浅谈电力监控系统安全防护问题

王妙龄

摘 要：目前，电力监控系统的安全强度已达到国家安全战略的标准，防护的主要方向是黑客、病毒等的攻击和破坏。要着重保护实时监控系统，以及电力调度的数据资料库的安全，使其达到国家对电力基础设施中电力调度系统的防护保障要求。通过对于现阶段力系统防护现状和现存问题进行归纳总结后，提出风险防护建议。

关键词：电力监控系统；问题；建议

随着通信技术和网络技术的发展， 接人电力调度数据网的电力监控系统越来越多， 包括各级电网调度自动化系统、用电营销系统、配网自动化以及企业信息管理系统等计算机及信息系统，在调度中心、电厂、变电站、用户等之间进行的数据交换越来越颇繁， 而Internet的迅速普及以及网络应用的不断增加，带来一系列的安全问题，信息系统遭受攻击造成企业重大损失和负面影响的事件不断出现。

2014年2月中央成立网络与信息安全领导小组，习近平任组长。习指出“没有信息安全就没有国家安全，没有信息化就没有现代化”，凸显网络与信息安全重要性。同年8月，国家发改委通过了第14号令《电力监控系统安全防护规定》。2015年，国家能源局安全[2015]36号文，印发电力监控系统安全防护总体方案等配套文件。可见，建立和完善电力企业信息系统安全体系，不但是电力企业自身的需求，而且也成为政府和社会对电力企业的迫切要求。

一、安全防护的主要原则

电力监控系统安全防护包括调度端、站内及纵向安全防护， 按照电监会“电力监控系统安全防护总体方案”（以下简称“方案”）规定，电力监控系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护主要针对网络系统和基于网络的电力生产控制系统， 重点强化边界防护， 提高内部安全防护能力，保证电力生产控制系统及重要数据的安全。

“安全分区” ， 原则上划分为生产控制大区和管理信息大区，生产控制区主要包括那些和电力生产紧密相关的、辅助电力生产决策信息系统，管理信息区主要包括那些和电力管理、经营、行政事务相关的系统。而生产控制大区按是否带控制功能分为的控制区和非控制区 。

“网络专用”， 是指生产大区的数据网络必须使用独立的网络设备组网，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离，即是电力调度数据网，。

“横向隔离” ， 是指在控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，其隔离强度接近或达到物理隔离，而现有黑客攻击大部分都基于网络，故黑客病毒无法穿透并攻击到电力内部系统；

“纵向认证” ， 是指采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护， 对于重点防护的调度中心、发电厂、变电站在生产控制大区与广域网的纵向连接处设置经过电力专用纵向加密认证装置或加密认证网关，实现双向身份认证、数据加密和访问控制。

二、电力监控系统安全防护存在问题

1.技术管理方面

（1）分区错误。由于电力监控系统的复杂性和多样性，为所有的系统确立唯一的安全等级是困难的且代价昂贵的，从系统论的角度而言，将具有不同特性和重要性的系统划分到不同安全分区，根据不同安全区的确立不同的安全防护要求，从而决定不同的安全等级和防护水平。然而，由于初期对变电站在规划、设计、建设控制系统和数据网络时， 对网络的安全问题重视不够和认识不够深刻，存在一些设备、系统分区错误现象，将防护等级较高设备放置等级较低区域，将应放置生产控制大区设备放置于管理信息大区。如，电能计量系统负责采集网内变电站的进线、主变以及出线表计的电量数据，需要从生产控制大区每天定时采集电量数据，若将其划分到管理信息大区，信息系统未达到相应的防护级别，会使重要系统面临较高的风险。

（2）跨区互联。我们在生产控制大区与管理信息大区之间设置电力专用的单向安全隔离装置，在控制区与非控制区之间我们采用防火墙进行访问控制，实现逻辑隔离。一般情况下，我们允许安全等级相对较高的系统向安全等级较低的系统发送数据，中间部署正向安全隔离，而安全等级低的系统向安全等级高的系统传送数据需通过反向安全隔离传送时将所需数据加密后再控制传输。但如果同一台设备用两个网卡分别设置了生产控制大区和管理信息大区的IP地址，这样就想当于两个大区建立了直连通道，数据的交互绕过了隔离装置，使生产控制大区失去了防护。目前，由于系统建设规划和意识淡薄等原因，计量自动化系统等跨区互联普遍存在，个别电力远程维护拨号系统也存在同时连接Ⅰ、Ⅲ区的情况。

（3）网络安全策略性较低。网络设备的安全性体现在其配置参数及策略的可靠性，包括验证接入者身份，部署路由的访问控制，确保信息传输的保密与完整性以及实施入侵检测的手段，增强网络设备防御病毒的能力等，若有某一方面达不到要求，都有可能是设备失去防护能力。

2.运行管理方面

（1）弱口令、数据明文管理。一些运行管理人员，系统使用默认情况下的简单口令，并且远程登录使用Telnet协议时数据以明文传输数据和口令，一旦口令泄露就失去了所有的防护能力；另一方面，对外来人员和未加强管理，默许其直接对设备操作，如：更改设备口令，修改安全设备策略配置，等等。

（2）台账及拓扑与实际不符。当系统台账及拓扑图与实际设备及连接情况不相符合时，当系统出现风险时，无法第一时间找到设备，切除故障来源，设备风险将无法管控。

（3）其他：无完善的机房准入制度，或者有制度但形同虚设；无完善的备份制度，一旦系统遭受袭击，数据丢失时，无法恢复重要数据等。

三、电力监控系统安全防护下一步工作建议

1.对于弱口令、数据明文传输、台账拓扑与实际不符等问题用技术和管理手段是较为容易解决的，是完全可以避免的，必须提高相关维护人员安全意识和责任心，设置专职技术管理人员，真正落实相应的管理措施和技术措施。同时加强培训及完善考核制度，使其有足够的技术能力处理现场安全防护问题。

2.由于电力监控系统应用的特殊性，必须同时保证数据的机密性、完整性和不可否认性。对于从外部拨号访问的用户，应严格限制所访问的系统信息和资源；其次，应加强对拨号用户的身份认证，通过加密减少口令密码泄露的可能性；此外，严查同一台服务器同时布置不同网段的地址，放置不同等级应用无通过隔离进行交互。

3.目前电力监控防护工作，由上至下均由自动化专业负责，但其工作所跨部门专业较多，前期阶段未参与，其推动也较为困难。因此，新业务接入要遵循提前介入、规范化实施原则，在新建变电站、其它系统投产前需与工程建设单位提前聯系，要求提前制定实施方案提交地调主站进行审核，审核通过后方可进行下一步工作。

4.在管理层面，建立监督及检查的常态化工作机制，实现“以查促建、以查促管、以查促改、以查促防 ”机制，对历史规划存在分区问题，针对当前或历史规划遗留问题，根据轻重缓急制定整改计划，落实国家及行业的要求 。

四、结语

电力监控系统安全是电力生产安全不可分割的一部分。除了依据相关规定要求建立可靠的网络安全技术的安全防护体系外，还必须建立健全完善的网络安全管理制度， 形成管理和技术双管齐下， 才能真正达到保证网络安全的目的。随着风险、技术、人员不断地变化发展，只有不断提高自动化专业人员的业务素质，增强其安全风险防范意识，不断地将先进技术，不断地完善安全管理制度，降低电力监控系统的安全风险，才能保障电力监控系统安全稳定、高效可靠地运行。

参考文献：

[1]电监会14号令《电力监控系统安全防护规定》2014.08.