高夏生　黄少雄　梁肖

摘要：电力监控系统是主要依靠智能终端和调度数据网络对电力生产和输送过程进行监视和控制的核心系统。为保障电力生产的安全运行，抵御黑客利用操作系统漏洞、业务系统后门的恶意入侵，防止通过计算机病毒或恶意代码进行破坏和攻击，造成电力监控系统的沦陷或挟持电力监控系统对电网生产进行破坏，因此需要对电力监控系统进行安全防护。本文是作者长期从事电力监控系统安全防护的经验总结。

关键词：电力监控系统；安全防护；等级保护；横向隔离；纵向认证

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2017）08-0212-03

电力监控系统，标准定义是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络等。由此定义可以看出，电力监控系统涵盖发电、输电、用电全过程的各类自动控制系统。

2004年起，电力监控系统的安全防护已得到电力行业的关注。2015年底，黑客通过对乌克兰电力监控系统发起网络攻击，控制电网自动化系统，并阻扰技术人员对系统的恢复，导致伊万诺-弗兰科夫斯克地区发生大面积停电。该事件是首次由黑客攻击行为而直接导致的停电事件。事件引起国内高度重视，各路专家学者通过对乌克兰停电事件的分析，查找国内电力监控系统安全防护的不足，掀起了又一波对电力监控系统安全防护措施和技术的研究高潮。

本文结合作者在电力监控系统方面的工作实践，探讨电力监控系统安全防护在技术措施方面的基本要素。本文主要探讨安全防护的技术措施，不涉及管理要求。

1总体要求

电力监控系统包括电力行业生产控制类信息系统、生产管理类信息系统及通信网络系统。

电力监控系统安全防护遵循《电力监控系统安全防护规定》（国家发改委2014年第J4号令）、《电力监控系统安全防护总体方案等安全防护方案和评估规范》（国家能源局国能安全2015年第36号）和《电力行业信息安全等级保护管理办法》（国家能源局国能安全2014年第318号）的要求，可以认为这三份文件是电力监控系统安全防护的根本大法。近期颁发的《中华人民共和国网络安全法》将网络、信息安全从规章制度上升到国家法律的高度。

电力监控系统安全防护方案，以“安全分区、网络专用、横向隔离、纵向认证”十六字方针为核心，注重外部网络边界隔离阻断，配备必要的安全防护装置，部署必要的安全防护预警系统，采用技术手段加快感知网络异常，建设电力监控系统栅格状纵深安全防护体系，防患于未然。

电力监控系统等级保护，以提高电力监控系统自身安全防护能力为依托，从物理安全、网络安全、主机安全、应用安全和数据安全等几个层面，针对不同安全等级的电力监控系统提出不同保护要求，加强系统内部异常感知和恶意行为防范能力。

電力监控系统安全防护，重点围绕系统边界、网络传输边界和业务主机三个层次，构建电力监控系统安全防护的三道防线。

2业务归类、安全分区

根据电力监控系统的特点、各相关业务系统的重要程度和数据流程、运行状况和安全要求，电力监控系统主要分布在两个大区、三个小区及安全接人区。

分布在三个安全区的业务分别为：

安全区Ⅰ：控制区（生产控制大区），简言之，核心系统和实现实时监控功能的系统部署在此区，是电力生产的核心业务，系统实时在线运行，采用调度数据网络或专用通道传输信息，是安全防护的重中之重，安全等级最高；

安全区Ⅱ：非控制区（生产控制大区），电力生产上必须的业务，但不具备远方控制功能的系统部署在此区，系统在线运行，采用调度数据网络传输信息，是安全防护不可或缺的环节，安全等级低于安全区Ⅰ；

安全区Ⅲ：调度生产管理区（管理信息大区），实现电力调度生产的管理，提高管理水平和生产决策能力的系统部署在此区，不直接与电力生产环节闭环，采用综合业务网传输信息，与生产控制大区之间采用电力专用横向单向隔离装置进行隔离；

安全接入区：采用非可控通信通道（外部专用网络通道或者GPRS通道等）传输数据的前置通信系统，部署在安全接入区。安全接入区与生产控制大区中的业务连接，需经过电力专用横向反向隔离装置；与外部网络连接处，需部署硬件防火墙。山区小电源通过北斗卫星通道接入、配网系统采集终端通过GPRS通道接人等，均应预先经过安全接人区。

电力监控系统各安全区间连接的拓扑结构有多种，现实中采用三角结构居多。

3业务梳理、网络专用

电力系统中并存着两张独立的网络：电力调度数据网和电力综合业务网。网络在物理层面分开，采用各自独立网络设备和通信通道。在边界交接处，部署电力专用横向隔离装置。

电力调度数据网络是电力调度生产的专用网络，承载安全区Ⅰ、Ⅱ的相关系统和业务的纵向数据通信。电力调度数据网络采用MPLS VPN技术，将实时业务、非实时业务分割成两个相对独立的逻辑专网：实时VPN（rt-VPN）和非实时VPN（nrt-VPN），路由各自独立，在网络路由层面互不相通，其中实时VPN还保证了实时业务的网络服务质量QoS。采用分层VPN技术进一步提高网络的安全特性。

电力综合业务网络是电力生产管理的专用网络，承载安全区Ⅲ、Ⅳ的相关系统和业务的纵向数据通信。综合业务网划分有多个VPN，不同的业务分属不同的虚拟子网。

与因特网连接的业务及工作站，均独立于调度数据网和综合业务网。

4业务分级、横向隔离

4.1构建横向防线

横向隔离是电力监控系统安全防护体系的横向防线，解决同一层级业务系统间横向数据贯通的安全防护问题。

横向隔离的精髓是将电力监控系统各业务分成不同安全等级，在系统的连接出部署不同强度的安全防护设备，进行安全隔离。

生产控制大区与管理信息大区之间应部署电力专用横向单向安全隔离装置，隔离强度接近或达到物理隔离。横向单向隔离装置按照业务需要设置，专机专用。

生产控制大区内部的安全区Ⅰ和安全区Ⅱ之间采用国产硬件防火墙设备，实现逻辑隔离。防火墙设备按照业务需要设置，专机专用。

安全接入区与生产控制大区连接时，采用电力专用横向反向安全隔离装置进行集中互联。

4.2电力专用横向单向隔离装置

电力专用横向单向安全隔离装置是生产控制大区与管理信息大区之间横向防护的关键设备。

电力专用横向单向安全隔离装置分正向型和反向型。生产控制大区到管理信息大区或安全接人區的数据传输采用正向安全隔离装置；管理信息大区或安全接入区到生产控制大区的数据传输采用反向安全隔离装置。

电力专用横向隔离装置与防火墙装置的差别：首先横向隔离装置仅能完成单向数据传输，其次横向隔离装置仅能进行非网络方式（正文）的数据交换，因此无法进行网络方式穿越，安全性更高；与普通网闸的差别，在于采用不同的芯片和不同的工作原理。

4.3横向数据安全传输要求

严格禁止安全风险高的通用网络服务和数据库访问穿越横向单向安全隔离装置，仅允许纯数据的单向安全传输。

5业务传输、纵向认证

5.1构建纵向防线

纵向加密认证是电力监控系统安全防护体系的纵向防线，解决上下层级业务系统间纵向数据传输的安全防护问题。

业务系统局域网与电力调度数据网广域网的纵向连接处、地县一体化调度自动化系统中地调主站与县调远程终端连接处，应部署电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制。

5.2纵向加密认证装置

纵向加密认证装置用于业务系统局域网与广域网的连接处，一般串接于广域网路由器和局域网交换机之间，或者远程连接（通过非可控的通信通道）的两台交换机之间。纵向加密认证装置需成对使用，一端加密一端解密。也偶见非对称用法（即仅在一端部署），但无法实现加密功能。

纵向加密认证装置与防火墙不同，纵向加密认证装置除具备防火墙的访问控制功能外，还为广域网通信提供身份认证与数据加密功能，实现数据传输的机密性、完整性保护，同时具有安全过滤功能。

电力专用纵向加密认证装置，采用调度数字证书系统颁发的设备证书（等同于装置的身份识别码）进行身份认证，确保远程通信的两端设备的合法性和功能授权；采用国家密码局专为电力系统颁发的加密算法和因子对远程通信的报文进行加密处理，确保远程通信信息即使中途被恶意黑客截取也无法获知信息内容。

5.3电力系统纵深防御要求

对处于生产控制大区的业务系统，除进行操作系统的安全加固外，还要求支持加密认证功能。操作人员需提供调度数字系统颁发的人员证书，才能进行关键操作。

具有远方遥控功能的业务（如AGC、AVC、继电保护定值远方修改等）要求采用加密、身份认证等技术措施进行安全防护。

对于具备遥控功能的配网自动化系统及其采集终端，应采用加密认证装置（或硬件加密认证卡），实现身份认证功能。

6等保分级

将电力监控系统范畴内的所有系统按照重要级别划分为不同的安全等级。依据系统的安全等级在物理安全、网络安全、主机安全、应用安全、数据安全等各方面采取不同级别的安全措施，达到不同级别的防护水平。

7通用安全

7.1物理安全

电力监控系统机房均设置门禁系统（重要系统机房设置双重门禁系统），采取防火、防水、防雷、防盗窃、防破坏等措施。机房内应部署监控摄像头、温湿度感应器、水浸检测探头等，并接人一体化集中监控系统。

四级系统的前置系统服务器均放置在屏蔽机柜中。

7.2安全加固

电力监控系统安全加固，是在保证电力监控系统正常稳定运行的前提下，在识别系统面临威胁和存在脆弱性的基础上，对电力监控系统进行物理防护、安全配置修改或漏洞修补，从而提高自身安全性的过程。

安全加固采用自加固和专业加固相结合的方式。自加固是依靠自身的技术力量，对电力监控系统在日常维护过程中发现的脆弱性进行修补的安全加固工作。专业加固是由专业技术支持单位负责完成的电力监控系统安全加固工作。

安全加固的对象包括操作系统、数据库、通用服务、应用服务、网络设备、安全设备（含电力专用安全装置）等。

安全加固具体分为主机加固、安全设备加固、网络设备加固、病毒及恶意代码防护。

加固方式包括但不限于修改系统配置封闭主机设备空闲USB端口、关闭高危TCP端口、删除通用系统账户或关闭权限、对重要资源设置敏感标记并严格控制不同用户对有敏感标记资源的操作、增加密码强度及有效期、禁止远程登录功能等。

安全设备除启用用户名密码登陆，密码复杂度满足要求并定期更换。重要安全设备启用usbkey和登录密码双重认证。硬件防火墙、电力专用纵向加密认证装置、电力专用横向单向隔离装置等安全设备根据具体业务需求必须设置包括指定网络地址、指定业务端口和指定数据方向的“三指定”安全策略。所有安全防护设备启动自身日志审计功能，并向所属电网调控中心内网安全监管平台推送日志信息。

网络设备加固包括禁用不必要的公共网络服务、关闭未使用的物理接口、禁止缺省口令登录、避免使用默认路由、网络边界关闭OSPF路由功能、限制登录地址、记录设备日志r含时间同步）、适当配置访问控制列表等。

7.3防病毒及恶意代码

由于电力监控系统与外网隔绝，网络版防杀病毒系统的病毒库应离线升级，电力监控系统中建议部署网络版防杀病毒系统。网络版防杀病毒系统主服务器部署在中心站，工作站下载部署客户端。网络版病毒库主站端升级后自动推送至客户机，客户机每日自动进行病毒及恶意代码查杀。

7.4备份与容灾

电力监控系统最高级别的容灾是异地建设备用监控系统，如调度的备调，完全实现系统级在线备份与容灾。关键主机设备、网络设备和关键部件具备冗余配置。备用系统与主用系统的数据、画面和系统软件配置实现实时同步。备用系统具备独立的数据采集与传输系统，主用系统退出运行时，备用系统能独立有效运行。

电力监控系统重要数据实现异地存放。除此之外，下级单位每年将运行数据进行光盘刻录，并报送上级统一归档。

7.5入侵检测

生产控制大区和管理信息大区分别部署网络入侵检测系统，根据业务需求设置合理规则库。入侵检测探头部署于各安全分区核心交换机镜像口，及时捕获网络异常行为、分析潜在威胁，定期对入侵检测日志进行审计。

对于具有等保三级及以上电力监控系统的发、供电企业，要求部署网络入侵检测系统；入侵检测系统的运行和报警日志均向省调内网安全监控平台发送。

7.6内网安全监视平台与安全审计

部署内网安全监控平台，通过安装在安全I区及安全Ⅱ区的采集机对网络运行日志、数据库访问日志、业务应用系统运行日志、安全设备运行日志和异常报警日志等信息进行集中收集、自动分析，及时发现各种违规行为以及病毒和黑客的攻击行为并将相关信息自动推送给相关安全管理人员。每日对设备在线率、告警信息进行巡视和处理，每月生成内网安全监视平台运行月报。

7.7公网接入

无线公网信号如需接入生产控制大区，需首先经防火墙或加密认证装置接人安全接入区，再经物理隔离装置接入生产控制大区。禁止厂家通过远程拨号方式连接进入电力监控系统。

7.8调度数字证书

部署基于公钥技术的分布式电力调度数字证书系统，支持SM2加密算法，用于对各自调度管辖范围的设备颁发调度数字证书。调度数字证书分人员证书、设备证书和应用证书三种，分别用于。

8结束语

随着计算机技术的飞速发展和广泛应用，电力监控系统安全防护问题牵涉到了电力生产的各个环节、各个方面，包括电网和电厂。按照“谁主管谁负责，谁运营谁负责”的原则，各发、供电单位的管理人员和技术人员，需详细了解电力监控系统安全防护的要素，才能在技术上扎实做好安全防护工作。