徐润 余云昊 周仲波

（1 贵州电网有限责任公司遵义供电局，贵州遵义 563000；2 贵州电网有限责任公司电力调度控制中心，贵州 遵义 563000；3 贵州电网有限责任公司遵义供电局，贵州 遵义 563000）

目前，由于计算机的飞速发展，电厂原有的手动监控系统逐渐被自动化系统所取代。另外，由于以太网的广泛应用，自动化系统之间的通信更加频繁。同时，一些自动化系统需要联网进行远程管理。这种与许多复杂系统的网络通信不可避免地会存在一定的安全隐患。针对这种情况，国家规定了二次系统的安全保护，以确保水电站的安全稳定运行，为中国经济发展奠定坚实的基础。

一、电力监控系统安全问题

近年来，国内外发生了多起针对能源系统的网络攻击事件，造成了重大影响和损失。乌克兰大规模停电、伊朗核电站病毒袭击等典型案例，使各行各业的网络安全形势日益严峻。众所周知，电力监控系统作为国家重点信息基础设施，已成为国与国之间“网络战”的首选目标。一方面，电力监控系统的重要性，预防是保护的首选；另一方面，我们也可以看到电力监控系统的保护难度。如果不经常更新，就很难防止新的攻击。目前，在电力监控系统保护过程中，存在操作系统升级困难、杀毒软件更新滞后、缺乏必要的安全防护软件、人员与岗位不匹配等问题，严重制约了系统的网络安全防护水平。目前，网络安全问题越来越受到社会各界的关注。如何提高网络安全性能，提高网络安全防护能力，保证电力监控系统业务的安全性、连续性和可靠性，已成为未来网络安全从业人员面临的重要问题。

二、当前网络安全防护存在的突出问题

（一）运维管理方面

现阶段，电力监控系统安全防护系统的建设和运行维护面临一系列问题：一是在电力监控系统建设阶段，设施的工作环境和条件通常比较差，而现场防尘、电磁防护、静电防护的防护要求还不能完全满足施工要求。其次，外部人为因素也会对基础设施造成破坏。系统网络结构的复杂性导致运维中使用的网络拓扑、系统台账等技术数据与实际情况不一致。当系统出现故障或异常时，网络维护人员无法在第一时间找到故障源，增加了设备风险控制的难度。最后，还存在机房门禁系统不稳定、门禁登记记录系统不完善、物理入侵无法有效防护、系统备份不及时、不连续、系统受到攻击时难以及时恢复等问题。

（二）技术管理方面

目前，电力监控系统在安全防护技术管理方面存在的问题主要集中在分区错误和跨区并联上。电力监控系统的复杂性和多样性大大增加了网络维护人员划分的难度，容易导致划分错误。分区错误将给系统的后续安全级别确定带来更多麻烦。在技术和经济上很难将所有系统划分为相同的安全级别。根据系统的不同特点和重要性，将具有不同特点和重要性的系统划分为不同的安全区域，建立不同的安全等级保护要求，以确定不同的安全等级和保护等级，确保安全防护具有较强的针对性和可操作性。然而，在电力监控系统的实际安全防护中，特别是在整个系统的初步规划和建设过程中，由于主观认识不足，对系统建设的前瞻性考虑不充分，或者安全防护的针对性不强，是目前普遍存在的情况，系统建设完成后，在设备和系统划分的定义上容易出现错误，出现安全防护策略和防护等级不满足相应等级防护要求的情况。

（三）人员管理方面

网络安全防护工作贯穿于电力监控系统的方方面面，无论是在数据、应用、系统等工作层面，还是在研发、建设、运营、管理、生产等业务流程中，都需要人们承担起网络安全的责任。目前，网络安全从业人员总体短缺。一是网络安全从业人员总量不足。二是大量网络信息安全工作以“兼职”方式完成，网络安全“人岗不匹配”现象普遍。网络安全从业人员需要承担非网络信息安全内容的工作，而非网络信息安全工作在日常工作中的比重过大，有的员工的专业能力不能满足岗位要求，有的岗位称为网络信息安全专业岗位，但是在职人员从事的是信息工作。三是网络信息安全意识普遍不强，或者网络信息安全工作意识和网络信息安全人才的重要性有待提高，如何科学有效地加强网络信息安全队伍建设，缺乏工作抓手。四是教育培训投入不足，网络信息安全人才普遍存在“多用少训”的情况，内部培训制度实施效果不好。

三、开展网络安全防护工作的建议

（一）优化电力监控系统网络基础设施的安全管理

优化电力监控系统基础设施的安全管理和数据备份流程，根据不同系统基础设施的分布情况，形成相应的应急预案。为了保证电力监控系统的网络安全，应从网络级安全管理和基础设施安全管理两个方面入手。根据系统目前的稳定运行情况，确定了基础设施的不同安全等级，并制定了相应的安全控制措施。依托先进的网络信息技术，可以对基础设施进行全方位的监控。一旦出现故障，我们可以及时发现和诊断，及时查明故障的位置和原因，并根据应急预案的内容优先处理。基础设施的安全管理重点是设施的优化和防护设备的更新，通过日常工作确保系统信息安全。按照“谁主管谁负责，谁操作谁负责”的原则，做好电力监控系统的安全管理工作。各系统的数据备份应遵循系统使用原则和重要性顺序，在备份工作中保证业务的连续性。

（二）完善电力监控系统网络安全防护管理制度

完善电力监控系统网络安全防护管理体系，做好电力监控系统网络安全管理工作。通过分层管理模式，划分系统网络层次，有针对性地对不同区域进行管理。一方面可以适应电力监控系统网络安全管理的特点，另一方面可以满足自身业务发展的实际需要，保证业务的连续性和可持续性。在管理层面，要建立健全监督检查常态化工作机制，实现“以检查促建设、以检查促管理、以检查促改革、以检查促预防”的机制。

（三）强化电力监控系统网络安全防护技术措施

网络安全技术措施的实施重点关注数据传输的信息安全，加强垂直加密设备的认证机制，确保业务传输的可靠性和数据传输的保密性。根据网络划分的原则，加密设备一般部署在不同的安全区域或局域网与广域网的交叉口、区与区、网与网的交换机之间。垂直防御的构建就是对认证进行垂直加密，从而有效保证数据传输的安全性，进而实现双向身份认证、数据加密和访问控制等功能。

（四）增强安全防护人员的综合素质

网络安全防护工作贯穿于电力监控系统的方方面面，每一个不同的工作层次和业务流程都要求人们承担起信息安全的责任。信息安全从业人员的综合素质直接影响到电力监控系统的网络安全防护。为增强员工的责任感、安全意识和使命感，在具体维护工作的管理中，需要配备电力监控系统专职安全防护人员，确保相应的管理措施能够有效发挥和落实。随着电力监控系统的快速发展，对电力监控系统维护人员的要求也越来越高，这对他们的业务素质提出了新的要求。一是要加强资质管理，取得专业资格，持证上岗，这既是具有一定知识、能力和工作经验的信息安全从业人员的证书，也是网络安全防护的基本要求。二是提高专业技术水平，针对电力监控系统相关运维人员技术能力不足的问题，加强人员培训，提高人员技术水平。三是完善人才体制机制，完善对员工的考核评价手段，完善激励机制，拓宽职业晋升渠道，引导和鼓励员工提高自身素质和综合能力。

（五）提高网络安全运行监视水平

以业务为中心，以数据为核心，对系统进行全方位的可用性及安全运行水平监测，对全网的安全态势进行全面感知，完善电力监控系统安全设备日志分析平台，提升日志信息展示的易读性，提高网络安全监视效率。加快推进网络安全态势感知平台建设实施，实现电力监控系统全覆盖，提升态势感知系统覆盖范围和实用化水平。推进安全防御技术应用，积极部署态势感知设备（实时监测及应急处置），利用态势感知设备对电力监控系统的网络及设备情况开展相关安全数据采集和监视，所需数据内容主要包括各类网络节点设备的配置信息、关键网络节点的流量信息及相关设备的日志信息等。通过边界设备日志分析、资产变化监视、流量分析等技术措施感知网络安全态势，及时开展应急处置工作。

总之，电力监控系统的网络安全防护要求已经上升到国家安全战略的高度。做好电力监控系统的网络安全防护，有利于整个电力系统的安全稳定运行。要不断加大安全防护力度，完善电力监控系统管理制度，增强网络信息安全从业人员的责任感和安全意识，为电力监控系统网络的安全性和可靠性做出应有的贡献。