■ 西藏 蒋存勇

编者按：随着电力自动化技术和现代通信技术的发展应用，网络安全风险也随之进入电力领域。电力系统网络安全作为重要的关键信息基础设施，涉及经济、社会乃至国家安全。本文分享笔者对电力监控系统网络安全的分析和认识。

电力系统包括从发电、输电、变电到用电的各个生产单位及个人，要保证整个电力系统安全、稳定且连续不间断地运行在最佳状态，就必须要保证整个电力系统内所有生产单位的设备，都处于正常稳定的运行状态。这就必须要对电力系统各个生产单位的设备运行状态，实时进行不间断地监视或调整控制。

为了提高对这些生产单位设备的监视或控制效率，利用计算机应用技术、商用数据库技术、计算机网络技术及光纤通信等先进信息技术，把这些生产单位设备的实时监视控制信息汇聚集中起来，就形成了整个电力监控系统网络。

电力监控的发展

早期的电力生产由于受到当时生产技术、通信技术、社会经济水平及社会需要的限制，整个电力系统规模很小，电网结构也小而简单。发电厂和变电站现场值班人员获取设备运行状态信息，也仅仅依靠安装的电磁式测量仪表。电网调度机构在不能够掌握电网实时运行状态信息的条件下，完成电网调度指挥工作。

随着电力自动化技术和现代通信技术的发展应用，发电厂、变电站陆续采用分布式厂站自动化设备技术，将重要的生产设备实时运行状态信息，采集处理后传送到电网调度机构，以供电网调度机构实时掌握了解电网生产的实时信息，为电网调度指挥行为提供准确的参考信息和技术保障。在计算机网络技术和光纤通信技术的发展应用支持下，发电厂和变电站内的监控系统信息传送也进入到了计算机网络通信时代。

计算机及网络安全风险

从电子计算机技术及网络通信技术普及应用以来，计算机病毒、网络攻击等就成了所有基于计算机和网络应用行业所面临的最大安全威胁。

由于计算机病毒具有隐蔽性、破坏性、传染性、繁殖性、潜伏性以及可触发性特点，当计算机网络系统感染病毒后，不能够被及时发现、清除。很多时候当在发现计算机系统感染病毒时，往往都是病毒已经被触发并开始破坏目标系统，我们才知道计算机系统被病毒感染了。

同样，网络攻击也基本都是非即时攻击，攻击者都是预先成功侵入计算机网络系统后，在计算机网络内植入恶意代码或程序，在需要发起破坏行动时启动植入的恶意代码或程序，对计算机网络系统内的所有电子设备实施破坏行为。这就导致我们计算机网络防护总是被动和滞后的。

当我们发现了已知的计算机病毒，可以马上利用已有的杀病毒程序软件将病毒清除掉。已经在计算机内安装的杀病毒防病毒软件，也只能防止和清除已知计算机病毒的破坏。但遇到新发现的未知病毒就无能为力了，只能等待专业的安全厂商的解决方案。

一般情况下一个新发现的计算机病毒，基本上在一周之内就会有对症或专用的杀毒软件版本发布，但是2017 年5 月12 日席卷全球的“比特币勒索”病毒，从触发开始破坏至今已经过去3年多了，全球都还没有任何一家IT 公司或个人开发出对症专用的杀毒软件。

后来的调查研究表明，“比特币勒索”病毒，早在触发破坏前的2015 年初就已经传入中国，随后隐蔽传播了2 年多的时间，才触发了病毒的破坏功能并开始实施破坏行为。更为可怕的是，与大部分恶意病毒程序不同，该病毒程序可以自行在网络中进行复制传播，而大多数病毒程序还需要依靠被感染的计算机用户来传播。

计算机网络入侵攻击也有着类似的特性，如果攻击者入侵后不实施任何破坏行为，被入侵的计算机网络基本不会察觉到入侵行为，这样也就无法发现自身网络存在安全缺陷和漏洞隐患。

电力监控系统网络化以后，为了最大限度地防止来自外部网络攻击，大量安装部署了采用非对称加密算法技术的纵向加解密设备，以此来保障电力监控系统网络的安全。但这些加密算法只能在一定时期内，保障电力监控系统网络的安全，一旦这些加密算法被破解，这些部署的加解密设备就成了摆设。电力监控系统网络加密装置被破解却不被我们知晓，我们就会盲目地认为自己的电力监控系统网络是安全的。

电力监控系统网络现状

能源安全是关系国家经济社会发展的全局性、战略性问题，对国家繁荣发展、人民生活改善、社会长治久安至关重要。

事物总是相辅相成的，新技术的应用既有其有利的一面，也有不利的一面。计算机网络的应用提高了电力系统生产运行及监控的效率，但同时也带来了新的电力生产网络安全问题。

如今国家层面越来越高度重视电力能源的安全，2015 年国家能源局发布了有关电力监控系统网络安全防护方案文件，2017 年国家颁布网络安全法，特别是近几年有关部门开展了数次针对国内工控网络的攻防演练。

关于将电力监控系统的信息传送通道全部网络化，并将以前常用的点对点专线模拟信息传送通道全部停用拆除淘汰掉，笔者觉得有些极端，也为时过早了。因为常用的点对点专线模拟传送通道是无法直接传送计算机指令代码的。强制发电厂采用电力调度数据网网络传送信息的方式，就等于是把发电厂的生产网络安全和电网监控系统网络安全绑定在了一起。

在当前网络安全风险较高的形式下，发电厂应该采用点对点模拟专线通信方式，与电网调度机构实现数据信息传送。或者也可以以两种通信方式并用，将调度数据网通信方式作为日常主通道通信方式，而点对点专线模拟通道通信方式作为应急的备用通道通信方式。当出现网络攻击风险或网络安全风险较高时，停用调度数据网网络通道，仅采用点对点专线模拟通道传动信息，这样就能够显著提高发电厂侧的网络安全性，从而进一步保障了电力能源的安全。

事实上，网络攻击带来的安全风险是双向的，电网的电力监控系统网络既可能受到来自电网外部的网络安全威胁，同样也会受到来自发电厂侧的网络安全威胁，而发电厂也同样可能受到来自电网调度侧的网络安全威胁。

电网调度机构是整个电力能源生产使用的指挥控制中心，电网调度自动化主站系统全部采用同一个厂家的系统，也存在很大的网络信息安全风险。因为我国大部分地区都部署安装同一个厂家的电网调度控制系统，如果其中任何一个地方的电网调度控制系统被破解，就等同于其他众多电网调度控制系统全部被破解了。如果电网调度控制系统能够采用多样化的不同厂家的系统，最起码也会给网络攻击者增加破解所需的时间和成本，而多样化不同厂家的系统也会给破解者增加很多的难度。况且采用统一的系统部署还造成电网调度自动化技术应用的垄断，不利于电网调度自动化技术的发展。

目前在电力网络安全管理上，存在一个明显的管理空白区。电力系统内部网络按不同的功能分了“两个大区”和“四个小区”。“两个大区”是生产控制信息网络大区和管理信息网络大区，简称生产大区和管理大区。生产大区又分为控制区和非控制区，即安全Ⅰ区安全Ⅱ区，管理大区分为生产管理区和行政管理区，即安全Ⅲ区安全Ⅳ区。生产大区的安全Ⅰ区和安全Ⅱ区之间有明显的界限，而管理大区的两个管理区之间已经没有明显的界限了。生产大区和管理大区之间不仅有明显的界限，而且还必须要采用物理隔离措施实现物理隔离，这也就是常说的横向隔离。

生产大区的网络安全管理职责是在电网调度部门，管理大区网络的安全管理职责是在另一个部门。生产大区和管理大区之间通过正反向物理隔离装置进行信息传递和业务往来，但却没有一个机构、部门或专业技术人员负责贯穿整个网络生产大区的安全Ⅰ区和安全Ⅱ区到管理大区的安全Ⅲ区和安全Ⅳ区之间的网络安全的协调管理。这不能不说是在电力网络安全管理工作当中，存在的一个严重安全管理漏洞。从辩证唯物的角度看，只要生产大区和管理大区之间存在信息交互，那就不能完全保证生产大区的网络安全。

结语

随着近年来国家越来越多重大活动的开展，惯例性的会有很多电网保电工作，同样也会有一部分无人值守变电站恢复为有人值守方式。如果我们再进一步能够在一些重要的发电厂和变电站，启用点对点专线模拟通道传送电力监控信息，并提前将这些重要的发电厂、变电站的电力调度数据网设备信息通道关闭，这样我们将能够进一步提高电网安全，更安全地完成保电工作任务。