青海电网电力监控系统安全防护全过程管理体系构建与实践

苏生平，赵金朝

(1.国网青海省电力公司，青海 西宁 810008；2.国网青海省电力公司电力科学研究院，青海 西宁 810008)

0 引言

近年来，面对网络安全形势日益严峻、网络安全风险日趋增大、电力监控系统安全防护基础管理薄弱等问题，国网青海省电力公司调控中心(以下简称省调)勇于探索，创新实践，以问题为导向,确定并树立了全过程电力监控系统安全防护管理的工作思路，积极推进现场运维标准制度完善，组建安防队伍，明确责任体系，持续完善电力监控系统安全防护体系，不断探索并实践电力监控系统安全防护精益管理新举措，实现了青海电网电力监控系统安全防护水平的快速提升。

1 实施背景

1.1 网络攻击技术发展迅速

近年来国际上网络安全事件频发，相继发生了乌克兰大面积停电事件、美国东部互联网服务瘫痪、勒索病毒全球爆发等网络安全事件。电力作为重要基础设施领域, 已成为国际网络战的重要攻击目标，电力监控系统的网络安全形势异常严峻。

1.2 电网成为网络攻击的首选目标

随着电力改革的推动和电力市场的建立，要求在调度中心、电厂、用户等之间进行的数据交换也越来越多。电厂、变电站减员增效，大量采用远方监视控制，对电力控制系统和数据网络的安全性、可靠性、实时性提出了严峻的挑战。电力监控系统，由于其作为核心基础设施的重要地位，备受攻击势力的青睐，成为网络攻击的首选目标。

1.3 电力监控系统安全防护政策标准日益提高

2017年6月1日《中华人民共和国网络安全法》实施。规定电力监控系统等关键信息基础设施运行者的安全职责和义务，强调了电力监控系统必须具备的抗击侵入、干扰、攻击、破坏、非法使用和意外事故的能力，确立了网络安全风险和事件调查、跟踪、问责的机制。

1.4 电源侧网络安全风险比较突出

近年来，新能源快速发展，并网新能源电站大幅增加，截至2018年8月底，青海电网中接入调度数据网的新能源厂站已达310座，数量占比达到40.2 %，电源侧网络安全管理任务急剧增加。部分电厂外部设备接入管控、操作系统安全加固、人员及账号管理、安全事件监测等技术措施和管理要求落实不到位；发电企业集控中心的安全防护措施薄弱、违规开展远程运维的现象依然存在。

1.5 青海电网现有安全防护水平不足

截止2018年底，接入青海电力调度数据网的调度主备调达16个、各类厂站已达到789余座，电力监控系统范围急剧扩大。青海电网早在2008年启动电力监控系统安全防护管理工作，但前期对电力监控系统安全防护的重视不够，对安全防护没有系统全面的考虑。另外，各个单位不同程度的存在自动化专业人员匮乏，标准制度不健全等问题，导致安防管理水平不高、隐患问题突出。

2 内涵和主要做法

2.1 建立安防管理制度体系

以标准制度建设为先行，提高电力监控系统安全防护管理基础。在国家、行业、国网相关电力监控系统安全防护制度文件基础上，结合青海电网实际，梳理总结电力监控系统等方面的经验，逐步摸索，制定并发布了《青海电网电力监控系统安全防护全过程管控要点》、《青海新能源电站二次系统安全防护管理指导手册》等7个标准制度、文件，涵盖了电力监控系统设计、建设、验收、运行等环节，形成了较为完整的电力监控系统安全防护管理制度体系，实现了监控系统安全防护工作全过程管控、标准化管理。

2.2 推行安防标准化

(1)变电站安防标准化整治活动和新能源厂站安防“树标杆、学先进”活动。针对当前变电站电力监控系统安防策略不完善，新能源厂站电力监控系统安全防护管理薄弱等问题，组织各供电公司安全防护专责编制整治方案，从基础设施安全、体系结构安全、系统本体安全、全方位安全管理、安全应急措施五个方面开展变电站安防标准化整治活动和新能源厂站安防“树标杆、学先进”活动。

(2)开展清朗有序安全网络空间创建活动，确保电力监控系统网络结构参数、安全防护策略、用户权限配置合理，运维操作行为规范，提升网络安全事件处置能力，保障电力监控系统网络空间的清朗、有序和安全，为电力监控系统安全可靠运行创造良好环境。图1、图2为部分现场设备策略整治界面截图。

图1 Linux(红帽)操作系统账户管理及优化操作截图

图2 隔离设备策略配置界面截图

2.3 推行安防运行值班

(1)开展电力监控系统安全防护运行值班。图3所示为值班监视界面。

图3 电力监控系统安全防护运行值班界面

(2)开展内网安全监视平台告警集中整治。图4所示为平台告警监视界面。

图4 内网安全监视平台告警监视界面

2.4 多措并举强化安防技术监督

(1)安防方案集中审查。省地两级调度机构对主厂站电力监控系统安全防护实施方案进行集中审查，避免系统建设不满足安全防护要求。

(2)并网发电厂安防专项治理。制定《并网新能源电厂电力监控系统涉网安全防护专项治理活动工作方案》，组织开展并网电厂电力监控系统涉网安全防护专项治理活动，对并网发电厂基础设施物理安全、体系结构安全、系统本体安全、全方位安全管理、应急安全管理等方面进行整治。

(3)常态化开展安防检查。地调每月对所辖光伏电站安全防护工作情况进行检查，年内实现所有光伏电站的全覆盖，省调每季度组织各地调进行抽查。检查内容涵盖电力监控系统物理基础设施安全、体系结构安全等方面。

(4)等级备案和等保测评。省调、8个地调、6个地调备调、16座电厂和1个用户变电站电力监控系统在公安机关定级备案，取得备案证书。按照等级保护工作要求，每年开展等级保护测评与安全评估，及时消除测评发现的隐患问题，提升电力监控系统网络安全防护能力。

(5)并网验收多级管控。系统建设完成后，建设单位先开展自验收和问题整改，再由地调组织投运验收，对照调度机构审批的电力监控系统安全防护实施方案，逐一检查，提出差异，督促整改，对安全分区不规范、安全防护设备配置不齐全等问题不予通过验收，最后省调进行抽查复验，在此多级验收过程中，省电科院全过程开展技术监督。

(6)构筑安全多道防线。电力监控系统安全一张网，任一环节漏洞将造成全网灾难性问题，青海省调本着“强核心、补短板”的安防思路，每季度对调度主站这一安全防护“核心”，开展专项隐患排查及整治，夯实安全防护基础。

2.5 建设全面感知、纵深防御的技术手段

(1)建设省地调网络安全管理平台。开展省调和地调网络安全管理平台建设，实现预警告警、定位溯源、审计分析、闭环管控等功能，推动网络安全管理从“静态布防、边界监视”向“实时管控、纵深防御”转变。图5为平台架构示意图。

图5 平台整体架构示意图

(2)全面推动厂站侧安全监测装置部署工作。对新建厂站，发展和基建部门应在可研、初设阶段，同步考虑网络安全监测装置配置及相关费用。

(3)主机加固及行为审计。本体安全方面，通过研究和应用主机操作系统加固，提升系统安全级别。并采用广域消息传送机制，将厂站主机安全信息接入至安全监视平台，实现对厂站侧主机系统终端行为记录与分析，对非法外联、移动设备连接、安全加固策略、病毒库更新提供告警；行为审计方面，通过开发和应用运维审计功能，实现主机设备、远程运行维护操作审计，根据时间、登录IP、目标资源等进行详细授权，对操作内容进行实时监控以及历史回放，对业务区内操作进行多跳访问时进行追溯和审计。

3 实施效果

3.1 建立健全了青海电网电力监控系统安全防护管理体系

(1)完善了青海电网电力监控系统安全防护管理制度体系。在国家、行业、国家电网相关电力监控系统安全防护制度规范的基础上，结合青海电网实际，建立了覆盖所有电力监控系统安全防护的标准制度体系，为专业工作开展提供了基本遵循。

(2)构建了电力监控系统安全防护专业队伍。各供电公司、省检修公司及并网发电厂均已配置网络安全专责，并将网络安全运维责任具体分解落实到个人，明确管理责任人和运维人员的常态化工作内容和要求。抽选省地调、检修公司、电科院、并网电厂专家，组建专家组，充分发挥专家在技术引领、专业督查和技术培训方面的作用。开展网络安全专责全员培训。有力提升了新到岗专责的履职能力。各单位电力监控系统安全防护管理能力和水平有了质的提升。

(3)完善了电力监控系统安全防护措施。针对安防设施建设的历史欠账问题，完成35 kV变电站纵向加密装置部署、地调内网安全监视平台、省地调网络安全管理平台部署调试、数据接入等工作，全面完成纵向装置、调度数字证书、内网安全监视平台等建设任务，公司电力监控系统安全防护体系得到前所未有的加强。

3.2 确保了青海电网电力监控系统网络安全运行平稳

全面开展安防运行监视。依照《电力监控系统网络安全运行管理规定》，规范网络安全运行的值班监视、事件处置、风险预警、管理考核等工作。自2017年5月份起，省地调度全面建立网络安全监测和运行值班机制，省调建立网络安全运行月报、安全态势月度通报、网络安全威胁公告预警制度。

提升运行质量。开展专用安全防护设备故障离线、纵向加密认证装置策略配置不严密等问题的全面治理，安防设备在线率、纵向密通水平等关键指标得到有效提升。大力开展网络安全告警治理，深入分析网络安全告警信息，编制公司系统14例典型告警事件分析报告，形成网络安全典型告警案例汇编。

3.3 提升了安全防护标准化管理水平

通过变电站安防标准化整治活动、新能源厂站安防“树标杆、学先进”活动、清朗有序安全网络空间创建活动，结合等保测评及安全评估，排查治理计算机和网络设备的漏洞隐患等工作，优化了主厂站各类设备的安全配置，使厂站电力监控系统全部实现标准化，满足了安全防护要求，提高了标准化管理的质量和效率，不断提升了青海电网的安全防护水平。各单位电力监控系统相关人员进一步熟悉掌握厂站电力监控系统安全防护工作方法及要求，为今后高质量开展电力监控系统安全防护奠定了基础。

4 结论

本文介绍了青海电网电力监控系统安全防护全过程管理体系构建与实践，确定并树立了全过程电力监控系统安全防护管理的工作思路，积极推进完善运维标准制度，持续完善电力监控系统安全防护体系，不断探索并实践电力监控系统安全防护精益管理新举措，建立健全了青海电网电力监控系统安全防护管理体系，确保了青海电网电力监控系统网络安全平稳运行，提升了安全防护标准化管理水平。