關(guān)于電力監(jiān)控系統(tǒng)安全防護(hù)問(wèn)題的思考

楊延棟，劉威麟，於湘濤

（1.國(guó)網(wǎng)新疆電力有限公司電力科學(xué)研究院電網(wǎng)技術(shù)中心，新疆 烏魯木齊 830000；2.國(guó)網(wǎng)新疆電力有限公司調(diào)度控制中心，新疆 烏魯木齊 830000）

0 引 言

現(xiàn)階段，因?yàn)橛?jì)算機(jī)的快速發(fā)展，電廠內(nèi)原用的手動(dòng)監(jiān)視和控制逐漸被自動(dòng)化系統(tǒng)取代。此外，因?yàn)橐蕴W(wǎng)的廣泛使用，在自動(dòng)化系統(tǒng)之間有了更加頻繁的通信。同時(shí)，部分自動(dòng)化系統(tǒng)要通過(guò)和網(wǎng)絡(luò)進(jìn)行連接來(lái)進(jìn)行遠(yuǎn)程管理。這種存在眾多復(fù)雜系統(tǒng)的網(wǎng)絡(luò)通信難免會(huì)有著一定的安全隱患。針對(duì)這種情況，國(guó)家對(duì)二次系統(tǒng)的安全防護(hù)進(jìn)行了規(guī)定，進(jìn)而確保水電廠能夠安全穩(wěn)定運(yùn)行，給中國(guó)經(jīng)濟(jì)的發(fā)展奠定了堅(jiān)實(shí)基礎(chǔ)。

1 電力監(jiān)控系統(tǒng)安全防護(hù)的要求歸納

電力監(jiān)控系統(tǒng)針對(duì)生產(chǎn)控制、生產(chǎn)管理與通信管理網(wǎng)絡(luò)的設(shè)計(jì)，需要針對(duì)電力監(jiān)控系統(tǒng)的安全防護(hù)所需，遵循《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（國(guó)家發(fā)改委2014年第14號(hào)令）、《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范》（國(guó)家能源局國(guó)能安全2015年第36號(hào)）和《電力行業(yè)信息安全等級(jí)保護(hù)管理辦法》（國(guó)家能源局國(guó)能安全2014年第318號(hào)）的要求[1]。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中，把網(wǎng)絡(luò)和信息安全由原本規(guī)章制度的級(jí)別提升到了國(guó)家法律層次。電力監(jiān)控系統(tǒng)所實(shí)施的安全防護(hù)，要按照十六字方針的規(guī)定，及時(shí)對(duì)外部網(wǎng)絡(luò)的邊界進(jìn)行隔離，并設(shè)置合適的安全防護(hù)和預(yù)警系統(tǒng)，運(yùn)用專業(yè)的技術(shù)更快速地發(fā)現(xiàn)網(wǎng)絡(luò)異常，逐步形成科學(xué)高效的安全防護(hù)體系，及時(shí)加以防護(hù)。要做好電力監(jiān)控系統(tǒng)的安全防護(hù)工作，一定設(shè)置好三道防線——第一道防線系統(tǒng)邊界，第二道防線網(wǎng)絡(luò)傳輸邊界，第三道防線業(yè)務(wù)主機(jī)。

2 電力監(jiān)控系統(tǒng)安全防護(hù)主要的業(yè)務(wù)歸類和安全分區(qū)

按照電力監(jiān)控系統(tǒng)具有的特點(diǎn)和其他業(yè)務(wù)系統(tǒng)的重要程度、運(yùn)行情況等，把電力監(jiān)控系統(tǒng)進(jìn)行分類，即2個(gè)大區(qū)、3個(gè)小區(qū)以及安全接入?yún)^(qū)。對(duì)于3個(gè)安全區(qū)而言，安全區(qū)Ⅰ是控制區(qū)，主要部署了核心系統(tǒng)以及能夠隨時(shí)進(jìn)行監(jiān)控的系統(tǒng)，是進(jìn)行電力生產(chǎn)的重點(diǎn)區(qū)域。系統(tǒng)在不間斷的運(yùn)行過(guò)程中，可以通過(guò)數(shù)據(jù)網(wǎng)絡(luò)或是專用通道實(shí)現(xiàn)信息傳輸，是進(jìn)行安全防護(hù)必不可少的，安全級(jí)別排在第一位。安全區(qū)Ⅱ是非控制區(qū)，是進(jìn)行電力生產(chǎn)不可或缺的一部分。此區(qū)沒(méi)有設(shè)置可以進(jìn)行遠(yuǎn)方控制的系統(tǒng)，系統(tǒng)運(yùn)行中通過(guò)對(duì)數(shù)據(jù)網(wǎng)絡(luò)的運(yùn)用，能夠很好地傳輸信息內(nèi)容，也是安全防護(hù)的重點(diǎn)環(huán)節(jié)，但它的安全等級(jí)較安全區(qū)I低。調(diào)度生產(chǎn)的管理區(qū)是安全區(qū)Ⅲ，能夠完成電力調(diào)度，并且注重管理優(yōu)化，是對(duì)管理水平與決策能力系統(tǒng)的優(yōu)化。它可以不直接與電力生產(chǎn)環(huán)節(jié)閉環(huán)。安全接入?yún)^(qū)與生產(chǎn)控制大區(qū)中的業(yè)務(wù)連接，需經(jīng)過(guò)電力專用橫向反向隔離裝置，然后與外部網(wǎng)絡(luò)相連接。在設(shè)置硬件防火墻后，電源將會(huì)通過(guò)北斗星接入，然后利用配網(wǎng)系統(tǒng)連接GPRS通道。整個(gè)過(guò)程都需接觸安全接入?yún)^(qū)域[2]。

3 電力監(jiān)控系統(tǒng)安全防護(hù)的主要策略

隨著國(guó)內(nèi)外信息安全形勢(shì)的發(fā)展，尤其是在伊朗布什爾核電站受到“震網(wǎng)”蠕蟲(chóng)病毒攻擊的事件后，使得工業(yè)控制系統(tǒng)存在的安全問(wèn)題顯現(xiàn)出來(lái)，同時(shí)電力企業(yè)開(kāi)始重視對(duì)監(jiān)控系統(tǒng)的安全防護(hù)，并且進(jìn)行了深入的研究與反思。

3.1 在安全接入?yún)^(qū)設(shè)置專用橫向單向安全隔離裝置

2014年，由國(guó)家發(fā)改委發(fā)布了《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（以下簡(jiǎn)稱《規(guī)定》）。就技術(shù)和管理兩方面的安全防護(hù)而言，對(duì)電力監(jiān)控系統(tǒng)有更嚴(yán)格的要求?！兑?guī)定》中強(qiáng)調(diào)了電力監(jiān)控系統(tǒng)的防護(hù)原則，提出了在生產(chǎn)控制大區(qū)內(nèi)要堅(jiān)持“安全接入?yún)^(qū)”這一理念，并指出了如果生產(chǎn)控制大區(qū)的業(yè)務(wù)系統(tǒng)和它的終端縱向進(jìn)行連接時(shí)，在使用無(wú)線通信網(wǎng)進(jìn)行通信時(shí)，一定要設(shè)好安全接入?yún)^(qū)，并在安全接入?yún)^(qū)和生產(chǎn)控制大區(qū)其他部分的聯(lián)接處還要設(shè)好橫向單向安全隔離裝置，如圖1所示。

圖1 安全接入?yún)^(qū)設(shè)置

在生產(chǎn)控制大區(qū)中，除了安全接入?yún)^(qū)外，管理層面不可使用能夠進(jìn)行無(wú)線通信的設(shè)備?？紤]到國(guó)家政府機(jī)關(guān)對(duì)中央企業(yè)信息安全等級(jí)保護(hù)工作的要求，《規(guī)定》中明確規(guī)定了在電力監(jiān)控系統(tǒng)安全防護(hù)里信息安全等級(jí)保護(hù)的重要地位。

3.2 加強(qiáng)電力系統(tǒng)安全防護(hù)的業(yè)務(wù)傳輸、縱向認(rèn)證

一是對(duì)縱向加密設(shè)置的認(rèn)證。這個(gè)裝置安置在廣域網(wǎng)絡(luò)與局域網(wǎng)絡(luò)的連接處，一般在局域網(wǎng)絡(luò)與廣域網(wǎng)絡(luò)的交換機(jī)之間。該裝置通常要成對(duì)使用，一方用來(lái)加密，另一方用來(lái)解密。但是，也存在特殊情況，即單使用其中一方，通常這一用法不具備加密操作。縱向加密操作與防火墻的結(jié)合，可以使裝置在進(jìn)行訪問(wèn)設(shè)置時(shí)，實(shí)現(xiàn)對(duì)身份的認(rèn)證和相關(guān)數(shù)據(jù)內(nèi)容的加密。這樣能夠確保數(shù)據(jù)傳輸更加安全，保護(hù)數(shù)據(jù)的完整性。不僅如此，它還可以進(jìn)行安全過(guò)濾。電力系統(tǒng)中有專用設(shè)置，它可以借助于調(diào)度設(shè)備證書(shū)的身份進(jìn)行認(rèn)證，以此確保遠(yuǎn)程通信設(shè)備的合法性。采用國(guó)家密碼局專為電力系統(tǒng)頒發(fā)的加密算法和因子，對(duì)遠(yuǎn)程通信的報(bào)文進(jìn)行加密處理，以此確保不同類型的信息內(nèi)容不會(huì)被遠(yuǎn)程傳輸過(guò)程中被截取與篡改。二是構(gòu)建縱向防線?？v向防線就是縱向進(jìn)行加密認(rèn)證，有效保護(hù)上下層級(jí)的業(yè)務(wù)系統(tǒng)在縱向進(jìn)行傳輸數(shù)據(jù)時(shí)的安全性。通常是在局域網(wǎng)和廣域網(wǎng)的縱向連接處以及地調(diào)主站和縣調(diào)遠(yuǎn)程終端的連接處來(lái)部署電力專用縱向加密認(rèn)證裝置，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問(wèn)控制[3]。

3.3 電力系統(tǒng)縱深防御的技術(shù)需求

在生產(chǎn)控制區(qū)域的業(yè)務(wù)系統(tǒng)操作中，不僅需要保障系統(tǒng)的安全度，也要發(fā)揮加密設(shè)置的相關(guān)功能。為此，相關(guān)工作人員需要首先具備調(diào)度數(shù)字系統(tǒng)的專業(yè)證書(shū)，然后進(jìn)行關(guān)鍵步驟的運(yùn)行。它可以將遠(yuǎn)程業(yè)務(wù)進(jìn)行加密，然后以身份認(rèn)證等形式加強(qiáng)保護(hù)。其中，針對(duì)帶有遙控功能的配網(wǎng)而言，需要將加密設(shè)置與身份認(rèn)證相結(jié)合，以此加固系統(tǒng)，使現(xiàn)代科技成為安全保障。當(dāng)然，電力系統(tǒng)中的日常維護(hù)需要鞏固不足支持與虛弱之處，然后使專業(yè)技術(shù)成為整個(gè)系統(tǒng)加固的保障所在。

4 結(jié) 論

如今，計(jì)算機(jī)技術(shù)飛速發(fā)展且受到了大力歡迎。電力監(jiān)控系統(tǒng)的安全防護(hù)問(wèn)題受到了重視，因?yàn)橛?jì)算機(jī)技術(shù)存在于電力生產(chǎn)的很多環(huán)節(jié)。根據(jù)責(zé)任落實(shí)制度，要確保主管單位與運(yùn)營(yíng)單位的職責(zé)，使各級(jí)工作人員明確掌握防護(hù)工作的開(kāi)展要點(diǎn)，從而使先進(jìn)技術(shù)成為安全防護(hù)工作的保障所在。

參考文獻(xiàn)：

[1] 周振輝.電力監(jiān)控系統(tǒng)安全防護(hù)風(fēng)險(xiǎn)分析及軟件配置[C].2016年中國(guó)電機(jī)工程學(xué)會(huì)年會(huì)論文集，2016：1-4.

[2] 劉帝勇，劉 雙.三門(mén)核電站電力監(jiān)控系統(tǒng)安全防護(hù)方案研究[C].第四屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)論文集，2015：1-5，11.

[3] 高夏生，黃少雄，梁 肖，等.電力監(jiān)控系統(tǒng)安全防護(hù)要素[J].電腦知識(shí)與技術(shù)，2017，13（8）：212-214，222.