◆田嘉

火电厂电力监控系统安全防护体系的建设与研究

◆田嘉

（河北国华沧东发电有限责任公司 河北 061113）

市场经济转型的持续深入，市场化转型逐渐进入到关键阶段，社会各个行业对于电力方面的需求呈现出不断增长的态势，这就对电力系统安全性、稳定性提出了更高的要求。从火电厂现实情况来看，近年来智能化技术、信息化技术开始源源不断应用于火电厂，电力监控系统正在面临全新的挑战，如何加强电力监控系统安全防护体系建设就成为各个火电厂亟须解决的重要课题。在上述背景下，要求火电厂引起高度重视，严格落实国家有关要求，针对安防体系进行不断地优化调整，从而有效保障电网运行的稳定性。国华沧东电厂按照国家原则，对公司内电力监控系统采用垂直防护机制，严格按照各项要求进行有关设施的安排，来对火电厂的安防体系进行建设与研究。

火电厂；电力监控系统；安全防护体系

电力系统是最为基础的国家设施之一，历来是国家战略发展的重中之重，电力行业也在市场化转型过程中迎来了全新的发展局面。与此同时，越来越多新兴技术在电力系统中的不断应用，使得电力监控系统所涉及的技术、工作量、工作难度也在这个过程中大幅增长[1]。对火电厂来说，要想满足社会日益增长的电力需求，必然需要保障系统本身的安全性，加强监控系统安全防护体系建设势在必行。

从近年来的国家要求来看，电力监控系统安全防护工作需要安排专门的组织进行规范管理，同时设置相应的管理专职，全面负责有关的安全防护细则，避免各种恶意代码、黑客攻击、网络病毒等攻击电力监控系统，尤其是针对各种集团式攻击进行有效的抵御，避免安全问题导致电力监控系统发生故障[2]。基于此，本研究结合火电厂实际情况与政策要求，以国华沧东电厂为模型，提出几点加强电力监控系统安防体系建设的措施与建议，仅供参考与借鉴。

1 建立电力监控系统安全防护组织

要想保障火电厂电力监控系统安防体系的规范性，首要任务在于建立安防组织，只有保障组织的权威性、独立性，才能够有效保障各项工作的顺利开展。根据火电厂实际情况，建立电力监控系统安全防护组织，同时赋予组织在安全防护方面的权力，系统负责火电厂电力监控系统安全防护相关的责任。结合当前火电厂组织架构，国华沧东电厂成立了生产监控系统安全防护技术监督网络，一级技术监督网络由公司总工程师担任，二级技术监督网络由专业技术监督负责人生产技术部信息主管担任，三级技术监督网络专业技术监督成员由生产技术部、安监环监察部、维护部、运行部等相关专业责任人组成，主要涵盖火电厂的热工、电气二次、信息、通信、运行等专业人员。

基于现阶段安防管理架构研究，国华沧东电厂已经建立了较好的信息安全组织架构，职责也完全明确到个人，角色与岗位责任明确，落实到具体人员，权力和责任描述清楚，全面符合国家电监会及国家能源集团提出的相关要求。

2 完善电力监控系统安全防护方案

科学合理的规章制度是保障各项工作开展的先决条件，对于火电厂电力监控系统安全防护体系建设来说，必然需要完善安防方案。

首先，对于处在前期评审阶段的电力监控系统项目，严格遵循“安全分区、横向隔离、网络专用、纵向认证、综合防护”的标准，明确要求火电厂分区配置有关的安全设施，包括防火墙、加密设施、认证设施以及物理隔离设施等[4]。

其次，电力监控系统安全防护组织全面负责各种安全设施的调试工作，当完成调试工作以后，还需要现场进行验收，保障安全设施满足标准。

最后，建立网络安全防护系统，对于具备“等保”三级系统的火电厂来说，应当按照要求进行网络安全防护系统建设，以此来针对火电厂全网数据进行动态监管。为有效保障安防方案的顺利执行，火电厂还需要建立对应的安全管理规章制度，将责任明确到对应的岗位，同时建立健全火电厂应急预案，并组织各专业进行定期事故演练，以提升预案的针对性和适用性。

3 划分电力监控系统安全防护区域

国华沧东电厂电力监控系统安全建设包括生产大区和管理信息大区中多个子系统，自身安全机制和专用安全系统两方面。前面为内在安全性，后面则为外加的安全性，两者相辅相成。

对控制区来说，涉及下面几个模块：

火电机组控制系统DCS、海水淡化控制、脱硫脱硝、故障信息远传、远动NCS、PMU、AVC、五防系统等工业自动化系统。

对非控制区而言，其涉及下面几个模块：

电量计费、调度信息报送终端、烟气在线监测等工业自动化系统。

管理信息大区主要包括以下业务系统和功能模块：

沧东发电管理信息系统主要包括集团广域网、技术监督系统、内部网站系统、清华紫光档案系统、有度系统、电子图档系统、巡点检系统、燃料系统、门户系统、SIS系统等日常生产管理系统。

图1 火电厂电力监控系统安全防护网络示意图

4 工控网络监控系统安全防护体系建设研究

综合参考火电厂工控网络监控系统，其主要涉及四个层次，包含现场控制层、现场监控层、厂级SIS层、MIS层，由于各个工控网络在任务、功能方面存在差异性，工控网络监控系统安全防护体系建设也需要结合各个层次的特征进行针对性的优化[6]。对于现场控制层来说，协议包含各类工业控制网络的私有协议，一般是以实时控制数据为主，主要特征在于传输周期短、周期性传输。工控网络安防体系，应当避免影响其具有的实时性特征，因此选择旁路部署方案，即利用镜像口来复制该层对应的数据信息，其仅仅接收数据，不会传输数据，保障现场控制层的实时性。对于现场监控层来说，对应的协议包含向上信息反馈、向下发送控制命令，，主要是通过在环网核心交换机镜像口进行布局，基于上述节点复制，保障现场监控层的稳定运行。对于SIS层来说，其本身涉及的协议相对较为繁杂，传输信息数据量大是其主要的特征，工控网络监控系统安全防护体系建设，同样是在核心交换机镜像口进行布局。对于MIS层来说，主要特征在于带宽高、数据量大，同样是在核心交换机镜像口进行布局。在完成上述完全防护采集信息设施部署的基础上，火电厂还需要在空中网络中心设置服务器，以此来针对工控网络监控系统进行统一规范的管理。

5 典型火电厂电力监控系统安全防护体系建设

国华沧东电厂电力监控系统安防建设本身属于一项漫长的任务，因此恰当地划分阶段，确保各个时期目标均可以顺利完成是必要的，这就可以将安全建设分为近、远两个阶段。

在近期项目中，主要涉及基础类的建设，首先将解决当前对国华沧东电厂电力监控系统威胁最大的安全风险并对系统进行加固，并建立起与各业务系统有机融合的电力监控系统管理体系框架，在以后的各期项目再逐渐完善和调整电力监控系统安全框架内容，完善管理制度。结合火电厂工控网络与监控系统安全防护体系，可以尝试建设图2类型的工控网络监控系统安全防护架构，切实保障电力系统监控网络的稳定性、安全性。

图2 国华沧东电厂工控网络监控系统安全防护架构

总的来说，电力系统监控安全防护体系建设作为有效保障火电厂安全生产、稳定生产的重要措施，各个火电厂必须引起高度重视，充分结合自身实际情况，针对现有电力系统监控安全防护体系进行深入的分析，查找现有体系当中的疏漏环节，以此来制定针对性的控制措施，切实保障火电站电力监控系统的稳定运行。

国华沧东电厂按照政府及有关部门的要求，重点强化边界防护，同时加强内部的物理、网络、主机、应用和数据安全，加强安全管理制度、机构、人员安全、系统建设、系统运维的综合管理能力，提高系统整体安全防护的能力，保证电力监控系统及重要数据的安全。

大数据时代的到来，信息化与工业化深度融合。高度智能化和高度网络化是未来发展的主要方向，这就对工业控制系统网络安全提出越来越高的要求，研究预防工业控制系统受到非法入侵、非授权访问、木马病毒攻击、关键核心数据被窃取甚至破坏生产设备等恶意行为，对防止发生各类生产安全事故意义深重。

[1]孙军鹏，殷衡.探究电力系统信息安全防护体系的构建与完善[J].数字通信世界，2020（08）：263-264.

[2]付彦哲.大数据技术在电力系统信息安全防护中的应用[J].电子世界，2020（11）：206-207.

[3]魏媛，刘希彬，郑丹，康友春.基于UEIoT的新能源监控系统安全防护方案探讨[J].智能建筑，2020（06）：69-73.

[4]张鉴，唐洪玉，刘文韬，薄明霞.面向云网融合的电信网安全防护体系参考架构[J].电信科学，2020，36（05）：10-15.

[5]黄敏，郭念文，冯敬磊.基于“白名单”技术的电力监控系统安全解决方案[J].信息技术与标准化，2019（09）：42-45.

[6]陆忞，周昊.电力终端通信接入网安全防护体系技术研究与应用[J].大众用电，2017（S1）：72-75.