隨著計算機和網絡通信技術在電力監控系統中的廣泛應用，電力監控系統網絡安全問題日益凸顯，為了加強電力監控系統的安全管理，防范黑客及惡意代碼等對電力監控系統的攻擊侵害，保障電力系統的安全穩定運行，中國電力企業聯合會根據國家發展改革委員會2014年第14號令《電力監控系統安全防護規定》和國家網絡安全等級保護等相關規定制定《電力監控系統網絡安全防護導則》（下文簡稱“防護導則”），該標準于2018年9月17日正式發布，2019年4月1日正式實施。

防護導則由中國電力企業聯合會提出，國家能源局、國家電網有限公司、中國南方電網有限責任公司、中國華能集團有限公司、公安部、行業權威科研機構及測評機構、自動化廠商和安全廠商等共同起草，對于電力監控系統全生命周期的安全防護建設具有極強的指導意義和參考價值。

適用范圍

“本標準規定了電力監控系統網絡安全防護的基本原則、體系框架、防護技術、應急備用措施和安全管理要求。”

——解讀：隨著計算機技術、網絡通信技術、安全防護技術和電力控制技術的快速發展，電力監控系統也面臨著更多網絡安全威脅，包括一些新型的APT網絡攻擊。

電力監控系統面臨的主要網絡威脅

序號

安全威脅

描述

黑客入侵

有組織的黑客團體對電力監控系統進行惡意攻擊、竊取數據，破壞電力監控系統及電力系統的正常運行

旁路控制

非授權者對發電廠、變電站發送非法控制命令，導致電力系統事故，甚至系統瓦解

完整性破壞

非授權修改電力監控系統配置、程序、控制命令；非授權修改電力市場交易中的敏感數據

越權操作

超越已授權限進行非法操作

無意或故意行為

無意或有意地泄漏口令等敏感信息，或不謹慎地配置訪問控制規則等

攔截篡改

攔截或篡改調度數據廣域網傳輸中的控制命令、參數配置、交易報價等敏感數據

非法用戶

非授權用戶使用計算機或網絡資源

信息泄漏

口令、證書等敏感信息泄密

網絡欺騙

Web服務欺騙攻擊；IP欺騙攻擊

10

身份偽裝

入侵者偽裝合法身份，進入電力監控系統

11

拒絕服務攻擊

向電力調度數據網絡或通信網關發送大量雪崩數據，造成網絡或監控系統癱瘓

12

竊聽

黑客在調度數據網或專線上搭線竊聽明文傳輸的敏感信息，為后續攻擊做準備

針對電力監控系統面臨的網絡安全威脅，防護導則基于電力監控系統建立體系不斷完善、分區分級重點保護、網絡專用多道防線、全面融入安全生產和管控風險保障安全的網絡安全防護基本原則，通過安全防護技術、應急備用措施和全面安全管理建立三維立體安全防護體系，三個維度互相支持、互相融合、動態關聯，并不斷發展進化，形成動態的三維立體結構。以適應電力監控系統安全性、可靠性、實時性、分布性和系統性等特性。

防護導則從安全防護技術、應急備用措施和全面安全管理三個維度描述安全防護體系的立體結構，三個維度互相支持、互相融合、動態關聯，并不斷發展進化，形成動態的三維立體結構。同時配套使用的GB/T 38318-2019《電力監控系統網絡安全評估指南》也著重對該結構體系三個維度的評估實施指導。

電力監控系統網絡安全防護體系三維立體結構示意圖

“本標準適用于發電、輸配電、用電、電網調度等電力生產各環節的電力監控系統安全防護，覆蓋其規劃設計、研究開發、施工建設、安裝調試、系統改造、運行管理、退役報廢等各階段。”

——解讀：防護導則適用電力監控系統生產業務全流程和全生命周期的網絡安全防護。既涵蓋電力監控系統的發、輸、變、配、用和電網調度等各業務環節，同樣適用于電力監控系統規劃設計到退役報廢的整個運行生命周期。電力運營企業、設計院、自動化廠商、安全廠商等和電力監控系統相關的上下游生態鏈都可以參考防護導則的相關技術要求落實各自的職責。

網絡安全防護技術體系核心要點

3.1安全防護技術

安全防護技術包含基礎設施安全、體系結構安全、監控系統本體安全、可信安全免疫四個部分。

3.1.1 基礎設施安全

基礎設施安全對應等級保護標準安全物理環境部分技術要求，又突出行業特點。如：

◇ 基于安全分區的基本原則，生產控制大區機房與管理信息大區機房也應獨立設置，設備部署在對應的安全區域，等級保護第四級安全區域應配置第二道門禁；

◇ 生產控制大區所有的密碼基礎設施，如：縱向加密裝置需要通過電力行業相關檢測機構（如中國電力科學研究院）的檢測認證，結合現場實際情況，密碼算法更新至SM2加密算法。

3.1.2 體系結構安全

◇ 總體要求-十六字方針是基本防護原則

體系結構安全的基本要求繼承了電力行業的“安全分區、網絡專用、橫向隔離、縱向認證”十六字安全結構傳統。2005年《電力二次系統安全防護規定》（電監會5號令）提出“電力二次系統安全防護工作應當堅持安全分區、網絡專用、橫向隔離、縱向認證的原則,保障電力監控系統和電力調度數據網絡的安全”。十六字基本方針作為電力監控系統防護的基本原則，被相關國家標準和其他行業標準借鑒應用，充分驗證其防護能力的有效性和行業適用性。

◇ 分區分級-網絡分區、安全分級，加強重點防護

網絡分區：電力監控系統的網絡分區在電力行業已經是約定俗成，同樣也符合網絡安全等級保護工業控制系統安全擴展要求中安全通信網絡的網絡架構技術要求。在電力監控系統中關于簡化安全區的設置，要遵循就高不就低的原則，同時生產控制大區的縱向互聯應與相同安全區互聯，避免不同安全區的縱向交叉互聯。針對目前新能源發電廠（如風電和光伏電站）中安全區I和安全區II通過一臺通信服務器（部署在安全區I）與集控中心或者調度進行通信的業務場景，應做好安全區I和安全區II的隔離措施（如：增加工業防火墻）。

安全分級：遵循國家信息安全等級保護要求，對電力監控系統進行安全定級，并采取相應的保護措施。等級保護定級參考主要是看影響，根據當被保護的對象遭受破壞、喪失功能等影響后對國家安全、社會秩序、公共利益以及公民、法人和其他合法權益的侵害程度來定級。電力監控系統的現場采集/執行、現場控制和過程控制等要素需作為一個整體對象定級，各要素不單獨定級；生產管理要素（管理信息大區）宜單獨定級。對于大型工業控制系統，可根據系統功能、責任主體、控制對象和生產廠商等因素劃分多個定級對象。電力監控系統的安全等級保護定級可以參考國能安全36號文中的定級標準。

加強重點防護：通過業務分區和安全分級梳理重點防護的安全對象，對重要業務系統加強防護，包括橫向隔離、縱向認證和綜合防護。同時需要關注安全接入區的設置和防護架構。設置安全接入區的技術場景為如果生產控制大區內個別業務系統或其功能模塊（或子系統）需使用公用通信網絡、無線通信網絡以及處于非可控狀態下的網絡設備與終端等進行通信，其安全防護水平低于生產控制大區內其他系統時，應設立安全接入區，典型的業務系統或功能模塊包括配電網自動化系統的前置采集模塊（終端）、負荷控制管理系統、某些分布式電源控制系統等，安全接入區的典型安全防護框架結構如下圖所示。

安全接入區的典型安全防護框架結構示意圖

◇ 網絡專用-重點關注生產控制大區與其他通信網絡的網絡隔離

網絡專用主要關注網絡安全隔離、子網劃分情況和生產控制大區數據通信七層協議的安全措施。電力調度數據網是典型的與生產控制大區相連接的專用網絡。

電力調度數據網應當在專用通道上使用獨立的網絡設備組網，在物理層面上實現安全隔離；同時劃分為邏輯隔離的實時子網和非實時子網，分別連接控制區和非控制區，禁止存在生產控制大區與其他網絡直連、無邏輯隔離措施或共用網絡設備的情況；另外生產控制大區數據通信的七層協議均應采用相應安全措施，具體到安全措施如：禁止采用默認路由，按照業務需求劃分VLAN，關閉網絡邊界OSPF路由功能，采用符合要求的虛擬專網、加密隧道技術；使用符合國家要求的加密算法，使用調度數字證書實現安全認證等。

◇ 橫向隔離-建立橫向通信多道防線

電力監控系統應在外部公共因特網、管理信息大區、生產控制大區的控制區及非控制區等橫向邊界部署相應安全措施，形成電力監控系統橫向從外到內四道安全防線，實現核心控制區安全防護強度的累積效應。

電力監控系統橫向四道安全防線

橫向四道防線中根據防護強度要求從技術實現角度可劃分為單向隔離和邏輯隔離。

單向隔離技術的應用場景為生產控制大區與管理信息大區的數據通信、安全接入區與生產控制大區中其他部分的聯接處。簡單理解從數據通信源為生產控制大區需要部署正向安全隔離設施實現數據的單向傳輸，反之部署反向安全隔離裝置。裝置必須為通過國家有關機構安全檢查認證的電力專用橫向橫向單向隔離裝置。

備注說明：在發電廠生產控制大區中脫硫脫硝等業務系統需要與地方環保等部門進行數據傳輸時，其邊界也應該采用單向隔離強度的防護措施。

邏輯隔離技術的應用場景為生產控制大區內部的安全區之間的數據通信、管理信息大區和外部公共因特網之間的數據通信以及同一安全區內部不同系統之間的數據通信。生產控制大區內部的安全區之間的邏輯隔離措施可以選用工控專用防火墻，實現網絡層的訪問控制以及工業控制協議規約檢查和過濾。管理信息大區和外部公共因特網以及管理信息大區內部的邏輯隔離措施可以選用下一代防火墻，實現網絡層的訪問控制、應用級檢查、入侵防御以及對威脅情報的檢測。

◇ 縱向認證、數字證書-建立縱向通信多道防線

電力監控系統應在國調、網調、省調、地調、縣調間，以及各級調度機構與其直調的發電廠、變電站之間的縱向邊界，部署相應安全措施，形成電力監控系統縱向從下到上四道安全防線，實現高安全等級控制區安全防護強度的累積效應。縱向數據交互時，應保證數據完整性和保密性，縱向加密認證裝置隧道配置策略應細化至業務IP地址、通信端口，隧道和策略應為密通，且隧道為OPEN狀態。生產控制大區的重要業務系統應該逐步實現加密認證機制。

電力監控系統縱向四道安全防線

◇ 防火墻和入侵檢測、防病毒和防木馬要求

√ 生產控制系統部署防火墻、入侵檢測系統以及防惡意代碼的產品必須滿足相應產品技術規范要求，同時必須保證安全設備策略的有效性；并且生產控制大區需要更新特征庫或者病毒庫的產品必須離線及時更新，不允許直接通過因特網直接更新；

√由于電力監控系統對實時性的要求較高，高延遲和抖動是不能接受的，且網絡相對封閉，所以建議在電力監控系統中部署工控專用的安全產品。目前針對工業控制網絡安全防護產品，已經有相應的GB/T、GA以及在研技術要求或檢測標準。

工控安全產品標準化情況

◇ 撥號認證-加強審計與認證

撥號認證設施應用場景為進行必要的遠程維護，僅允許單用戶登錄，并采取嚴格監管審計措施，使用安全加固的操作系統、數字證書技術進行登錄和訪問認證等安全措施。應該禁止直連核心交換機，不使用時關機。

3.1.3 監控系統本體安全

◇ 基本要求-安全體系架構中各模塊實現本體安全

適用范圍：本體安全是電力監控系統安全防護體系中重要的一環。本體安全的相關要求主要適用于新建或新開發的電力監控系統，在運系統具備升級改造條件時可參照執行，不具備升級改造條件的在運系統需要通過健全和落實安全管理制度和安全應急機制、加強安全管控、強化網絡隔離等方式降低安全風險。

建設范圍：電力監控系統軟件的安全、操作系統和基礎軟件的安全、計算機和網絡設備及電力專用監控設備的安全、核心處理器芯片的安全。應采用安全、可控、可靠的軟硬件產品，并通過國家有關機構的安全檢測認證。

◇ 關注電力監控系統各模塊組件本體安全和運行安全

系統模塊本體安全：針對監控系統本體安全的建設范圍而言，各系統模塊組件本體安全是保證電力監控系統安全的基礎。電力監控系統軟件；重要電力監控系統中的操作系統、數據庫、中間件等基礎軟件；計算機和網絡設備，以及電力自動化設備、繼電保護設備、安全穩定控制設備、智能電子設備(IED)、測控設備等；重要電力監控系統中的核心處理器芯片在設計階段需要充分考慮安全防護理念和措施，必須通過國家有關機構的安全檢測認證和代碼安全審計，防止軟硬件存在惡意的代碼或后門。各設備供應商需要提供相應的檢測報告或認證證書。

重要電力監控系統應采用符合國家相關要求的處理器芯片，采用安全可靠的密碼算法，真隨機數發生器、存儲器加密、總線傳輸加密等安全防護措施。

運行安全：在保證安全體系架構中各模塊自身安全性的前提下，使用過程中的安全是對應著技術安全防護技術體系中的應用環節，是建立電力監控系統網絡安全的基礎。具體包括不局限于以下內容：

√ 軟硬件使用時應合理配置，啟用身份鑒別、訪問控制、安全審計等安全功能和策略；

√ 操作系統和基礎軟件應僅安裝運行需要的組件和應用程序，并及時升級安全補丁，補丁更新前應進行充分的測試，禁止直接通過因特網在線更新；

√ 計算機和網絡及監控設備等硬件設備應通過防撕封條或者U口管控軟件等工具封閉網絡設備和計算機設備的空閑網絡端口和其他無用端口，拆除或封閉不必要的移動存儲設備接口，僅保留必要的USB端口；

√ 同樣在運維過程中應采取專機專用、身份認證和安全審計等安全措施，嚴禁出現通過互聯網直接運維生產控制大區的情況，采用VPN專線、運維堡壘機等措施都是實現運維安全的可選方式。

3.1.4 可信安全免疫

◇ 基本要求-監控系統本體安全的根本

適用范圍：可信安全免疫是監控系統本體安全的根本核心和補充，可信安全免疫的相關要求主要適用于新建或新開發的電力監控系統，在運系統具備升級改造條件時可參照執行，不具備升級改造條件的在運系統需要通過健全和落實安全管理制度和安全應急機制、加強安全管控、強化網絡隔離等方式降低安全風險。

建設范圍：強制版本管理、靜態安全免疫和動態安全免疫。重要電力監控系統應在有條件時逐步推廣應用以密碼硬件為核心的可信計算技術，用于實現計算環境和網絡環境安全免疫，免疫未知惡意代碼，防范有組織的、高級別的惡意攻擊。

◇ 全業務流程和生命周期的可信安全

可信安全免疫對應著監控系統本體安全的要求，包括電力監控系統各模塊組件本體安全和運行安全。其中電力監控系統各模塊組件本體安全對應著強制版本管理，在電力監控系統關鍵控制軟件應該在開發升級后采用數字證書進行簽名和送檢，通過檢測的控制軟件程序應由檢測機構用其數字證書對其簽名，生產控制大區應禁止未包含生產廠商和檢測機構簽名版本的可執行代碼啟動運行。

靜態安全免疫和動態安全免疫相結合保證電力監控系統業務的運行安全。靜態安全免疫側重于靜態安全啟動機制。操作系統和業務應用、動態庫、系統內核模塊在啟動前對BIOS、操作系統引導程序以及系統內核等核心內容執行靜態度量，確保被度量對象未被篡改且不存在未知代碼，保證電力監控系統業務運行前的安全可信；動態安全免疫側重于動態安全防護機制。在業務系統使用階段對系統進程、數據、代碼段、進程間的調用以及業務網絡進行動態度量，保證電力監控系統運行過程中的安全可信。

3.2應急備用措施

◇ 冗余備用-網絡、設備、人員多層面冗余及數據備份恢復

冗余備用和數據備份的目的是為了實現電力監控系統的故障快速恢復，建立堅強智能電網，保證業務的連續性。

地市及以上電網調度控制中心硬件設施、包含調控人員組織結構和人員職責、發電廠和變電站的關鍵設備應該實現冗余，同時對重要數據進行備份，實現冗余備用。

發電廠和變電站關鍵設備(控制器、可編程邏輯控制單元、工業以太網交換機、工控主機等)通過雙機或雙工的方式實現冗余備用，對于特別重要的設備（如現場運行系統及設備關鍵部位），除自動化控制方式外，應設有現地手工操作控制機構，同時合理設置數據備份方式、頻率等策略，并按照策略執行。

◇ 應急響應-建立應急響應機制應對安全事件

電力企業應建立電力監控系統的應急機制，制定合理的整體應急預案和針對各系統可行的應急預案，并定期開展協調演練，根據演練情況結合實際情況優化出應急制度和應急預案，保障應急制度和預案的有效性和可行性。

電力監控系統安全防護的核心是保護電網的安全。當生產控制大區出現安全事件，尤其是遭到黑客、惡意代碼攻擊和其他人為破壞時，應按應急處理預案，立即采取安全應急措施。

√ 報告上級業務主管部門和安全主管部門，必要時可斷開生產控制大區與管理信息區之間的橫向邊界連接；

√ 在緊急情況下可協調斷開生產控制大區與下級或上級控制系統之間的縱向邊界連接，以防止事態擴大，同時注意保護現場，以便進行調查取證和分析；

√ 上級業務主管部門和安全主管部門也應將安全事件及時通報相關電力企業，形成聯合防護機制。

◇ 多道防線-構建橫向和縱向柵欄式安全防線

電力監控系統橫向從外到內四道安全防線，實現核心控制區安全防護強度的累積效應。縱向從下到上四道安全防線，實現高安全等級控制區安全防護強度的累積效應。

在各級電網調度控制中心逐步部署內網安全監視措施，目前國家電網和南方電網都在調度數據網絡中分別部署網絡安全監測裝置和態勢感知采集裝置以及各類態勢感知主站平臺等設備，可以實時監測相關橫向和縱向防線上的安全告警，一旦發生網絡安全事件，能夠快速響應、及時處置，實現各防線聯合防御。

3.3安全管理

除了采用信息安全技術措施控制電力監控系統的信息安全威脅外，安全管理措施也是必不可少的手段，所謂“三分技術，七分管理”就是這個道理。安全技術措施和安全管理措施可以相互補充，共同構建全面、有效的信息安全保障體系。安全管理部分結合電力業務特點劃分四部分重點內容：融入電力安全生產管理體系、全體人員安全管理、全部設備及系統的安全管理和全生命周期安全管理。

◇ 融入電力安全生產管理體系

電力企業作為電力監控系統網絡安全的責任主體，應健全電力監控系統安全防護的組織保證體系和安全責任體系。將國家行業主管部門、各級電網調度控制機構、開發制造單位、檢測評估單位、規劃設計單位等不同組織納入到安全管理體系建設中，并確認與落實各組織的安全責任體系，真正意義上將網絡安全管理融入到安全生產管理體系中。

◇ 全體人員安全管理

安全管理的主體在于人，包括電力監控系統安全防護的管理、運行、維護、使用等全體人員。電力企業應遵循安全管理制度要求設置相應的安全崗位，配備安全管理專職并明確崗位職責。落實人員錄用、人員離崗、安全意識教育和培訓、外部人員訪問管理等安全管理的要求。

◇ 全部設備及系統的安全管理

安全管理的客體在于電力監控系統，針對電力監控系統的軟硬件設備、業務軟件、安全防護設備等組成單元，應實現從供應鏈設備選型安全、設備接入及使用（需要關注設備接入和使用階段的授權、審核與審批）、建立資產臺賬以及安全評估檢查中后的安全加固過程中等全生命周期和全方位的安全管理。

◇ 全生命周期安全管理

電力監控系統系統及設備在規劃設計、研究開發、施工建設、安裝調試、系統改造、運行管理、退役報廢等全生命周期階段應采取相應安全管理與評估措施。

電力監控系統全生命周期的安全評估措施

總結語

在電力行業安全防護實踐與探索中總結經驗結合國家安全防護標準的背景下，防護導則提出的安全防護技術、應急備用措施和全面安全管理三個維度構建的立體安全防護體系將極大提高電力監控系統的安全性，同時對電力主體企業、自動化廠商和安全廠商等電力相關上下游生態鏈也提出了新的要求和挑戰。