電力監控系統網絡安全防護現狀分析與反思

丁澤濤 趙金平 熊國恩 王震

摘 ? 要：電力監控系統網絡安全及防護工作的有效展開是保證系統能高效運轉的關鍵，為了確保網絡安全防護措施能發揮出預期作用，文章針對現階段電力監控系統網絡現狀進行分析與反思，進而在此基礎之上提出對應的防護措施和建議。

關鍵詞：電力監控系統;網絡安全;防護

1 ? ?電力監控系統安全問題

近年來，國內外發生多起針對能源系統的網絡攻擊行為，造成重大影響和損失，典型案例如烏克蘭大面積停電事件、伊朗核電站病毒攻擊事件，各行各業網絡安全形勢日益嚴峻。眾所周知，電力監控系統作為國家關鍵信息基礎設施，已成為國家間“網絡戰”首選攻擊目標。從其中可以分析出許多內容，一方面是電力監控系統的重要性，預防是防護的第一選擇;另一方面，也可以看到電力監控系統的防護難度，如果不時時更新，很難防范新型的攻擊。現階段，在電力監控系統防護工作過程中，存在諸如操作系統升級困難、殺毒軟件更新滯后、必要安全防護軟件缺乏、人崗不匹配等問題，嚴重制約著系統的網絡安全防護水平。當前，網絡安全問題越來越引起社會各界的關注，如何提高網絡安全性能，完善網絡安全防護，保證電力監控系統業務的安全性、連續性及可靠性，成為今后網絡安全從業者面臨的重要問題。

2 ? ?當前網絡安全防護存在的突出問題

2.1 ?運維管理方面

現階段，電力監控系統的安全防護體系建設和運維面臨一系列問題：首先，在電力監控系統建設階段，設施工作環境和條件通常較為惡劣，場地防塵、電磁防護、靜電防護等防護要求不能完全滿足建設需求。其次，外部的人為因素也會造成基礎設施的損壞。系統網絡結構的復雜性導致運行維護所使用的網絡拓撲圖、系統臺賬等技術資料內容和實際情況存在不一致的情況，當系統出現故障或異常情況時，網絡維護人員不能在第一時間定位故障源頭，增大了設備的風險控制難度。最后，還存在其他方面的問題，如機房門禁系統不穩定、出入登記備案制度不健全、物理入侵等現象未能有效防護，系統備份不及時、不連續，當系統受到攻擊時難以及時恢復。

2.2 ?技術管理方面

當前，電力監控系統在安全防護技術管理中的問題主要集中于分區錯誤和跨區并聯等方面。電力監控系統復雜性和多樣化的特點，大大增加了網絡維護人員分區的難度，極易導致分區錯誤，分區錯誤會給系統后續進行安全等級確定增添較多麻煩。將所有的系統劃成同一安全等級，在技術實現上比較困難且經濟性較差，依據系統的本身特性和重要程度不同，將不同特性和重要性的系統劃分到不同安全分區，確立不同的安全等級防護要求，從而決定不同的安全等級和防護水平，確保安全防護具有較強的針對性和操作性。但目前普遍存在的情況是，實際進行電力監控系統安全防護時，尤其是在整個系統初期的規劃和建設過程中，往往由于主觀意識重視不夠、系統建設前瞻性考慮不全或安全防護針對性不強等，導致系統建設完后容易出現設備和系統分區定義錯誤，安全防護策略與防護水平不滿足相應等級保護要求的狀況。

跨區互聯問題主要產生于生產控制區和信息管理區進行單向安全隔離裝置設立時。傳統上一些非生產控制區、常規的信息管理區，只需要使用防火墻的基本功能就可以實現簡單的訪問控制，從而達到邏輯隔離的要求。在實際工作中，從安全等級較低的系統向安全等級較高的系統進行數據信息傳遞時，網絡安全防護規定要對傳輸進行反向隔離，同時需要對傳輸數據進行加密處理。網絡維護人員的技能水平不足和安全防護意識相對薄弱，也是監控系統跨區互聯情況的重要原因之一。

2.3 ?人員管理方面

網絡安全防護工作貫穿電力監控系統的各個環節，無論是在數據、應用、系統等工作層面，還是研發、建設、運營、管理、生產等業務流程，都需要有人承擔網絡安全職責。目前網絡安全從業人員整體呈現全方位短缺的態勢，一是網絡安全人員規模總量不足。二是大量網絡信息安全工作以“非專職”方式完成，網絡安全“人崗不匹配”情況普遍。網絡安全從業人員需要承擔非網絡信息安全內容的工作，且承擔的非網絡信息安全工作在日常工作中占比過大，部分從業人員專業能力達不到崗位要求，有的崗位名為網絡信息安全專崗，但在崗人員從事的實為信息化等工作。三是網絡信息安全意識普遍不強，或是對網絡信息安全工作以及網絡信息安全人才重要性的認知有待提升，在如何科學、有效地加強網絡信息安全隊伍建設方面缺乏工作抓手。四是教育培訓投入不夠，對網絡信息安全人員普遍存在“使用多、培養少”的情況，內訓制度實施效果不佳。

3 ? ?開展網絡安全防護工作的建議

3.1 ?優化電力監控系統網絡基礎設施的安全管理

優化電力監控系統基礎設施的安全管理和數據備份流程，根據不同系統基礎設施的分布，形成與之對應的應急預案。為保證電力監控系統網絡安全，應該從網絡層面的安全管理和基礎設施安全管理兩個方面入手。根據當前系統穩定運行狀況，確定基礎設施的不同安全等級，制定相應的安全控制手段。依托先進的網絡信息技術，對基礎設施進行全方位的監控，一旦出現故障，可以及時發現并且進行故障診斷，及時找出故障發生位置和出現原因，根據應急預案的內容進行優先處理。對基礎設施的安全管理，集中于設施的優化和防護設備的更新，通過平時的工作確保系統信息安全。按照“誰主管誰負責，誰運營誰負責”的原則，做好電力監控系統的安全管理，各個系統的數據備份應遵照系統使用原則和重要性順序進行，進行備份工作時要保證業務的連續性。

3.2 ?完善電力監控系統網絡安全防護管理制度

完善電力監控系統網絡安全防護管理制度，切實做好電力監控系統的網絡安全管理。通過層次化管理模式，劃分系統網絡層次，不同區域采取針對性的手段進行區域化管理。一方面能夠適應電力監控系統網絡安全管理特點，另一方面能夠滿足自身業務開展的實際需求，保證業務的連續性和可持續性。在管理層面建立、健全監督檢查常態化工作機制，實現“以查促建、以查促管、以查促改、以查促防”機制。

3.3 ?強化電力監控系統網絡安全防護技術措施

網絡安全防護技術措施的實施重點關注傳輸數據的信息安全性，強化縱向加密裝置的認證機制，來保證業務傳輸的可靠性和數據傳輸的保密性。根據網絡分區的原則，加密裝置一般部署在不同安全區或者局域網與廣域網的交匯點，區與區、網與網的交換機之間。縱向防線的構建是縱向進行加密認證，可以有效保證數據傳輸的安全性，進而實現雙向身份認證、數據加密和訪問控制等功能。

3.4 ?增強安全防護人員的綜合素質

網絡安全防護工作貫穿電力監控系統的各個方面，每個不同的工作層面和業務流程，都需要人承擔信息安全職責。信息安全從業人員的綜合素質高低對電力監控系統網絡安全防護好壞有直接影響。要強化工作人員的責任心、安全意識和使命感，在具體維護工作的管理中，需要專職的電力監控系統安全防護人員，確保相應的管理措施可以得到有效發揮和落實。隨著電力監控系統發展的速度越來越快，對電力監控系統維護人員的要求也不斷提升，對其專業素養提出了新的要求。一要加強資質管理，獲得專業資質、持證作業，既是信息安全從業人員具備一定知識、能力和工作經驗的憑證，更是網絡安全防護的基本要求。二要提升專業人員技術水平，針對目前電力監控系統相關運維人員技術能力不足的情況，強化人員培訓，提升人員技術水平。三要完善人才體制機制，完善從業人員考核評價手段，健全鼓勵、激勵機制，拓寬職業晉升通道，引導和鼓勵從業人員提高自身素質和綜合能力。

3.5 ?提高網絡安全運行監視水平

以業務為中心，以數據為核心，對系統進行全方位的可用性及安全運行水平監測，對全網的安全態勢進行全面感知，完善電力監控系統安全設備日志分析平臺，提升日志信息展示的易讀性，提高網絡安全監視效率。加快推進網絡安全態勢感知平臺建設實施，實現電力監控系統全覆蓋，提升態勢感知系統覆蓋范圍和實用化水平。推進安全防御技術應用，積極部署態勢感知設備（實時監測及應急處置），利用態勢感知設備對電力監控系統的網絡及設備情況開展相關安全數據采集和監視，所需數據內容主要包括各類網絡節點設備的配置信息、關鍵網絡節點的流量信息及相關設備的日志信息等。通過邊界設備日志分析、資產變化監視、流量分析等技術措施感知網絡安全態勢，及時開展應急處置工作。

4 ? ?結語

目前，電力監控系統網絡安全防護要求已上升至國家安全戰略層面，做好電力監控系統網絡安全防護有助于整個電力系統安全、穩定地運行。需要不斷加大安全防護的力度，完善電力監控系統的管理制度，增強網絡信息安全從業人員的責任感和安全意識，從而更好地為電力監控系統網絡的安全性、可靠性作出應有的貢獻。

Abstract：The effective development of the network security and protection work of the power monitoring system cyber is the key to ensure the efficient operation of the system. In order to ensure that the cyber security protection measures can play the expected role， this paper analyzes and reflects on the current situation of the power monitoring system cyber， and then puts forward corresponding protection measures and suggestions on this basis.

Key words：electric power system; cyber security; protection