陈明亮，余侃胜，钟文慧，吴 颖，张 瑛

（1.国网江西省电力有限公司，江西 南昌 330077；2.国网江西省电力有限公司电力科学研究院，江西 南昌 330096；3.国网

江西省电力有限公司检修分公司，江西 南昌 330096；4.国网江西省电力有限公司赣州供电分公司，江西 赣州 341000）

0 引言

随着电网对网络技术的使用及依赖日益增加，电力网络安全风险也随之增加，这对电力监控系统安全防御能力以及电网调度一体化运行管理和安全防护队伍提出了新的更高的要求[1-5]。本文紧扣国家电网公司加强电力监控系统安全防护管理的要求，对公司所属的地县供电公司及直调电厂开展调查，就各单位各项安全防护管理情况进行深入调研，着力查找当前地县供电公司管理工作中存在的突出问题，并认真剖析原因，在此基础上提出解决问题的措施和建议，力求为基层规范管理、提高工作效率提供有益参考。

1 安全防护管理现状

国网江西省电力有限公司各地调及厂站电力监控系统安全防护现状如下：

1.1 体系结构方面

部分发电厂及变电站安全防护设备未按照安全防护要求进行严格配置，专用安全防护装置漏配或用通用防护装置代替、网络边界未使用安全防护装置、通用安全设备配置不足，对已有的安全防护设备未严格配置安全策略，设备自身未进行全面的安全加固，存在空闲端口未关闭、外设接口未关闭、弱口令、账号权限设置过大等问题。

1.2 运行维护方面

各地市均未开展网络安全设备周期性基本巡检、功能巡检，未编制网络安全装置相关反事故措施，网络安全设备的技改方案依据不实。各地市均未开展安全防护装置的运行维护和日常管理，属于抢修维护模式，不能提前掌握装置运行状况，及时处理异常情况。部分地调UPS电源、机房电子门禁系统、环境监控系统、消防设施等基础设施缺失或配置不当，存在UPS电源单套配置、设备电源单套配置、基础设施物理安全存在隐患。部分地调安全防护设施图纸资料缺失、网络拓扑混乱，不利检查网络结构或排查故障。部分电厂对移动介质设备接入管控不到位，存在“摆渡”攻击风险，未严格控制U盘光盘等移动介质的接入。部分电厂信息系统安全等级保护定级、备案、测评工作开展不力，存在系统未（漏）定级、定级不准、测评工作未按要求开展的情况。部分电厂未落实相关管理要求，未与第三方运维人员签订相关网络安全或保密协议，致使发电厂内各监控系统运行存在网络安全隐患。

1.3 设备接入方面

部分地调对接入监控系统的网络安全设备选型、出厂检验、现场交接检验、定期检验、缺陷故障分析、技术资料管理未出台相应规范性文件，网络安全运行维护管理依据较少。调查的电厂中，存在电力监控系统防护方案未通过审核上线，防护方案不符合要求、实际运行方案与经审核的防护方案不一致的情况。

1.4 管理制度方面

部分地调存在网络与信息安全管理制度缺失、监督检查机制不健全、安防人员对制度不熟悉的情况。部分新能源电厂未对第三方运维人员进行有效安全管理，未制定外部人员管理制度和流程。部分地调应急演练开展不到位或记录缺失；部分新能源电厂电力监控系统网络安防应急预案缺失或操作性不强。

1.5 人员配置方面

大部分发电厂电力监控系统网络安全相关技术人员不能熟练掌握网络设备相关工作原理及相关配置，缺陷和故障分析能力较低，完全依靠网络安全厂家管理维护，甚至出现远程外网维护，对出现网络安全问题不能及时辨识处理，网络安全存在极大的安全风险。

2 安全防护管理存在的问题

从以上调查统计的数据可以看到，江西电网电力监控系统安全防护管理存在以下几点问题：

2.1 安全防护基础设施薄弱

纵向边界防护强度不够，安全等级保护管理落实不到位，机房安全防护设施、内网安全监视平台和低电压等级厂站网络设备部署不到位。

2.2 安全防护设施运行维护不规范

网络安全装置的定期检验工作缺失，等级保护工作开展不到位。对系统运维管理安全措施执行不到位，相关技术人员安防意识薄弱，对信息技术人员的录用、离岗和外来人员技术服务行为的管理不规范，对终端介质管控不到位，对物品带进、带出机房的管理和对移动存储设备、重要文档的安全管理不规范。

2.3 发电厂侧安全防护管理薄弱

发电厂电力监控系统种类较多，各系统涉及网络安全的相关设置及配置在投入运行后未进行定期检查和维护，针对厂内各监控系统网络安全未编制各系统运行维护规范或管理细则，各系统运行管理维护人员职责分工不明确或者不合理，监控系统网络安全管理薄弱。

2.4 调度数据网设备接入管理不到位

未针对调度数据网及安防设备接入等主要业务，梳理完善并固化相关工作流程、管理制度和标准体系，建立更贴合实际、更能提高效率的工作体制机制。

2.5 安全防护体系管理制度不健全

网络安全管理制度不健全，考核、执行不严。未按照国家政策、行业标准和规范要求，健全完善符合相应等级要求的网络与信息安全管理制度和监督检查机制，未按要求做好相关管理制度的宣贯和落实，未定期对各项制度的落实情况进行自查和监督检查，部分制度未真正落实到基层、落实到岗位。

2.6 专业人员配置不足

地级供电公司及并网电厂对安全防护管理人员配备重视不够，部分单位没有专门的安全防护管理人员，少数单位即使有安全防护管理人员往往也是身兼数职，而且大部分网络安全防护业务人员从事时间不长，专业水平不高，专业创新能力明显不足，过度依赖厂家的问题比较突出，队伍成长滞后于自身业务发展的需要。

3 安全防护管理提升措施

针对江西电网电力监控系统安全防护管理存在的问题，本文提出了一系列改进措施：

3.1 补强基础，推进安防基础设施建设

3.1.1 推进网络安全监视手段建设

提升网络安全事件的动态感知能力，及时发现厂站电力监控系统纵向边界及涉网部分发生的网络攻击、非法访问、安防设备故障等异常事件，同步制定《国网江西省电力有限公司电力监控系统内网安全监视平台运行管理规定》。

3.1.2 完成各级厂站安全防护装置部署

加快推进建设项目实施，新增纵向加密认证装置，实现35 kV及以上变电站生产控制大区纵向加密认证装置全覆盖，并强化纵向边界防护。

3.1.3 加强辅助系统设施设备管理

要求各单位对辅助系统设施设备开展定期巡视，并将相关设计图纸重新根据现场实际修订后上报省调审核，并在保电期间加强巡视。

3.2 规范体制机制，实现系统设备标准化管理

3.2.1 实施电力监控系统安全防护设备全寿命周期管理

对电力监控系统安全防护设备供应链的管理，实施全寿命周期管理，从系统设备的设计、开发、投标、建设、运行到退役全过程开展管理，监督各方全过程落实安全责任，堵塞安全风险漏洞。综合考虑业务系统需求与安全防护要求，在各环节有针对性地实施安全检测，以规范并提高相关技术要求和技术水平。

3.2.2 开展安全防护系统设备标准化管理

规范调度数字证书管理及命名、规范安全防护设备配置、规范内网监视平台相关命名及接入工作、规范告警及缺陷处置要求。

3.2.3 建立考核评估指标完善闭环管控

建立全省统一考核评估指标体系，电力监控系统安全防护主要指标完成率纳入各地市同业对标考核体系，包括调度安全防护专业人员配备率、厂站安全防护纵向设备覆盖率、内网安全监视平台省地覆盖率、控制功能调度数字证书覆盖率、发电厂安全防护方案审核完成率。并在每月公司早会上常态性通报工作进展，促进各地市安全防护重点工作加快落实。

3.2.4 落实等级保护及安全评估要求

深入贯彻落实国家及行业等级保护规定以及定级、备案、测评、整改等具体规范要求，组织开展全省各地调及厂站监控系统摸底调查，督促各单位限期处理存在的信息系统未定级、定级不准及未备案等问题，要求定期开展电力监控系统等级保护和安全防护评估工作。

3.3 开展电厂涉网安全专项整治

3.3.1 加强并网审查验收

督促并网发电企业在电力监控系统新建或重大改造后开展投运前的安全防护自评估和检查评估工作。对于方案审查或实施验收不满足要求的，联合当地能监机构督促发电企业限期完成整改。

切实履行技术监督职责，督促并网电厂按照安全防护各项要求落实整改措施。严格把控变电站电力监控系统的安全防护评审，明确设备终端责任人，建立详细的归档制度，实施闭环管理，实现网络安全有审查、可追溯，并要求建设单位在设备申请入网的同时提报该设备安全测评报告，网络运维单位通过技术手段核实后，方可入网。

3.3.2 开展安全防护专项检查

建立监督及检查的常态化工作机制，实现“以查促建、以查促管”机制，对存在的问题根据轻重缓急制定整改计划，落实国家及行业的要求。整理归档常见的风险点、总结和分享优秀经验，以提升电力监控系统安全防护管理水平。

3.4 加强入网设备接入管理

3.4.1 开展入网安全扫描

在所有变电站电力监控系统上线前，通过强化源头管控、严格安全准入的方式，投运前就对其进行严格的入网安全扫描测试，杜绝安全防护不达标的系统和设备上线运行，杜绝“带病入网”，这是保障网络安全的第一道关口。

3.4.2 规范电力监控系统安全防护设备接入流程

规范纵向加密装置、隔离装置等安防设备接入流程：供电企业建设管理部门或设备运维部门、发电企业提出接入申请经调控部门审批，审批完成后由调控部下达接入方式单，供电企业建设管理部门或设备运维部门、发电企业再根据方式单进行隧道或策略的配置、设备调试，避免了安防设备调试过程中隧道或策略漏加或错加的问题。

3.4.3 严格履行调度数据网设备接入管理流程

厂站调度数据网设备接入各级接入网时，由建设管理部门填写《调度数据网网络设备/应用系统接入申请单》，报相应调度机构审批，由调度机构下达《调度数据网接入网网络设备/应用系统接入方式单》。

3.5 提高网络安全应急处置能力

3.5.1 制定全省统一的应急体系

强化全省在安全处置电力监控系统突发事件的标准化流程，并对应急指挥机构、事件监测预警、应急响应、信息报告、后期处置、应急保障、预案管理等内容列出了详尽的规定。

结合公司重大活动保电要求，编制《特殊时期网络安全保障措施》，强化网络安全7*24小时值班制度，对网络安全事件告警和网络安全设施运行状况进行实时监视和分析，确保电力监控系统网络安全事件告警及时发现、即时处理和迅速报告。

3.5.2 制定或修订相关管理制度

依据国家法律及能源局和国网公司相关文件规范，建立完整的安全防护管理体系。

3.6 落实专业人员配备及培训

3.6.1 高标准配置专业人员

督促各地市成立电力监控系统安全防护组织机构，且相应制定本地化的安全防护制度和业务指导书，并指定专人负责安全防护工作，层层落实责任，统筹开展电力监控系统安全防护工作。

3.6.2 开展多形式培训

采取集中和分散培训相结合、理论培训及技能培训相结合、现场培训和电视电话会议培训相结合的方式，让有关人员了解国内外网络信息安全形势和国家、行业以及公司层面的有关管理制度和技术规范，增加安全防护知识，提升相关技术和技能，提高其安全防护意识、业务水平以及应急处理能力。

4 结语

电力监控系统使用和运维单位在提升技术安全保障能力的同时，不能忽视对系统进行完善、全面的安全管理。除了纵向协同，还必须加强电力监控系统甚至整个电力企业网络相关部门之间的通力合作。只有夯实自身管理基础，不断提升电力监控系统安全防护精益化管理水平，才能满足电网的快速发展，保障电力监控系统安全稳定、高效可靠地运行。