陈铁铮

（福建省闽投配售电有限责任公司，福建 福州 350001）

0 引 言

近年来，国际上相继发生伊朗“震网病毒”“乌克兰大面积停电事件”等一系列电力监控系统网络安全事件，电力行业网络安全形势日益严峻[1]。GB/T 22239—2019《网络安全等级保护基本要求》将正式实施，网络安全等级保护对象将不断拓展，工作内容将持续扩大，网络安全等级保护制度政策、标准和支撑体系将逐步健全[2-3]。本文通过分析电力监控系统网络安全防护现状，探索现阶段电力监控系统网络安全防护存在的问题，并提出了一些建议。

1 防护现状

自2002 年起，我国电网开始重视电力监控系统网络安全。现阶段，电力行业在“安全分区、网络专用、横向隔离、纵向认证”基础上，进一步加强网络安全防护工作，部署安全防护措施，通过综合防护手段提升电力监控系统网络安全防护水平，电力行业整体网络安全防护现状如图1 所示。

电力监控系统根据各业务重要性进行分区，原则上划分为生产控制大区和管理信息大区。生产控制大区主要是实现对电力一次系统的实时监控，纵向使用电力调度数据网。管理信息大区主要用于公司内部业务管理，如办公系统等。生产控制大区又分为安全区Ⅰ和安全区Ⅱ，安全区Ⅰ的传统典型业务包括SCADA、EMS 等，安全区Ⅱ典型业务包括调度员培训模拟系统、水调自动化系统等。生产控制大区是安全防护的重点与核心。

1.1 纵向边界防护

电力监控系统调度数据网在纵向上即主站与厂站方向，通过部署纵向加密认证装置实现电厂/变电站涉网部分的监控系统安全防护。装置主要起到加密和身份认证的作用。加密即将数据资料加密，使得非法用户即使取得加密过的资料，也无法获取正确的资料内容，确保数据的安全性；身份认证是用来判断某个身份的真实性，确认身份后，系统才可以依不同的身份给予不同的权限确保用户的真实性。

1.2 横向隔离

生产控制大区与管理信息大区通过物理手段进行隔离，针对需要传输数据则通过正反向隔离进行传输，确保生产控制大区内的网络安全。生产控制大区Ⅰ区及Ⅱ区间通过设置硬件防火墙进行逻辑隔离。

1.3 综合安全防护

电力监控系统在十六字方针的基础上，为提升安全防护水平，部署了入侵检测系统（IDS）、安全审计系统、防病毒系统及网络安全监测装置。通过在安全Ⅰ、Ⅱ区分别部署1 台入侵检测装置，实现入侵检测、WEB 安全、流量控制、应用管理等综合防护。通过部署安全审计系统，实现内容审计、行为审计、流量审计等综合防护。通过配置防病毒系统，实现黑客防御、病毒防御、木马防御等综合防护[4-5]。

2017 年以来，电力行业在逐步推进网络安全管理平台建设。通过在主站侧部署网络安全管理平台，在厂站端部署网络安全监测装置，按照设备自身感知、监测装置分布采集、监管平台统一管控的原则，构建感知、采集、管控三层架构的网络安全监管技术体系，实现电力监控系统“四个有效”的安全防护目标，即外部侵入有效阻断、外力干扰有效隔离、内部接入有效遏制、安全风险有效管控的综合防护。

2 存在问题

电力行业网络安全防护工作基本遵守“安全分区、网络专用、横向隔离、纵向认证”原则，但仍存在安全区隔离不彻底、防护策略配置不到位、新能源厂站网络安全防护措施不足等问题，威胁电力系统安全运行，具体有如下5 类。

（1）电力监控系统生产控制大区和管理信息大区未完全横向隔离、电力监控系统管理信息大区与互联网间存在网络直连、不同安全区之间无安全防护措施等问题。

（2）安全防护设备策略配置不正确，主机加固不到位。部分厂站未部署防火墙等安全设备或防火墙配置全明通策略，生产控制大区未做好主机、网络及安全加固工作，存在病毒感染，易于被网络攻击等风险。

（3）新能源场站网络安全问题较突出。近年来，新能源场站发展迅速，网络安全防护水平参差不齐，部分场站存在违规开展远程监控或运维；外部设备接入管控、操作系统安全加固、人员及账号管理、安全事件监测感知等技术措施和管理要求落实不到位；发电单元就地测控终端与站控系统的通信缺乏安全防护措施。

（4）部分企业未按要求及时开展等级保护测评和安全评估工作，相关制度不健全，未定期开展网络安全事件应急演练。

（5）网络安全监测装置暂未全覆盖，掌握网络安全状况的手段落后，主要依靠检查整改，网络安全运行缺乏闭环管理的技术支撑手段。

3 建 议

网络安全是整体、动态且开放的，面对国内外复杂严峻的网络安全形势，电力行业应不断落实网络安全责任主体，加强网络安全运行管理工作，提升网络安全整体防御能力，确保电力监控系统网络安全。

3.1 落实网络安全责任主体

各有关电力企业要强化习近平总书记网络强国战略思想，牢固树立正确的网络安全观，落实电力监控系统网络安全防护的主体责任和工作职责，明确各单位党政一把手是本单位电力监控系统网络安全的第一责任人。各单位要建立从上至下的有效三人体系，即领导者、安全管理者及一线的网络安全防御团队。各单位应制定安全责任岗位清单，确保网络安全人员到岗到位，切实将网络安全防护纳入电力安全生产管理，推动网络安全防护工作有序开展。

3.2 加强网络安全运行管理工作

网络安全防御体系最后一关往往是现场运行管理，按照“谁主管谁负责、谁运行谁负责”的原则，电力行业应将电力监控系统网络安全运行管理纳入日常安全生产管理体系，建立健全电力监控系统安全管理制度，强化日常运行管理工作，加强对网络安全风险的监测，落实等级保护测评及安全评估要求，采取专项检查、技术监督、渗透测试及攻防演练等方式，及时发现电力监控系统薄弱环节，落实闭环整改，提升电力监控系统网络安全防护水平。

3.3 提升网络安全整体防御能力

各有关电力企业应进一步加强网络安全监测和应急管理，强化网络安全事件的发现、处置和事后完善工作，确保网络安全事件得到及时有效控制。应加强新技术研究和应用，实现网络空间安全的实时监控和有效管理。

4 结 论

电力监控系统安全防护是复杂的系统工程，其总体安全防护水平取决于系统中最薄弱点的安全水平。电力监控系统安全防护过程是长期的动态过程，合规是基础，策略很关键，落地良运行，保障成体系。随着电力泛在物联网建设、5G 技术发展与应用，只有通过技术上提升电力监控系统安全防护水平，管理上持续重视电力监控系统网络安全防护管理，技术与管理齐抓共管，方可维护好网络强国的战略目标。