吴程楠，李 曼，田 茜

(国网上海市电力公司松江供电公司，上海 201600)

电力是国民经济和人民生活的重要基础设施，其电力监控系统以及调度数据网络的安全是电力系统安全稳定运行及社会可靠供电的重要保证，直接影响我国其他行业的发展以及社会安稳。

近几年来，电力监控系统网络安全威胁日益突出，网络安全问题相继引发了乌克兰大面积停电事件、美国东部互联网服务瘫痪以及勒索病毒全球爆发等事件。我国不断提高对网络安全的要求，《中华人民共和国网络安全法》规定，采取监测，记录网络运行状态，网络安全事件的技术措施，对网络安全监测提出了明确要求。与此同时，国家发展改革委颁布的《电力监控系统安全防护规定》(2014年第14号令)和国家能源局发布的《关于电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全【2015】36号)等文件也对网络安全防护做了明确的规定[1]。电力监控系统在电力生产中起着至关重要作用，可以实时监控电力系统运行情况，然而电力监控系统存在着潜在安全风险，必须做好网络安全防护工作，提高电力监控系统运行可靠性，促进整个电力系统运行稳定性和安全性。

针对地区电力监控系统及电力调度数据网安全问题，本文剖析潜在的威胁及系统不足之处，并提出关于系统全方位安全运维及防护的建议，希望对电力监控系统有参考价值。电力监控系统的运行基于计算机及网络技术，在实践过程中因自身不足而存在潜在的网络安全威胁，因此重视全系统的安全防护，全方位剖析可能引起电力监控系统运行风险的因素，然后制定可行性强的安全防护措施，防止恶意代码及非法攻击的入侵，为电力生产创造一个清朗有序的网络运行环境，电力监控系统的经济价值就能凸显出来。

本文将着眼于地区电力监控系统网络安全运行需求，分析探讨电力监控系统运行涉及的主机以及相关的网络安全设备隐患情况，并结合当今先进网络安全技术，从制度和技术的角度探讨如何对电力监控系统及相关调度数据网设备进行安全防护加固，从而达成一个安全可行的电力监控系统安全防护体系。

1 电力监控系统面临的风险分析

电力监控系统是用于监视和控制电力生产及供应过程的，基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络等。国家发展改革委颁布的《电力监控系统安全防护规定》明确要求：“电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区”[1]。

因此保障电力监控系统网络安全就是保证电力系统安全稳定运行的基础。作为电力监控系统基础支持的调度数据网涉及众多网络设备，其安全隐患情况既可能存在于网络设备自身或者网络结构设计不合理，也可能来自网络系统管理不当或者滥用；而其中的安全威胁既可能来自电力系统内部管理或者安全机制不足以及安全工具本身的局限性所决定，也可能来自外部恶意组织对系统完整性破坏、拒绝服务、网络滥用等。

从技术细节来讲，目前常见的安全问题主要有：

(1)人员意识风险

网络安全理念是实现电力监控系统安全生产的灵魂，只有将安全理念根植于职工的脑海之中，才能保证电力监控系统安全运行及安全生产。在电力监控系统运维与管理中发现有些部门职工没有树立网络安全意识，忽略网络安全理念并在日常工作中缺乏安全措施，比如账号口令过于简单或将自己的账号随意转借并保存在网络上等，口令泄露具有极大的安全风险，人员网络安全意识有待提高。

(2)非授权接入系统或越权访问

越权访问包括水平越权和垂直越权，用户使用客户端后没有及时清理历史访问记录导致用户ID信息泄露；当系统的权限菜单等信息控制在客户端或者浏览器，则很容易通过模拟参数获取更大的系统权限。

(3)信息泄密或数据恶意性破坏

在互联网+时代，几乎每个人都逃不过垃圾短信或者钓鱼诈骗，有时敏感的业务系统数据在有意或无意中被泄漏出去甚至遗失，通常包括：信息传输过程遭受被动攻击导致数据丢失或泄漏，或者攻击者通过伪装，冒名顶替接收者致使信息丢失或泄漏；或者公司外来人员以反编译，抓包和破解等非法手段窃得对业务数据的使用权并修改、删除重要信息；业务系统设计时设立后门或隐藏非法外联通道等。

(4)误操作及安全配置错误

在对电力监控系统作安全配置时随意性操作，忽略系统参数整体性以及生产网络结构复杂性导致安全配置问题；同时由于承载电力调度实时控制业务、在线生产业务的电力调度数据网是一个技术先进且极其复杂的网络，系统功能设计的实现是一个动态的不断完善的过程，较易出现设备配置错误，而这些错误可能暂时性不易察觉，需要等到某种触发条件才会暴露出来，甚至引发灾难性后果。

(5)网络设备和系统软件本身存在漏洞或者未关闭多余非必须服务

由于电力监控系统涉及设备多且电力调度数据网技术复杂，存在一些固有的缺陷和漏洞。此外某些设备自身安全性不够或者安全加固不到位，非必须的服务仍旧处于运行当中，甚至业务系统在设计初时也存在一些漏洞和缺陷，一旦暴露在外将对系统稳定运行造成重大安全威胁。

(6)网络病毒和木马

现行网络协议存在诸多缺陷，有太多不安全因素，包括病毒和木马，电力调度数据网也在所难免。病毒和木马进入调度数据网会严重影响网络交换速度和业务数据安全，并且可能导致生产网络瘫痪，进而影响电力调度业务正常开展。

2 设计电力监控系统全方位安全防护体系

2.1 安全管理制度及措施

针对某地区电力监控系统可能存在的各种网络安全威胁，对原有网络结构系统分析，并分析电力监控系统安全需求，构建了一套适合地区电力监控系统的安全防护体系，实现对电力监控系统的全方位安全管理。主要涉及物理安全、安全的管理制度、网络运维安全和系统应用安全4个方面。其中以安全的管理制度贯为基础，建立切实有效的网络安全保障制度，并采取有力的措施保证制度的执行。建立安全的管理制度促使各网络使用单位和部门建立相应的信息安全管理办法，加强部门内外沟通与管理，建立系统事后审计和溯源体系，提高人员整体信息安全意识。

2.2 网络安全防范

网络系统的安全防护措施包括电力监控系统物理安全、划分虚拟局域网和安全分区、安全访问控制、恶意代码防范、电力专用安全设备、审计系统以及加固等[2-4]。

(1)电力监控系统物理安全

整个电力调度系统安全的基础建立在电力监控系统各种运行设备的安全。实现物理安全管理措施应遵循国标GB50173—93《电子计算机机房设计规范》、GB2887—89《计算站场地技术条件》和GB9361—88《计算站场地安全要求》等安全规范，设计并建设安全可靠的调度自动化机房环境，充分做好设备的防盗、防毁、电磁干扰、线路截获以及静电接地；

(2)电力监控系统账户安全管理

通过电力监控系统的用户管理机制实现三权分立，切实做好账号权限管理，剔除超级管理员用户，确保设备操作配置与管理安全。针对电力监控系统的网络与安全设备可单独设置允许访问的管理地址进行限制，禁用默认管理员账户，删除无用的账户名，账号口令使用强口令并设置登录失败处理等；

(3)安全的配置及定期备份

定期对电力监控系统中的主机、网络设备以及安全设备巡检，重要数据及系统配置定期备份，并验证配置文件的正确性及可用性。实行用户访问申请制度，确保电力监控系统访问及更改有迹可循，避免误操作导致的系统崩溃。

(4)虚拟局域网设置及系统安全分区访问

通过对虚拟局域网划分和对电力监控系统安全分区，将电力监控系统分隔若干子网段，子网间通信须通过防火墙或者硬件防火墙实现逻辑隔离，并按照业务系统功能要求，划分不同安全分区，从而满足《电力监控系统安全防护规定》的相关防护要求，控制区和非控制区之间采用硬件防火墙进行逻辑隔离以达到安全分区的目的。

(5)安全访问控制和恶意代码防范

实行电力监控系统安全访问控制重点在于访问控制列表有效的规则设定以达到敏感信息的安全访问。访问通道应禁止明文传输，如禁用TELNET协议访问方式，采用SSH强加密访问，对于关键设备限定本地串口登录，这样可牺牲操作便捷性以达到安全访问的要求。网络设备如交换机、路由器应考虑对SNMP协议进行访问控制，禁止非法用户通过SNMP访问设备，设置受信任的网络地址范围。主机安装恶意代码软件，实时查杀病毒并采用专人负责，定期维护的更新策略，严禁在线更新病毒库。

(6)执行电力监控系统功能服务最小化

根据电力监控系统业务需求最小化关停甚至卸载操作系统非必须的服务，操作系统安装采用最小化安装，仅部署供系统正常运转的服务，操作系统不应存在与业务系统无关的服务开启。电力监控系统网络设备只开启承载业务所必需的网络服务，网络设备应设定明细路由并删除默认路由、网络边界OSPF应关闭路由功能;设备日志应接入网络安全管理平台进行集中监控；系统中与业务无关的服务(例如SMTP/POP3、FTP、Telnet、NetBIOS服务等)应关停；地调PE路由器动态路由协议(如OSPF)启用MD5认证；此外在路由器以及交换机上应该关闭不使用的接口，物理上限制非法机器接入电力监控系统。

(7)电力专用安全防护设备

支撑电力监控系统的电力调度数据网采用专用网络建设，网络边界防护极其重要，也容易成为各种网络攻击的突破口。在电力调度数据网纵向网络边界上，应在网络出口部署电力专用纵向加密认证装置或硬件防火墙，并严格限定安全设备访问策略，阻挡大部分外部非法访问、病毒入侵以及恶意代码攻击。将纵向加密认证装置和硬件防火墙的日志接入网络安全管理平台，可发现网络非法访问、异常流量以及恶意攻击等威胁。在电力监控系统横向边界上，根据业务需求可采用不同隔离强度的网络安全设备，有效地保护各安全区中的业务系统。生产控制大区与管理信息大区之间则采用电力专用横向单向隔离装置使得电力生产网络与管理信息网络物理隔离，并严格限制数据流的方向；管理信息大区内部信息系统数据交互采用硬件防火墙隔离。纵向加密认证装置接入网络安全管理平台后，采集设备的运行状态以及隧道运行情况，以及基于隧道之上的安全策略信息进行监视，纵向加密认证可部署在网络出口处，从而发现网络边界和网络内部的异常现象并及时报警，告知网络安全人员前来处理。

(8)启用设备审计策略

电力监控系统网络安全无小事，既然需要重视生产网络的事前防范能力，也必须做实网络安全事件事后跟踪、溯源方面的工作。通过对用户上网端口、时间、操作行为等访问的记录，全面提供用户操作行为的追溯能力，为网络安全事件后期的事故分析提供原始资料，这就需要做好日志服务开启并做好安全配置和审计工作。利用设备日志记录重要的设备信息，并传送网络安全管理平台集中分析可以迅速进行故障定位。

(9)启用主机防火墙netfilter/iptables

明确允许访问的源地址，端口及数据流向，通过系统防火墙iptables限定电力监控主机访问源，限定源地址访问甚至屏蔽非法端口访问等达到对监控主机的保护。

(10)网络安全管理平台全方位管控

网络安全管理平台通过接入网络设备和安全主机，实时采集各类安全防护设备的运行状态、安全告警和系统日志信息，集中监控电力监控系统各种网络安全事件并进行综合告警并提供安全事件处置辅助决策等功能。

2.3 系统业务及应用安全接入

电力监控系统接入变电站或者开关站远程终端的授权访问控制应考虑安全的方式：如物理地址MAC绑定认证、基于角色授权的访问控制技术和调度数字证书安全标签。其中物理地址MAC绑定认证是简单且行之有效的方式，它是在厂站调度数据网接入交换机上配置端口与主机物理地址MAC绑定关系，仅授权绑定的物理地址通过指定的交换机端口接入调度数据网。

基于角色授权的访问控制技术是通过对授权的角色所进行的访问控制，可采用集中管理的方式以决定主客体之间的信息交互控制方式。角色的访问控制技术应用在安全模块的权限控制功能中，依靠已建立的电力调度证书系统建立统一的身份角色管理制度，使权限和角色相关联，用户通过成为适当角色成员而得到这些角色的权限，通过本地电力调度证书系统签发服务访问者和服务提供者的标签，形成安全标签，从事实现跨网络的安全认证。安全标签在安全模块中主要实现远程认证功能，D5000系统应用根据自身的安全需求对强制访问控制模型进行了优化，形成了适用于电力系统的专用模型，依靠已经建立的电力调度数字证书，对电力监控系统中的所有应用(服务请求者)和服务(服务提供者)分配安全标识，形成安全标签。安全标签通过上读/下写的访问控制规则限定访问者与资源提供特定的访问控制。

3 结语

电力监控系统网络安全是一个系统性的、整体性的问题，系统中任何一个漏洞或威胁都有可能造成全网安全问题，必须遵循电力行业安全防护原则和要求，切实做好分层分区，突出重点、强化边界网络安全防护。通过系统性的安全加固、指定行之有效的网络安全管理方法，落实工作人员安全意识等措施，提高电力监控系统运行安全性与稳定性。电力调度数据网络的建设与应用在给调度应用带来高效率的同时，也必然存在着各种安全风险和威胁。

上海某地区电力监控系统按照安全性、实用性和经济性相统一的原则进行系统安全设计和网络设计，使电力监控系统及电力调度数据网具有高安全性、高可靠性、高性能和规范化的特点，为各类调度业务信息系统提供安全保证。

结合近几年的电力监控系统及电力调度数据网管理经验，本文提出了保证电力监控系统及电力调度数据网安全高效运行的一些措施和建议，以期为提高电网整体调度自动化水平、建设数字化孪生电网和信息化企业、加快推进调度信息资源夯实技术基础。