關于電力監控系統安全防護與網絡安全加固的思考

王子童

【摘 ?要】電力監控系統，標準定義是指用于監視和控制電力生產及供應過程的、基于計算機及網絡技術的業務系統及智能設備，以及作為基礎支撐的通信及數據網絡等。由此定義可以看出，電力監控系統涵蓋發電、輸電、用電全過程的各類自動控制系統。2004年起，電力監控系統的安全防護已得到電力行業的關注。2015年底，黑客通過對烏克蘭電力監控系統發起網絡攻擊，控制電網自動化系統，并阻擾技術人員對系統的恢復，導致伊萬諾-弗蘭科夫斯克地區發生大面積停電。該事件是首次由黑客攻擊行為而直接導致的停電事件。事件引起國內高度重視，各路專家學者通過對烏克蘭停電事件的分析，查找國內電力監控系統安全防護的不足，掀起了又一波對電力監控系統安全防護措施和技術的研究高潮。

【關鍵詞】電力監控系統;安全防護;措施

1電力電力監控系統安全防護原則

按照我國電力監控系統安全防護總體方案中的規定，電力監控系統的安全防護應該遵循以下四個方面的原則：安全分區、網絡專用、橫向隔離和縱向認證。

第一，安全分區指對生產控制大區以及管理信息大區進行劃分，并要求生產控制區主要控制那些與電力生產有著緊密聯系的決策信息系統，而管理信息區則需要負責一些與電力管理、經營以及行政事務相關的系統。通過進一步細分，生產控制大區可分為控制區和非控制區。圖1為電力系統安全防護布置示意圖，由圖我們可以看出，在各個安全區之間的通信，應根據需要配置不同的設備進行相應的安全隔離。

第二，網絡專用指的是生產大區中的所有數據網絡均需要采用獨立的網絡設備組網，并需要在物理層面上充分實現與其它外部公共信息網的安全隔離，還要以技術手段在專網上形成多個相互邏輯隔離的子網，保障上下級各安全區的縱向互聯僅在相同安全區進行，避免安全區縱向交叉。這也就是我們所說的電力調度數據網。

第三，橫向隔離多是代表控制大區以及管理信息大區兩者之間必須進行國家相關部門檢測認證的電力專用單項安全隔離裝置的設置。該隔離裝置的隔離效果接近甚至達到了物理隔離的效果，使許多黑客病毒無法穿透攻擊到電力系統的內部。

第四，縱向認證指的是通過認證、加密以及訪問控制等技術措施來實現對數據的遠方安全傳輸以及縱向邊界的安全防護工作，對于電力調度中心、發電廠等生產控制大區需要設置縱向加密認證裝置，實現雙向身份認證、數據加密以及訪問控制等職能。

2電力監控系統的特點及防護注意事項

電廠監控系統與調度中心監控系統相比，具有地域分散、參與人員眾多、需加強物理設備安全等特點，技術措施不可能解決一切問題，需要加強管理，保證高安全區基本的物理安全。因此，電廠監控系統安全防護中管理重于技術。

發電廠的控制屬于工業過程控制范疇，是典型的分散分層控制系統，系統結構復雜，所以，生產控制大區安全區內各系統的訪問控制要特別加以注意。

3電力監控系統安全防護的主要策略

隨著國內外信息安全形勢的發展，尤其是在伊朗布什爾核電站受到“震網”蠕蟲病毒攻擊的事件后，使得工業控制系統存在的安全問題顯現出來，同時電力企業開始重視對監控系統的安全防護，并且進行了深入的研究與反思。

3.1在安全接入區設置專用橫向單向安全隔離裝置

2014年，由國家發改委發布了《電力監控系統安全防護規定》（以下簡稱《規定》）。就技術和管理兩方面的安全防護而言，對電力監控系統有更嚴格的要求。《規定》中強調了電力監控系統的防護原則，提出了在生產控制大區內要堅持“安全接入區”這一理念，并指出了如果生產控制大區的業務系統和它的終端縱向進行連接時，在使用無線通信網進行通信時，一定要設好安全接入區，并在安全接入區和生產控制大區其他部分的聯接處還要設好橫向單向安全隔離裝置。

在生產控制大區中，除了安全接入區外，管理層面不可使用能夠進行無線通信的設備。考慮到國家政府機關對中央企業信息安全等級保護工作的要求，《規定》中明確規定了在電力監控系統安全防護里信息安全等級保護的重要地位。

3.2加強電力系統安全防護的業務傳輸、縱向認證

一是對縱向加密設置的認證。這個裝置安置在廣域網絡與局域網絡的連接處，一般在局域網絡與廣域網絡的交換機之間。該裝置通常要成對使用，一方用來加密，另一方用來解密。但是，也存在特殊情況，即單使用其中一方，通常這一用法不具備加密操作。縱向加密操作與防火墻的結合，可以使裝置在進行訪問設置時，實現對身份的認證和相關數據內容的加密。這樣能夠確保數據傳輸更加安全，保護數據的完整性。不僅如此，它還可以進行安全過濾。電力系統中有專用設置，它可以借助于調度設備證書的身份進行認證，以此確保遠程通信設備的合法性。采用國家密碼局專為電力系統頒發的加密算法和因子，對遠程通信的報文進行加密處理，以此確保不同類型的信息內容不會被遠程傳輸過程中被截取與篡改。二是構建縱向防線。縱向防線就是縱向進行加密認證，有效保護上下層級的業務系統在縱向進行傳輸數據時的安全性。通常是在局域網和廣域網的縱向連接處以及地調主站和縣調遠程終端的連接處來部署電力專用縱向加密認證裝置，實現雙向身份認證、數據加密和訪問控制。

3.3電力系統縱深防御的技術需求

在生產控制區域的業務系統操作中，不僅需要保障系統的安全度，也要發揮加密設置的相關功能。為此，相關工作人員需要首先具備調度數字系統的專業證書，然后進行關鍵步驟的運行。它可以將遠程業務進行加密，然后以身份認證等形式加強保護。其中，針對帶有遙控功能的配網而言，需要將加密設置與身份認證相結合，以此加固系統，使現代科技成為安全保障。當然，電力系統中的日常維護需要鞏固不足支持與虛弱之處，然后使專業技術成為整個系統加固的保障所在。

結束語

如今，計算機技術飛速發展且受到了大力歡迎。電力監控系統的安全防護問題受到了重視，因為計算機技術存在于電力生產的很多環節。根據責任落實制度，要確保主管單位與運營單位的職責，使各級工作人員明確掌握防護工作的開展要點，從而使先進技術成為安全防護工作的保障所在。

參考文獻：

[1]周振輝.電力監控系統安全防護風險分析及軟件配置[C].2016年中國電機工程學會年會論文集，2017：1-4.

[2]劉帝勇，劉雙.三門核電站電力監控系統安全防護方案研究[C].第四屆全國信息安全等級保護技術大會論文集，2017：1-5，11.

（作者單位：國網太原供電公司）