网络安全等级保护在电力行业中的应用

网络安全等级保护在电力行业中的应用

岳云军

辽宁大唐国际葫芦岛热电有限责任公司   辽宁  葫芦岛  125000

摘要:近年来，国际社会形势风云变化，电力系统面临的网络安全风险与日俱增，国家高度重视电力监控系统网络安全。为加强电力监控系统的网络安全管理工作，防范网络攻击者及病毒程序等对电力监控系统的攻击及侵害，保障电力系统的安全稳定运行，国家能源局于 2015 年下发了 36 号文《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》。国家市场监督管理总局发布的《信息安全技术 网络安全等级保护基本要求》（以下简称等保2.0）国家标准于2019年12月1日正式实施。国家出台的相关的网络安全管理要求，目的都是确保各类重要信息系统的安全稳定运行。因此加强对电力监控系统及重要信息系统的安全防护势在必行。

关键词:网络安全等级保护；电力系统；具体应用；实施方法

引言

电厂生产控制系统是以计算机、通讯装置、测控元件为基本工具组成的现场过程管控系统，能够实现火电厂生产实时数据采集分析与设备控制，属于电厂的核心系统。但上述系统遭受攻击可能导致电力供应的中断，影响社会稳定和经济发展。因此，网络及信息安全在电力行业中是至关重要的，电力行业必须进行等级保护测评工作。本文介绍了网络安全等级保护的定义、具体要求、操作流程等内容。

1网络安全等级保护的概述

1.1网络安全等级保护的基本概念

当前，各个行业都在加推进了网络建设与信息化进程。为确保网络信息安全，减少基础信息与数据损失泄漏的风险，一系列政策法规陆续颁布与实施。网络安全等级保护是指对金融、电力、通信等行业的信息系统进行分级保护，对网络信息系统中所用的网络安全防护装置实行分级管理，针对不同安全事件进行不同的处置。在对电力行业信息系统进行保护时，应先对其对侵害对象的影响程度进行分析，并根据具体状况确定等级后，再将其提交备案；其次，按照有关的管理规范和技术规范，进行信息系统的建设；最后，根据《信息安全技术 网络安全等级保护基本要求》开展等级测评。

1.2电力信息系统安全现状

根据当前国内对电力信息系统建设情况来看，众多企业对网络安全重视程度日渐提高，但仍存在小部分企业由于种种原因，在信息系统设计和建设时未按照《网络安全等级保护基本要求》开展工作，导致信息系统投入使用初期存在很多网络风险，给电力企业的安全生产带来了不同程度的潜在风险。

当前火力发电企业生产控制大区普遍存在以下网络安全隐患：

1.2.1火电企业信息系统众多、数据交互频繁，一旦防护不当会导致恶意攻击从管理信息网甚至互联网直接渗透到生产网络。

1.2.2电厂DCS系统的工程师站、操作员站等大部分计算机的操作系统为Windows或Linux。为保证DCS系统的相对独立性，以及考虑到DCS系统的安全稳定运行，一般不会为其安装杀毒软件、更新系统补丁或变更策略，这就为DCS系统的运行埋下巨大的网络安全隐患。一旦感染恶意代码，极易传播扩散，导致非计划停机。

1.2.3目前在火电DCS控制系统中，各类品牌设备普遍存在安全问题。近年来国内外漏洞平台陆续发布了针对工控系统HMI软件、PLC固件的多个漏洞。一旦漏洞没有及时修复被黑客利用，会造成严重影响。

1.2.4缺乏对网络安全人员或热工专业人员日常操作行为的安全监督和审计，存在较大的人为误操作或恶意操作安全风险。

1.2.5从等保2.0的要求以及构建整体网络安全防护体系的需求来看，大部分火电企业并无统一的信息安全管理策略，亦并未配置独立的安全管理中心。

2开展网络安全等级保护的必要性

电力监控网络是电力系统中除发电设备和用电设备以外的部分，影响着电力系统的正常运行。我国的电力监控系统已与网络信息系统实现高度融合，DCS、NCS、SIS、MIS等电力系统的网络是否安全直接影响电力行业的正常运行。

网络信息安全等级保护是我国网络安全法律制度的重要组成部分，是维护国家安全、企业安全的必要措施。重要意义包含以下内容：网络信息安全等级保护是应对网络安全威胁和风险的有效手段，是落实网络主体责任的具体措施，是推动网络安全技术和产业发展的重要动力，是构建清朗网络空间的重要基础，开展等保工作可以发现企业本身信息系统存在的安全隐患和不足，通过安全整改提升信息系统的信息安全防护能力。网络信息安全等级保护作为一项基础性、战略性、系统性的工程，旨在保障网络空间的安全稳定运行，维护国家利益、社会公共利益以及公民个人利益。

3开展网络安全等级保护的流程及整改策略

开展网络安全等级保护的具体流程为定级-备案-系统建设-等级测评-定期开展监督检查。《电力行业网络安全等级保护管理办法》将电力行业网络安全等级保护原则由“自主定级、自主保护”修订为“分等级保护、突出重点、积极防御、综合防范”。结合等保2.0要求，通过“一个中心、三重防护”的方案架构，构建“安全可控为目标、监控审计为特征”的统一综合安全预警防护体系。信息系统的全生命周期的安全防护体系必须满足“安全分区、网络专用、横向隔离、纵向认证”的要求。

3.1 风险评估

风险评估是全面了解与验证火力发电企业生产控制系统和管理过程中存在各种风险和问题的一种必要手段，亦是安全防护体系建设的前提，重点针对火力发电企业生产控制网运行环境与安全管理制度，对生产控制系统网络做全面的安全检查与验证，并对当前网络环境进行深度工控漏洞挖掘，最终生成安全风险评估报告，为全面了解生产控制系统网络安全风险提供依据。

3.2安全防护

对火电厂生产监控系统的网络安全防护建设，应遵循电力建立体系不断发展、分区分级保护重点、网络专用多道防线、全面融入安全生产、管控风险保障安全的原则，参照国家《网络安全等级保护基本要求》“一个中心、三重防护”的安全理念，通过部署工控防火墙、工控安全审计、入侵检测、网络安全监测装置等安全防护产品，提升生产监控系统网络整体防护能力。在生产控制大区和管理大区之间串联部署电力行业专用单向隔离网闸，用于大区之间的非网络方式单向数据传输;电力专用加密认证网关部署在电力监控系统的内部局域网与电力调度数据网的路由器之间，用于保障电力调度系统纵向数据传输过程中的机密性、完整性。

3.3安全检查

建立生产监控系统定期安全检查和整改工作机制，每年至少自行开展一次安全检查，依据发现问题需制定整改计划及措施。等级保护定级为三级的系统，除每年自行开展一次安全检查外，还应按照等级保护要求，做好安全评估及整改工作。

3.4应急演练

制订火电厂生产监控系统安全应急处置预案，每年至少进行一次演练，确保发生安全事件时能够有序处置、快速恢复。当生产控制大区内生产监控系统发生变化时，及时组织对应急处置预案进行评估，根据实际情况适时修改并进行演练，形成快速反应、快速处置能力。确保当DCS系统等生产控制大区出现网络安全事件时，立即向电网公司、当地国家能源局派出机构及上级公司报告，同时按应急处理预案采取安全应急措施。处理安全事件过程中应注意保护现场，以便进行调查取证和分析。最后将制定安全防护事件通报制度、将有关网络安全问题如实记录。

3.5专业培训

面对网络安全日新月异的发展趋势，相关人员要加强专业的培训，具体包含网络安全培训、安全防护标准培训、当前攻防技术培训与应用、安全管理与规范操作日常运维等内容，不断提高专业知识与安全防范意识。

结束语

由于电力信息系统的种类繁多、重要程度各异，如果没有相应的信息安全保护措施，将给电力行业稳定运行带来极大的风险。因此，对电力信息系统进行网络安全等级保护显得十分必要。

参考文献

[1]郑绍林.信息安全等级保护在电力信息系统中的应用分析[J].数字化用户，2021(38):49-51.

[2]王建，王天屹，翟亚红，等.IEC62443系统安全要求与等级保护基本要求对比研究[J].华电技术，2021，43(2):72-76.

[3]王璐璐.试析云计算环境下信息安全等级保护测评[J].电脑知识与技术，2021，17(3):85-86，92.

作者简介：

岳云军，1987.2.10，男，满族，辽宁葫芦岛人，大学本科。主要研究方向：电厂信息化、网络安全。