电力监控系统网络安全防护

电力监控系统网络安全防护

陈其其

国网河北省电力有限公司衡水供电分公司 河北 衡水 053000

摘要：目前信息化与自动化迅猛发展，数据通信和自动控制在电力系统运行、维护及管控方面发挥着越来越重要的作用。作为关系着国计民生的电力系统，网络安全意识的提升与防护措施的完善是未来电力行业的工作重点。目前，很多的电力企业进行的电网安全管理和防御可以称之为被动防御。因此，在实践中，电力企业需要选择先进的安全防御技术和安全管理方案来提高网络的安全防护水平，进而提升电网的安全稳定。

关键词：电力监控系统；网络安全；防护

引言

目前，电网系统覆盖全行业的安全防护体系基本建成，电力监控系统、可靠供电等关键信息基础设施的安全运行得到有效保障。如今，国家电网公司把防范和控制大电网安全风险的重要性提升到确保国家安全的高度，因此电网系统网络安全规章制度的建立与落实势必将纳入到安全管理体系中。

1电力监控系统的安全防护基本原则

电力作为关系到人民生活、生产，社会稳定、发展的重要能源，需要保证其调度、生产的安全与稳定。为了保证电力监控系统的安全，国家能源局于2015年出台了《电力监控系统安全防护总体方案》，用于防范黑客及恶意代码等对电力监控系统的攻击和侵害，防止电力监控系统的崩溃或瘫痪，以及由此造成的电力设备事故或电力安全事故。电力监控系统安全防护体系的总体原则是“安全分区、网络专用、横向隔离、纵向认证”。安全分区是指将电力监控系统安全防护体系划分为生产控制大区和管理信息大区2个部分，其中生产控制大区可根据系统对生产现场是否具有直接控制功能拆分为控制区(安全区Ⅰ)和非控制区(安全区Ⅱ)。网络专用是指生产控制大区服务的专用数据网络应在专用通道上使用独立的网络设备组网，安全区的外部边界网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。横向隔离是电力二次安全防护系统的横向防线，是生产控制区与管理信息区之间必要的边界防护措施，是横向防护的关键设备。纵向加密认证是电力监控系统安全防护体系的纵向防线。采用认证、加密、访问控制等技术措施，实现数据的远程安全传输和纵向边界的安全保护。

2电力监控系统安全现状

电力监控系统工控安全的脆弱性是指工控系统在防护措施中和在缺少防护措施时系统所具有的弱点，而工控系统内部的脆弱性问题是导致系统易受攻击的主要因素，脆弱性问题的根源可概括为以下几个方面：

（1）网络结构：无法保证外网接入安全，保证对主机和应用系统资源的合法使用和用户身份的合法性。通常电厂会在DCS系统网络和外部网络之间设立一个DMZ区，使连接尽可能最小化。

（2）区域边界：现场控制层与监控层之间存在安全威胁互侵。缺乏边界保护，容易受到信息网络和相邻系统的安全影响。

（3）通信网络：在电力生产系统I区和II区中部署网络安全监测装置，对电气网中的服务器、工作站网络设备安全防护等监测进行数据采集和分析，但未对发电监控系统进行监控，无法及时发现网络中的各种违规以及入侵攻击行为，无法溯源入侵的未知设备、非法应用和软件。

（4）终端设备：生产控制系统和生产监控系统的操作终端大部分采用Linux和Windows系列的操作系统，为保证过程控制系统的相对独立性，同时考虑到系统的稳定运行，通常现场工程师、操作员等在系统开车后不会安装任何补丁，部分终端同时安装多种防病毒软件，上位机专用编程组态监控软件与传统杀毒软件不兼容、无严格的U盘等移动介质管控、终端登录无身份认证措施、应用软件存在使用默认密码和用户口令粘贴于显眼位置现象、外部设备管理采取封条方式、未部署安全技术措施，终端设备存在被攻击的可能。

3　电力监控系统网络安全防护手段

3.1加强网络安全监控体系建设

通过在电力监控系统网络关键节点部署工控安全审计、工业入侵检测系统和日志审计系统，对网络流量进行安全审计、检测，识别、审计、记录生产控制系统的操作行为和异常网络行为、网络设备日志，便于事后进行取证和定责。提供整个控制网络的整体运行情况，对网络设备进行自动识别，显示网络设备的当前状态，对网络性能进行综合分析，对工业控制系统的重要网络节点或区域的所有通过的数据包进行监控，并对数据进行深入分析，实现控制行为合规性检查，针对异常或非法操作数据包，分析是否有外界入侵或人员误操作，并对所有异常情况进行审计、发出报警，提醒现场安全运维人员去处置。工控安全审计系统不仅可辅助安全运维人员发现、分析与处置安全事件，可以与串行部署的安全防护类设备配合使用，为实时修正安全保护类设备的安全策略提供数据支撑。还可以提供最全面的安全事件数据，支撑阶段性全网安全风险分析与评估，为安全事件追溯提供证据。

3.2　加强区域边界安全建设

采用针对工控系统的专业数据隔离防护产品来进行边界防护，能够深度解析工业通信协议，并且对于利用工控协议漏洞、工控系统漏洞进行渗透攻击的行为进行实时拦截和告警，避免因传统防火墙防护不足导致的工控异常操作和数据被恶意篡改等攻击行为。

3.3　加强计算环境安全建设

计算环境安全主要体现在恶意代码防护、入侵检测、系统漏洞、安全审计、外设管理、剩余信息保护几个层次。基于工业控制系统本身的安全特点，可以采用白名单技术，保证软件和应用程序正常运行，对其进行充分的代码审计、安全监测和分析，结合完整性检查方法，当发现程序被修改后，会阻止该程序的运行，从而阻止病毒的扩散；实时监控USB端口、网络端口状况，提供自定义外设管理，严格控制非授权外设接入，提供完备的操作日志，当泄密事故发生后，可以从操作日志中追溯到泄密文件、设备、日期等关键信息，从而为事后问责提供有力依据。

此外，工控安全事件的发生，或多或少都利用了工业控制系统的“漏洞”，进而攻陷了整个工业控制系统。对于这些重要的基础工业设施，如何在黑客攻击之前帮助客户发现漏洞，成为急需解决的问题。因此，需通过部署工控漏洞扫描系统，在工业控制系统受到攻击之前为客户提供专业、有效的漏洞分析和修补建议，防患于未然。

3.4　构建纵深防御体系

在系统建设中事前身份不确定、授权不清晰，事中操作不透明、过程不可控，事后结果无法审计、责任不明确，导致客户业务及运维服务面临安全风险。因此，需在电力监控系统中部署运维审计系统，实现对服务器、网络设备、安全设备的操作监控，实现账号集中管理、高强度认证加固、细粒度访问授权控制、加密和图形操作协议的审计等功能，让内部人员、第三方人员的操作处于可管、可控、可见、可审的状态下，规范运维的操作步骤，避免了误操作和非授权操作带来的隐患。

结束语

计算机技术和工业控制系统进行了深入的融合，虽然大大提高了工业控制系统的工作效率，但是带来了严重的网络安全问题。电网作为国家重点基础产业，和国计民生息息相关。在电网安全管理中，还有很多的网络安全问题。例如，网络病毒、黑客入侵和数据盗窃给电力企业带来了巨大的损失。这就需要加强网络安全监控体系建设，加强区域边界安全建设，加强计算环境安全建设，进而有效的提升网络安全防护。

参考文献

[1]李伟.电力监控系统网络安全管理平台设计[J].电子世界,2020(22):176-177.

[2]汤超.浅析电力监控系统网络安全监视体系建设[J].机电信息,2020(32):142-143.

[3]郭丰.电力监控系统网络安全加固技术探讨[J].网络安全技术与应用,2020(11):132-134.

[4]蒋存勇.电力监控系统网络安全分析[J].网络安全和信息化,2020(11):126-128.