过现有数据的分析提取，采用脱库、洗库、撞库等技术

手段进一步获取其它重要信息。

二、电力企业信息化网络建设安全的相关要求

(1)确保数据完整

(2)确保数据合法

(3)保证访问安全

为了保证访问安全性，对于取得合法授权的用户进行网络访