2018年2月25日第35卷第2期Telecom Power TechnologyFeb. 25,2018,Vol. 35 No. 2doi:10.19399/j.cnki.tpt.2018.02.120运营探讨关于电力监控系统安全防护问题的思考杨延栋1,刘威麟1,於湘涛2(1.国网电力有限公司电力科学研究院电网技术中心, 乌鲁木齐 830000; 2.国网电力有限公司调度控制中心, 乌鲁木齐 830000)摘要:提出了电力监控系统安全防护的总体要求,结合电力监控系统安全防护主要的业务归类和安全分区的现状,提出了电力监控系统安全防护的主要策略:一是在安全接入区设置专用横向单向安全隔离装置;二是加强电力系统安全防护的业务传输、纵向认证;三是电力系统纵深防御的技术要求。关键词:电力;监控系统;安全防护Thinking about the Safety and Protection of Electric Power Monitoring SystemYANG Yan-dong1,LIU Wei-lin1,YU Xiang-tao2(1.State Network Xinjiang Electric Power Co.,Ltd.,Power Science Research Institute Power Grid Technology Center,Urumqi 830000,China; 2.National Network Xinjiang Electric Power Co.,Ltd.,Dispatching Control Center,Urumqi 830000,China)Abstract:This paper presents the general requirements of power monitoring system security protection in this paper, combined with the status quo of the power monitoring system of safety protection and safety classified the main business district, we put forward the main strategies of power monitoring and control system of safety protection: it is a special isolation transverse one-way safety devices installed in the safe access area; two is the service transmission, strengthen the longitudinal certification power system security; three is the technical requirements of the power system of defense in depth.Key words:electric power;monitoring system;safety protection0 引 言现阶段,因为计算机的快速发展,电厂内原用的手动监视和控制逐渐被自动化系统取代。此外,因为以太网的广泛使用,在自动化系统之间有了更加频繁的通信。同时,部分自动化系统要通过和网络进行连接来进行远程管理。这种存在众多复杂系统的网络通信难免会有着一定的安全隐患。针对这种情况,国家对二次系统的安全防护进行了规定,进而确保水电厂能够安全稳定运行,给中国经济的发展奠定了坚实基础。步形成科学高效的安全防护体系,及时加以防护。要做好电力监控系统的安全防护工作,一定设置好三道防线——第一道防线系统边界,第二道防线网络传输边界,第三道防线业务主机。2 电力监控系统安全防护主要的业务归类和安全分区按照电力监控系统具有的特点和其他业务系统的重要程度、运行情况等,把电力监控系统进行分类,即2个大区、3个小区以及安全接入区。对于3个安全区而言,安全区Ⅰ是控制区,主要部署了核心系统以及能够随时进行监控的系统,是进行电力生产的重点区域。系统在不间断的运行过程中,可以通过数据网络或是专用通道实现信息传输,是进行安全防护必不可少的,安全级别排在第一位。安全区Ⅱ是非控制区,是进行电力生产不可或缺的一部分。此区没有设置可以进行远方控制的系统,系统运行中通过对数据网络的运用,能够很好地传输信息内容,也是安全防护的重点环节,但它的安全等级较安全区I低。调度生产的管理区是安全区Ⅲ,能够完成电力调度,并且注重管理优化,是对管理水平与决策能力系统的优化。它可以不直接与电力生产环节闭环。安全接入区与生产控制大区中的业务连接,需经过电力专用横向反向隔离装置,然后与外部网络相连接。在设置硬件防火墙后,电源将会通过北斗星接入,然后利用配网系统连接GPRS通道。整个过程都需接触安 全接入区域[2]。1 电力监控系统安全防护的要求归纳电力监控系统针对生产控制、生产管理与通信管理网络的设计,需要针对电力监控系统的安全防护所需,遵循《电力监控系统安全防护规定》(国家2014年第14号令)、《电力监控系统安全防护总体方案等安全防护方案和评估规范》(国家能源局国能安全2015年第36号)和《电力行业信息安全等级保护管理办法》《中(国家能源局国能安全2014年第318号)的要求[1]。华人民共和国网络安全法》中,把网络和信息安全由原本规章制度的级别提升到了国家法律层次。电力监控系统所实施的安全防护,要按照十六字方针的规定,及时对外部网络的边界进行隔离,并设置合适的安全防护和预警系统,运用专业的技术更快速地发现网络异常,逐收稿日期:2017-10-29作者简介:杨延栋(1992-),男,青海西宁人,国网省电力有限公司电力科学研究院电网技术中心专责,主要研究方向为电网调度自动化。·267·Copyright©博看网 www.bookan.com.cn. All Rights Reserved.2018年2月25日第35卷第2期Telecom Power TechnologyFeb. 25,2018,Vol. 35 No. 23 电力监控系统安全防护的主要策略随着国内外信息安全形势的发展,尤其是在伊朗布什尔核电站受到“震网”蠕虫病毒攻击的事件后,使得工业控制系统存在的安全问题显现出来,同时电力企业开始重视对监控系统的安全防护,并且进行了深入的研究与反思。3.1 在安全接入区设置专用横向单向安全隔离装置2014年,由国家发布了《电力监控系统安全防护规定》(以下简称《规定》)。就技术和管理两方面的安全防护而言,对电力监控系统有更严格的要求。《规定》中强调了电力监控系统的防护原则,提出了在生产控制大区内要坚持“安全接入区”这一理念,并指出了如果生产控制大区的业务系统和它的终端纵向进行连接时,在使用无线通信网进行通信时,一定要设好安全接入区,并在安全接入区和生产控制大区其他部分的联接处还要设好横向单向安全隔离装置,如图1所示。与防火墙的结合,可以使装置在进行访问设置时,实现对身份的认证和相关数据内容的加密。这样能够确保数据传输更加安全,保护数据的完整性。不仅如此,它还可以进行安全过滤。电力系统中有专用设置,它可以借助于调度设备证书的身份进行认证,以此确保远程通信设备的合法性。采用国家密码局专为电力系统颁发的加密算法和因子,对远程通信的报文进行加密处理,以此确保不同类型的信息内容不会被远程传输过程中被截取与篡改。二是构建纵向防线。纵向防线就是纵向进行加密认证,有效保护上下层级的业务系统在纵向进行传输数据时的安全性。通常是在局域网和广域网的纵向连接处以及地调主站和县调远程终端的连接处来部署电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制[3]。3.3 电力系统纵深防御的技术需求在生产控制区域的业务系统操作中,不仅需要保障系统的安全度,也要发挥加密设置的相关功能。为此,相关工作人员需要首先具备调度数字系统的专业证书,然后进行关键步骤的运行。它可以将远程业务进行加密,然后以身份认证等形式加强保护。其中,针对带有遥控功能的配网而言,需要将加密设置与身份认证相结合,以此加固系统,使现代科技成为安全保障。当然,电力系统中的日常维护需要巩固不足支持与虚弱之处,然后使专业技术成为整个系统加固的保障所在。4 结 论如今,计算机技术飞速发展且受到了大力欢迎。电力监控系统的安全防护问题受到了重视,因为计算机技术存在于电力生产的很多环节。根据责任落实制度,要确保主管单位与运营单位的职责,使各级工作人员明确掌握防护工作的开展要点,从而使先进技术成为安全防护工作的保障所在。参考文献:[1] 周振辉.电力监控系统安全防护风险分析及软件配置[C].2016年中国电机工程学会年会论文集,2016:1-4.[2] 刘帝勇,刘 双.三门核电站电力监控系统安全防护方案研究[C].第四届全国信息安全等级保护技术大会论文集,2015:1-5,11.[3] 高夏生,黄少雄,梁 肖,等.电力监控系统安全防护要素[J].电脑知识与技术,2017,13(8):212-214,222.图1 安全接入区设置在生产控制大区中,除了安全接入区外,管理层面不可使用能够进行无线通信的设备。考虑到国家机关对企业信息安全等级保护工作的要求,《规定》中明确规定了在电力监控系统安全防护里信息安全等级保护的重要地位。3.2 加强电力系统安全防护的业务传输、纵向认证一是对纵向加密设置的认证。这个装置安置在广域网络与局域网络的连接处,一般在局域网络与广域网络的交换机之间。该装置通常要成对使用,一方用来加密,另一方用来解密。但是,也存在特殊情况,即单使用其中一方,通常这一用法不具备加密操作。纵向加密操作·268·Copyright©博看网 www.bookan.com.cn. All Rights Reserved.
