淺談電力監控系統網絡安全防護體系建設

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了淺談電力監控系統網絡安全防護體系建設范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要:隨著網絡系統的不斷發展，對電能的需求不斷增加，電力系統也迅速發展。但從我國電力監控及系統安全防護工作的實施情況來看，仍然存在一些需要重視的問題。為確保不發生電力監控系統網絡安全事件，應積極發現電力監控系統網絡安全問題并解決完善，才能使電力系統的安全性和穩定性得到保障，提高電力監控系統網絡安全防護水平。

關鍵詞:電力監控;網絡安全;系統;安全防護

引言

近些年來，隨著電力系統的進步和發展，電力系統的自動化、信息化、智能化技術得到了更為有力的技術支持。但作為不少國家重要的“網絡戰場”，電力監控系統的安全問題顯得越發突出，如何確保電力系統能足夠安全、穩定地運行成為現階段電力企業建設發展的主要研究對象。當前各地的電力監控系統網絡安全水平參差不齊，如何使各地電力監控網絡安全水平達到統一，是一個亟待解決的難題。

1電力監控系統網絡安全防護現狀

網絡安全隱患從軟件向硬件延伸，系統網絡安全情況不容樂觀，這引起我國相關行業主管部門高度重視，2002年原國家經貿委《電網和電廠計算機監控系統及調度數據網絡安全防護規定》，2005年原國家電監會《電力二次系統安全防護規定》，2014年國家發改委《電力監控系統安全防護規定》，2016年工信部《工業控制系統信息安全防護指南》提出了11項工控網絡安全重要措施，2017年全國人大頒布的《中華人民共和國網絡安全法》，在我國相關政策法規的指導下，電力行業用了將近20年的時間，建立了比較完善的電力監控系統網絡安全防護體系。從2016年工信部的《工業控制系統信息安全防護指南》以來，強化了電力行業對生產控制大區的動態實時感知，并且升級了關鍵網絡安全實施，同時建立網絡安全專職機構隊伍，從而完善電力監控系統安全防護體系，并保證了電力系統安全穩定的運行。計算機監控系統是電力系統的主要組成部分，并且對電力系統的安全可靠運行有著重要的作用，在電力企業發展的過程中，計算機監控系統會因為多種原因而出現運行不暢的問題，導致無法安裝安全防護軟件和不能升級相關操作系統，這便是多數發電企業電力監控系統在運行的過程中所存在的安全隱患。所以按照網絡安全分區的原則來講，電力監控系統安全區的系統和其他系統之間是沒有聯系的，但如果出現病毒入侵的情況，就會導致不設防的其他系統處于危險的狀況。所以需要相關電力系統工作人員，不斷完善其網絡安全防護工作，使電力系統運行能夠有相對較高的安全性和可靠性。

2建設電力監控系統網絡安全的范圍與目標

電力監控系統網絡安全防護工作由調控中心統一管理，設立網絡安全管理專職，防范黑客及惡意代碼等對電力監控系統發起攻擊和侵害，特別是抵御集團式攻擊，防止電力監控系統癱瘓。同時也要完成以下安全防護指標:地調安全防護專業人員配備率100%;廠站安全防護縱向加密設備覆蓋率100%;內網安全監視平臺覆蓋率100%;控制功能調度數字證書覆蓋率100%;地調管轄發電廠電力監控系統安全防護方案審核完成率100%;廠站安全防護縱向加密設備密通率不小于90%。同時，使各地電力監控網絡安全水平達到一致。

3電力監控系統網絡安全防護的關鍵技術

3．1風險評估技術

在安全防護技術中，風險評估是非常重要的一項技術，是對主機的風險泄露和通過網絡遠程監控其他主機風險漏洞的分析，風險評估系統的主要工作目標便是服務器、工作站和數據庫等，利用網絡安全監測裝置掃描監控目標可能存在的風險隱患。并對其安全性和風險程度進行分析，確定系統網絡信息是否安全，并對系統網絡信息的安全性提出具體整改建議。在進行風險評估技術時，也經常會利用網絡漏洞掃描方式。在信息安全防護過程中，風險評估主要是一種輔助手段，還需要利用VPN、防火墻比如氫檢測的方式來完成信息安全防護工作。

3．2物理隔離技術

“安全分區，網絡專用，橫向隔離，縱向認證”中的橫向隔離便是主要依賴物理隔離技術，在網絡邊界防護中，必須采用經國家指定部門檢測認證的橫向安全隔離裝置連接2個獨立的主機系統，這樣能夠保證不直接連通并且傳輸和共享數據資源。目前的物理隔離技術主要使用的有實時開關、單向連接和網絡交換器這三種隔離裝置。其中實時開關可以實現在同一時間隔離內外網絡，并且實現數據聯通進行快速的處理數據。再連接一個網絡獲取數據，然后轉動開關到另一個網絡，將之前獲取的數據傳輸到另一個網絡，能夠快速地在兩個網絡之間移動數據，并且實現實時處理的效果。同時在傳輸數據時，實時開關會終止網絡連接，這便不會存在漏洞風險，與此同時還能夠利用實時開關避免遭到病毒侵害。單向連接指的便是單向地從源網向目的網傳輸數據，這樣便成為了一個“只讀”網絡，同時數據不能反向向源網傳輸，單向連接需要利用硬件實現，因為這樣可以避免數據傳錯。而網絡交換器指的便是一臺計算機中有兩個虛擬機，在一個虛擬機當中寫入數據，然后再傳輸到另一個虛擬機中。在傳輸數據過程中速度會相對較慢，無法實現實時工作。所以網絡轉換器通常都具備雙接口的硬件卡，雙接口都連接著相互隔離的網絡，但在同一時間只能激活一個網絡。

3．3SSL技術與IPSec技術

SSL協議主要利用傳輸層進行傳輸，在應用層影響下保護網絡傳輸信息。它具有透明性、應用性和可移植性，SSL電力系統安全通道主要包括SSL服務器和SSL客戶端，SSL客戶端主要在瀏覽器上負責認證服務器端的實際深入，而SSL服務器是在WEB服務器上負責實現客戶端的身份驗證。SSL可以使數據進行加密傳輸，并對數據保密性進行更好地保護，利用MAC來保護信息的完整度，然后再通過數字證書來驗證發送者與接受者的身份。IPSec是利用AH協議與ESP協議實現安全性，IPSec可以提供各種安全服務，利用身份認證制實施訪問控制，在通信前通過IKE協商SA，然后利用公鑰簽名機制進行身份驗證，IP-Sec可以在數據包發放前利用信息鑒別機制實施數據源認證，然后應用信息鑒別法計算MAC，采用HMAC輸入部分信息與密鑰，輸出MAC，在接收到IP數據包后在用相同的方式計算數據，在獲取的數據完全相同后，便表示數據通過驗證。

4電力監控網絡安全的建設內容

4．1成立工作小組

成立以調控中心主任為工作小組組長的組織機構，工作小組成員包含:主站自化、運檢部自動化、調度自動化、通信管理員、并網電廠負責人，負責統籌與管理，下面又有著實際操作者，與工作管理人員在網絡安全監控管理本地管理工作開展中，在實際管理的過程中，不同角色之間所承擔的管理責任有所不同。如管理員能夠對安全監測裝置進行時區管理、進程管理、用戶操作管理等;操作者則需要強大的知識量來負責各個部門不同的網絡安全工作。上下配合，才能做好電力監控網絡安全建設。

4．2網絡安全監測裝置的功能實施

在網絡安全監測裝置功能實施之前，需要能夠實現對該裝置的安裝，首先需要注意安裝布線，完成網絡安全監測裝置的設備上架及網絡布線，在接線的工作完成之后，對接入的設備進行及時的軟硬件的更新和升級，并且根據實際的運行，使用相關的運行數據進行適當的修改和調整。按照國家能源局〔2015〕36號文件及部分省電力公司調度的要求，35kV及以上電壓等級并網發電廠，要求在一、二區部署網絡安全監測裝置。

4．3制訂安全防護方案

根據《關于發電企業電力監控系統安全防護工作要求的通知》，加強發電企業的電力監控系統的安全防護管理。第一，項目在前期的評審期間，根據“安全分區，網絡專用，橫向隔離，縱向認證”的基本原則，要求發電企業分區配置接入相應的加密認證裝置、物理隔離裝置、防火墻等相關安全設備。第二，主廠站專門對安全設備進行聯合調試，調試完成后進行現場檢查驗收，嚴格要求完全通過驗證流程。第三，部署入侵檢測系統。具有等保二級系統的發電廠，需要主動部署入侵檢測系統，實現對數據網數據的全監視，提前發現入侵行為。并在其他方面要求發電企業制定內部安全管理制度，明確網絡安全管理措施與網絡安全負責人，要求發電企業制定網絡安全事件應急預案，并且需要進行定期的演練。

5結語

保障電力監控系統安全是共同的責任，所以需要通過管理和技術體系建設來完成相關指標要求，全面提升地區電力監控系統網絡安全防護能力，使系統防護水平及人員的技能、安全防護意識得到很大的提升，從而為后續安防工作打下基礎，從而共筑電力監控系統網絡安全防線。

參考文獻:

［1］鐘麗波，周洋，馬煜，等．基于泛在電力物聯網的電力監控系統安全防護研究［J］．東北電力技術，2019，40(11):28－30．

［2］王劍．電力監控系統在供配運行過程中的應用［J］．煉油與化工，2018(6)．49

作者：胡倩云 單位：廣州市增城區水務局