钟丽波，周 洋，李 然，马 煜，纪秀艳

(1.国网沈阳供电公司，辽宁 沈阳 110003；2.华龙国际核电技术有限公司，北京 100036)

近年来发生的“乌克兰大停电”、“委内瑞拉大停电”等多起大范围停电事件[1]，深刻反映了网络攻击对电力基础设施和社会生产生活造成的巨大破坏，也暴露出大型电力和工业设施正在成为网络攻击的首选目标。随着自动化和信息化与电力系统的融合，调度主站端与变电站、并网电厂、新能源产业及配网终端的数据交换日益频繁，体现在网络末端的安全威胁逐渐呈现“点多面广”的态势[2-4]，因此加强电力监控系统网络安全事件监控，及时有效甄别、处理告警信息，强化网络末端风险管控，是当前电力监控系统网络安全管理的重要工作[5-7]。本文对电力监控系统网络安全工作存在的共性问题进行梳理，结合生产实际中的典型案例，提出专业管理工作若干建议。

1 电力监控系统网络安全存在的主要问题

1.1 数据交换网络不完善、安全性不足

部分用户变电站和电厂在电力监控系统网络安全管理方面普遍受到设备和人员两方面制约，站内网络结构不合理，设备运行水平偏低，厂站数据接入率不足，缺少专职运维管理人员，信息传输及通道质量不满足调控运行需要[8]，且数据交换过程中缺乏必要的安全防护措施，给电网整体安全防护带来明显压力。

1.2 关键主机配置不规范、运行风险突出

部分早期设计施工的厂站，投运期间由于相关规定对关键主机配置要求尚不全面，设备配置不规范的情况普遍存在。表现形式主要有2个方面：一是关键主机未采用安全加固的操作系统；二是在运系统未采取安全加固策略、存在大量非法服务和端口[9]。这部分厂站体量大、分布广，整改完成之前系统承受长期运行风险。

1.3 安防设备部署不合理、可用性差

由于网络结构调整及软、硬件更新不及时等原因，部分安全防护设备利用率较低，如厂站中入侵检测系统、日志审计系统未能充分发挥实际效用，防火墙连接了一、二区设备，但未进行合理策略配置，新设备接入时，未对原有设备同步进行配置调整等，类似上述问题导致安全防护体系不够坚强，制约整体安全水平。

1.4 网络连接不合规、管控难度大

由于对电力监控系统网络安全规定认识不清或监督检查覆盖面不足等原因，在实际运行中仍然存在一部分网络连接不合规的情况。个别投运较早的老旧电厂、用户变电站内仍有交换机共用、站内信息内网与互联网共用主机的情况，此类情形随机性强、分散性强，非现场检查不易发现，是技术监督工作的难点。

1.5 数据终端增长提速、风险点多

随着新能源产业发展和配网自动化建设推进，电力相关业务数据集中管理的需求日趋明显[10-11]，庞杂的生产运行数据传输也要求现有网络结构不断发展壮大，密布于广泛地理区域的采集终端给数据传输网络增加了众多风险点，对物联网络技术发展、终端装置的安全部署和系统整体防御能力提出更高要求。

2 典型案例分析

结合存在的问题，对几个典型案例及处理过程进行分析。

2.1 正常业务主机间通信产生告警

a.现象：厂站侧实时纵向加密认证装置*.*.48.62拦截一条不符合安全策略的访问，主机*.*.124.123的33326端口发起对*.*.48.36的10022端口的访问。

b.原因分析：告警中的源地址主机为主站电量采集服务器，目的地址主机为厂站侧电量采集终端，10022为电量服务目的端口。由于现场仍采用222结构(2台路由器、2台纵密装置、2台交换机)，2台交换机级联，且上联端口同时配置了101、201 2个VLAN。厂站侧上行非实时业务通过级联线经S2访问R2，无法到达目的地址致使TTL值为0，故主站路由器发起针对源地址数据包的询问，被纵向加密装置拦截产生告警。

c.处理方法：对该站厂站侧数据网结构进行改造，将222结构修改为122结构。临时解决办法为对站内非实时业务主机与交换机端口进行MAC地址绑定，同时将交换机与2台路由器互联接口进行精细化处理，实时接口只透传实时VLAN，非实时接口只透传非实时VLAN。

2.2 主机开放非法服务产生告警

a.现象：厂站侧网络安全监测装置发出重要告警，*.*.0.100的60014端口非法访问*.*.137.1的53端口。

b.原因分析：告警中的*.*.0.100为变电站远动机站内IP地址，*.*.137.1为间隔层装置站内IP地址，53端口为域名解析服务(DNS)端口，非变电站业务主机必要的服务。当远动机作为客户端访问间隔层装置时，被网络安全监测装置监测到发出告警。

c.处理方法：禁用间隔层装置上的DNS服务，同时在远动机操作系统中设置访问控制策略，禁止向外发出目的端口为53的网络报文。

2.3 信息内网工作站混接外部公用网络

a.现象：电力监控系统网络安全现场检查中发现，某火电厂主控室内1台工作站使用2块网卡同时连接集团公司信息内网和外部公用网络。

b.原因分析：该电厂为2003年投运电厂，站内无数据网设备，利用无线通信方式接入地调主站安全接入区，故而纵向加密认证装置等信息未接入内网监控平台实时监视。出于设备成本原因，值班人员利用1台工作站同时连接电厂所属公司的信息内网和外部公用网络，通过该工作站向公司总部发送包含生产数据的邮件及用于外网办公。

c.处理方法：检查组当场指出该工作站存在受到病毒、恶意代码侵入导致生产数据泄露的风险，要求电厂方立即整改，并于次日补发整改通知，要求电厂侧消除内、外网混用的隐患，限期回复整改结果。

2.4 Agent软件异常导致的光驱未关闭告警

a.现象：内网监控平台监测到某66 kV变电站网络安全监测装置上送的告警信息，提示该站远动机运行有光驱。

b.原因分析：出现该告警信息的可能性有2种：一为站内主机光驱未关闭；二为光驱已经关闭，远动机部署的agent程序误报告警信息。

c.处理方法：现场检查确认该站远动机光驱已经关闭，故怀疑agent程序原因引起本次信息误报。经工程技术人员进一步检查确认，更换远动机agent程序后告警消失。

2.5 厂站私自接入调度数据网引起告警

a.现象：地调内网监控平台监测到告警信息，地址为*.*.42.7的纵向加密认证装置拦截到*.*.36.41发起的针对*.*.42.6主机445端口访问。

b.原因分析：*.*.42.7为66 kV风电场A纵向加密认证装置，*.*.42.6为该风电场远动机地址。*.*.36.41为调管范围内另一风电场B站内规划主机地址。风电场B于2015年投运时缺少路由器，调度机构出具了地址规划单，责令设备到货后开展联调工作。经运维人员确认，风电场B于本月进行改造升级时新增了路由器，于是自行按照地址规划单进行配置，并未履行相关手续将接入方案、设备配置信息等上交所属调度机构备案，且站内主机仍使用投运初期的设备，没有结合当前网络安全要求开展加固工作。

c.处理方法：地调责令风电场B立即断开调度数据网络连接，将网络安全接入方案、安全防护方案、主机加固方案交由所属调度机构审核，并经现场复验合格后恢复网络连接。针对445端口访问问题，责令风电场B对站内其他主机设备进行检查整改、消除隐患。

2.6 网络结构修改后配置错误导致告警

a.现象：内网监控平台5座66 kV变电站纵向加密认证装置可正常管控，但在资产管理中显示运行状态“离线”，且CPU使用率为0，与前1周统计信息不同。这5座变电站均在当周完成数据网结构改造工作。

b.原因分析：由于这5座变电站此前统计信息正常，兼顾数据网结构改造工作后采集信息异常，判断是结构改造引起现场网络连接异常或告警信息配置错误。

c.处理方法：检查变电站现场网络连接，确认结构改造后纵向加密认证装置的网线已从2、3口移到0、1口。如网线连接无误，登录纵向加密认证装置，将0口或1口(连接网线的端口)告警地址配置为主站一平面、二平面告警服务器地址。

2.7 现场作业管理不规范引发告警

a.现象：内网监控平台发出某220 kV光伏电站的告警信息，告警级别为紧急，告警源为站内网络安全监测装置，经地调人员了解现场正在进行网络安全监测装置采集程序升级工作。

b.原因分析：该220 kV光伏电站网络安全装置同时接入省调、地调管控平台，现场进行升级工作前电站按要求向省调提交了工作申请，但未告知所属地调，故升级期间省调进行了挂牌操作，地调管控平台未挂牌，导致因升级工作引发的紧急告警信息上传至地调平台。

c.处理方法：地调对该光伏电站网络安全监测装置进行挂检修牌处理，要求该站升级工作结束后，本地监测半小时以上，无异常告警信息后方可恢复正常接入，并通知省调、地调工作结束，取消检修牌。

2.8 Ⅰ、Ⅱ区边界防护异常引起的设备在线率指标偏低

a.现象：内网监控平台在线率指标偏低，网络安全监测装置在一段时间内批量出现离线情况，同时在调用模型管理中的设备管理时，平台提示“区域模型”为空，维护人员经检查确认调度数据网络正常。

b.原因分析：对于设备集中掉线的情况，一般围绕网络和平台两方面进行排查，在采集网络正常情况下，要集中检查平台进程及机房内部通信问题。结合信息传输机理，维护人员锁定I、II区间的防火墙和网关机。本地调度技术支持系统I、II区间按照早期架构设计，除防火墙外，还部署了1台网关机，经检查确认该网关机程序异常。

c.处理方法：重启网关机关键程序后内网监控平台采集恢复正常。但由于现有网络架构增加了风险点，故工程技术人员对网络架构进行修改，在对防火墙策略进行加固基础上，取消了网关机的设置。

3 电力监控系统安全防护工作建议

3.1 新接厂站加强管控，避免末端带病连网

对于新接入的厂站，调度机构专业人员应在设计评审环节提出自动化信息上传及网络安全防护的相关意见，并作为现场验收主要内容，验收时除对网络完全架构合规性进行审查，还应采取技术手段对关键主机进行漏洞扫描，投运前对信息联调报告、安全防护实施方案、评估报告等材料进行审核备案，保障源头管控效果。

3.2 深入开展现场检查，履行技术监督职责

调度机构应密切关注变电站、电厂现场存在的安全防护漏洞和缺陷，组织定期、不定期的安全检查工作，梳理出明确的问题清单，督导厂站侧限期整改，必要时可寻求政府网络安全主管部门的支持开展联合检查工作。结合相关问题暴露情况及时组织专项培训，对用户持续应对网络安全的动态变化及维护队伍建设与技术支持。

3.3 加强专业人才培养，提高风险防范能力

密切关注电力监控系统网络安全防护的发展，加强从业人员培训培养力度，注重网络安全红、蓝队队伍建设，在实际工作中采取攻防演练、渗透测试等方法发掘防护薄弱环节，锻炼各级调度机构、厂站之间的协同处置能力和维护人员应急反应能力，进一步完善应急机制、提升安全防护水平。

4 结束语

电力监控系统是电力企业安全生产的技术基础，通过健全的组织体系建设、完备的人才队伍培养和全面的技术工具支撑，可有效提高网络安全事件监控管理水平。随着电力相关业务扩展和网络信息技术进步，从业人员业务能力的与时俱进显得至关重要，电力企业需注重新生力量的培养和队伍巩固，培养群体性的安全风险防范意识和应急处置能力。