张富川 吴金宇 陈刚 江泽铭 曾初阳

（中国南方电网电力调度控制中心 广东省广州市 510623）

目前，由于电力监控系统趋于智能化的快速发展，对电力生产现场设备之间的信息交互提出了更高的要求。同时，以工业以太网为代表的网络技术也被广泛应用到电力监控系统中。为此，电力监控系统的搭建不再是简单的系统集成而已，而是朝着网络化、智能化方向的全方位演变。在智能集成和智能电网两大网络化趋势的背景下，电力企业工控系统的集成化、网络化和智能化已成为主导趋势。随着电力监控系统的被攻击技术和手段的不断更新和强势，电力监控系统的恶意软件和安全事件层出不穷。所以电网公司的电力监控系统也正面临越来越多的网络安全的威胁，如病毒和敌对势力的入侵。因此，本文对电力监控系统安全接入区的访问认证和访问控制机制进行了分析，构建了电力监控系统的安全接入区域认证和访问控制系统，以有效地提高安全化、网络化、智能化生产和管理效率，并为有害攻击者添加了新的攻击手段。

1 现状分析

1.1 通信协议缺乏可靠的安全机制

目前，电力监控系统中使用的通信协议主要有IEC 60870-5-101/103/104 等协议。但是这些电力控制通信协议通常只重视通信的实时性和可用性，而安全性缺乏可靠的控制机制，如身份验证和访问、加密、授权等，尤其是电力监控系统中的无线通信协议更容易受到第三方的拦截和欺骗攻击。

1.2 网络完整性缺乏控制

在电力监控系统的日常生产、运行和维护中为了方便工作，笔记本、手机、iPad 等设备往往未经授权就接入生产网络。由于缺乏网络接入技术，无法对接入设备进行未经授权的控制，这对生产系统的安全构成了巨大的潜在风险。

1.3 系统网络缺乏监控手段

目前电力监控系统中没有安装相应的病毒检测、杀毒软件，无法及时发现网络中的病毒威胁；同时，它无法感知内部行为，例如故障和非法操作，并且缺乏必要的技术手段，因此很难识别和跟踪安全问题。

1.4 系统主机存在潜在的安全风险

生产环境中的大多数工作站都使用Windows 操作系统。运行期间操作系统不会自动更新，操作系统在使用过程中继续暴露出一些漏洞，使工作站和服务器处于风险之中；一些远程服务和操作系统端口是开放的，这些功能在联机后通常不会被屏蔽。因此，基本安全配置薄弱的工作站系统尤其容易受到攻击。同时，也存在随意使用U 盘、移动硬盘、手机等移动存储的现象，将传染性病毒等威胁因素带入生产系统。

1.5 安全和维护操作缺乏控制机制

调查发现，电力监控系统的日常运行维护主要通过远程桌面进行，缺乏完善的运行维护控制机制。未对运行维护人员的操作过程进行记录和验证，未发现擅自进入和异常操作。一旦发生事故，确定问题需要很长时间，无法及时有效地解决，也没有跟踪手段。

2 电力监控系统介绍

电力监控系统是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备，以及作为基础支撑的通信及数据网络等。主要包括如下系统：能量管理系统、配电自动化系统、广域相量测量系统、调度生产管理系统、自动化运行管控系统、节能发电调度系统、负荷预测系统、在线稳控决策系统、综合防御系统、网络安全态势感知系统、电力调度数据网、电力综合数据网、通信设备网管系统、通信运行管控系统、通信电源远程监控系统、统一通信系统、行波测距系统、保护定值单系统、继电保护管理信息系统、故障录波系统、整定计算系统、电力现货市场技术支持系统、调频调峰辅助服务市场技术支持系统、网络发令系统、光伏发电功率预测系统、风电功率预测系统、火电厂脱硫脱硝及煤耗在线监测系统、水调自动化系统和水电梯级调度自动化系统、气象及环境监测系统、计量自动化系统、电力设备在线监测系统、雷电定位监测系统、线路覆冰在线监测系统、电能质量监测系统、变电站视频及环境监控系统、火电厂监控系统、水电厂监控系统、核电站监控系统、光伏电站监控系统、风电场监控系统、变电站电力监控系统等。

根据系统功能和重要程度不同，在主站、厂站的不同区域分别有不同专业的电力监控系统或模块分布。

电力监控系统通常采用分级分布式结构设计，其拓扑结构如图1 所示，主要分为三级分别是：现场设备级别、网络通讯级别和应用级别。

图1：电力联网监控系统拓扑结构图

2.1 现场设备级别

现场设备级别主要连接到网络，以收集和测量网络的电气参数，这也是配电系统建设所需的基本元件。这些设备执行重要的数据采集任务，并可为用户提供配备有通信网络、仪表、温湿度控制器、开关量监控模块和电机保护的各种电气仪表。

2.2 网络通信级别

网络通信级别主要由通信服务器、接口转换器和总线网络组成。这一层是数据交换的枢纽。接口转换器提供各种接口，如RS232、RS422、RS485、SPABUS 和以太网。网络模式灵活，支持点对点通信、现场总线网络、以太网和其他类型的配置网络。通信服务器主要用于直接传输优于现场工具和工具的各种控制命令、传输上位机控制命令；收集、分类和存储现场工具和返回的数据信息，例如电压/电流、输入开关值的状态、仪表内部参数的修改或各种控制继电器的开/关命令以及其他电气参数；绝缘保护装置主要是保证上位机的正常运行，避免网络中不稳定信号造成的干扰，由于现场仪表或其他成套设备与上位机之间的通信接口不同，接口转换器可以在转换后交换数据。

2.3 应用级别

应用级别主要针对电力监控的运营主管，直接面向用户。该层也是系统的最高部分，主要由电力监控系统软件和必要的硬件设备组成，如服务器、打印机、交流不停电系统等。软件部分具有良好的人机交互界面，通过数据传输协议读取前端服务器采集的各种实时数据，自动通过计算和处理，以图形、数字、声音等的形式反映现场运行状态，能够接受操作员的操作命令，实时发送和检测操作的执行状态，确保电力用户的正常运行；电能计量管理功能根据用户报表格式进行设计。报告中包含的数据严格按照各种标准进行管理。用户只需搜索和打印，大大方便了操作，提高了工作效率。

3 安全接入区

如果生产控制区业务系统使用外部公共数据网络的无线通信网络或虚拟专用网络（VPN）在其终端之间的垂直连接中进行通信，则就建立安全接入区。当安全接入区与生产控制区连接时，必须通过特殊的单向电源绝缘装置进行有效隔离。安全接入区和生产控制区分又为几个网段，在生产控制区，除安全接入区外，严禁接入任何无线通信功能设备。其中安全接入区拓扑结构图如2 所示。

图2：安全接入区拓扑结构图

4 安全接入区认证与访问控制系统架构

基于上述电力监控系统的信息安全状况，安全接入区认证与访问控制系统架构设计如下：

（1）专用网络。在信息安全系统的建设中，必须连接在一个独立的网络中，并与工业控制系统的网络分离，以实现专用网络。

（2）安全分区。根据工控系统业务的重要性和功能划分不同的安全区，并在各安全区之间采取相应的隔离措施；此外，从总体成本的角度来看，还需要根据不同工控系统的特点提出防护强度，以便在不影响整体安全的情况下有效控制安全成本。

（3）“白名单”基线。白名单安全基线应通过访问工控制系统设备、网络、通信链路、主机进程、应用程序等方面建立。

（4）全面审计。从设备接入审计、网络审计、运行审计、安全管理和维护审计等多方面建立全面的立体审计体系。

（5）统一管理。通过实时采集安全管理平台，分析大数据的相关性，动态实时发现工控制系统网络中的风险并进行预警。有效提高信息安全效率，降低人员安全维护成本，提高企业整体安全防护水平。

综上所述，电力监控系统的安全接入区认证与访问控制机制架构设计如图3 所示。

图3：安全接入区认证与访问控制机制架构设计图

4.1 风险评估

通过风险评估服务，识别、整理、分析和记录电力监控系统中涉及的组件（系统、硬件、软件、网络、漏洞和安全配置），及时了解网络安全和漏洞配置，客观评估网络的风险水平，为下一阶段的安全防护提供必要的依据。同时，站内运维人员利用网络安全扫描工具，定期对整个网络的操作系统、数据库、网络设备和工控系统进行全面的漏洞评估和基本安全检查，及早认识网络薄弱环节，有针对性地预防和加强措施。

4.2 边界防护

控制区I 区和II 区的网络边界之间应安装工业防火墙，以保护和隔离I 区和II 区的边界。工业防火墙基于IP、端口和工业协议的访问控制策略基于黑名单行业规则，解决不同区域之间的逻辑隔离和非法访问问题；基于白名单的自学习特性，形成基本的白名单安全模型，解决不同区域之间的故障、非法操作、病毒、木马程序等恶意代码攻击问题；通过对工控协议的识别功能和深入分析，解决了基于工控协议脆弱性的攻击问题。

4.3 网络准入

在安全II 区中，安装网络访问控制设备，以控制电力监控系统的内部网络，并将内部非法连接到电力监控系统的终端设备（移动式电脑服务器、无线接入点、网络交换机等）进行网络隔离。利用网络准入技术控制外部设备对内部网络的访问，解决非法访问外部设备引起的IP 冲突问题和病毒等问题，以及非法传播内部设备，提高管理水平。

4.4 监控审计

在I 区和II 区接入交换机上分别旁路部署1 套工控安全监控审计系统，采用被动采集整个过程，分析控制系统和紧急停运系统的工控制过程，识别工业控制协议并对这些协议中功能代码、注册表地址、注册表地址范围、注册表指令读写控制、参数值等进行了深入分析。通过机器学习人工智能技术，为工业控制过程中的合法行为形成基本的白名单安全模型，发现潜在隐患并实时记录和验证工控制过程中的非法操作和误操作，为后期监控和定位提供确凿证据，帮助维护人员快速定位事故点，缩短系统恢复时间。解决安全I 和II区内部工控网络缺乏流量监控和审计措施的问题。

4.5 主机防护

主机保护系统实现对工业主机（包括操作员站、工程站、SCADA 服务器等）的恶意代码防护。利用机器自学习功能学习工业主机服务、进程和端口，形成基本白名单模型，拦截基本模型以外的恶意攻击代码，控制USB 端口，实现工业主机安全防护。修复大多数Windows XP、Windows 2003、Windows 7 和其他系统修补程序、薄弱的安全配置、防病毒软件和工业应用软件发行版之间的兼容性差以及无法更新病毒数据库。

4.6 安全操作和维护

在安全II 区部署安全管理平台和服务器，用于集中帐户管理、集中访问身份认证、集中用户授权和集中监控审计。在电力监控系统的运行和维护过程中，必须控制运行和维护人员的操作行为，不得进行非法操作，必须有效监测非法入境和其他行为，为后续监控提供依据。解决电力监控系统运行维护中存在的无监控、无审计、运行效率低、维护不足等问题。

4.7 统一管理

在安全II 区实施一系列工控安全管理平台，主要用于实时监控电力监控系统中工控网络和安全设备的运行状态，检测并及时预警非法传播、外部入侵等安全事件，收集电力监控系统原有网络设备和安全设备的日志信息。监控工控系统网络的通信过程和安全事件，从全局角度提取安全事件的根本原因，分析安全事件，追踪安全攻击的来源。评估和预测工控系统的网络现状和未来可能的攻击，为专业人员提供可靠有效的决策依据，将工控系统可能存在的风险和损失降至最低，并提高电力监控网络的整体安全保护水平。

5 结束语

综上所述，电力监控系统安全接入区认证与访问控制按照“安全分区、专网、水平隔离、垂直认证”保护的一般原则，提高了电力监控系统的整体安全防护能力，确保了电力监控系统和重要数据的安全。此外，可以快速响应电力监控系统的安全防护措施，准确控制安全异常和安全漏洞，有效减少电力系统安全防护人员和维护人员的工作任务。