電力監控系統網絡安全防護現狀及建議

陳鐵錚

（福建省閩投配售電有限責任公司，福建 福州 350001）

0 引 言

近年來，國際上相繼發生伊朗“震網病毒”“烏克蘭大面積停電事件”等一系列電力監控系統網絡安全事件，電力行業網絡安全形勢日益嚴峻[1]。GB/T 22239—2019《網絡安全等級保護基本要求》將正式實施，網絡安全等級保護對象將不斷拓展，工作內容將持續擴大，網絡安全等級保護制度政策、標準和支撐體系將逐步健全[2-3]。本文通過分析電力監控系統網絡安全防護現狀，探索現階段電力監控系統網絡安全防護存在的問題，并提出了一些建議。

1 防護現狀

自2002 年起，我國電網開始重視電力監控系統網絡安全。現階段，電力行業在“安全分區、網絡專用、橫向隔離、縱向認證”基礎上，進一步加強網絡安全防護工作，部署安全防護措施，通過綜合防護手段提升電力監控系統網絡安全防護水平，電力行業整體網絡安全防護現狀如圖1 所示。

電力監控系統根據各業務重要性進行分區，原則上劃分為生產控制大區和管理信息大區。生產控制大區主要是實現對電力一次系統的實時監控，縱向使用電力調度數據網。管理信息大區主要用于公司內部業務管理，如辦公系統等。生產控制大區又分為安全區Ⅰ和安全區Ⅱ，安全區Ⅰ的傳統典型業務包括SCADA、EMS 等，安全區Ⅱ典型業務包括調度員培訓模擬系統、水調自動化系統等。生產控制大區是安全防護的重點與核心。

1.1 縱向邊界防護

電力監控系統調度數據網在縱向上即主站與廠站方向，通過部署縱向加密認證裝置實現電廠/變電站涉網部分的監控系統安全防護。裝置主要起到加密和身份認證的作用。加密即將數據資料加密，使得非法用戶即使取得加密過的資料，也無法獲取正確的資料內容，確保數據的安全性；身份認證是用來判斷某個身份的真實性，確認身份后，系統才可以依不同的身份給予不同的權限確保用戶的真實性。

1.2 橫向隔離

生產控制大區與管理信息大區通過物理手段進行隔離，針對需要傳輸數據則通過正反向隔離進行傳輸，確保生產控制大區內的網絡安全。生產控制大區Ⅰ區及Ⅱ區間通過設置硬件防火墻進行邏輯隔離。

1.3 綜合安全防護

電力監控系統在十六字方針的基礎上，為提升安全防護水平，部署了入侵檢測系統（IDS）、安全審計系統、防病毒系統及網絡安全監測裝置。通過在安全Ⅰ、Ⅱ區分別部署1 臺入侵檢測裝置，實現入侵檢測、WEB 安全、流量控制、應用管理等綜合防護。通過部署安全審計系統，實現內容審計、行為審計、流量審計等綜合防護。通過配置防病毒系統，實現黑客防御、病毒防御、木馬防御等綜合防護[4-5]。

2017 年以來，電力行業在逐步推進網絡安全管理平臺建設。通過在主站側部署網絡安全管理平臺，在廠站端部署網絡安全監測裝置，按照設備自身感知、監測裝置分布采集、監管平臺統一管控的原則，構建感知、采集、管控三層架構的網絡安全監管技術體系，實現電力監控系統“四個有效”的安全防護目標，即外部侵入有效阻斷、外力干擾有效隔離、內部接入有效遏制、安全風險有效管控的綜合防護。

2 存在問題

電力行業網絡安全防護工作基本遵守“安全分區、網絡專用、橫向隔離、縱向認證”原則，但仍存在安全區隔離不徹底、防護策略配置不到位、新能源廠站網絡安全防護措施不足等問題，威脅電力系統安全運行，具體有如下5 類。

（1）電力監控系統生產控制大區和管理信息大區未完全橫向隔離、電力監控系統管理信息大區與互聯網間存在網絡直連、不同安全區之間無安全防護措施等問題。

（2）安全防護設備策略配置不正確，主機加固不到位。部分廠站未部署防火墻等安全設備或防火墻配置全明通策略，生產控制大區未做好主機、網絡及安全加固工作，存在病毒感染，易于被網絡攻擊等風險。

（3）新能源場站網絡安全問題較突出。近年來，新能源場站發展迅速，網絡安全防護水平參差不齊，部分場站存在違規開展遠程監控或運維；外部設備接入管控、操作系統安全加固、人員及賬號管理、安全事件監測感知等技術措施和管理要求落實不到位；發電單元就地測控終端與站控系統的通信缺乏安全防護措施。

（4）部分企業未按要求及時開展等級保護測評和安全評估工作，相關制度不健全，未定期開展網絡安全事件應急演練。

（5）網絡安全監測裝置暫未全覆蓋，掌握網絡安全狀況的手段落后，主要依靠檢查整改，網絡安全運行缺乏閉環管理的技術支撐手段。

3 建 議

網絡安全是整體、動態且開放的，面對國內外復雜嚴峻的網絡安全形勢，電力行業應不斷落實網絡安全責任主體，加強網絡安全運行管理工作，提升網絡安全整體防御能力，確保電力監控系統網絡安全。

3.1 落實網絡安全責任主體

各有關電力企業要強化習近平總書記網絡強國戰略思想，牢固樹立正確的網絡安全觀，落實電力監控系統網絡安全防護的主體責任和工作職責，明確各單位黨政一把手是本單位電力監控系統網絡安全的第一責任人。各單位要建立從上至下的有效三人體系，即領導者、安全管理者及一線的網絡安全防御團隊。各單位應制定安全責任崗位清單，確保網絡安全人員到崗到位，切實將網絡安全防護納入電力安全生產管理，推動網絡安全防護工作有序開展。

3.2 加強網絡安全運行管理工作

網絡安全防御體系最后一關往往是現場運行管理，按照“誰主管誰負責、誰運行誰負責”的原則，電力行業應將電力監控系統網絡安全運行管理納入日常安全生產管理體系，建立健全電力監控系統安全管理制度，強化日常運行管理工作，加強對網絡安全風險的監測，落實等級保護測評及安全評估要求，采取專項檢查、技術監督、滲透測試及攻防演練等方式，及時發現電力監控系統薄弱環節，落實閉環整改，提升電力監控系統網絡安全防護水平。

3.3 提升網絡安全整體防御能力

各有關電力企業應進一步加強網絡安全監測和應急管理，強化網絡安全事件的發現、處置和事后完善工作，確保網絡安全事件得到及時有效控制。應加強新技術研究和應用，實現網絡空間安全的實時監控和有效管理。

4 結 論

電力監控系統安全防護是復雜的系統工程，其總體安全防護水平取決于系統中最薄弱點的安全水平。電力監控系統安全防護過程是長期的動態過程，合規是基礎，策略很關鍵，落地良運行，保障成體系。隨著電力泛在物聯網建設、5G 技術發展與應用，只有通過技術上提升電力監控系統安全防護水平，管理上持續重視電力監控系統網絡安全防護管理，技術與管理齊抓共管，方可維護好網絡強國的戰略目標。