电力监控系统安全防护要素韩超

电力监控系统安全防护要素韩超

韩超

（国网山西省电力公司太原市小店区供电公司山西太原030012）

摘要：电力行业为经济建设发展提供了极大的推动力量，而随着电力体制改革的不断深入，对于电网安全管理也提出了更高的要求，但是由于我国自动化通信建设比较晚，致使很多电力系统调度监控较差，为了能够实现我国电力行业的长远发展，就必须要采用有效的措施对电力监控系统进行安全防护。

关键词：电力；监控系统；安全防护

引言

电力监控系统是主要依托智能终端和调度数据网络对电力消费和保送过程进行监视和控制的中心系统。为保证电力消费的安全运转，抵御黑客应用操作系统破绽、业务系统后门的歹意入侵，避免经过计算机病毒或歹意代码进行毁坏和攻击，形成电力监控系统的陷落或挟持电力监控系统对电网消费进行毁坏，因而需求对电力监控系统进行安全防护。本文是作者长期从事电力监控系统安全防护的经历总结。

1电力监控系统安全防护要求

电力监控系统安全防护至为重要，为此在最新推行的《电力监控系统安全防护规定》中对电力监控系统安全防护提出以下6点控制要求。①电力监控系统安全防护要从国家信息安全等级制度出发，依照国家信息安全等级保护要求规范执行，安全防护过程中，将安全分区、网络专用的安全防护原则落实到底。②要注重安全区域的划分，其中生产控制区能保证终端纵向连接，而在外部公共数据网之中，则要利用虚拟专用网络，建立VPN通道等，设立安全接入区。③在生产控制大区和广域网的纵向连接处应有国家制定部门进行专业的检测，经检测认证后才能进行加密装置设置。④控制区域要具有实施监控功能，因此应采用纵向连接的方式对子网或者专用通道设置安全区域，而非控制区由于不在生产控制范围内，因此可以在非实子网处设置安全区域。⑤电力监控系统应用于监视和电力生产过程中，并以计算机和网络技术为支撑进行通信数据传输。⑥安全边界应该采用必要的安全防护措施，从而禁止其他通用网络对穿过生产控制区域和管理信息大区，这是在进行电力监控系统安全防护时需要注意的。

2电力监控系统的安全防护原则

我国电力监控系统安全防护总体计划中规则：电力监控系统的安全防护总体准绳应当是“安全分区、网络专用、横向隔离、纵向认证”这四个方面。“安全分区”指对消费控制大区以及管理信息大区进行划分，并请求消费控制区主要控制那些与电力消费有着严密联络的决策信息系统，而管理信息区则需求主要担任一些与电力管理、运营以及行政事务相关的系统。进一步细分，消费控制大区可分为控制区和非控制区。“网络专用”指的是该电力企业其消费大区中的一切数据网络均需求采用独立的网络设备组网，并需求在物理层面上充沛完成与其它外部公共信息网的安全隔离，也就是电力的调度数据网。“横向隔离”多是代表控制大区以及管理信息大区两者之间必需进行国度相关部门检测认证的电力专用单项安全隔离安装的设置。该隔离安装的隔离效果接近以至到达了物理隔离的效果。使许多黑客病毒无法穿透攻击到电力系统的内部。“纵向认证”指的是经过认证、加密以及访问控制等技术措施来完成对数据的远方安全传输以及纵向边境的安全防护工作，关于电力调度中心、发电厂等消费控制大区需求设置纵向加密认证安装，完成双向身份认证、数据加密以及访问控制等职能。

3电力监控系统的安全防护策略

3.1纵向加密认证装置

纵向加密认证安装用于业务系统局域网与广域网的衔接处，普通串接于广域网路由器和局域网交流机之间，或者远程衔接（经过非可控的通讯通道）的两台交流机之间。纵向加密认证安装需成对运用，一端加密一端解密。也偶见非对称用法（即仅在一端部署），但无法完成加密功用。纵向加密认证安装与防火墙不同，纵向加密认证安装除具备防火墙的访问控制功用外，还为广域网通讯提供身份认证与数据加密功用，完成数据传输的秘密性、完好性维护，同时具有安全过滤功用。电力专用纵向加密认证安装，采用调度数字证书系统颁发的设备证书（同等于安装的身份辨认码）进行身份认证，确保远程通讯的两端设备的合法性和功用受权；采用国度密码局专为电力系统颁发的加密算法和因子对远程通讯的报文进行加密处置，确保远程通讯信息即便中途被歹意黑客截取也无法获知信息内容。

3.2加强数据采集工作

站为社会经济建设提供了极大的推动力量，因此能够对电力监控系统进行更好安全防护就显得十分重要，而在这个过程中必须要从加强数据采集工作做起。具体而言，在进行站数据采集时，要做好以下两个方面的工作。首先是解决无线公网传输安全加密问题，站的无线公网必须要进行加密处理，因此要在水电站侧部部署远动通信安全网关终端，从而对站主站的安全三区部署通信安全网关，这样才能对整个调辖区站设备收资情况进行确认。但是由于现下的站多数只能进行电能表计，只有少数水电站有后台及远动系统，数据采集情况并不理想。为了能够更好地对小电站进行数据采集，可以从DLT645规约除出发，在电表处设置一个ＲS－485通信接口，这样就可以利用可转发远动系统实现CDT循环，从而将数据更好的传输出去。经过以上措施后就可以在对数据进行加密，具体方法是利用GPＲS无线公网进行网关解密，从而对GPＲS无线公网两端，也就是指水电站和主电站之间去建立一个通信网络，这样就从本质解决了无线公网传输安全加密问题。其次在进行站数据采集时，要解决数据安全接入控制问题，具体方式，可以在站的非控制区以及控制区处，设置一台采集服务器，利用采集服务器对数据进行解密，从而将采集到的文本化为TXT文本格式，最后在利用服务器OCS前置功能对数据进行传输，从而有效的解决数据安全接入控制问题，这样的数据采集方式，从本质上防止了其他信息文本传输进入安全区边界的情况，为站电力系统安全运行提供了极大的保障。

3.3安全加固

电力监控系统安全加固，是在保证电力监控系统正常稳定运转的前提下，在辨认系统面临要挟和存在脆弱性的根底上，对电力监控系统进行物理防护、安全配置修正或破绽修补，从而进步本身安全性的过程。安全加固采用自加固和专业加固相分离的方式。自加固是依托本身的技术力气，对电力监控系统在日常维护过程中发现的脆弱性进行修补的安全加固工作。专业加固是由专业技术支持单位担任完成的电力监控系统安全加固工作。安全加固的对象包括操作系统、数据库、通用效劳、应用效劳、网络设备、安全设备（含电力专用安全安装）等。安全加固详细分为主机加固、安全设备加固、网络设备加固、病毒及歹意代码防护。加固方式包括但不限于修正系统配置封锁主机设备闲暇USB端口、关闭高危TCP端口、删除通用系统账户或关闭权限、对重要资源设置敏感标志并严厉控制不同用户对有敏感标志资源的操作、增加密码强度及有效期、制止远程登录功用等。安全设备除启用用户名密码登陆，密码复杂度满足请求并定期改换。重要安全设备启用usbkey和登录密码双重认证。硬件防火墙、电力专用纵向加密认证安装、电力专用横向单向隔离安装等安全设备依据详细业务需求必需设置包括指定网络地址、指定业务端口和指定数据方向的“三指定”安全战略。一切安全防护设备启动本身日志审计功用，并向所属电网调控中心内网安全监管平台推送日志信息。网络设备加固包括禁用不用要的公共网络效劳、关闭未运用的物理接口、制止缺省口令登录、防止运用默许路由、网络边境关闭OSPF路由功用、限制登录地址、记载设备日志（含时间同步）、恰当配置访问控制列表等。

结语

随着计算机技术的飞速发展和广泛应用，电力监控系统安全防护问题牵涉到了电力生产的各个环节、各个方面，包括电网和电厂。按照“谁主管谁负责，谁运营谁负责”的原则，各发、供电单位的管理人员和技术人员，需详细了解电力监控系统安全防护的要素，才能在技术上扎实做好安全防护工作。

参考文献：

[1]中华人民共和国主席令第五十三号.中华人民共和国网络安全法[Z]，2016.

[2]国家发展和改革委员会令第14号.电力监控系统安全防护规定[Z]，2014.

[3]国家能源局国能安全[2015]36号.电力监控系统安全防护总体方案[Z]，2015.