電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)

李向輝 沙晟田

摘要：為確保不發(fā)生電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全事件，通過成立工作小組、制訂安全防護(hù)方案、完善安全防護(hù)結(jié)構(gòu)，形成完整的安全防護(hù)體系，有效提高了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平。

關(guān)鍵詞：電力監(jiān)控系統(tǒng);網(wǎng)絡(luò);安全防護(hù);建設(shè)

電力作為重要基礎(chǔ)設(shè)施領(lǐng)域，已被不少國(guó)家視為“網(wǎng)絡(luò)戰(zhàn)”首選攻擊目標(biāo)，因此電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全形勢(shì)異常嚴(yán)峻;其次，接入電力調(diào)度數(shù)據(jù)網(wǎng)的新能源廠站急劇增加，其分布廣泛、管理分散給網(wǎng)絡(luò)安全工作提出了巨大挑戰(zhàn);另外，國(guó)家網(wǎng)絡(luò)安全法于2017年6月1日正式實(shí)施，網(wǎng)絡(luò)安全上升到法律層面;最后，當(dāng)前各地電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平參差不齊，存在不足。為此，電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)勢(shì)在必行。

1.總體要求

電力監(jiān)控系統(tǒng)包括電力行業(yè)生產(chǎn)控制類信息系統(tǒng)、生產(chǎn)管理類信息系統(tǒng)及通信網(wǎng)絡(luò)系統(tǒng)。近期頒發(fā)的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)、信息安全從規(guī)章制度上升到國(guó)家法律的高度。電力監(jiān)控系統(tǒng)安全防護(hù)方案，以“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”十六字方針為核心，注重外部網(wǎng)絡(luò)邊界隔離阻斷，配備必要的安全防護(hù)裝置，部署必要的安全防護(hù)預(yù)警系統(tǒng)，采用技術(shù)手段加快感知網(wǎng)絡(luò)異常，建設(shè)電力監(jiān)控系統(tǒng)柵格狀縱深安全防護(hù)體系，防患于未然。電力監(jiān)控系統(tǒng)等級(jí)保護(hù)，以提高電力監(jiān)控系統(tǒng)自身安全防護(hù)能力為依托，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等幾個(gè)層面，針對(duì)不同安全等級(jí)的電力監(jiān)控系統(tǒng)提出不同保護(hù)要求，加強(qiáng)系統(tǒng)內(nèi)部異常感知和惡意行為防范能力。電力監(jiān)控系統(tǒng)安全防護(hù)，重點(diǎn)圍繞系統(tǒng)邊界、網(wǎng)絡(luò)傳輸邊界和業(yè)務(wù)主機(jī)三個(gè)層次，構(gòu)建電力監(jiān)控系統(tǒng)安全防護(hù)的三道防線。

2.業(yè)務(wù)歸類、安全分區(qū)

根據(jù)電力監(jiān)控系統(tǒng)的特點(diǎn)、各相關(guān)業(yè)務(wù)系統(tǒng)的重要程度和數(shù)據(jù)流程、運(yùn)行狀況和安全要求，電力監(jiān)控系統(tǒng)主要分布在兩個(gè)大區(qū)、三個(gè)小區(qū)及安全接入?yún)^(qū)。分布在三個(gè)安全區(qū)的業(yè)務(wù)分別為：

安全區(qū)Ⅰ：控制區(qū)（生產(chǎn)控制大區(qū)），簡(jiǎn)言之，核心系統(tǒng)和實(shí)現(xiàn)實(shí)時(shí)監(jiān)控功能的系統(tǒng)部署在此區(qū)，是電力生產(chǎn)的核心業(yè)務(wù)，系統(tǒng)實(shí)時(shí)在線運(yùn)行，采用調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ纻鬏斝畔ⅲ前踩雷o(hù)的重中之重，安全等級(jí)最高;

安全區(qū)Ⅱ：非控制區(qū)（生產(chǎn)控制大區(qū)），電力生產(chǎn)上必須的業(yè)務(wù)，但不具備遠(yuǎn)方控制功能的系統(tǒng)部署在此區(qū)，系統(tǒng)在線運(yùn)行，采用調(diào)度數(shù)據(jù)網(wǎng)絡(luò)傳輸信息，是安全防護(hù)不可或缺的環(huán)節(jié)，安全等級(jí)低于安全區(qū)I;

安全區(qū)Ⅲ：調(diào)度生產(chǎn)管理區(qū)（管理信息大區(qū)），實(shí)現(xiàn)電力調(diào)度生產(chǎn)的管理，提高管理水平和生產(chǎn)決策能力的系統(tǒng)部署在此區(qū)，不直接與電力生產(chǎn)環(huán)節(jié)閉環(huán)，采用綜合業(yè)務(wù)網(wǎng)傳輸信息，與生產(chǎn)控制大區(qū)之間采用電力專用橫向單向隔離裝置進(jìn)行隔離;安全接入?yún)^(qū)：采用非可控通信通道（外部專用網(wǎng)絡(luò)通道或者GPRS通道等）傳輸數(shù)據(jù)的前置通信系統(tǒng)，部署在安全接入?yún)^(qū)。安全接入?yún)^(qū)與生產(chǎn)控制大區(qū)中的業(yè)務(wù)連接，需經(jīng)過電力專用橫向反向隔離裝置;與外部網(wǎng)絡(luò)連接處，需部署硬件防火墻。山區(qū)小電源通過北斗衛(wèi)星通道接入、配網(wǎng)系統(tǒng)采集終端通過GPRS通道接入等，均應(yīng)預(yù)先經(jīng)過安全接入?yún)^(qū)。

3.建設(shè)內(nèi)容

3.1制訂安全防護(hù)方案

依據(jù)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（國(guó)家發(fā)改委〔2014〕14號(hào)令）、《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案和評(píng)估規(guī)范》（國(guó)能安全〔2015〕36號(hào)）及省公司調(diào)控中心的統(tǒng)一部署，組織各專業(yè)制訂《地縣級(jí)調(diào)度中心監(jiān)控系統(tǒng)安全防護(hù)方案》、《發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案》、《變電站監(jiān)控系統(tǒng)安全防護(hù)方案》，經(jīng)安全防護(hù)工作小組審核、分管領(lǐng)導(dǎo)批準(zhǔn)并報(bào)省調(diào)備案后實(shí)施。以調(diào)控中心部門通知形式，專門印發(fā)《關(guān)于發(fā)電企業(yè)電力監(jiān)控系統(tǒng)安全防護(hù)工作要求的通知》，加強(qiáng)并網(wǎng)電廠安全防護(hù)工作。

3.2地縣級(jí)調(diào)度中心安全防護(hù)體系建設(shè)

（1）主站調(diào)度數(shù)據(jù)網(wǎng)一平面二區(qū)，二平面一、二區(qū)縱向加密裝置安裝及調(diào)試工作。一平面二區(qū)原為防火墻，二平面一、二區(qū)原未配置安全裝置，現(xiàn)統(tǒng)一安裝、調(diào)試興唐千兆型縱向加密裝置。

（2）部署縱向加密認(rèn)證裝置管理平臺(tái)。在調(diào)度主站二區(qū)部署南瑞信息SMC-2000縱向加密認(rèn)證管理平臺(tái)，對(duì)所轄范圍內(nèi)縱向加密裝置進(jìn)行遠(yuǎn)程安全管理。

（3）無線安全接入?yún)^(qū)建設(shè)。按照方案要求，自動(dòng)化主站建設(shè)無線安全接入?yún)^(qū)，專門用于分布式電源接入調(diào)度數(shù)據(jù)網(wǎng)，建成后有利于加強(qiáng)小電源安全防護(hù)工作管理，同時(shí)更好直接服務(wù)于光伏扶貧項(xiàng)目。

（4）網(wǎng)絡(luò)安全管理平臺(tái)建設(shè)。按照“設(shè)備自身感知、監(jiān)測(cè)裝置就地采集、平臺(tái)統(tǒng)一管控”的原則，主站建設(shè)ns5000網(wǎng)絡(luò)安全管理平臺(tái)，對(duì)系統(tǒng)安全狀況進(jìn)行實(shí)時(shí)在線監(jiān)測(cè)、報(bào)警，提升自動(dòng)化系統(tǒng)安全防護(hù)水平。

（5）部署調(diào)度數(shù)字證書簽發(fā)系統(tǒng)。自動(dòng)化主站部署南瑞信息開發(fā)的數(shù)字證書簽發(fā)系統(tǒng)，用于對(duì)人員、設(shè)備、程序證書進(jìn)行簽發(fā)，提高上傳自動(dòng)化數(shù)據(jù)的密通率。

（6）入侵檢測(cè)系統(tǒng)部署與調(diào)試。自動(dòng)化主站部署2臺(tái)啟明星辰NT600-HD入侵檢測(cè)裝置，分別位于調(diào)度數(shù)據(jù)網(wǎng)一平面二區(qū)、二平面二區(qū)。一平面一區(qū)、二平面一區(qū)數(shù)據(jù)通過部署鏡像的方法鏡像到二區(qū)，實(shí)現(xiàn)對(duì)數(shù)據(jù)網(wǎng)數(shù)據(jù)的全監(jiān)視，提前發(fā)現(xiàn)入侵行為。

（7）制訂地區(qū)調(diào)度中心主站監(jiān)控系統(tǒng)安全防護(hù)方案，制訂網(wǎng)絡(luò)安全應(yīng)急預(yù)案，落實(shí)班組安全防護(hù)人員責(zé)任。

（8）開展等級(jí)保護(hù)測(cè)評(píng)。地調(diào)自動(dòng)化系統(tǒng)為等保三級(jí)系統(tǒng)，需每年進(jìn)行1次等級(jí)保護(hù)測(cè)評(píng)并報(bào)公安局備案。

3.3變電站安全防護(hù)體系建設(shè)（

1）制訂變電站監(jiān)控系統(tǒng)安全防護(hù)方案和網(wǎng)絡(luò)安全應(yīng)急預(yù)案，落實(shí)班組安全防護(hù)人員責(zé)任。

（2）35kV及以上電壓等級(jí)變電站縱向加密裝置改造及遠(yuǎn)程管理工作。110kV變電站一、二區(qū)縱向安全裝置全部改造成縱向加密裝置。改造中嚴(yán)把策略配置關(guān)，防止大明通現(xiàn)象，同時(shí)主站利用縱向加密管理裝置實(shí)現(xiàn)對(duì)變電站內(nèi)加密裝置的遠(yuǎn)程管理。

（3）35kV及以上電壓等級(jí)變電站網(wǎng)絡(luò)安全監(jiān)測(cè)裝置安裝及接入主站工作。按照“設(shè)備自身感知、監(jiān)測(cè)裝置就地采集、平臺(tái)統(tǒng)一管控”的原則，變電站（站控層）部署網(wǎng)絡(luò)安全監(jiān)測(cè)裝置，全面監(jiān)控網(wǎng)絡(luò)空間內(nèi)計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、安防設(shè)施等設(shè)備上的安全行為。

3.4發(fā)電廠安全防護(hù)體系建設(shè)

根據(jù)國(guó)家相關(guān)文件的規(guī)定，專門印發(fā)《關(guān)于發(fā)電企業(yè)電力監(jiān)控系統(tǒng)安全防護(hù)工作要求的通知》，加強(qiáng)發(fā)電企業(yè)電力監(jiān)控系統(tǒng)安全防護(hù)管理。

（1）項(xiàng)目前期評(píng)審。項(xiàng)目前期評(píng)審期間，按照“安全分區(qū)，網(wǎng)絡(luò)專用，橫向隔離，縱向認(rèn)證”的基本原則，要求接入發(fā)電企業(yè)分區(qū)配置相應(yīng)的加密認(rèn)證裝置、物理隔離裝置、防火墻等相關(guān)安全設(shè)備。

（2）編寫《XX發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案》。地縣調(diào)管轄的發(fā)電企業(yè)通過調(diào)度數(shù)據(jù)網(wǎng)方式接入地調(diào)自動(dòng)化系統(tǒng)，必須編寫安全防護(hù)方案，并經(jīng)地調(diào)審核通過后方能進(jìn)入下一環(huán)節(jié)。

（3）安全設(shè)備調(diào)試與驗(yàn)收。主、廠站對(duì)安全設(shè)備進(jìn)行聯(lián)合調(diào)試。調(diào)試完成后，進(jìn)行現(xiàn)場(chǎng)檢查驗(yàn)收。

（4）部署入侵檢測(cè)系統(tǒng)。按照國(guó)家能源局〔2015〕36號(hào)文件及安徽省調(diào)的要求，具有等保二級(jí)系統(tǒng)的發(fā)電廠，需部署入侵檢測(cè)系統(tǒng)。

（5）部署網(wǎng)絡(luò)安全監(jiān)測(cè)裝置。按照國(guó)家能源局〔2015〕36號(hào)文件及安徽省調(diào)的要求，35kV及以上電壓等級(jí)并網(wǎng)發(fā)電廠，要求在一、二區(qū)部署網(wǎng)絡(luò)安全監(jiān)測(cè)裝置。

（6）等級(jí)保護(hù)測(cè)評(píng)和安全評(píng)估。電力監(jiān)控系統(tǒng)的定級(jí)以國(guó)能安全〔2015〕36號(hào)文件為標(biāo)準(zhǔn)，系統(tǒng)應(yīng)在所屬各市公安局備案。要求各單位應(yīng)定期請(qǐng)有資質(zhì)的測(cè)評(píng)機(jī)構(gòu)進(jìn)行等保測(cè)評(píng)和安全評(píng)估，等保三級(jí)系統(tǒng)每年1次，等保二級(jí)系統(tǒng)每3年1次。

（7）其它方面。要求所有發(fā)電企業(yè)制定內(nèi)部安全管理制度，明確網(wǎng)絡(luò)安全管理措施與網(wǎng)絡(luò)安全責(zé)任人。要求所有發(fā)電企業(yè)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期演練。

結(jié)束語：

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，電力監(jiān)控系統(tǒng)安全防護(hù)問題牽涉到了電力生產(chǎn)的各個(gè)環(huán)節(jié)、各個(gè)方面，包括電網(wǎng)和電廠。按照“誰主管誰負(fù)責(zé)，誰運(yùn)營(yíng)誰負(fù)責(zé)”的原則，各發(fā)、供電單位的管理人員和技術(shù)人員，需詳細(xì)了解電力監(jiān)控系統(tǒng)安全防護(hù)的要素，才能在技術(shù)上扎實(shí)做好安全防護(hù)工作。

參考文獻(xiàn)：

[1]周寧.重慶電網(wǎng)二次系統(tǒng)安全防護(hù)體系結(jié)構(gòu)及關(guān)鍵技術(shù)研究[D].重慶：重慶大學(xué)，2015.

[2]國(guó)家能源局國(guó)能安全[2015]36號(hào).電力監(jiān)控系統(tǒng)安全防護(hù)總體方案[Z]，2015