浅谈电力监控系统网络安全防护体系建设

摘要:随着网络系统的不断发展，对电能的需求不断增加，电力系统也迅速发展。但从我国电力监控及系统安全防护工作的实施情况来看，仍然存在一些需要重视的问题。为确保不发生电力监控系统网络安全事件，应积极发现电力监控系统网络安全问题并解决完善，才能使电力系统的安全性和稳定性得到保障，提高电力监控系统网络安全防护水平。

关键词:电力监控;网络安全;系统;安全防护

引言

近些年来，随着电力系统的进步和发展，电力系统的自动化、信息化、智能化技术得到了更为有力的技术支持。但作为不少国家重要的“网络战场”，电力监控系统的安全问题显得越发突出，如何确保电力系统能足够安全、稳定地运行成为现阶段电力企业建设发展的主要研究对象。当前各地的电力监控系统网络安全水平参差不齐，如何使各地电力监控网络安全水平达到统一，是一个亟待解决的难题。

1电力监控系统网络安全防护现状

网络安全隐患从软件向硬件延伸，系统网络安全情况不容乐观，这引起我国相关行业主管部门高度重视，2002年原国家经贸委《电网和电厂计算机监控系统及调度数据网络安全防护规定》，2005年原国家电监会《电力二次系统安全防护规定》，2014年国家发改委《电力监控系统安全防护规定》，2016年工信部《工业控制系统信息安全防护指南》提出了11项工控网络安全重要措施，2017年全国人大颁布的《中华人民共和国网络安全法》，在我国相关政策法规的指导下，电力行业用了将近20年的时间，建立了比较完善的电力监控系统网络安全防护体系。从2016年工信部的《工业控制系统信息安全防护指南》以来，强化了电力行业对生产控制大区的动态实时感知，并且升级了关键网络安全实施，同时建立网络安全专职机构队伍，从而完善电力监控系统安全防护体系，并保证了电力系统安全稳定的运行。计算机监控系统是电力系统的主要组成部分，并且对电力系统的安全可靠运行有着重要的作用，在电力企业发展的过程中，计算机监控系统会因为多种原因而出现运行不畅的问题，导致无法安装安全防护软件和不能升级相关操作系统，这便是多数发电企业电力监控系统在运行的过程中所存在的安全隐患。所以按照网络安全分区的原则来讲，电力监控系统安全区的系统和其他系统之间是没有联系的，但如果出现病毒入侵的情况，就会导致不设防的其他系统处于危险的状况。所以需要相关电力系统工作人员，不断完善其网络安全防护工作，使电力系统运行能够有相对较高的安全性和可靠性。

2建设电力监控系统网络安全的范围与目标

电力监控系统网络安全防护工作由调控中心统一管理，设立网络安全管理专职，防范黑客及恶意代码等对电力监控系统发起攻击和侵害，特别是抵御集团式攻击，防止电力监控系统瘫痪。同时也要完成以下安全防护指标:地调安全防护专业人员配备率100%;厂站安全防护纵向加密设备覆盖率100%;内网安全监视平台覆盖率100%;控制功能调度数字证书覆盖率100%;地调管辖发电厂电力监控系统安全防护方案审核完成率100%;厂站安全防护纵向加密设备密通率不小于90%。同时，使各地电力监控网络安全水平达到一致。

3电力监控系统网络安全防护的关键技术

3．1风险评估技术

在安全防护技术中，风险评估是非常重要的一项技术，是对主机的风险泄露和通过网络远程监控其他主机风险漏洞的分析，风险评估系统的主要工作目标便是服务器、工作站和数据库等，利用网络安全监测装置扫描监控目标可能存在的风险隐患。并对其安全性和风险程度进行分析，确定系统网络信息是否安全，并对系统网络信息的安全性提出具体整改建议。在进行风险评估技术时，也经常会利用网络漏洞扫描方式。在信息安全防护过程中，风险评估主要是一种辅助手段，还需要利用VPN、防火墙比如氢检测的方式来完成信息安全防护工作。

3．2物理隔离技术

“安全分区，网络专用，横向隔离，纵向认证”中的横向隔离便是主要依赖物理隔离技术，在网络边界防护中，必须采用经国家指定部门检测认证的横向安全隔离装置连接2个独立的主机系统，这样能够保证不直接连通并且传输和共享数据资源。目前的物理隔离技术主要使用的有实时开关、单向连接和网络交换器这三种隔离装置。其中实时开关可以实现在同一时间隔离内外网络，并且实现数据联通进行快速的处理数据。再连接一个网络获取数据，然后转动开关到另一个网络，将之前获取的数据传输到另一个网络，能够快速地在两个网络之间移动数据，并且实现实时处理的效果。同时在传输数据时，实时开关会终止网络连接，这便不会存在漏洞风险，与此同时还能够利用实时开关避免遭到病毒侵害。单向连接指的便是单向地从源网向目的网传输数据，这样便成为了一个“只读”网络，同时数据不能反向向源网传输，单向连接需要利用硬件实现，因为这样可以避免数据传错。而网络交换器指的便是一台计算机中有两个虚拟机，在一个虚拟机当中写入数据，然后再传输到另一个虚拟机中。在传输数据过程中速度会相对较慢，无法实现实时工作。所以网络转换器通常都具备双接口的硬件卡，双接口都连接着相互隔离的网络，但在同一时间只能激活一个网络。

3．3SSL技术与IPSec技术

SSL协议主要利用传输层进行传输，在应用层影响下保护网络传输信息。它具有透明性、应用性和可移植性，SSL电力系统安全通道主要包括SSL服务器和SSL客户端，SSL客户端主要在浏览器上负责认证服务器端的实际深入，而SSL服务器是在WEB服务器上负责实现客户端的身份验证。SSL可以使数据进行加密传输，并对数据保密性进行更好地保护，利用MAC来保护信息的完整度，然后再通过数字证书来验证发送者与接受者的身份。IPSec是利用AH协议与ESP协议实现安全性，IPSec可以提供各种安全服务，利用身份认证制实施访问控制，在通信前通过IKE协商SA，然后利用公钥签名机制进行身份验证，IP-Sec可以在数据包发放前利用信息鉴别机制实施数据源认证，然后应用信息鉴别法计算MAC，采用HMAC输入部分信息与密钥，输出MAC，在接收到IP数据包后在用相同的方式计算数据，在获取的数据完全相同后，便表示数据通过验证。

4电力监控网络安全的建设内容

4．1成立工作小组

成立以调控中心主任为工作小组组长的组织机构，工作小组成员包含:主站自化、运检部自动化、调度自动化、通信管理员、并网电厂负责人，负责统筹与管理，下面又有着实际操作者，与工作管理人员在网络安全监控管理本地管理工作开展中，在实际管理的过程中，不同角色之间所承担的管理责任有所不同。如管理员能够对安全监测装置进行时区管理、进程管理、用户操作管理等;操作者则需要强大的知识量来负责各个部门不同的网络安全工作。上下配合，才能做好电力监控网络安全建设。

4．2网络安全监测装置的功能实施

在网络安全监测装置功能实施之前，需要能够实现对该装置的安装，首先需要注意安装布线，完成网络安全监测装置的设备上架及网络布线，在接线的工作完成之后，对接入的设备进行及时的软硬件的更新和升级，并且根据实际的运行，使用相关的运行数据进行适当的修改和调整。按照国家能源局〔2015〕36号文件及部分省电力公司调度的要求，35kV及以上电压等级并网发电厂，要求在一、二区部署网络安全监测装置。

4．3制订安全防护方案

根据《关于发电企业电力监控系统安全防护工作要求的通知》，加强发电企业的电力监控系统的安全防护管理。第一，项目在前期的评审期间，根据“安全分区，网络专用，横向隔离，纵向认证”的基本原则，要求发电企业分区配置接入相应的加密认证装置、物理隔离装置、防火墙等相关安全设备。第二，主厂站专门对安全设备进行联合调试，调试完成后进行现场检查验收，严格要求完全通过验证流程。第三，部署入侵检测系统。具有等保二级系统的发电厂，需要主动部署入侵检测系统，实现对数据网数据的全监视，提前发现入侵行为。并在其他方面要求发电企业制定内部安全管理制度，明确网络安全管理措施与网络安全负责人，要求发电企业制定网络安全事件应急预案，并且需要进行定期的演练。

5结语

保障电力监控系统安全是共同的责任，所以需要通过管理和技术体系建设来完成相关指标要求，全面提升地区电力监控系统网络安全防护能力，使系统防护水平及人员的技能、安全防护意识得到很大的提升，从而为后续安防工作打下基础，从而共筑电力监控系统网络安全防线。

参考文献:

［1］钟丽波，周洋，马煜，等．基于泛在电力物联网的电力监控系统安全防护研究［J］．东北电力技术，2019，40(11):28－30．

［2］王剑．电力监控系统在供配运行过程中的应用［J］．炼油与化工，2018(6)．49

作者：胡倩云 单位：广州市增城区水务局