楊延棟，劉威麟，於湘濤

（1.國網(wǎng)新疆電力有限公司電力科學研究院電網(wǎng)技術(shù)中心，新疆 烏魯木齊 830000；2.國網(wǎng)新疆電力有限公司調(diào)度控制中心，新疆 烏魯木齊 830000）

0 引 言

現(xiàn)階段，因為計算機的快速發(fā)展，電廠內(nèi)原用的手動監(jiān)視和控制逐漸被自動化系統(tǒng)取代。此外，因為以太網(wǎng)的廣泛使用，在自動化系統(tǒng)之間有了更加頻繁的通信。同時，部分自動化系統(tǒng)要通過和網(wǎng)絡進行連接來進行遠程管理。這種存在眾多復雜系統(tǒng)的網(wǎng)絡通信難免會有著一定的安全隱患。針對這種情況，國家對二次系統(tǒng)的安全防護進行了規(guī)定，進而確保水電廠能夠安全穩(wěn)定運行，給中國經(jīng)濟的發(fā)展奠定了堅實基礎。

1 電力監(jiān)控系統(tǒng)安全防護的要求歸納

電力監(jiān)控系統(tǒng)針對生產(chǎn)控制、生產(chǎn)管理與通信管理網(wǎng)絡的設計，需要針對電力監(jiān)控系統(tǒng)的安全防護所需，遵循《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（國家發(fā)改委2014年第14號令）、《電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范》（國家能源局國能安全2015年第36號）和《電力行業(yè)信息安全等級保護管理辦法》（國家能源局國能安全2014年第318號）的要求[1]。《中華人民共和國網(wǎng)絡安全法》中，把網(wǎng)絡和信息安全由原本規(guī)章制度的級別提升到了國家法律層次。電力監(jiān)控系統(tǒng)所實施的安全防護，要按照十六字方針的規(guī)定，及時對外部網(wǎng)絡的邊界進行隔離，并設置合適的安全防護和預警系統(tǒng)，運用專業(yè)的技術(shù)更快速地發(fā)現(xiàn)網(wǎng)絡異常，逐步形成科學高效的安全防護體系，及時加以防護。要做好電力監(jiān)控系統(tǒng)的安全防護工作，一定設置好三道防線——第一道防線系統(tǒng)邊界，第二道防線網(wǎng)絡傳輸邊界，第三道防線業(yè)務主機。

2 電力監(jiān)控系統(tǒng)安全防護主要的業(yè)務歸類和安全分區(qū)

按照電力監(jiān)控系統(tǒng)具有的特點和其他業(yè)務系統(tǒng)的重要程度、運行情況等，把電力監(jiān)控系統(tǒng)進行分類，即2個大區(qū)、3個小區(qū)以及安全接入?yún)^(qū)。對于3個安全區(qū)而言，安全區(qū)Ⅰ是控制區(qū)，主要部署了核心系統(tǒng)以及能夠隨時進行監(jiān)控的系統(tǒng)，是進行電力生產(chǎn)的重點區(qū)域。系統(tǒng)在不間斷的運行過程中，可以通過數(shù)據(jù)網(wǎng)絡或是專用通道實現(xiàn)信息傳輸，是進行安全防護必不可少的，安全級別排在第一位。安全區(qū)Ⅱ是非控制區(qū)，是進行電力生產(chǎn)不可或缺的一部分。此區(qū)沒有設置可以進行遠方控制的系統(tǒng)，系統(tǒng)運行中通過對數(shù)據(jù)網(wǎng)絡的運用，能夠很好地傳輸信息內(nèi)容，也是安全防護的重點環(huán)節(jié)，但它的安全等級較安全區(qū)I低。調(diào)度生產(chǎn)的管理區(qū)是安全區(qū)Ⅲ，能夠完成電力調(diào)度，并且注重管理優(yōu)化，是對管理水平與決策能力系統(tǒng)的優(yōu)化。它可以不直接與電力生產(chǎn)環(huán)節(jié)閉環(huán)。安全接入?yún)^(qū)與生產(chǎn)控制大區(qū)中的業(yè)務連接，需經(jīng)過電力專用橫向反向隔離裝置，然后與外部網(wǎng)絡相連接。在設置硬件防火墻后，電源將會通過北斗星接入，然后利用配網(wǎng)系統(tǒng)連接GPRS通道。整個過程都需接觸安全接入?yún)^(qū)域[2]。

3 電力監(jiān)控系統(tǒng)安全防護的主要策略

隨著國內(nèi)外信息安全形勢的發(fā)展，尤其是在伊朗布什爾核電站受到“震網(wǎng)”蠕蟲病毒攻擊的事件后，使得工業(yè)控制系統(tǒng)存在的安全問題顯現(xiàn)出來，同時電力企業(yè)開始重視對監(jiān)控系統(tǒng)的安全防護，并且進行了深入的研究與反思。

3.1 在安全接入?yún)^(qū)設置專用橫向單向安全隔離裝置

2014年，由國家發(fā)改委發(fā)布了《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（以下簡稱《規(guī)定》）。就技術(shù)和管理兩方面的安全防護而言，對電力監(jiān)控系統(tǒng)有更嚴格的要求?！兑?guī)定》中強調(diào)了電力監(jiān)控系統(tǒng)的防護原則，提出了在生產(chǎn)控制大區(qū)內(nèi)要堅持“安全接入?yún)^(qū)”這一理念，并指出了如果生產(chǎn)控制大區(qū)的業(yè)務系統(tǒng)和它的終端縱向進行連接時，在使用無線通信網(wǎng)進行通信時，一定要設好安全接入?yún)^(qū)，并在安全接入?yún)^(qū)和生產(chǎn)控制大區(qū)其他部分的聯(lián)接處還要設好橫向單向安全隔離裝置，如圖1所示。

圖1 安全接入?yún)^(qū)設置

在生產(chǎn)控制大區(qū)中，除了安全接入?yún)^(qū)外，管理層面不可使用能夠進行無線通信的設備?？紤]到國家政府機關對中央企業(yè)信息安全等級保護工作的要求，《規(guī)定》中明確規(guī)定了在電力監(jiān)控系統(tǒng)安全防護里信息安全等級保護的重要地位。

3.2 加強電力系統(tǒng)安全防護的業(yè)務傳輸、縱向認證

一是對縱向加密設置的認證。這個裝置安置在廣域網(wǎng)絡與局域網(wǎng)絡的連接處，一般在局域網(wǎng)絡與廣域網(wǎng)絡的交換機之間。該裝置通常要成對使用，一方用來加密，另一方用來解密。但是，也存在特殊情況，即單使用其中一方，通常這一用法不具備加密操作?？v向加密操作與防火墻的結(jié)合，可以使裝置在進行訪問設置時，實現(xiàn)對身份的認證和相關數(shù)據(jù)內(nèi)容的加密。這樣能夠確保數(shù)據(jù)傳輸更加安全，保護數(shù)據(jù)的完整性。不僅如此，它還可以進行安全過濾。電力系統(tǒng)中有專用設置，它可以借助于調(diào)度設備證書的身份進行認證，以此確保遠程通信設備的合法性。采用國家密碼局專為電力系統(tǒng)頒發(fā)的加密算法和因子，對遠程通信的報文進行加密處理，以此確保不同類型的信息內(nèi)容不會被遠程傳輸過程中被截取與篡改。二是構(gòu)建縱向防線?？v向防線就是縱向進行加密認證，有效保護上下層級的業(yè)務系統(tǒng)在縱向進行傳輸數(shù)據(jù)時的安全性。通常是在局域網(wǎng)和廣域網(wǎng)的縱向連接處以及地調(diào)主站和縣調(diào)遠程終端的連接處來部署電力專用縱向加密認證裝置，實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制[3]。

3.3 電力系統(tǒng)縱深防御的技術(shù)需求

在生產(chǎn)控制區(qū)域的業(yè)務系統(tǒng)操作中，不僅需要保障系統(tǒng)的安全度，也要發(fā)揮加密設置的相關功能。為此，相關工作人員需要首先具備調(diào)度數(shù)字系統(tǒng)的專業(yè)證書，然后進行關鍵步驟的運行。它可以將遠程業(yè)務進行加密，然后以身份認證等形式加強保護。其中，針對帶有遙控功能的配網(wǎng)而言，需要將加密設置與身份認證相結(jié)合，以此加固系統(tǒng)，使現(xiàn)代科技成為安全保障。當然，電力系統(tǒng)中的日常維護需要鞏固不足支持與虛弱之處，然后使專業(yè)技術(shù)成為整個系統(tǒng)加固的保障所在。

4 結(jié) 論

如今，計算機技術(shù)飛速發(fā)展且受到了大力歡迎。電力監(jiān)控系統(tǒng)的安全防護問題受到了重視，因為計算機技術(shù)存在于電力生產(chǎn)的很多環(huán)節(jié)。根據(jù)責任落實制度，要確保主管單位與運營單位的職責，使各級工作人員明確掌握防護工作的開展要點，從而使先進技術(shù)成為安全防護工作的保障所在。

參考文獻：

[1] 周振輝.電力監(jiān)控系統(tǒng)安全防護風險分析及軟件配置[C].2016年中國電機工程學會年會論文集，2016：1-4.

[2] 劉帝勇，劉 雙.三門核電站電力監(jiān)控系統(tǒng)安全防護方案研究[C].第四屆全國信息安全等級保護技術(shù)大會論文集，2015：1-5，11.

[3] 高夏生，黃少雄，梁 肖，等.電力監(jiān)控系統(tǒng)安全防護要素[J].電腦知識與技術(shù)，2017，13（8）：212-214，222.