江西電網電力監控系統安全防護管理提升研究

陳明亮，余侃勝，鐘文慧，吳 穎，張 瑛

（1.國網江西省電力有限公司，江西 南昌 330077；2.國網江西省電力有限公司電力科學研究院，江西 南昌 330096；3.國網

江西省電力有限公司檢修分公司，江西 南昌 330096；4.國網江西省電力有限公司贛州供電分公司，江西 贛州 341000）

0 引言

隨著電網對網絡技術的使用及依賴日益增加，電力網絡安全風險也隨之增加，這對電力監控系統安全防御能力以及電網調度一體化運行管理和安全防護隊伍提出了新的更高的要求[1-5]。本文緊扣國家電網公司加強電力監控系統安全防護管理的要求，對公司所屬的地縣供電公司及直調電廠開展調查，就各單位各項安全防護管理情況進行深入調研，著力查找當前地縣供電公司管理工作中存在的突出問題，并認真剖析原因，在此基礎上提出解決問題的措施和建議，力求為基層規范管理、提高工作效率提供有益參考。

1 安全防護管理現狀

國網江西省電力有限公司各地調及廠站電力監控系統安全防護現狀如下：

1.1 體系結構方面

部分發電廠及變電站安全防護設備未按照安全防護要求進行嚴格配置，專用安全防護裝置漏配或用通用防護裝置代替、網絡邊界未使用安全防護裝置、通用安全設備配置不足，對已有的安全防護設備未嚴格配置安全策略，設備自身未進行全面的安全加固，存在空閑端口未關閉、外設接口未關閉、弱口令、賬號權限設置過大等問題。

1.2 運行維護方面

各地市均未開展網絡安全設備周期性基本巡檢、功能巡檢，未編制網絡安全裝置相關反事故措施，網絡安全設備的技改方案依據不實。各地市均未開展安全防護裝置的運行維護和日常管理，屬于搶修維護模式，不能提前掌握裝置運行狀況，及時處理異常情況。部分地調UPS電源、機房電子門禁系統、環境監控系統、消防設施等基礎設施缺失或配置不當，存在UPS電源單套配置、設備電源單套配置、基礎設施物理安全存在隱患。部分地調安全防護設施圖紙資料缺失、網絡拓撲混亂，不利檢查網絡結構或排查故障。部分電廠對移動介質設備接入管控不到位，存在“擺渡”攻擊風險，未嚴格控制U盤光盤等移動介質的接入。部分電廠信息系統安全等級保護定級、備案、測評工作開展不力，存在系統未（漏）定級、定級不準、測評工作未按要求開展的情況。部分電廠未落實相關管理要求，未與第三方運維人員簽訂相關網絡安全或保密協議，致使發電廠內各監控系統運行存在網絡安全隱患。

1.3 設備接入方面

部分地調對接入監控系統的網絡安全設備選型、出廠檢驗、現場交接檢驗、定期檢驗、缺陷故障分析、技術資料管理未出臺相應規范性文件，網絡安全運行維護管理依據較少。調查的電廠中，存在電力監控系統防護方案未通過審核上線，防護方案不符合要求、實際運行方案與經審核的防護方案不一致的情況。

1.4 管理制度方面

部分地調存在網絡與信息安全管理制度缺失、監督檢查機制不健全、安防人員對制度不熟悉的情況。部分新能源電廠未對第三方運維人員進行有效安全管理，未制定外部人員管理制度和流程。部分地調應急演練開展不到位或記錄缺失；部分新能源電廠電力監控系統網絡安防應急預案缺失或操作性不強。

1.5 人員配置方面

大部分發電廠電力監控系統網絡安全相關技術人員不能熟練掌握網絡設備相關工作原理及相關配置，缺陷和故障分析能力較低，完全依靠網絡安全廠家管理維護，甚至出現遠程外網維護，對出現網絡安全問題不能及時辨識處理，網絡安全存在極大的安全風險。

2 安全防護管理存在的問題

從以上調查統計的數據可以看到，江西電網電力監控系統安全防護管理存在以下幾點問題：

2.1 安全防護基礎設施薄弱

縱向邊界防護強度不夠，安全等級保護管理落實不到位，機房安全防護設施、內網安全監視平臺和低電壓等級廠站網絡設備部署不到位。

2.2 安全防護設施運行維護不規范

網絡安全裝置的定期檢驗工作缺失，等級保護工作開展不到位。對系統運維管理安全措施執行不到位，相關技術人員安防意識薄弱，對信息技術人員的錄用、離崗和外來人員技術服務行為的管理不規范，對終端介質管控不到位，對物品帶進、帶出機房的管理和對移動存儲設備、重要文檔的安全管理不規范。

2.3 發電廠側安全防護管理薄弱

發電廠電力監控系統種類較多，各系統涉及網絡安全的相關設置及配置在投入運行后未進行定期檢查和維護，針對廠內各監控系統網絡安全未編制各系統運行維護規范或管理細則，各系統運行管理維護人員職責分工不明確或者不合理，監控系統網絡安全管理薄弱。

2.4 調度數據網設備接入管理不到位

未針對調度數據網及安防設備接入等主要業務，梳理完善并固化相關工作流程、管理制度和標準體系，建立更貼合實際、更能提高效率的工作體制機制。

2.5 安全防護體系管理制度不健全

網絡安全管理制度不健全，考核、執行不嚴。未按照國家政策、行業標準和規范要求，健全完善符合相應等級要求的網絡與信息安全管理制度和監督檢查機制，未按要求做好相關管理制度的宣貫和落實，未定期對各項制度的落實情況進行自查和監督檢查，部分制度未真正落實到基層、落實到崗位。

2.6 專業人員配置不足

地級供電公司及并網電廠對安全防護管理人員配備重視不夠，部分單位沒有專門的安全防護管理人員，少數單位即使有安全防護管理人員往往也是身兼數職，而且大部分網絡安全防護業務人員從事時間不長，專業水平不高，專業創新能力明顯不足，過度依賴廠家的問題比較突出，隊伍成長滯后于自身業務發展的需要。

3 安全防護管理提升措施

針對江西電網電力監控系統安全防護管理存在的問題，本文提出了一系列改進措施：

3.1 補強基礎，推進安防基礎設施建設

3.1.1 推進網絡安全監視手段建設

提升網絡安全事件的動態感知能力，及時發現廠站電力監控系統縱向邊界及涉網部分發生的網絡攻擊、非法訪問、安防設備故障等異常事件，同步制定《國網江西省電力有限公司電力監控系統內網安全監視平臺運行管理規定》。

3.1.2 完成各級廠站安全防護裝置部署

加快推進建設項目實施，新增縱向加密認證裝置，實現35 kV及以上變電站生產控制大區縱向加密認證裝置全覆蓋，并強化縱向邊界防護。

3.1.3 加強輔助系統設施設備管理

要求各單位對輔助系統設施設備開展定期巡視，并將相關設計圖紙重新根據現場實際修訂后上報省調審核，并在保電期間加強巡視。

3.2 規范體制機制，實現系統設備標準化管理

3.2.1 實施電力監控系統安全防護設備全壽命周期管理

對電力監控系統安全防護設備供應鏈的管理，實施全壽命周期管理，從系統設備的設計、開發、投標、建設、運行到退役全過程開展管理，監督各方全過程落實安全責任，堵塞安全風險漏洞。綜合考慮業務系統需求與安全防護要求，在各環節有針對性地實施安全檢測，以規范并提高相關技術要求和技術水平。

3.2.2 開展安全防護系統設備標準化管理

規范調度數字證書管理及命名、規范安全防護設備配置、規范內網監視平臺相關命名及接入工作、規范告警及缺陷處置要求。

3.2.3 建立考核評估指標完善閉環管控

建立全省統一考核評估指標體系，電力監控系統安全防護主要指標完成率納入各地市同業對標考核體系，包括調度安全防護專業人員配備率、廠站安全防護縱向設備覆蓋率、內網安全監視平臺省地覆蓋率、控制功能調度數字證書覆蓋率、發電廠安全防護方案審核完成率。并在每月公司早會上常態性通報工作進展，促進各地市安全防護重點工作加快落實。

3.2.4 落實等級保護及安全評估要求

深入貫徹落實國家及行業等級保護規定以及定級、備案、測評、整改等具體規范要求，組織開展全省各地調及廠站監控系統摸底調查，督促各單位限期處理存在的信息系統未定級、定級不準及未備案等問題，要求定期開展電力監控系統等級保護和安全防護評估工作。

3.3 開展電廠涉網安全專項整治

3.3.1 加強并網審查驗收

督促并網發電企業在電力監控系統新建或重大改造后開展投運前的安全防護自評估和檢查評估工作。對于方案審查或實施驗收不滿足要求的，聯合當地能監機構督促發電企業限期完成整改。

切實履行技術監督職責，督促并網電廠按照安全防護各項要求落實整改措施。嚴格把控變電站電力監控系統的安全防護評審，明確設備終端責任人，建立詳細的歸檔制度，實施閉環管理，實現網絡安全有審查、可追溯，并要求建設單位在設備申請入網的同時提報該設備安全測評報告，網絡運維單位通過技術手段核實后，方可入網。

3.3.2 開展安全防護專項檢查

建立監督及檢查的常態化工作機制，實現“以查促建、以查促管”機制，對存在的問題根據輕重緩急制定整改計劃，落實國家及行業的要求。整理歸檔常見的風險點、總結和分享優秀經驗，以提升電力監控系統安全防護管理水平。

3.4 加強入網設備接入管理

3.4.1 開展入網安全掃描

在所有變電站電力監控系統上線前，通過強化源頭管控、嚴格安全準入的方式，投運前就對其進行嚴格的入網安全掃描測試，杜絕安全防護不達標的系統和設備上線運行，杜絕“帶病入網”，這是保障網絡安全的第一道關口。

3.4.2 規范電力監控系統安全防護設備接入流程

規范縱向加密裝置、隔離裝置等安防設備接入流程：供電企業建設管理部門或設備運維部門、發電企業提出接入申請經調控部門審批，審批完成后由調控部下達接入方式單，供電企業建設管理部門或設備運維部門、發電企業再根據方式單進行隧道或策略的配置、設備調試，避免了安防設備調試過程中隧道或策略漏加或錯加的問題。

3.4.3 嚴格履行調度數據網設備接入管理流程

廠站調度數據網設備接入各級接入網時，由建設管理部門填寫《調度數據網網絡設備/應用系統接入申請單》，報相應調度機構審批，由調度機構下達《調度數據網接入網網絡設備/應用系統接入方式單》。

3.5 提高網絡安全應急處置能力

3.5.1 制定全省統一的應急體系

強化全省在安全處置電力監控系統突發事件的標準化流程，并對應急指揮機構、事件監測預警、應急響應、信息報告、后期處置、應急保障、預案管理等內容列出了詳盡的規定。

結合公司重大活動保電要求，編制《特殊時期網絡安全保障措施》，強化網絡安全7*24小時值班制度，對網絡安全事件告警和網絡安全設施運行狀況進行實時監視和分析，確保電力監控系統網絡安全事件告警及時發現、即時處理和迅速報告。

3.5.2 制定或修訂相關管理制度

依據國家法律及能源局和國網公司相關文件規范，建立完整的安全防護管理體系。

3.6 落實專業人員配備及培訓

3.6.1 高標準配置專業人員

督促各地市成立電力監控系統安全防護組織機構，且相應制定本地化的安全防護制度和業務指導書，并指定專人負責安全防護工作，層層落實責任，統籌開展電力監控系統安全防護工作。

3.6.2 開展多形式培訓

采取集中和分散培訓相結合、理論培訓及技能培訓相結合、現場培訓和電視電話會議培訓相結合的方式，讓有關人員了解國內外網絡信息安全形勢和國家、行業以及公司層面的有關管理制度和技術規范，增加安全防護知識，提升相關技術和技能，提高其安全防護意識、業務水平以及應急處理能力。

4 結語

電力監控系統使用和運維單位在提升技術安全保障能力的同時，不能忽視對系統進行完善、全面的安全管理。除了縱向協同，還必須加強電力監控系統甚至整個電力企業網絡相關部門之間的通力合作。只有夯實自身管理基礎，不斷提升電力監控系統安全防護精益化管理水平，才能滿足電網的快速發展，保障電力監控系統安全穩定、高效可靠地運行。