电力监控系统网络安全防护分析

电力监控系统网络安全防护分析

摘要:电力监控系统是维护电网稳定运行的重要工具,随着网络安全形势的愈发严峻,加强电力监控系统的网络安全防护就更加迫切和有必要。笔者根据自身工作和学习经验,首先阐述了电力监控系统网络安全防护的基本要求,其次探讨了网络安全防护的要点和具体策略,仅供参考。

关键词:电力监控系统;网络安全;三同步;纵深防御

1电力监控系统网络安全防护的要求

电力监控系统主要包括生产管理类信息、生产控制类信息和通信网络系统三个方面[1]。根据国家相关法律法规及南方电网公司要求,电力监控系统网络安全防护需要满足国家发改委颁布的《电力监控系统安全防护规定》(国家发改委2014年第14号令)、国家能源局颁布的《电力监控系统安全防护总体方案等安全防护方案和评估规范》(国能安全[2015]36号)以及《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)所提出的要求。同时南方电网公司结合自身实际情况,根据上述规定和总体方案,分别制定了《中国南方电网电力监控系统安全防护管理办法》、《中国南方电网电力监控系统安全防护技术规范》。

2电力监控系统网络安全防护基本方针

电力监控系统网络安全防护整体方案设计上要遵循“安全分区,网络专用,横向隔离,纵向认证”的十六字方针。

2.1安全分区

根据运行业务安全等级要求不同,将电力监控系统划分为生产控制大区和管理信息大区,其中生产控制大区又分为控制区(安全I区)和非控制区(安全II区),管理信息大区又分为安全Ⅲ区和安全Ⅳ区。安全等级低的业务系统可以放在高安全区内,安全等级高的业务系统不允许放在低安全区内。除此之外,还设置安全接入区,使用公网通信、无线通信的业务通过安全接入区接入电力监控系统。

2.2网络专用

生产控制大区业务使用调度数据网承载,管理信息大区业务使用综合数据网承载,调度数据网和综合数据网使用独立的设备组网,在物理上实现网络安全隔离。使用MPLS-VPN技术,划分实时VPN和非实时VPN,实现安全I区和安全II区的逻辑隔离。

2.3横向隔离

生产控制大区与管理信息大区使用电力专用的横向隔离装置实现物理隔离,生产控制大区和管理信息大区内部使用防火墙等具有访问控制功能的网络设备进行逻辑隔离,安全接入区使用电力专用横向隔离装置与生产控制大区和管理信息大区实现物理隔离。

2.4纵向认证

各级生产控制大区使用纵向加密认证装置与调度数据网连接,为上下级调度机构或主站与子站的控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。

3信息系统安全保障模型

以风险和策略为基础,在信息系统的生命周期中在技术、管理、工程和人员等方面实施保障措施,确保信息的保密性、完整性和可用性特征(图1),达到保护组织机构信息和信息系统资产,从而保障组织机构实现其使命的最终目的。信息系统的生命周期层面和保障要素层面不是相互孤立的,在信息系统生命周期中的任何时间点上,都需要综合信息系统安全保障的技术、管理、工程和人员保障要素。在电力监控系统的建设过程中,将安全贯彻到信息系统的全生命周期中,严格落实三同步要求,即“同步规划,同步建设,同步使用”,将网络安全工作融入规划、建设与发展三个阶段。构建电力监控系统网络安全管理体系,在组织架构上,落实人员配置,建立网络安全应急队伍;责任体系上,建立网络安全考核及问责体系,将责任落实到个人;管理制度上,建立网络安全标准制度体系,完善相关的业务流程和表单,细化业务指导书或典型作业指导书;技术标准上,编制各业务系统和支撑平台的网络安全防护技术规范。人员支撑上,加强人才队伍建设,做好网络安全技术及管理培训,深化网络安全资质考核认证,提升网络安全从业人员的技能水平。

4构建纵深防御的技术体系

信息保障技术框架(InformationAssuranceTechnicalFramework,IATF)的思想,是实行多层防御、多点防御的纵深防御策略。电力监控系统网络安全防护体系的建设,也采用纵深防御的策略,根据等级保护的要求,主要从物理安全、计算环境安全、区域边界安全、主动防御四个方面着手,提高电力监控系统的网络安全防护能力。

4.1物理安全

电力监控系统机房应采用有效防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施,应配置电子门锁加强物理访问控制,有条件还可增设专人值守,防止社工攻击。

4.2计算环境安全

电力监控系统的主机应进行安全加固,采用自主可控操作系统,实行双因子身份认证,配置访问控制策略,启动安全审计功能,安装杀毒软件,定期进行漏洞扫描,及时安装安全补丁,关闭高危端口以及高危服务,加强U盘等移动介质使用管控。

4.3区域边界安全

严格遵循“安全分区,网络专用,横向隔离,纵向认证”的基本原则,严禁跨区互联。应在区域边界部署横向隔离装置、防火墙等防护设备,配置访问控制策略,在网络关键位置,部署IDS、IPS等网络设备,对数据流量进行监控,防范入侵。

4.4主动防御

建立电力监控系统网络安全态势感知系统,对公司各电力监控系统全方位、全天候的网络安全态势感知,及时发现各类网络安全风险以及非法访问事件,实现电力监控系统网络安全的态势感知及预警。

5总结

电力监控系统作为国家关键信息基础设施,面临的网络安全形势日趋严峻,一旦遭受网络安全攻击将可能导致大面积停电事件,严重威胁企业和国家安全。落实全域防御、纵深防御的要求,从管理、技术两方面着手,是有效提高电力监控系统的网络安全防护能力的有效手段。

作者:江志东 单位:广东电网有限责任公司汕头供电局