国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

1　引言

電力監(jiān)控系統(tǒng)，在電力行業(yè)內(nèi)部，一般稱為“電力二次系統(tǒng)”，是指“用于監(jiān)視和控制電力生產(chǎn)及供應(yīng)過程的、基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備，以及作為基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡(luò)等”^[1]。電力監(jiān)控系統(tǒng)相當(dāng)于整個電力系統(tǒng)的神經(jīng)網(wǎng)絡(luò)和控制中樞，對于保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行和電力可靠供應(yīng)具有重要意義。二十一世紀(jì)初期，我國多個電力企業(yè)相繼發(fā)生了一些與電力監(jiān)控系統(tǒng)相關(guān)的信息安全事件，如“二灘電廠停機(jī)事件”、“時間邏輯炸彈事件”、“換流站感染病毒事件”等，造成事故或形成安全隱患。這些事例說明電力監(jiān)控系統(tǒng)所面臨的信息安全風(fēng)險(xiǎn)日益增大，直接威脅到電力系統(tǒng)安全穩(wěn)定運(yùn)行和電力可靠供應(yīng)。對于上述情況，電力行業(yè)高度重視，制定了《電力二次系統(tǒng)安全防護(hù)規(guī)定》、《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》及相關(guān)配套方案，并按照國家信息安全等級保護(hù)要求制定了電力行業(yè)標(biāo)準(zhǔn)，積極推動了電力監(jiān)控系統(tǒng)安全防護(hù)建設(shè)，取得了極大成效。

2　電力二次系統(tǒng)安全防護(hù)

2.1　電力二次系統(tǒng)安全防護(hù)

2004年，原國家電力監(jiān)管委員會（簡稱電監(jiān)會）組織系統(tǒng)內(nèi)、外部信息安全專家對電力監(jiān)控系統(tǒng)的應(yīng)用特點(diǎn)、面臨安全風(fēng)險(xiǎn)進(jìn)行了深入系統(tǒng)的研究論證，制定并發(fā)布了《電力二次系統(tǒng)安全防護(hù)規(guī)定》（電監(jiān)會5號令），隨后陸續(xù)下發(fā)《電力二次系統(tǒng)安全防護(hù)總體方案》等相關(guān)配套文件。

《電力二次系統(tǒng)安全防護(hù)規(guī)定》首次明確提出了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的電力監(jiān)控系統(tǒng)安全防護(hù)總體策略^[2]，如圖1所示。

圖1  電力二次系統(tǒng)安全防護(hù)總體策略

在技術(shù)層面，《電力二次系統(tǒng)安全防護(hù)規(guī)定》明確要求電力企業(yè)網(wǎng)絡(luò)應(yīng)劃分為生產(chǎn)控制大區(qū)網(wǎng)絡(luò)和管理信息大區(qū)網(wǎng)絡(luò)，兩個大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置；在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組建電力調(diào)度數(shù)據(jù)網(wǎng)，實(shí)現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的物理隔離；采用經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施實(shí)現(xiàn)生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接；建立基于公鑰技術(shù)的分布式電力調(diào)度數(shù)字證書系統(tǒng)，為生產(chǎn)控制大區(qū)中的重要業(yè)務(wù)系統(tǒng)提供認(rèn)證加密機(jī)制。

在管理層面，《電力二次系統(tǒng)安全防護(hù)規(guī)定》明確了電力調(diào)度機(jī)構(gòu)對電力二次系統(tǒng)安全防護(hù)的歸口管理職責(zé)，按照“分級負(fù)責(zé)”的責(zé)任制，各級調(diào)度機(jī)構(gòu)負(fù)責(zé)直接調(diào)度范圍內(nèi)的下一級電力調(diào)度機(jī)構(gòu)、變電站、發(fā)電廠輸變電部分的二次系統(tǒng)安全防護(hù)的技術(shù)監(jiān)督；接入電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的設(shè)備和應(yīng)用系統(tǒng)，其接入技術(shù)方案和安全防護(hù)措施須經(jīng)直接負(fù)責(zé)的電力調(diào)度機(jī)構(gòu)核準(zhǔn)。

2.2　電力監(jiān)控系統(tǒng)安全防護(hù)

隨著國內(nèi)外信息安全形勢發(fā)展，特別是由伊朗布什爾核電站遭受“震網(wǎng)”蠕蟲病毒攻擊事件暴露出工業(yè)控制系統(tǒng)存在安全隱患，電力企業(yè)對電力監(jiān)控系統(tǒng)的安全防護(hù)也進(jìn)行了深入研究和反思。2014年由國家發(fā)改委發(fā)布了《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（以下簡稱《規(guī)定》），從技術(shù)和管理兩個方面對電力監(jiān)控系統(tǒng)安全防護(hù)提出了更高的要求。

在技術(shù)層面，隨著分布式能源、配網(wǎng)自動化、智能電網(wǎng)等新技術(shù)的快速發(fā)展和應(yīng)用，針對電力監(jiān)控系統(tǒng)使用無線公網(wǎng)進(jìn)行數(shù)據(jù)通信日益普遍的情況，《規(guī)定》重申了電力監(jiān)控系統(tǒng)“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的防護(hù)原則；提出了在生產(chǎn)控制大區(qū)內(nèi)設(shè)置“安全接入?yún)^(qū)”的理念^[1]；強(qiáng)調(diào)了當(dāng)生產(chǎn)控制大區(qū)的業(yè)務(wù)系統(tǒng)在與其終端的縱向聯(lián)接時，如果使用無線通信網(wǎng)、電力企業(yè)其它數(shù)據(jù)網(wǎng)（非電力調(diào)度數(shù)據(jù)網(wǎng)）或者外部公用數(shù)據(jù)網(wǎng)的虛擬專用網(wǎng)絡(luò)方式（VPN）等進(jìn)行通信的，應(yīng)當(dāng)設(shè)立安全接入?yún)^(qū)，在安全接入?yún)^(qū)與生產(chǎn)控制大區(qū)中其他部分的聯(lián)接處必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置，如圖2所示。生產(chǎn)控制大區(qū)中除安全接入?yún)^(qū)外，禁止選用具有無線通信功能的設(shè)備。

圖2 安全接入?yún)^(qū)設(shè)置

在管理層面，結(jié)合國家公安部、國資委關(guān)于中央企業(yè)信息安全等級保護(hù)工作的要求[3]，《規(guī)定》明確了信息安全等級保護(hù)在電力監(jiān)控系統(tǒng)安全防護(hù)中的基礎(chǔ)地位。

3　電力監(jiān)控系統(tǒng)安全等級保護(hù)

3.1　系統(tǒng)定級

按照國家信息安全等級保護(hù)工作要求，電力行業(yè)也在積極推進(jìn)電力監(jiān)控系統(tǒng)安全等級保護(hù)工作。2007年，原電監(jiān)會發(fā)布《電力行業(yè)信息系統(tǒng)等級保護(hù)定級工作指導(dǎo)意見》，給出了包括電力二次系統(tǒng)在內(nèi)的電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級的方法和建議，主要分為二級、三級、四級，其中涉及電力生產(chǎn)控制的核心業(yè)務(wù)系統(tǒng)為四級[4]。

按照該文件要求，各電力企業(yè)開展了電力監(jiān)控系統(tǒng)定級、測評和備案等工作。由于該文件要求將變電站自動化系統(tǒng)單獨(dú)定級，導(dǎo)致各企業(yè)定級系統(tǒng)數(shù)量龐大（例如，國家電網(wǎng)公司定級的電力監(jiān)控系統(tǒng)將近8000個，其中三級系統(tǒng)3000多個，按照等保要求每年測評一次）。

為了加強(qiáng)電力監(jiān)控系統(tǒng)等級保護(hù)管理，2011年，電監(jiān)會對電力監(jiān)控系統(tǒng)的定級進(jìn)行了調(diào)整，將變電站自動化系統(tǒng)作為相關(guān)調(diào)度自動化系統(tǒng)的子站部分，不再作為獨(dú)立系統(tǒng)進(jìn)行定級。按照新的定級備案原則，定級系統(tǒng)數(shù)量大幅減少（例如，國家電網(wǎng)公司定級的電力監(jiān)控系統(tǒng)減少到400多個，約為原來的5%），極大地減少了定級系統(tǒng)管理工作量，提高了管理質(zhì)量。

3.2　安全等級保護(hù)要求

2012年，電監(jiān)會以部門文件形式下發(fā)了《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求（試行）》[5]（簡稱“行標(biāo)”），明確規(guī)定了電力監(jiān)控系統(tǒng)的安全等級保護(hù)要求。

根據(jù)電力行業(yè)信息系統(tǒng)功能和已有防護(hù)體系特點(diǎn)，行業(yè)標(biāo)準(zhǔn)在不同安全等級要求的基礎(chǔ)上，提出了總體要求，分別由總體技術(shù)要求和總體管理要求組成。其中總體技術(shù)要求主要參照電監(jiān)會5號令及其配套方案，進(jìn)一步明確了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的安全防護(hù)要求，規(guī)定：電力企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)應(yīng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)；生產(chǎn)控制大區(qū)可分為控制區(qū)和非控制區(qū)；管理信息大區(qū)網(wǎng)絡(luò)與生產(chǎn)控制大區(qū)網(wǎng)絡(luò)應(yīng)物理隔離；不同等級的信息系統(tǒng)應(yīng)成獨(dú)立的域；調(diào)度數(shù)據(jù)網(wǎng)上應(yīng)實(shí)現(xiàn)縱向數(shù)據(jù)認(rèn)證加密傳輸?shù)?。此外，總體技術(shù)要求還提出了不同等級系統(tǒng)之間互聯(lián)及共用網(wǎng)絡(luò)、設(shè)備、系統(tǒng)的安全防護(hù)要求?？傮w管理要求規(guī)定了一個電力企業(yè)存在不同等級系統(tǒng)時，應(yīng)遵循“就高原則”進(jìn)行管理，即：如果生產(chǎn)控制大區(qū)僅有一級信息系統(tǒng)時，通用管理要求等同采用一級；如果含有二級及以下等級信息系統(tǒng)時，通用管理要求等同采用二級；如果含有三級及以下等級信息系統(tǒng)時，通用管理要求等同采用三級；如果含有四級及以下等級信息系統(tǒng)時，通用管理要求等同采用四級基本要求。

結(jié)合電力監(jiān)控系統(tǒng)應(yīng)用特點(diǎn)和安全防護(hù)需求，電力行標(biāo)對各等級電力監(jiān)控系統(tǒng)安全防護(hù)要求進(jìn)行了新增、細(xì)化、增強(qiáng)、落實(shí)四種具體的修訂，使得行業(yè)標(biāo)準(zhǔn)更貼近電力監(jiān)控系統(tǒng)安全防護(hù)的實(shí)際需求。例如，針對二級系統(tǒng)，行標(biāo)在網(wǎng)絡(luò)訪問控制方面新增了要求：“生產(chǎn)控制大區(qū)的撥號訪問服務(wù)，服務(wù)器和客戶端均應(yīng)使用經(jīng)安全加固的達(dá)到國家相應(yīng)等級保護(hù)要求的操作系統(tǒng)，并采取加密、數(shù)字證書認(rèn)證和訪問控制等安全防護(hù)和其他管理措施”；將國標(biāo)要求的“網(wǎng)段級”訪問控制力度提高為“端口級”；針對網(wǎng)絡(luò)安全審計(jì)，規(guī)定審計(jì)內(nèi)容應(yīng)包括用戶的添加和刪除、審計(jì)功能的啟動和關(guān)閉、審計(jì)策略的調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作等安全相關(guān)事件，細(xì)化了國標(biāo)的要求。表1、表2分別列出了在技術(shù)和管理方面，電力行業(yè)標(biāo)準(zhǔn)與國家標(biāo)準(zhǔn)的主要變化情況。

表1 電力行業(yè)等級保護(hù)標(biāo)準(zhǔn)與國家標(biāo)準(zhǔn)對比（技術(shù)要求）

表2 電力行業(yè)等級保護(hù)標(biāo)準(zhǔn)與國家標(biāo)準(zhǔn)對比（管理要求）

3.3　等級測評與整改

2011年以來，原國家電監(jiān)會組織電力行業(yè)信息安全等級保護(hù)測評機(jī)構(gòu)對電力企業(yè)的重要電力監(jiān)控系統(tǒng)進(jìn)行了等級測評。測評結(jié)果表明，電力監(jiān)控系統(tǒng)安全防護(hù)情況良好，大部分系統(tǒng)與行業(yè)標(biāo)準(zhǔn)規(guī)定要求的符合度能夠達(dá)到80%，部分系統(tǒng)甚至超過90%。存在的主要問題有：部分建設(shè)較早的系統(tǒng)未實(shí)現(xiàn)對敏感標(biāo)記、強(qiáng)制訪問控制和雙因子認(rèn)證等的有效技術(shù)措施；部分網(wǎng)絡(luò)、主機(jī)及數(shù)據(jù)庫系統(tǒng)安全配置存在不足，補(bǔ)丁更新不夠及時；部分單位審計(jì)監(jiān)控手段比較缺乏，不具備系統(tǒng)日志安全審計(jì)、分析的能力；部分單位電力二次系統(tǒng)安全管理制度不夠完善，崗位職責(zé)不夠明確等。

針對發(fā)現(xiàn)的問題，電力企業(yè)積極組織了整改，對照行業(yè)標(biāo)準(zhǔn)，一方面通過全面采用國產(chǎn)化設(shè)備、國產(chǎn)安全操作系統(tǒng)、國產(chǎn)安全數(shù)據(jù)庫和自主開發(fā)的應(yīng)用軟件，結(jié)合調(diào)度數(shù)字證書建設(shè)，推動電力監(jiān)控系統(tǒng)升級改造，深化安全防護(hù)，實(shí)現(xiàn)等級保護(hù)四級要求。同時，積極推進(jìn)電力監(jiān)控系統(tǒng)安全監(jiān)視平臺的研發(fā)和應(yīng)用，解決電力監(jiān)控系統(tǒng)關(guān)鍵安全設(shè)備、服務(wù)器的日志集中采集和統(tǒng)一管理問題，實(shí)現(xiàn)對安全設(shè)備的實(shí)時告警與運(yùn)行狀態(tài)監(jiān)測，并形成“安全運(yùn)行月報(bào)”制度，每月對安全事件的報(bào)警情況、安全設(shè)備運(yùn)行情況、鏈路連通情況等，進(jìn)行在線統(tǒng)計(jì)分析。通過整改，進(jìn)一步提升了電力監(jiān)控系統(tǒng)的安全防護(hù)水平。

4　結(jié)語

自《電力二次系統(tǒng)安全防護(hù)規(guī)定》發(fā)布以來，各電力企業(yè)從管理、技術(shù)兩方面持續(xù)開展工作，建立了較為完善的電力監(jiān)控系統(tǒng)安全防護(hù)體系，取得了明顯的效果，全國電力監(jiān)控系統(tǒng)未再發(fā)生因受到惡意信息攻擊而導(dǎo)致的電力安全事件[6]。特別是在北京奧運(yùn)會、上海世博會、廣州亞運(yùn)會、抗戰(zhàn)70周年大閱兵等重要保電時期，電力監(jiān)控系統(tǒng)安全防護(hù)體系經(jīng)受住了來自境內(nèi)外各種敵對勢力的高密度、高強(qiáng)度的惡意網(wǎng)絡(luò)滲透和攻擊的嚴(yán)峻考驗(yàn)，確保了各項(xiàng)重要活動期間的電力可靠供應(yīng)。隨著業(yè)務(wù)發(fā)展和信息安全技術(shù)發(fā)展，今后電力監(jiān)控系統(tǒng)安全防護(hù)需要逐步向縱深防御發(fā)展，一是需要進(jìn)一步擴(kuò)展安全防護(hù)體系的覆蓋范圍，規(guī)范和加強(qiáng)對風(fēng)電、光伏等新能源電力監(jiān)控系統(tǒng)的安全防護(hù)，加強(qiáng)智能變電站等新技術(shù)、新應(yīng)用的安全防護(hù)；二是要積極推進(jìn)國產(chǎn)化工作，研發(fā)并應(yīng)用基于可信計(jì)算的安全免疫技術(shù)，提高電力監(jiān)控系統(tǒng)的自主可控能力。

作者簡介

邱意民（1973-），男，江西人，高級工程師，碩士，現(xiàn)就職于國網(wǎng)智能電網(wǎng)研究院，主要研究方向?yàn)樾畔踩?/p>

參考文獻(xiàn)：

[1]國家發(fā)改委.電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定（發(fā)改委令[2014]第14號）[EB/OL]. http://www.sdpc.gov.cn/zcfb/zcfbl/201408/t20140814_622262.html.

[2]國家電力監(jiān)管委員會.電力二次系統(tǒng)安全防護(hù)規(guī)定（國家電力監(jiān)管委員會令第5號） [EB/OL]. http://www.gov.cn/gongbao/content/2005/content_75122.htm.

[3]國家公安部,國資委.關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級保護(hù)工作的通知（公通字[2010]70號）[S].

[4]國家電力監(jiān)管委員會.電力行業(yè)信息系統(tǒng)等級保護(hù)定級工作指導(dǎo)意見（電監(jiān)信息[2007]44號）[S].

[5]國家電力監(jiān)管委員會.電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求（試行）（電監(jiān)信息[2012]62號）[S].

[6]陳學(xué)婧.獨(dú)家：史玉波解讀《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》[EB/OL]. http://www.cpnn.com.cn/zdzgtt/201412/t20141204_769667.html.

摘自《工業(yè)控制系統(tǒng)信息安全?？ǖ诙嫞?/span>