关于电力监控系统安全防护问题的思考谢晨

关于电力监控系统安全防护问题的思考谢晨

谢晨

国网宁东供电公司宁夏银川750001

摘要：现阶段，因为计算机的快速发展，电厂内原用的手动监视和控制逐渐被自动化系统取代。此外，因为以太网的广泛使用，在自动化系统之间有了更加频繁的通信。同时，部分自动化系统要通过和网络进行连接来进行远程管理。这种存在众多复杂系统的网络通信难免会有着一定的安全隐患。针对这种情况，国家对二次系统的安全防护进行了规定，进而确保水电厂能够安全稳定运行，给中国经济的发展奠定了坚实基础。

关键词：电力监控；系统；安全防护；问题；分析

1导言

电力监控系统是电力系统的重要组成部分，主要用于对发电、供电等各环节进行监视控制，包含基于计算机及网络通信技术的业务系统、智能设备以及作为基础支撑的电力通信数据网络等，如电力监视控制与数据采集系统（SCADA）、能量管理系统（EMS）、变电站监控系统、广域相量测量系统（WAMS）、保护测控装置、电力调度数据网等。随着电网自动化水平的提高及网络规模的扩大，电力监控系统的安全性也愈加重要。电力监控系统的安全防护工作应在遵循基本原则的基础上，从管理与技术两个方面双管齐下，保障电网安全稳定运行。

2电力监控系统安全防护的要求归纳

电力监控系统针对生产控制、生产管理与通信管理网络的设计，需要针对电力监控系统的安全防护所需，遵循《电力监控系统安全防护规定》（国家发改委2014年第14号令）、《电力监控系统安全防护总体方案等安全防护方案和评估规范》（国家能源局国能安全2015年第36号）和《电力行业信息安全等级保护管理办法》（国家能源局国能安全2014年第318号）的要求。《中华人民共和国网络安全法》中，把网络和信息安全由原本规章制度的级别提升到了国家法律层次。电力监控系统所实施的安全防护，要按照十六字方针的规定，及时对外部网络的边界进行隔离，并设置合适的安全防护和预警系统，运用专业的技术更快速地发现网络异常，逐步形成科学高效的安全防护体系，及时加以防护。要做好电力监控系统的安全防护工作，一定设置好三道防线——第一道防线系统边界，第二道防线网络传输边界，第三道防线业务主机。

3电力监控系统安全防护的基本原则

电力监控系统安全防护的基本原则是“安全分区、网络专用、横向隔离、纵向认证”。“安全分区”指的是电力监控系统中包含的业务系统划分为生产控制大区与管理信息大区。其中生产控制大区与电力生产直接相关，又可分为直接参与生产控制的控制区与不带实时控制功能的非控制区。管理信息大区主要应用于电力管理、办公等用途。此外，生产控制大区中的业务系统使用无线、公网VPN等方式通信的，应当设立安全接入区。“网络专用”指电力调度数据网应使用专用通道，实时子网连接控制区、非实时子网连接非控制区，避免不同安全区的纵向交叉连接，实现物理隔离。“横向隔离”指生产控制大区与管理信息大区之间的通信必须通过正反向隔离装置，隔离强度应接近或达到物理隔离，并满足单比特传输的规定。生产控制大区内部的控制区与非控制区之间业务系统的通信必须经过防火墙或其他逻辑隔离设备。“纵向认证”指生产控制大区中的业务系统与远方传输信息需要经过纵向加密认证装置，通过加密、认证、访问控制等手段保证信息传输的完整性、机密性、可用性。

4电力监控系统安全防护管理制度

4.1建立健全安全防护管理体系

按照“谁主管谁负责，谁运营谁负责”的原则建立安全防护管理体系，明确责任。电力调度中心负责管辖范围内的变电站、下级调度机构的专业管理与技术监督，运检部门负责所辖变电站电力监控系统的运行维护。下级安全防护方案的变更需经上级调度机构审核，发生安全事件应及时上报。

4.2严格执行等保测评

根据国家颁布的信息系统等级保护与测评相关要求，对于不同业务系统根据其重要程度划分防护等级。通常生产控制大区业务系统的防护等级应高于管理信息大区。安全等级为2级的系统每两年至少评估一次，安全等级为3级的系统每年至少评估一次，安全等级为4级的系统每半年至少评估一次。应严格按照划分的等级部署安全防护措施，对于安全评估中发现的问题应及时整改。

4.3加强设备接入管理

接入电力监控系统中的设备，尤其是接入生产控制大区的设备，应通过具有国家级检测认证资质检验单位的检测认证，满足安全性和电磁兼容性的要求，禁止选用工信部、网信部门等有关部门通报存在风险和漏洞的设备。此外，除安全接入区外，各业务系统不得与信息外网连接，相关主机上必须将软盘、光盘驱动、无线、串口、USB口关闭或拆除。生产控制大区与管理信息大区之间不得通过通用存储介质传输信息。运行设备存在风险和漏洞的，及时落实整改措施。

5电力监控系统安全防护的主要策略

5.1在安全接入区设置专用横向单向安全隔离装置

2014年，由国家发改委发布了《电力监控系统安全防护规定》（以下简称《规定》）。就技术和管理两方面的安全防护而言，对电力监控系统有更严格的要求。《规定》中强调了电力监控系统的防护原则，提出了在生产控制大区内要坚持“安全接入区”这一理念，并指出了如果生产控制大区的业务系统和它的终端纵向进行连接时，在使用无线通信网进行通信时，一定要设好安全接入区，并在安全接入区和生产控制大区其他部分的联接处还要设好横向单向安全隔离装置。

5.2加强电力系统安全防护的业务传输、纵向认证

一是对纵向加密设置的认证。这个装置安置在广域网络与局域网络的连接处，一般在局域网络与广域网络的交换机之间。该装置通常要成对使用，一方用来加密，另一方用来解密。但是，也存在特殊情况，即单使用其中一方，通常这一用法不具备加密操作。纵向加密操作与防火墙的结合，可以使装置在进行访问设置时，实现对身份的认证和相关数据内容的加密。这样能够确保数据传输更加安全，保护数据的完整性。不仅如此，它还可以进行安全过滤。电力系统中有专用设置，它可以借助于调度设备证书的身份进行认证，以此确保远程通信设备的合法性。采用国家密码局专为电力系统颁发的加密算法和因子，对远程通信的报文进行加密处理，以此确保不同类型的信息内容不会被远程传输过程中被截取与篡改。二是构建纵向防线。纵向防线就是纵向进行加密认证，有效保护上下层级的业务系统在纵向进行传输数据时的安全性。通常是在局域网和广域网的纵向连接处以及地调主站和县调远程终端的连接处来部署电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制。

5.3电力系统纵深防御的技术需求

在生产控制区域的业务系统操作中，不仅需要保障系统的安全度，也要发挥加密设置的相关功能。为此，相关工作人员需要首先具备调度数字系统的专业证书，然后进行关键步骤的运行。它可以将远程业务进行加密，然后以身份认证等形式加强保护。其中，针对带有遥控功能的配网而言，需要将加密设置与身份认证相结合，以此加固系统，使现代科技成为安全保障。

6结论

如今，计算机技术飞速发展且受到了大力欢迎。电力监控系统的安全防护问题受到了重视，因为计算机技术存在于电力生产的很多环节。根据责任落实制度，要确保主管单位与运营单位的职责，使各级工作人员明确掌握防护工作的开展要点，从而使先进技术成为安全防护工作的保障所在。

参考文献：

[1]宋彬彬，赵延青.防恶意代码审计系统在电力监控系统安全防护中的应用[J].信息技术与信息化，2018（07）：82-84.

[2]谢非.电力监控系统安全防护在新能源发电厂的设计研究[J].应用能源技术，2018（03）：40-42.

[3]杨宁，吴敏.风电场电力监控系统安全防护的探讨[J].安徽水利水电职业技术学院学报，2018，18（01）：54-56.

[4]乔丽鹏.有效提高电力监控系统中二次安防的防护策略[J].电工文摘，2016（04）：13-15.

[5]李志超.浅谈小水电采集的电力监控系统安全防护[A].《建筑科技与管理》组委会.2015年5月建筑科技与管理学术交流会论文集[C].《建筑科技与管理》组委会：，2015：2.

[6]刘光林.由单一安全发展为全方位安全[N].中国电力报，2014-12-05（003）.