电力监控系统网络安全防护体系建设 为确保不发生电力监控系统网络安全事件，通过成立工作小组、制订安全防 护方案、完善安全防护结构，形成完整的安全防护体系，有效提高了电力监控系 统网络安全防护水平。 标签：电力监控系统;网络;安全防护;建设 电力作为重要基础设施领域，已被不少国家视为“网络战”首选攻击目标，因 此电力监控系统的网络安全形势异常严峻;其次，接入电力调度数据网的新能源 厂站急剧增加，其分布广泛、管理分散给网络安全工作提出了巨大挑战;另外， 国家网络安全法于2017年6月1日正式实施，网络安全上升到法律层面;最后， 当前各地电力监控系统网络安全防护水平参差不齐，存在不足。为此，电力监控 系统网络安全防护体系建设势在必行。 1.总体要求 电力监控系统包括电力行业生产控制类信息系统、生产管理类信息系统及通 信网络系统。近期颁发的《中华人民共和国网络安全法》将网络、信息安全从规 章制度上升到国家法律的高度。电力监控系统安全防护方案，以“安全分区、网 络专用、横向隔离、纵向认证”十六字方针为核心，注重外部网络边界隔离阻断， 配备必要的安全防护装置，部署必要的安全防护预警系统，采用技术手段加快感 知网络异常，建设电力监控系统栅格状纵深安全防护体系，防患于未然。电力监 控系统等级保护，以提高电力监控系统自身安全防护能力为依托，从物理安全、 网络安全、主机安全、应用安全和数据安全等几个层面，针对不同安全等级的电 力监控系统提出不同保护要求，加强系统内部异常感知和恶意行为防范能力。电 力监控系统安全防护，重点围绕系统边界、网络传输边界和业务主机三个层次， 构建电力监控系统安全防护的三道防线。 2.业务归类、安全分区 根据电力监控系统的特点、各相关业务系统的重要程度和数据流程、运行状 况和安全要求，电力监控系统主要分布在两个大区、三个小区及安全接入区。分 布在三个安全区的业务分别为： 安全区Ⅰ：控制区（生产控制大区），简言之，核心系统和实现实时监控功 能的系统部署在此区，是电力生产的核心业务，系统实时在线运行，采用调度数 据网络或专用通道传输信息，是安全防护的重中之重，安全等级最高; 安全区Ⅱ：非控制区（生产控制大区），电力生产上必须的业务，但不具备 远方控制功能的系统部署在此区，系统在线运行，采用调度数据网络传输信息， 是安全防护不可或缺的环节，安全等级低于安全区I; 安全区Ⅲ：调度生产管理区（管理信息大区），实现电力调度生产的管理， 提高管理水平和生产决策能力的系统部署在此区，不直接与电力生产环节闭环， 采用综合业务网传输信息，与生产控制大区之间采用电力专用横向单向隔离装置 进行隔离;安全接入区：采用非可控通信通道（外部专用网络通道或者GPRS通 道等）传输数据的前置通信系统，部署在安全接入区。安全接入区与生产控制大 区中的业务连接，需经过电力专用横向反向隔离装置;与外部网络连接处，需部 署硬件防火墙。山区小电源通过北斗卫星通道接入、配网系统采集终端通过 GPRS通道接入等，均应预先经过安全接入区。 3.建设内容 3.1制订安全防护方案 依据《电力监控系统安全防护规定》（国家发改委〔2014〕14号令）、《电力 监控系统安全防护总体方案和评估规范》（国能安全〔2015〕36号）及省公司调 控中心的统一部署，组织各专业制订《地县级调度中心监控系统安全防护方案》、 《发电厂监控系统安全防护方案》、《变电站监控系统安全防护方案》，经安全防 护工作小组审核、分管领导批准并报省调备案后实施。以调控中心部门通知形式， 专门印发《关于发电企业电力监控系统安全防护工作要求的通知》，加强并网电 厂安全防护工作。 3.2地县级调度中心安全防护体系建设 （1）主站调度数据网一平面二区，二平面一、二区纵向加密装置安装及调 试工作。一平面二区原为防火墙，二平面一、二区原未配置安全装置，现统一安 装、调试兴唐千兆型纵向加密装置。 （2）部署纵向加密认证装置管理平台。在调度主站二区部署南瑞信息 SMC-2000纵向加密认证管理平台，对所辖范围内纵向加密装置进行远程安全管 理。 （3）无线安全接入区建设。按照方案要求，自动化主站建设无线安全接入 区，专门用于分布式电源接入调度数据网，建成后有利于加强小电源安全防护工 作管理，同时更好直接服务于光伏扶贫项目。 （4）网络安全管理平台建设。按照“设备自身感知、监测装置就地采集、平 台统一管控”的原则，主站建设ns5000网络安全管理平台，对系统安全状况进行 实时在线监测、报警，提升自动化系统安全防护水平。 （5）部署调度数字证书签发系统。自动化主站部署南瑞信息开发的数字证 书签发系统，用于对人员、设备、程序证书进行签发，提高上传自动化数据的密 通率。 （6）入侵检测系统部