貴州電網(wǎng)有限責(zé)任公司凱里供電局 楊名雯

隨著科學(xué)技術(shù)的不斷發(fā)展，信息網(wǎng)絡(luò)技術(shù)已經(jīng)深入到生產(chǎn)生活的方方面面，電力人工操作逐漸向自動(dòng)化方向轉(zhuǎn)變。同時(shí)，以太網(wǎng)在生產(chǎn)領(lǐng)域的普及也極大地推動(dòng)了自動(dòng)化技術(shù)的發(fā)展。但由于網(wǎng)絡(luò)環(huán)境的復(fù)雜以及多變性，自動(dòng)化系統(tǒng)在與網(wǎng)絡(luò)接軌時(shí)很容易受到不安全因素的影響。由于水電廠是國家重要管理項(xiàng)目，國家重視水電系統(tǒng)的防護(hù)，通過建立二次系統(tǒng)進(jìn)行加固保護(hù)增強(qiáng)水電系統(tǒng)運(yùn)行的安全性，從而為國民經(jīng)濟(jì)保駕護(hù)航。

電力監(jiān)控系統(tǒng)的質(zhì)量直接影響著電力生產(chǎn)系統(tǒng)的平穩(wěn)運(yùn)行，電力生產(chǎn)安全除了從網(wǎng)絡(luò)技術(shù)入手之外，還需要建立相對(duì)應(yīng)的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，從內(nèi)到外形成全覆蓋的安全體系。但是目前網(wǎng)絡(luò)安全制度還不夠完善，網(wǎng)絡(luò)安全事故時(shí)有發(fā)生，所以提高自動(dòng)化專業(yè)人才的專業(yè)知識(shí)以及技能十分有必要，同時(shí)還要輔之以相對(duì)應(yīng)的安全監(jiān)控制度，有效地規(guī)避電力系統(tǒng)的安全隱患。

1 安全防護(hù)的適用原則

電力監(jiān)控系統(tǒng)的安全防護(hù)主要側(cè)重于網(wǎng)絡(luò)管理方面，其參照電監(jiān)會(huì)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案（簡稱“方案”）統(tǒng)一布局，總體原則為安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證。電力監(jiān)控系統(tǒng)安全防護(hù)以保障電力生產(chǎn)安全為目的，著重加強(qiáng)網(wǎng)絡(luò)邊界薄弱地帶，建立健全系統(tǒng)內(nèi)部安全保護(hù)體系，減少網(wǎng)絡(luò)不確定因素對(duì)數(shù)據(jù)源的干擾以及破壞。安全分區(qū)原則將安全防護(hù)劃分為控制以及管理兩部分，生產(chǎn)控制區(qū)主要包括與電力生產(chǎn)直接相關(guān)聯(lián)的以及用于制定總體決策的網(wǎng)路系統(tǒng),管理信息區(qū)主要由電力調(diào)度及行政規(guī)劃等相關(guān)系統(tǒng)構(gòu)成。

“網(wǎng)絡(luò)專用”的意思是針對(duì)生產(chǎn)控制大區(qū)，建立一個(gè)獨(dú)立的、與電力系統(tǒng)以及外網(wǎng)相分離的專用網(wǎng)絡(luò)設(shè)備組網(wǎng)，確保網(wǎng)絡(luò)信息的安全性，從而建立一個(gè)穩(wěn)定的電力調(diào)度數(shù)據(jù)網(wǎng)。橫向隔離原則主要是在控制大區(qū)與管理信息大區(qū)之間建立物理隔離屏障，由于大多數(shù)的電力系統(tǒng)安全都是針對(duì)網(wǎng)絡(luò)，通過加大隔離力度有效地保護(hù)電力系統(tǒng)內(nèi)部；縱向認(rèn)證原則是通過登錄身份認(rèn)證、瀏覽記錄及加密傳送等形式形成安全防護(hù)網(wǎng)，此外，要加強(qiáng)對(duì)發(fā)電廠、變電站等薄弱部門的安全管控，在生產(chǎn)控制區(qū)與外網(wǎng)連接路徑上設(shè)置加密及認(rèn)證關(guān)卡形成縱向保護(hù)，有效提高電力監(jiān)控系統(tǒng)安全防護(hù)質(zhì)量。

2 目前電力監(jiān)控系統(tǒng)的安全防護(hù)存在問題

分區(qū)的劃分錯(cuò)誤。由于電力生產(chǎn)的各個(gè)環(huán)節(jié)所用到的電力監(jiān)控系統(tǒng)不同，且不同種類的電力監(jiān)控系統(tǒng)有不同標(biāo)準(zhǔn)的專業(yè)要求，這就直接導(dǎo)致在具體的操作中容易造成不同性質(zhì)的安全區(qū)劃分困難，再加上不同的防護(hù)要求使得對(duì)安全區(qū)安全評(píng)級(jí)困難。此外，在發(fā)電廠、變電站規(guī)劃建設(shè)時(shí)沒有對(duì)網(wǎng)絡(luò)安全給予足夠的重視，這使得部分安全區(qū)劃分比較混亂，導(dǎo)致防護(hù)等級(jí)與等級(jí)評(píng)定不匹配，生產(chǎn)控制大區(qū)與管理信息大區(qū)劃分錯(cuò)誤。如，將劃分到生產(chǎn)管理大區(qū)的電量數(shù)據(jù)采集系統(tǒng)劃分到管理信息大區(qū)，勢(shì)必造成防護(hù)級(jí)別評(píng)定錯(cuò)誤，并會(huì)對(duì)電力監(jiān)控系統(tǒng)造成安全隱患。

網(wǎng)絡(luò)安全策略可靠性較低。網(wǎng)絡(luò)設(shè)備的安全性需要從信息管控方面入手，但是目前網(wǎng)絡(luò)安全策略可靠性較低，登錄身份信息的采集、傳輸加密以及網(wǎng)絡(luò)安全隱患的檢測(cè)、病毒入侵防火墻建設(shè)等都存在不同方面的缺陷，任何一個(gè)部分處于一個(gè)薄弱地帶，都會(huì)擴(kuò)大為電力監(jiān)控網(wǎng)絡(luò)安全隱患。

安全區(qū)劃分不明確。只有在不同的安全區(qū)建立隔離區(qū)，才能有效地提高電力監(jiān)控系統(tǒng)的安全性。一般要求在生產(chǎn)控制大區(qū)與管理信息大區(qū)建立物理隔離地帶，并嚴(yán)格劃分控制區(qū)與非控制區(qū)。目前一般的信息安全傳送邏輯為，安全等級(jí)相對(duì)較高的系統(tǒng)對(duì)安全等級(jí)較低的系統(tǒng)發(fā)送數(shù)據(jù)時(shí)減少安全壁壘，但在進(jìn)行反向傳遞時(shí)則需進(jìn)行安全隔離以及加密處理、再向安全等級(jí)相對(duì)較高的系統(tǒng)傳送。但如果一臺(tái)電腦設(shè)備同時(shí)開設(shè)兩個(gè)IP 地址，則會(huì)使生產(chǎn)控制大區(qū)和管理信息大區(qū)處于獨(dú)立狀態(tài)，缺乏縱向連接就可能直接省略隔離步驟，從而影響電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全。再加上大多數(shù)人對(duì)系統(tǒng)安全劃分的認(rèn)識(shí)不足，這直接導(dǎo)致不同安全區(qū)的系統(tǒng)連接混亂，連接錯(cuò)誤以及超數(shù)連接的問題。

系統(tǒng)口令保密性不強(qiáng)。系統(tǒng)的安全加密工作都有賴于密碼，但有很多系統(tǒng)管理人員圖簡單，用簡化的密碼作為安全密碼，同時(shí)密碼的保護(hù)力度不夠，密碼的泄露勢(shì)必會(huì)影響系統(tǒng)的安全性。此外對(duì)系統(tǒng)的使用人員也疏于管理，導(dǎo)致非工作人員也可使用設(shè)備，這些不確定的因素很容易造成系統(tǒng)運(yùn)行的安全隱患。

3 電力監(jiān)控系統(tǒng)安全防護(hù)問題的應(yīng)對(duì)措施

3.1 合理劃分安全區(qū)

安全區(qū)Ⅰ：生產(chǎn)控制大區(qū)。是電力生產(chǎn)的重要部分，其主要涉及與電力生產(chǎn)直接相關(guān)聯(lián)的以及用于制定總體決策的網(wǎng)路系統(tǒng)，生產(chǎn)控制區(qū)可實(shí)現(xiàn)信息傳輸及調(diào)度的重要系統(tǒng)，在安全防護(hù)中居于主導(dǎo)地位，安全等級(jí)最高；安全區(qū)Ⅱ：生產(chǎn)非控制大區(qū)。管理信息區(qū)主要涉及與電力生產(chǎn)密切相關(guān)的系統(tǒng)，是確保電力后期安全的重要系統(tǒng)，在電力監(jiān)控系統(tǒng)安全防護(hù)工作中具有重要意義，生產(chǎn)控制大區(qū)的安全等級(jí)系數(shù)僅次于安全區(qū)Ⅰ。

安全區(qū)Ⅲ：管理信息大區(qū)。管理信息區(qū)主要由電力調(diào)度及行政規(guī)劃等相關(guān)系統(tǒng)構(gòu)成，可為電力管理及調(diào)度工作提供決策支撐，管理信息大區(qū)側(cè)重與電力的傳輸以及使用上，該區(qū)安全要求較高，一般采用橫向以及單項(xiàng)的隔離裝置；安全接入?yún)^(qū)：非控制通信通道，該區(qū)相當(dāng)于進(jìn)入前數(shù)據(jù)監(jiān)控系統(tǒng)，一般設(shè)置在信息進(jìn)入正式的信息通道前。數(shù)據(jù)從安全接入?yún)^(qū)進(jìn)入生產(chǎn)控制大區(qū)時(shí)須建立橫向反向隔離地帶。在與外部公網(wǎng)連接時(shí)須建立安全度匹配的防火墻，對(duì)于通過北斗衛(wèi)星以及GPRS 接收的外部信息須先經(jīng)過安全接入?yún)^(qū)的過濾隔離處理[1]。

電力監(jiān)控系統(tǒng)各安全區(qū)連接系統(tǒng)多樣，可以實(shí)現(xiàn)靈活連接，實(shí)際運(yùn)用中一般采用三角結(jié)構(gòu)。

3.2 提高系統(tǒng)的安全性

電力監(jiān)控系統(tǒng)安全性直接關(guān)系著電力生產(chǎn)的平穩(wěn)運(yùn)行，所以要從多方面入手，有效提高電力監(jiān)控系統(tǒng)安全性，對(duì)網(wǎng)絡(luò)安全薄弱地帶進(jìn)行修護(hù)，加強(qiáng)物理防御，從系統(tǒng)內(nèi)部提高電力監(jiān)控系統(tǒng)防風(fēng)險(xiǎn)能力。要對(duì)操作系統(tǒng)、數(shù)據(jù)庫以及病毒抵御系統(tǒng)等系統(tǒng)進(jìn)行重點(diǎn)加強(qiáng)，有效縮小網(wǎng)絡(luò)安全薄弱地帶。

一般可通過關(guān)閉主機(jī)設(shè)備多余USB 端口、阻斷接入危險(xiǎn)的TCP 端口、加強(qiáng)賬戶使用管理、對(duì)非工作人員關(guān)閉權(quán)限、增強(qiáng)密碼的復(fù)雜性、對(duì)異地遠(yuǎn)程登錄嚴(yán)格監(jiān)控，建立網(wǎng)絡(luò)安全防護(hù)網(wǎng)。安全設(shè)備要建立相對(duì)應(yīng)的身份驗(yàn)證以及密碼登錄，密碼的設(shè)置要符合安全防范強(qiáng)度并定期更換。針對(duì)那些安全性高的安全設(shè)備應(yīng)同時(shí)使用USB Key 和登錄密碼雙重驗(yàn)證。此外，還要根據(jù)不同系統(tǒng)的不同安全防護(hù)要求，合理地配置防火墻、橫向以及縱向單向隔離裝置，并對(duì)其使用明確規(guī)定網(wǎng)絡(luò)接入IP 地址、接入端口以及數(shù)據(jù)方向。同時(shí)所有安全防護(hù)設(shè)備都應(yīng)匹配自身日志審計(jì)系統(tǒng)，定期向安全監(jiān)控平臺(tái)上傳安全報(bào)告，實(shí)時(shí)監(jiān)控電力系統(tǒng)的運(yùn)行情況[2]。

3.3 建立相匹配的預(yù)防措施

網(wǎng)絡(luò)操作要在法律法規(guī)規(guī)定的范圍內(nèi)進(jìn)行，嚴(yán)格杜絕違法亂紀(jì)行為。之所以會(huì)出現(xiàn)人員的操作失誤，都是由于調(diào)度人員的職業(yè)素養(yǎng)不強(qiáng)造成的，所以加強(qiáng)員工的法律責(zé)任意識(shí)十分重要，要督促員工對(duì)待工作一絲不茍，將各個(gè)環(huán)節(jié)的工作都落到實(shí)處，對(duì)網(wǎng)絡(luò)調(diào)度以及系統(tǒng)的檢測(cè)環(huán)節(jié)嚴(yán)格把關(guān)，規(guī)避那些慣性違法違章錯(cuò)誤，以有效地減少操作以及調(diào)度錯(cuò)誤。

增強(qiáng)網(wǎng)絡(luò)設(shè)備運(yùn)行的穩(wěn)定性，要想使設(shè)備處于一個(gè)安全的工作環(huán)境之下，就需調(diào)度人員增強(qiáng)專業(yè)知識(shí)及操作技能，在設(shè)備運(yùn)行中可根據(jù)天氣等外部環(huán)境因素對(duì)安全隱患進(jìn)行合理的預(yù)測(cè)，并有針對(duì)性地設(shè)立預(yù)防方案，在實(shí)際發(fā)生安全事故時(shí)可將損失降到最低。此外，要定期組織工作人員對(duì)輸電線路進(jìn)行安全排查，重點(diǎn)加強(qiáng)那些高危線路，及時(shí)發(fā)現(xiàn)線路安全問題并有效解決，以免發(fā)展成更嚴(yán)重的后果[3]。

3.4 啟用縱向加密認(rèn)證防護(hù)系統(tǒng)

縱向加密認(rèn)證裝置是網(wǎng)絡(luò)防護(hù)中運(yùn)用的較多的隔離裝置，一般設(shè)置在局域網(wǎng)與廣域網(wǎng)的連接處或兩臺(tái)遠(yuǎn)程控制主機(jī)網(wǎng)絡(luò)連接處?？v向加密認(rèn)證裝置是一種雙向隔離裝置，每個(gè)加密裝置都有相匹配的解密裝置，并在不同的兩端進(jìn)行，一般加密與解密在同一端進(jìn)行的裝置較少，其安全性能相對(duì)較差?？v向加密認(rèn)證裝置相較于普通防火墻，除具有訪問權(quán)限外，還具有身份驗(yàn)證、信息加密技術(shù)及信息安全過濾功能，可減少不確定因素的影響，這使得信息傳輸?shù)陌踩愿鼜?qiáng)，對(duì)病毒入侵的防御度更強(qiáng)。

專用縱向加密認(rèn)證裝置的密碼不是隨意制定的，一般都是經(jīng)過調(diào)度數(shù)字證書系統(tǒng)頒發(fā)的設(shè)備證書進(jìn)行統(tǒng)一資格準(zhǔn)入，只有兩端設(shè)備都是經(jīng)過合法授權(quán)的才能進(jìn)入網(wǎng)絡(luò)系統(tǒng)使用。同時(shí)，要對(duì)遠(yuǎn)程傳輸信息使用國家密碼局頒發(fā)的加密算法和因子進(jìn)行信息加密，減少信息在傳輸過程中被惡意攔截及篡改，從而有效提高設(shè)備運(yùn)行安全性。

4 電力監(jiān)控系統(tǒng)安全防護(hù)管理制度

完善安全防護(hù)管理制度。要想完善安全防護(hù)管理制度，就必須建立相對(duì)應(yīng)的安全責(zé)任制度，將責(zé)任劃分落實(shí)到具體的工作人員上，明確劃分各個(gè)部門的職權(quán)，電力調(diào)度部門主要負(fù)責(zé)管理輸電站及相關(guān)下屬部門，對(duì)電力的調(diào)度使用進(jìn)行嚴(yán)格的監(jiān)控，設(shè)立運(yùn)檢部門專門進(jìn)行變電站的管控系統(tǒng)進(jìn)行修護(hù)工作，此外還要建立方案審批制度，下級(jí)制動(dòng)的電力調(diào)度等戰(zhàn)略性方案都要在上級(jí)審批后投入使用。

嚴(yán)格劃分安全等級(jí)。安全等級(jí)評(píng)定直接關(guān)系著網(wǎng)絡(luò)安全質(zhì)量，對(duì)于不同系統(tǒng)的安全等級(jí)的劃分要嚴(yán)格按照國家的信息系統(tǒng)等級(jí)保護(hù)與測(cè)評(píng)的標(biāo)準(zhǔn)進(jìn)行安全等級(jí)評(píng)定。同時(shí)要針對(duì)不同的等級(jí)安排不同密度的評(píng)估工作，2級(jí)安全等級(jí)的評(píng)估間隔為2年，3級(jí)安全等級(jí)的評(píng)估間隔為1年，4級(jí)安全等級(jí)的評(píng)估間隔最好控制在半年。安全等級(jí)評(píng)定直接關(guān)系著安全防護(hù)措施的配置，所以要對(duì)不同系統(tǒng)的安全等級(jí)進(jìn)行合理評(píng)定。

嚴(yán)格把控設(shè)備接入連接。一般電力監(jiān)控系統(tǒng)與外部系統(tǒng)發(fā)生的連接較多，在這過程中很容易出現(xiàn)網(wǎng)絡(luò)安全問題。所以，針對(duì)與生產(chǎn)控制大區(qū)連接的設(shè)備，需具備國家認(rèn)定授權(quán)的資格證明、兼具較高的安全性能才可批準(zhǔn)使用，嚴(yán)格杜絕使用那些安全性能不明及系統(tǒng)穩(wěn)定性差的設(shè)備。同時(shí)在主設(shè)備與外網(wǎng)連接時(shí)，要及時(shí)關(guān)閉軟盤及usb 等連接口，或阻斷生產(chǎn)控制大區(qū)與管理信息大區(qū)間的信息傳輸路徑，有效地減少信息從其他端口泄露，提高電力監(jiān)控系統(tǒng)的安全性。

提高工作人員職業(yè)素養(yǎng)。電力監(jiān)控系統(tǒng)的安全性需全體職工共同努力，在加強(qiáng)職工專業(yè)及操作技能的同時(shí)，還要對(duì)其進(jìn)行職業(yè)素養(yǎng)的培訓(xùn)，通過教育加強(qiáng)他們的保密意識(shí)。建立健全保密制度，針對(duì)保密要求高的崗位職工要簽訂保密責(zé)任書，對(duì)于離崗的職工也要關(guān)閉其管理權(quán)限并撤銷其準(zhǔn)入安全系統(tǒng)的賬戶，建立全覆蓋的保密機(jī)制。同時(shí)要定期對(duì)員工進(jìn)行保密知識(shí)講座和培訓(xùn)，使員工明白保密工作的價(jià)值，從思想觀念上提高電力監(jiān)控系統(tǒng)的安全性。

綜上，目前網(wǎng)絡(luò)安全越來越受到全社會(huì)的關(guān)注，國家也加大對(duì)電力監(jiān)控系統(tǒng)的安全保護(hù)。所以要建立健全安全責(zé)任制度及合理劃分不同系統(tǒng)的安全等級(jí)，并建立相對(duì)應(yīng)的安全隱患應(yīng)對(duì)機(jī)制，有效提高電力系統(tǒng)運(yùn)行安全。