电力监控系统网络安全防护技术研究

（国网拉萨供电公司，西藏自治区 拉萨 850000）

一、加强电力系统网络安全的意义

电力行业是技术密集和装备密集型产业，其独特的生产与经营方式决定了其信息化发展的模式。通过信息化渠道开展电力业务，具有便捷、实时的巨大优势，但是非法用户的访问、内部人员的操作失误、信息传递的失误等问题也相伴而来，尤其各变电站要实现少人或无人值守以提高生产效益，安全的信息技术势必要大规模地运用到电力行业中。而且，随着电力调度业务、电力市场业务等越来越广泛地开展，电力企业网和Internet 的联系也越来越紧密，而网络的自由性和不安全性则会给电力企业安全运行带来越来越严重的隐患，并且有可能对电力业务造成极大的破坏。为躲避潜在的计算机网络风险，使网络系统能够安全及高效运行，就必须保证网络安全，系统安全，同时还要兼顾系统的高效和通畅。

二、现阶段电力监控系统网络安全防护存在的问题

（一）运行管理方面

在电力监控系统的安全防护体系中，其在具体运行管理过程中也存在有以下几点问题：第一，弱口令、数据明文管理：密码口令的泄露将使整个防护系统丧失了防护能力。第二，台账、拓扑图与实际不符，一旦系统故障或异常时，无法在第一时间内找到故障来源，导致设备风险难以掌控。第三，其他：缺少完善的机房准入制度，对系统的物理入侵无有效防范手段；无完备的系统备份制度，使系统在到袭击后难以及时、有效恢复。

（二）技术管理方面

在安全防护技术管理上，电力系统存在跨区并联和分区错误等问题。跨区并联是指在生产控制部位和管理信息较大的区域进行单向安全隔离装置的设立，在一些非生产控制区、普通的管理区域利用防火墙的基本功能进行基本的访问控制功能，而逻辑隔离有积极的影响。一般而言，在进行数据信息传递时，例如，从安全等级较低的系统向安全等级较高的系统传递时，这时需要对传输进行反向隔离，相关的传输数据也要进行加密。现阶段，进行电力系统网络安全防护时，工作人员的安全防护意识相对薄弱，导致监控系统跨区互联的情况时有发生。由于电力系统防护本身存在复杂性和多样化的特点，导致在进行电力系统分区时容易出现错误，进行系统安全等级确定时存在较多困难，同时，在进行安全防护时成本较高。从系统论的视角来分析，当系统的特性和重要性不同时，进行安全程度分区要根据实际情况进行相应的处理，确保安全防护具有较强的针对性和操作性，能够满足不同安全等级防护的基本要求。但是在进行电力监控系统的实际安全防护时，特别是在初期的建设中，工作人员往往对网络安全防护不够重视，导致设备和系统分区定义容易出现错误的状况。

三、优化电力监控系统网络安全防护技术措施

（一）完善电力监控防护工作

在当前电力监控网络安全防护工作中，由上至下均由自动化专业负责，但其工作所跨部门专业较多，推动也较为困难。因此，新业务接入时一定要遵循提前介入、规范化实施等原则，在新建变电站、其他系统投产前需与工程建设单位提前联系，要求提前制定实施方案提交地调主站进行审核，审核通过后方可进行下一步工作。从而有效确保电力监控系统网络安全。

（二）提高生产大区拨号访问控制力度

在进行电力监控系统网络安全防护时，要重点关注数据信息。在这个过程中，为了确保信息的安全性和可靠性，生产控制区在进行电力监控系统网络安全维护时，要重点关注外部拨号和网络用户的身份问题。在用户使用网络时，要加强信息系统的验证，对系统运作过程中，要重视一台服务器同时布置不同网段地址的情况，电力系统在良好的网络环境下正常运行，规范生产大区拨号访问控制的力度，以促进电力监控系统稳定发展。

（三）重视信息安全技术手段

技术手段是解决信息安全的关键所在，只有采用合理且高效的技术手段，才能在很大程度上消除信息安全隐患。应采取“先进适用，创新发展”的原则，积极跟踪和研究国内外先进成熟技术，应用到电力信息网中，比如防火墙技术、入侵检测技术、漏洞扫描技术、隔离技术、VPN 技术、安全审计策略等，并采取统一的安防软件和网管软件。结合电力系统特点，具体可表现在几个方面：第一，主动防御：从信息安全系统体系出发，以技术手段作为切入点，采用“分区分域、安全接入、动态感知、全面防护”等原则，化事件驱动型的被动防御为消息驱动型的主动防御。第二，持续跟踪：持续跟踪国际信息化与信息安全工作的发展趋势和成果，研究并应用到国家能源集团的信息安全防护工作中。第三，超前部署：立足现实，把握全局，并考虑未来技术的发展，超前部署前沿技术攻关及基础成果应用，比如大数据、云计算及虚拟化技术应用等。

结束语：

电力监控系统作为电力安全生产系统的一个重要组成部分，其除了建立相应的安全防护体系之外，还需要构建一个完善的网络安全管理制度，而只有达到管理与技术两个方面的共同优化效果，才能确保发电企业的电力监控系统能够得到安全稳定、高效可靠的运行效果，从而有效保障电力系统运行的安全性、可靠性、稳定性。