基于电力监控系统测评及评估工作的网络安全防护研究

陈 翔，孟凡磊，陈婉茹，李海学

（1.中海石油（中国）有限公司天津分公司，天津 300459；2.中海油安全技术服务有限公司，天津 300450）

0 引言

近年来，随着岸电工程海上油田群电力监控系统（以下简称“电力监控系统”）的大规模应用，电力监控系统的重要性也越来越高，系统中各种信息技术的应用和挑战也将越来越多。在网络环境日益复杂和安全威胁日益严峻的背景下，电力监控系统信息安全问题已成为系统运行的新类型风险。因此，基于电力监控系统网络安全问题方面的网络安全防护研究具有重要意义，对于保障海陆电网的稳定与可靠性具有重要作用。

本文从电力监控系统的网络安全等级保护测评、电力监控系统安全防护评估两个方面出发，对系统网络安全问题进行研究，提出一种基于测评评估设计的二次系统网络的安全防护体系，包括网络安全架构设计、安全控制策略、网络运行监测和安全应急响应等内容。

1 电力监控系统网络安全等级保护测评

随着《网络安全法》的发布将网络安全等级保护工作提升到法律层面，本文依据国家相关标准规范开展网络安全合规性测评和安全整改措施的工作。电力监控系统网络安全等级保护测评工作需在遵循通用要求的基础上，同时遵循工业控制安全扩展要求，以满足工控场景下的安全防护需求。电力监控系统网络安全等级保护测评工作，可以从以下4 个方面入手。

1.1 系统定级备案

电力监控系统属于变电站自动化系统（含开关站、换流站），参照《电力行业信息系统等级保护定级工作指导意见》（电监信息〔2007〕44 号），GB/T 22240—2020《信息安全技术网络安全等级保护定级指南》[1]，以及相关标准文件，220 kV 及以上系统建议定级为第三级。定级备案完成后整理系统备案材料提交公安网安部门申请备案，最终获取备案证明。

1.2 安全建设整改

系统定级完成后，参照系统所定级别开展安全建设整改工作，对照相应级别的安全防护要求采取安全措施。例如，采用“一个中心三重防护”思想“安全分区、网络专用、横向隔离、纵向认证”的电力行业十六字方针等体系思想，保证系统具备基础的安全防护要求。

1.3 现场测评实施

现场测评实施阶段主要是实施评估活动的过程，依据相应级别的标准要求开展测评准备、方案编制、评估实施等工作。GB/T 28448—2019《信息安全技术网络安全等级保护测评要求》[2]，包括两方面、10 个层面，其中技术方面包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心，管理方面包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理，在此基础上同时遵循电力行业要求以及工控系统扩展要求。

1.4 测评结论形成

测评机构完成现场测评后，依据量化评估标准开展风险的计算和分析工作，并形成电力监控系统测评报告。2021 版测评报告改版后，测评结论的计算发生一些变化，下面简述结论计算方式。

2021 版报告中测评结果计算公式改为缺陷扣分法，首先将测评指标分为技术和管理两大类，然后采用缺陷扣分法分别计算技术和管理两类的得分，最后将技术和管理的得分相加作为最终得分。

该测评报告风险最终得分计算过程如下：

（1）f（ωk）×（1-xk）×S 用于计算每一项的得分情况，如果每一项包含多个资产，综合此项所有资产的符合情况。需要注意的是，所有资产均不符合，此项按照不符合计算；所有资产均符合，此项按照符合计算；具有符合、部分符合和不符合中两种的，此项按照部分符合计算。

（8）M=Vt+Vm汇总技术和管理层面的得分，得出报告的最终得分。

2 电力监控系统安全防护评估

电力监控系统网络安全风险评估是指对电力监控系统中存在的网络安全隐患和安全风险进行评估，并提出相应的安全控制和防护措施的过程。电力监控系统网络安全风险评估，可以从以下4 个方面入手。

（1）安全需求规划。对电力监控系统的网络安全要求进行规划和描述，制定相关的安全策略和安全标准，主要包括安全保密性、完整性、可用性、法律合规等方面。

（2）安全风险识别。确定电力监控系统中可能存在的安全风险和威胁，包括网络攻击、病毒攻击、黑客攻击、信息盗窃等方式。对于每种安全风险进行详细描述和评估。

（3）安全风险分析。对安全风险进行分析，确定安全风险的危害程度、概率和影响范围，并尽可能多地获取安全风险的相关信息和可靠数据。

（4）安全风险评估。评估已确定的安全风险，确定是否需要采取相应的安全措施来降低风险。

根据资产赋值、资产面临的威胁和存在的脆弱性赋值情况，对资产面临的风险进行分析计算。

风险值=R（A，T，V）

其中，R 表示安全风险计算函数，A 表示资产，T表示威胁，V 表示脆弱性。可采用矩阵法或相乘法计算风险评估结果。

基于电力安全风险评估的分析结果，可以制定出一系列有效的安全控制和防护措施，包括网络安全防御、应急响应、攻击溯源、信息安全管理等方面。

3 基于测评评估设计的二次系统网络安全防护体系

岸电工程海上油田群电力监控系统的网络化程度和复杂性较高，无法单独采用传统的网络安全防御手段来对其进行防护，因此需要寻求新的研究方向来提高其网络安全性。

基于岸电工程海上油田群电力监控系统中的二次系统网络，本文提出了一种安全防护体系，通过多层次、多维度的安全控制和监测机制来保障电力监控系统的网络安全，包括网络安全架构设计、安全控制策略、网络运行监测和安全应急响应等方面的内容。

3.1 网络安全架构设计

为了保证电力监控系统的安全，需要从架构设计到安全建设时符合进入网络安全等级保护以及安全防护评估的要求，如“一个中心三重防护”体系、电力行业十六字方针等。

3.1.1 “一个中心三重防护”体系

（1）网络安全等级保护“一个中心三重防护”体系，主要在电力监控系统中建立一个管理中心，用于对系统的安全状态监测、对安全运维操作日志存储分析、对安全设备进行集中管理等（图1）。其中，管理中心可以由多种安全功能的设备组成，如流量监测类、攻击检测类、审计类、态势分析类、运行监控类等；建立三重防护机制，从网络架构区域的安全划分，到区域边界的防护机制建立，再到核心的主机层安全防护，构建层层防护机制以及纵深防护体系。

图1 “一个中心三重防护”体系

3.1.2 十六字方针

电力行业的十六字方针为，“安全分区、网络专用、横向隔离、纵向认证”。

（1）安全分区主要是在电力监控系统中对网络区域进行划分。依据36 号文[5]等相关要求，将电力监控系统网络划分为安全I 区、安全II 区、安全III 区和安全IV 区，其中安全I 区和安全II 区属生产大区，安全III 区和安全IV 区属管理信息大区。另外，生产大区的安全I 区控制区为电力监控系统的核心，主要部署电力监控系统工作站、五防站、测控控制以及远东装置等；安全II 区生产非控制区主要用于部署电能采集终端、保护信息子站等（图2）。

图2 电力监控系统安全分区示意

（2）网络专用是指生产大区的数据通过电力调度数据网传输，通过采用MSTP 和ASON 等技术具备良好的安全性和通信效率。电力调度数据网独立于运营商的基站和通信链路，隔离公网带来的安全威胁和风险，提升数据通信安全。

（3）横向隔离主要指由于电力安全防护的需要，电力专网对网络区域进行了安全分区。根据36 号文相关要求，生产大区和管理信息大区之间采用物理隔离措施，可采用通过电力认证的单向传输的隔离装置实现防护；生产大区的实时区与非实时区之间采用逻辑隔离装置，如国产防火墙等。通过横向隔离保证数据不出区，或者在保证安全的情况下出区转发。

（4）纵向加密装置是电力安全纵向防护措施，通过安全认证及加密传输，保证在电力调度数据网传输的数据保密性和完整性，避免非授权的篡改及访问。

3.2 安全控制策略

为了保障电力监控系统的网络安全，需要制定相应的安全控制策略，并采取有效的控制措施来规避安全风险。

（1）操作系统的安全配置：与电力监控系统相关的计算机终端，需要采取国产化操作系统，并基于稳定版本运行，同时对其进行相关的安全配置，如升级补丁程序、关闭不必要的端口、配置防火墙等，关闭135、139、445等高危端口。

（2）信息安全管理。涉及电力监控系统运行的任何信息，都需要进行详细的管理和记录，包括访问权限授权、加密技术、备份技术等方面。

（3）安全访问控制。对于网络中的所有节点，需要严格控制其访问权限，在防止攻击的同时保护重要数据的安全。

3.3 网络监测

电力监控系统的网络监测是保障网络安全的重要措施。通过对电力监控系统中的网络节点进行监测和分析，可以预防和发现安全威胁。

（1）网络实时监控。采用网络安全监测类、攻击检测类、审计类、态势分析类、运行监控类等措施，对系统中的各个关键节点进行实时监控，包括系统的运行状态、入侵状态等方面。

（2）网络流量分析。采用流量监测类措施，对电力监控系统中的网络流量进行分析，以发现异常流量和威胁，并对其进行有效防护。

（3）网络行为分析。对电力监控系统中的用户行为进行分析，以识别恶意行为和隐含风险，并通过安全控制策略进行有效防护。

（4）通过在岸电工程海上油田群电力监控系统中部署攻击检测类、审计类、态势分析类，集中监控电力监控系统内攻击事件、资产运行状态，实现实时的运行监控及安全监控。

3.4 应急处置

应急处置是保障电力监控系统网络安全的关键环节。一般会通过应急预案建立、应急演练工作以及应急处理，减少系统异常的影响及损失。

（1）建立应急预案，结合岸电工程海上油田群电力监控系统特点，建立针对性的安全应急预案，包括物理安全事件、网络故障、网络攻击等场景。

（2）定期开展应急演练，根据应急预案的方案，结合系统运行的情况、检修间隔等情况，选择性开展应急演练工作，通过应急演练工作提升运维人员的应急处置能力。

（3）通过上述的应急措施建立，提升人员的应急处置能力。如果系统发生安全事件，第一时间进行事件处置，以减少事件造成的损失。

4 实验验证

为验证基于电力监控系统的安全防护体系的有效性和实用性，本文采用工具接入扫描测试的方式，对系统的网络防护体系进行验证。通过建立实验网络，模拟了电力监控系统中的一些常见攻击行为，并对其进行详细的分析和溯源。

4.1 确定工具的接入点

在实验网络中接入工具。工具接入点的确定遵循不影响目标系统正常运行的前提下严格按照方案选定范围进行测试，需要遵循如下5 个原则：①由低级别系统向高级别系统探测；②同一系统同等重要程度功能区域之间要相互探测；③有较低重要程度区域向较高重要程度区域探测；④由外链接口向系统内部探测；⑤跨网络隔离设备（包括网络设备和安全设备）要分段探测。

4.2 开展工具扫描测试

采用漏洞扫描、验证测试等方式开展测试。测试中应依据工具接入原则，开展跨网测试、直接测试等，验证安全设备及安全策略的有效性。

4.3 分析入侵监测及日志记录情况

漏洞扫描完成后，在入侵监测设备查看，是否存在入侵攻击行为；登录边界防火墙设备查看，是否存在拦截记录，分析拦截有效性；登录日志审计系统查看日志记录情况，分析日志记录的有效性。

实验结果表明，本文提出的防护体系能有效防御和发现各种安全威胁，并追踪和定位攻击源和攻击路径。

5 总结与展望

本文基于岸电工程海上油田群电力监控系统网络安全等级保护测评及安全防护评估，对系统的网络安全问题进行研究，提出了一种基于电力监控系统的安全防护体系，包括网络安全架构设计、安全控制策略、网络运行监测和安全应急响应等内容，并通过实验验证该体系的有效性和实用性。在岸电工程海上油田群电力监控系统的网络安全方面，未来还需要进一步深入探讨多层次、多维度的网络安全策略和防御机制，从而为系统安全提供更加完善的技术支持。