電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)的現(xiàn)狀與改進(jìn)方法

趙毅

摘要：我國對(duì)電力的需求已隨著國民經(jīng)濟(jì)的發(fā)展在與日俱增，電力信息具有一定的保密性，采取相關(guān)措施對(duì)其進(jìn)行安全保護(hù)是極其重要的。而使用計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)等，能夠有效解決電力安全方面的問題，促使電力系統(tǒng)相關(guān)數(shù)據(jù)信息的安全得到保障。為確保不發(fā)生電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全事件，通過成立工作小組、制訂安全防護(hù)方案、完善安全防護(hù)結(jié)構(gòu)，形成完整的安全防護(hù)體系，有效提高了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平。

關(guān)鍵詞：電力監(jiān)控、網(wǎng)絡(luò)安全、安全現(xiàn)狀、改進(jìn)方法

一.電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的考核評(píng)估

網(wǎng)絡(luò)安全的考核評(píng)估主要從兩方面進(jìn)行：一是通過制度、發(fā)文、流程檢查的形式，檢查是否成立電力監(jiān)控系統(tǒng)安全防護(hù)建設(shè)小組、設(shè)立網(wǎng)絡(luò)安全專責(zé)、制訂安全防護(hù)方案，是否有效組織主站、廠站、并網(wǎng)電廠等各方實(shí)施電力監(jiān)控系統(tǒng)安全防護(hù)建設(shè);二是采用正態(tài)分布或五分位法對(duì)指標(biāo)值進(jìn)行分段評(píng)價(jià)，評(píng)價(jià)范圍包括地縣調(diào)控機(jī)構(gòu)、運(yùn)維范圍內(nèi)變電站和調(diào)度范圍內(nèi)發(fā)電廠，評(píng)價(jià)形式為內(nèi)網(wǎng)監(jiān)控平臺(tái)統(tǒng)計(jì)和現(xiàn)場(chǎng)檢查，評(píng)價(jià)計(jì)算式為“電力監(jiān)控系統(tǒng)安全防護(hù)主要指標(biāo)完成率=0.2×地調(diào)安全防護(hù)專業(yè)人員配備率+0.2×廠站安全防護(hù)縱向設(shè)備覆蓋率+0.2×內(nèi)網(wǎng)安全監(jiān)視平臺(tái)覆蓋率+0.2×控制功能調(diào)度數(shù)字證書覆蓋率+0.1×地調(diào)管轄發(fā)電廠電力監(jiān)控系統(tǒng)安全防護(hù)方案審核完成率+0.1×廠站安全防護(hù)縱向設(shè)備密通率”。通過這些真實(shí)案例，集控中心及暴露出大量電力監(jiān)控系統(tǒng)的安全漏洞，

主要有以下安全問題。

1.集控中心及生產(chǎn)控制大區(qū)內(nèi)缺少安全防護(hù)措施

集控中心和的信息網(wǎng)絡(luò)安全防護(hù)手段主要集中在生產(chǎn)控制大區(qū)與管理信息大區(qū)的網(wǎng)絡(luò)邊界之間，生產(chǎn)控制大區(qū)與電網(wǎng)調(diào)度系統(tǒng)網(wǎng)絡(luò)邊界之間，生產(chǎn)控制大區(qū)與第三方監(jiān)管機(jī)構(gòu)網(wǎng)絡(luò)邊界之間，通常使用網(wǎng)絡(luò)隔離產(chǎn)品與安全加密類產(chǎn)品。但是，在生產(chǎn)控制大區(qū)內(nèi)部缺少有效的網(wǎng)絡(luò)信息安全防護(hù)手段及措施。

2.工業(yè)控制系統(tǒng)自身存在漏洞、防護(hù)措施薄弱

集控中心和使用的工業(yè)級(jí)控制系統(tǒng)在硬件設(shè)計(jì)開始時(shí)很少考慮安全問題，導(dǎo)致安全漏洞的出現(xiàn)。如施耐德公司的67160型PLC存在IP分片語法拒絕服務(wù)漏洞（CNVD-2016-07839），這些高危漏洞的存在給電力行業(yè)信息網(wǎng)絡(luò)安全帶來無法估量的安全風(fēng)險(xiǎn)。

3.操作系統(tǒng)存在漏洞

目前大多數(shù)集控中心及控制系統(tǒng)的工程師站/操作員站/HMI采用的是Windows平臺(tái)，Windows平臺(tái)存在大量的安全漏洞。為保證過程控制系統(tǒng)的相對(duì)獨(dú)立性，同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行，通?，F(xiàn)場(chǎng)工程師在系統(tǒng)運(yùn)行后不會(huì)對(duì)Windows平臺(tái)安裝任何補(bǔ)丁，安全隱患很大。而且在傳統(tǒng)觀念上認(rèn)為相對(duì)安全的Linux、Unix等系統(tǒng)，近年來也爆發(fā)了大量高危漏洞，這些系統(tǒng)在使用的過程中也需要對(duì)系統(tǒng)進(jìn)行漏洞管理工作。

4.應(yīng)用軟件存在漏洞

由于集控中心及使用的SCADA控制軟件多為各企業(yè)定制化產(chǎn)品，在軟件開發(fā)階段缺少安全設(shè)計(jì)，導(dǎo)致這類軟件存在大量的安全漏洞。

二.電力監(jiān)控系統(tǒng)現(xiàn)階段安全防護(hù)的主要問題

1.技術(shù)管理方面的問題

電力監(jiān)控系統(tǒng)現(xiàn)階段存在安全防護(hù)技術(shù)管理方面的問題，主要包含分區(qū)錯(cuò)誤和跨區(qū)并聯(lián)等，首先是分區(qū)錯(cuò)誤的問題，這一問題的發(fā)生，主要是由于電力監(jiān)控系統(tǒng)本身具有復(fù)雜性和多樣性等特點(diǎn)，使得系統(tǒng)確定安全等級(jí)時(shí)存在一定困難，并且這一過程的成本比較多，在系統(tǒng)論角度下，需要將其中具備有不同特性以及重要性的系統(tǒng)進(jìn)行相關(guān)的安全程度分區(qū)處理，針對(duì)性確立安全防護(hù)策略，促使其能夠達(dá)到不同等級(jí)的安全防護(hù)的具體要求。但是確立電力監(jiān)控系統(tǒng)的安全防護(hù)體系時(shí)，在初期的規(guī)劃工作以及建設(shè)的過程中，往往由于對(duì)網(wǎng)絡(luò)的重視程度不足而造成在建設(shè)完成后出現(xiàn)設(shè)備和系統(tǒng)分區(qū)時(shí)定義等錯(cuò)誤情況。

跨區(qū)并聯(lián)主要是在對(duì)生產(chǎn)控制區(qū)域相對(duì)比較大和管理信息范圍比較大的區(qū)域設(shè)置單項(xiàng)安全隔離裝置等，而在一些控制區(qū)域、非控制區(qū)域之間使用防火墻等系統(tǒng)實(shí)施相應(yīng)的訪問控制工作，促使實(shí)現(xiàn)邏輯隔離的效果。在通常情況下，安全等級(jí)較低的系統(tǒng)在將數(shù)據(jù)傳輸?shù)降燃?jí)高的系統(tǒng)時(shí)，需要實(shí)施反向隔離傳輸，也需要對(duì)其傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理，在現(xiàn)階段的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)建設(shè)的過程中，人們?cè)诰W(wǎng)絡(luò)安全方面的防護(hù)意識(shí)相對(duì)比較薄弱，其中監(jiān)控系統(tǒng)存在有跨區(qū)互聯(lián)等現(xiàn)象。

2.運(yùn)行管理方面的問題

在建設(shè)和實(shí)際管理電力監(jiān)控系統(tǒng)的安全防護(hù)體系時(shí)，也存在一定的問題，首先是其中存在著數(shù)據(jù)明文管理的現(xiàn)象，密碼口令泄漏時(shí)，就會(huì)造成防護(hù)系統(tǒng)整體失去防護(hù)能力。其次，電力監(jiān)控系統(tǒng)運(yùn)行管理中臺(tái)賬和拓?fù)鋱D等方面的內(nèi)容和實(shí)際情況不符合，在出現(xiàn)系統(tǒng)故障問題或者出現(xiàn)系統(tǒng)異常時(shí)，不能夠在第一時(shí)間內(nèi)尋找故障的源頭，使得設(shè)備的風(fēng)險(xiǎn)難以得到控制。同時(shí)其中也包含其他方面的問題，在運(yùn)行管理的過程中，機(jī)房準(zhǔn)入制度不健全，在防范系統(tǒng)物理入侵等現(xiàn)象時(shí)有效性較低，沒有比較完備的系統(tǒng)備份制度，促使系統(tǒng)在管理的過程中，由于受到襲擊而難以及時(shí)恢復(fù)。

三.對(duì)現(xiàn)有存在問題的改進(jìn)方法建議

1.深化網(wǎng)絡(luò)和信息安全組織管理以及體系建設(shè)

首先，企業(yè)必須認(rèn)識(shí)到信息安全的重要性，也要直面企業(yè)現(xiàn)狀和有可能遇到的風(fēng)險(xiǎn)，加強(qiáng)組織領(lǐng)導(dǎo)，在國家相關(guān)法律的支持下，嚴(yán)格落實(shí)相關(guān)部門人員及經(jīng)費(fèi)，將網(wǎng)絡(luò)信息安全管理融入生產(chǎn)安全評(píng)估考核，真正做到責(zé)任落實(shí)到位。其次，成立以調(diào)控中心主任為工作小組組長的組織機(jī)構(gòu)，在地調(diào)設(shè)立網(wǎng)絡(luò)安全專責(zé)，全面負(fù)責(zé)組織地區(qū)電力監(jiān)控系統(tǒng)安全防護(hù)體系建設(shè)工作。工作小組成員包含主站自動(dòng)化、運(yùn)檢部自動(dòng)化、縣調(diào)自動(dòng)化、通信、并網(wǎng)電廠負(fù)責(zé)人等。

2.制定安全防護(hù)方案

依據(jù)國家發(fā)改委 [2014]14 號(hào)令的《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》、國能安全 [2015]36 號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案和評(píng)估規(guī)范》，結(jié)合省公司調(diào)控中心的統(tǒng)一部署，制定《地縣級(jí)調(diào)度中心監(jiān)控系統(tǒng)安全防護(hù)方案》、《發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案》、《變電站監(jiān)控系統(tǒng)安全防護(hù)方案》，經(jīng)相關(guān)審核、批準(zhǔn)、備案后實(shí)施。印發(fā)《關(guān)于發(fā)電企業(yè)電力監(jiān)控系統(tǒng)安全防護(hù)工作要求的通知》，以加強(qiáng)并網(wǎng)電廠安全防護(hù)工作。

3.規(guī)范管理安防系統(tǒng)及安全等級(jí)保護(hù)工作

首先要加強(qiáng)整體安防機(jī)制，規(guī)避由于保護(hù)不到位生產(chǎn)的安全風(fēng)險(xiǎn)。其次，生產(chǎn)控制大區(qū)必須禁止外部撥號(hào)訪問，以保證數(shù)據(jù)的完整及機(jī)密性。再者，必須進(jìn)一步加強(qiáng)網(wǎng)絡(luò)用戶的身份核驗(yàn)，避免一臺(tái)服務(wù)器布置不同的網(wǎng)段地址。將不同安全區(qū)的數(shù)據(jù)進(jìn)行橫向隔離，以此方法實(shí)現(xiàn)電力調(diào)度網(wǎng)內(nèi)的數(shù)據(jù)和其他網(wǎng)絡(luò)的物理隔離，在生產(chǎn)控制大區(qū)和管理信息大區(qū)之間設(shè)置網(wǎng)絡(luò)安全隔離裝置，以正向型和反向型兩種網(wǎng)絡(luò)隔離方式來區(qū)分不同的隔離功能。

4.加強(qiáng)基礎(chǔ)設(shè)施及人才隊(duì)伍的建設(shè)

企業(yè)需要儲(chǔ)備一點(diǎn)數(shù)量的網(wǎng)絡(luò)信息安全管理的技術(shù)人才，規(guī)范相關(guān)工作制度及操作安全，提高整個(gè)企業(yè)全體工作人員的信息安全意識(shí)。外包業(yè)務(wù)要加強(qiáng)相關(guān)人員信息安全的培訓(xùn)力度。

5.提高安全事件應(yīng)急處理能力

企業(yè)需要加強(qiáng)安全應(yīng)急預(yù)案及處理方法的編寫、審核等工作，定期組織安全應(yīng)急演習(xí)，以及信息安全攻擊演習(xí)，以提高電力系統(tǒng)遇到攻擊后的應(yīng)急處理能力。

四、結(jié)語：

綜上所述，電力監(jiān)控系統(tǒng)是電力安全生產(chǎn)中最重要的環(huán)節(jié)之一，網(wǎng)絡(luò)安全是國家保證一切生產(chǎn)生活正?；南葲Q條件，通過管理和技術(shù)體系建設(shè)，完成了相關(guān)指標(biāo)要求，全面提升了地區(qū)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力;系統(tǒng)防護(hù)水平及人員的技能、安全防護(hù)意識(shí)得到進(jìn)一步提升，為后續(xù)安防工作打下了基礎(chǔ)。

參考文獻(xiàn)

[1] 周? 寧 重慶電網(wǎng)二次系統(tǒng)安全防護(hù)體系結(jié)構(gòu)及關(guān)鍵技術(shù)研究[D].重慶大學(xué)，2015

[2] 章偉華 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)探討[J].信息記錄材料，2017，18（6）：46-47.