监控系统网络安全防护体系建设 摘要:为确保不发生电力监控系统网络安全事件,通过成立工作小组、制订安全防护方案、完善安全防护结构,形成完整的安全防护体系,有效提高了电力监控系统网络安全防护水平。关键词:电力监控系统;网络;安全防护;建设 1.考核评估 考核评估主要从两方面进行:一是通过制度、发文、流程检查的形式,检查是否成立电力监控系统安全防护建设小组、设立网络安全专责、制订安全防护方案,是否有效组织主站、厂站、并网电厂等各方实施电力监控系统安全防护建设;二是采用正态分布或五分位法对指标值进行分段评价,评价范围包括地县调控机构、运维范围内变电站和调度范围内发电厂,评价形式为内网监控平台统计和现场检查,评价计算式为“电力监控系统安全防护主要指标完成率=0.2×地调安全防护专业人员配备率+0.2×厂站安全防护纵向设备覆盖率+0.2×内网安全监视平台覆盖率+0.2×控制功能调度数字证书覆盖率+0.1×地调管辖发电厂电力监控系统安全防护方案审核完成率+0.1×厂站安全防护纵向设备密通率”。通过这些真实案例,集控中心及暴露出大量电力监控系统的安全漏洞, 主要有以下安全问题。 1.1集控中心及生产控制大区内缺少安全防护措施 集控中心和的信息网络安全防护手段主要集中在生产控制大区与管理信息大区的网络边界之间,生产控制大区与电网调度系统网络边界之间,生产控制大区与第三方监管机构网络边界之间,通常使用网络隔离产品与安全加密类产品。但是,在生产控制大区内部缺少有效的网络信息安全防护手段及措施。 1.2工业控制系统自身存在漏洞、防护措施薄弱 集控中心和使用的工业控制系统在硬件设计开始时很少考虑安全问题,导致安全漏洞的出现。如施耐德公司的67160型PLC存在IP分片语法拒绝服务漏洞(CNVD-2016-07839),这些高危漏洞的存在给电力行业信息网络安全带来无法估量的安全风险。 1.3操作系统存在漏洞 目前大多数集控中心及控制系统的工程师站/操作员站/HMI采用的是Windows平台,Windows平台存在大量的安全漏洞。为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常现场工程师在系统运行后不会对Windows平台安装任何补丁,安全隐患很大[7]。而且在传统观念上认为相对安全的Linux、Unix等系统,近年来也爆发了大量高危漏洞,这些系统在使用的过程中也需要对系统进行漏洞管理工作。 1.4应用软件存在漏洞 由于集控中心及使用的SCADA控制软件多为各企业定制化产品,在软件开发阶段缺少安全设计,导致这类软件存在大量的安全漏洞[6]。 2.建设范围和目标 某公司电力监控系统网络安全防护工作由调控中心统一管理,设立网络安全管理专职,建设范围包括主站自动化、厂站(含35kV及以上电压等级变电站,县公司、地调管辖并网电厂)自动化、调度数据网及通信。电力监控系统网络安全防护目标是防范黑客及恶意代码等对电力监控系统发起攻击和侵害,特别是抵御集团式攻击,防止电力监控系统瘫痪。电力监控系统网络安全防护需同时完成以下安全防护指标:地调安全防护专业人员配备率100%;厂站安全防护纵向加密设备覆盖率100%;内网安全监视平台覆盖率100%;控制功能调度数字证书覆盖率100%;地调管辖发电厂电力监控系统安全防护方案审核完成率100%;厂站安全防护纵向加密设备密通率不小于90%。 3.建设内容 3.1成立工作小组 成立以调控中心主任为工作小组组长的组织机构,如图1所示。在地调设立网络安全专责,全面负责组织地区电力监控系统安全防护体系建设工作。工作小组成员包含主站自动化、运检部自动化、县调自动化、通信、并网电厂负责人等。 3.2制订安全防护方案 依据《电力监控系统安全防护规定》(国家发改委〔2014〕14号令)、《电力监控系统安全防护总体方案和评估规范》(国能安全〔2015〕36号)及省公司调控中心的统一部署,组织各专业制订《地县级调度中心监控系统安全防护方案》、《发电厂监控系统安全防护方案》、《变电站监控系统安全防护方案》,经安全防护工作小组审核、分管领导批准并报省调备案后实施。以调控中心部门通知形式,专门印发《关于发电企业电力监控系统安全防护工作要求的通知》,加强并网电厂安全防护工作。 图1网络安全防护工作小组 3.3地县级调度中心安全防护体系建设 (1)主站调度数据网一平面二区,二平面一、二区纵向加密装置安装及调试工作。一平面二区原为防火墙,二平面一、二区原未配置安全装置,现统一安装、调试兴唐千兆型纵向加密装置。(2)部署纵向加密认证装置管理平台。在调度主站二区部署南瑞信息SMC-2000纵向加密认证管理平台,对所辖范围内纵向加密装置进行远程安全管理。(3)无线安全接入区建设。按照方案要求,自动化主站建设无线安全接入区,专门用于分布式电源接入调度数据网,建成后有利于加强小电源安全防护工作管理,同时更好直接服务于光伏扶贫项目。(4)网络安全管理平台建设。按照“设备自身感知、监测装置就地采集、平台统一管控”的原则,主站建设ns5000网络安全管理平台,对系统安全状况进行实时在线监测、报警,提升自动化系统安全防护水平。(5)部署调度数字证书签发系统。自动化主站部署南瑞信息开发的数字证书签发系统,用于对人员、设备、程序证书进行签发,提高上传自动化数据的密通率。(6)入侵检测系统部署与调试。自动化主站部署2台启明星辰NT600-HD入侵检测装置,分别位于调度数据网一平面二区、二平面二区。一平面一区、二平面一区数据通过部署镜像的方法镜像到二区,实现对数据网数据的全监视,提前发现入侵行为。(7)制订地区调度中心主站监控系统安全防护方案,制订网络安全应急预案,落实班组安全防护人员责任。(8)开展等级保护测评。地调自动化系统为等保三级系统,需每年进行1次等级保护测评并报公安局备案。 4.变电站安全防护体系建设 制订变电站监控系统安全防护方案和网络安全应急预案,落实班组安全防护人员责任。35kV及以上电压等级变电站纵向加密装置改造及远程管理工作。110kV变电站一、二区纵向安全装置全部改造成纵向加密装置。改造中严把策略配置关,防止大明通现象,同时主站利用纵向加密管理装置实现对变电站内加密装置的远程管理。35kV及以上电压等级变电站网络安全监测装置安装及接入主站工作。按照“设备自身感知、监测装置就地采集、平台统一管控”的原则,变电站(站控层)部署网络安全监测装置,全面监控网络空间内计算机、网络设备、安防设施等设备上的安全行为。 结束语 综上所述,通过管理和技术体系建设,完成了相关指标要求,全面提升了地区电力监控系统网络安全防护能力;系统防护水平及人员的技能、安全防护意识得到进一步提升,为后续安防工作打下了基础。 参考文献 [1]周宁.重庆电网二次系统安全防护体系结构及关键技术研究[D].重庆:重庆大学,2015 [2]叶林.浅谈区域风电集控中心建设与生产运行模式[A].风能产业(2018 年 10 月)[C]:中国农业机械工业协会风力机械分会,2018:4. [3]朱辰泽,贺志方,郑如生.风电集控中心系统设计与实施[J].信息化建设,2015(12):300-301. 本文来源:https://www.wddqw.com/doc/b50b973286868762caaedd3383c4bb4cf6ecb77c.html