試論電力監控系統網絡安全防護現狀分析與反思教學

徐潤 余云昊 周仲波

（1 貴州電網有限責任公司遵義供電局，貴州遵義 563000；2 貴州電網有限責任公司電力調度控制中心，貴州 遵義 563000；3 貴州電網有限責任公司遵義供電局，貴州 遵義 563000）

目前，由于計算機的飛速發展，電廠原有的手動監控系統逐漸被自動化系統所取代。另外，由于以太網的廣泛應用，自動化系統之間的通信更加頻繁。同時，一些自動化系統需要聯網進行遠程管理。這種與許多復雜系統的網絡通信不可避免地會存在一定的安全隱患。針對這種情況，國家規定了二次系統的安全保護，以確保水電站的安全穩定運行，為中國經濟發展奠定堅實的基礎。

一、電力監控系統安全問題

近年來，國內外發生了多起針對能源系統的網絡攻擊事件，造成了重大影響和損失。烏克蘭大規模停電、伊朗核電站病毒襲擊等典型案例，使各行各業的網絡安全形勢日益嚴峻。眾所周知，電力監控系統作為國家重點信息基礎設施，已成為國與國之間“網絡戰”的首選目標。一方面，電力監控系統的重要性，預防是保護的首選；另一方面，我們也可以看到電力監控系統的保護難度。如果不經常更新，就很難防止新的攻擊。目前，在電力監控系統保護過程中，存在操作系統升級困難、殺毒軟件更新滯后、缺乏必要的安全防護軟件、人員與崗位不匹配等問題，嚴重制約了系統的網絡安全防護水平。目前，網絡安全問題越來越受到社會各界的關注。如何提高網絡安全性能，提高網絡安全防護能力，保證電力監控系統業務的安全性、連續性和可靠性，已成為未來網絡安全從業人員面臨的重要問題。

二、當前網絡安全防護存在的突出問題

（一）運維管理方面

現階段，電力監控系統安全防護系統的建設和運行維護面臨一系列問題：一是在電力監控系統建設階段，設施的工作環境和條件通常比較差，而現場防塵、電磁防護、靜電防護的防護要求還不能完全滿足施工要求。其次，外部人為因素也會對基礎設施造成破壞。系統網絡結構的復雜性導致運維中使用的網絡拓撲、系統臺賬等技術數據與實際情況不一致。當系統出現故障或異常時，網絡維護人員無法在第一時間找到故障源，增加了設備風險控制的難度。最后，還存在機房門禁系統不穩定、門禁登記記錄系統不完善、物理入侵無法有效防護、系統備份不及時、不連續、系統受到攻擊時難以及時恢復等問題。

（二）技術管理方面

目前，電力監控系統在安全防護技術管理方面存在的問題主要集中在分區錯誤和跨區并聯上。電力監控系統的復雜性和多樣性大大增加了網絡維護人員劃分的難度，容易導致劃分錯誤。分區錯誤將給系統的后續安全級別確定帶來更多麻煩。在技術和經濟上很難將所有系統劃分為相同的安全級別。根據系統的不同特點和重要性，將具有不同特點和重要性的系統劃分為不同的安全區域，建立不同的安全等級保護要求，以確定不同的安全等級和保護等級，確保安全防護具有較強的針對性和可操作性。然而，在電力監控系統的實際安全防護中，特別是在整個系統的初步規劃和建設過程中，由于主觀認識不足，對系統建設的前瞻性考慮不充分，或者安全防護的針對性不強，是目前普遍存在的情況，系統建設完成后，在設備和系統劃分的定義上容易出現錯誤，出現安全防護策略和防護等級不滿足相應等級防護要求的情況。

（三）人員管理方面

網絡安全防護工作貫穿于電力監控系統的方方面面，無論是在數據、應用、系統等工作層面，還是在研發、建設、運營、管理、生產等業務流程中，都需要人們承擔起網絡安全的責任。目前，網絡安全從業人員總體短缺。一是網絡安全從業人員總量不足。二是大量網絡信息安全工作以“兼職”方式完成，網絡安全“人崗不匹配”現象普遍。網絡安全從業人員需要承擔非網絡信息安全內容的工作，而非網絡信息安全工作在日常工作中的比重過大，有的員工的專業能力不能滿足崗位要求，有的崗位稱為網絡信息安全專業崗位，但是在職人員從事的是信息工作。三是網絡信息安全意識普遍不強，或者網絡信息安全工作意識和網絡信息安全人才的重要性有待提高，如何科學有效地加強網絡信息安全隊伍建設，缺乏工作抓手。四是教育培訓投入不足，網絡信息安全人才普遍存在“多用少訓”的情況，內部培訓制度實施效果不好。

三、開展網絡安全防護工作的建議

（一）優化電力監控系統網絡基礎設施的安全管理

優化電力監控系統基礎設施的安全管理和數據備份流程，根據不同系統基礎設施的分布情況，形成相應的應急預案。為了保證電力監控系統的網絡安全，應從網絡級安全管理和基礎設施安全管理兩個方面入手。根據系統目前的穩定運行情況，確定了基礎設施的不同安全等級，并制定了相應的安全控制措施。依托先進的網絡信息技術，可以對基礎設施進行全方位的監控。一旦出現故障，我們可以及時發現和診斷，及時查明故障的位置和原因，并根據應急預案的內容優先處理。基礎設施的安全管理重點是設施的優化和防護設備的更新，通過日常工作確保系統信息安全。按照“誰主管誰負責，誰操作誰負責”的原則，做好電力監控系統的安全管理工作。各系統的數據備份應遵循系統使用原則和重要性順序，在備份工作中保證業務的連續性。

（二）完善電力監控系統網絡安全防護管理制度

完善電力監控系統網絡安全防護管理體系，做好電力監控系統網絡安全管理工作。通過分層管理模式，劃分系統網絡層次，有針對性地對不同區域進行管理。一方面可以適應電力監控系統網絡安全管理的特點，另一方面可以滿足自身業務發展的實際需要，保證業務的連續性和可持續性。在管理層面，要建立健全監督檢查常態化工作機制，實現“以檢查促建設、以檢查促管理、以檢查促改革、以檢查促預防”的機制。

（三）強化電力監控系統網絡安全防護技術措施

網絡安全技術措施的實施重點關注數據傳輸的信息安全，加強垂直加密設備的認證機制，確保業務傳輸的可靠性和數據傳輸的保密性。根據網絡劃分的原則，加密設備一般部署在不同的安全區域或局域網與廣域網的交叉口、區與區、網與網的交換機之間。垂直防御的構建就是對認證進行垂直加密，從而有效保證數據傳輸的安全性，進而實現雙向身份認證、數據加密和訪問控制等功能。

（四）增強安全防護人員的綜合素質

網絡安全防護工作貫穿于電力監控系統的方方面面，每一個不同的工作層次和業務流程都要求人們承擔起信息安全的責任。信息安全從業人員的綜合素質直接影響到電力監控系統的網絡安全防護。為增強員工的責任感、安全意識和使命感，在具體維護工作的管理中，需要配備電力監控系統專職安全防護人員，確保相應的管理措施能夠有效發揮和落實。隨著電力監控系統的快速發展，對電力監控系統維護人員的要求也越來越高，這對他們的業務素質提出了新的要求。一是要加強資質管理，取得專業資格，持證上崗，這既是具有一定知識、能力和工作經驗的信息安全從業人員的證書，也是網絡安全防護的基本要求。二是提高專業技術水平，針對電力監控系統相關運維人員技術能力不足的問題，加強人員培訓，提高人員技術水平。三是完善人才體制機制，完善對員工的考核評價手段，完善激勵機制，拓寬職業晉升渠道，引導和鼓勵員工提高自身素質和綜合能力。

（五）提高網絡安全運行監視水平

以業務為中心，以數據為核心，對系統進行全方位的可用性及安全運行水平監測，對全網的安全態勢進行全面感知，完善電力監控系統安全設備日志分析平臺，提升日志信息展示的易讀性，提高網絡安全監視效率。加快推進網絡安全態勢感知平臺建設實施，實現電力監控系統全覆蓋，提升態勢感知系統覆蓋范圍和實用化水平。推進安全防御技術應用，積極部署態勢感知設備（實時監測及應急處置），利用態勢感知設備對電力監控系統的網絡及設備情況開展相關安全數據采集和監視，所需數據內容主要包括各類網絡節點設備的配置信息、關鍵網絡節點的流量信息及相關設備的日志信息等。通過邊界設備日志分析、資產變化監視、流量分析等技術措施感知網絡安全態勢，及時開展應急處置工作。

總之，電力監控系統的網絡安全防護要求已經上升到國家安全戰略的高度。做好電力監控系統的網絡安全防護，有利于整個電力系統的安全穩定運行。要不斷加大安全防護力度，完善電力監控系統管理制度，增強網絡信息安全從業人員的責任感和安全意識，為電力監控系統網絡的安全性和可靠性做出應有的貢獻。