本文发表于《工业信息安全》2022年第6期，作者：浙江木链物联网科技有限公司郭宾、陈超、文昱博、徐芳。

《工业信息安全》是经国家新闻出版署批准，由工业和信息化部主管，国家工业信息安全发展研究中心主办的，全国公开发行的科技学术期刊（月刊），是中国核心期刊（遴选）数据库来源期刊、中国学术期刊网络出版总库来源期刊、中文科技期刊数据库来源期刊。

浅谈电力监控系统安全风险及其安全防护措施

郭宾，陈超，文昱博，徐芳

摘 要：随着信息技术的发展，广泛应用工业控制系统的电力行业在获得发展机遇的同时也面临着不容忽视的外界威胁，采取有效安全防护措施刻不容缓。本文基于国家对电力监控系统安全防护的要求，详细阐述了火力发电、新能源发电和储能当前存在的安全风险，提出对应的电力监控系统网络安全防护建设方案和未来展望等方面的内容。

关键词：工业控制网络安全防护；电力监控系统；火力发电；新能源发电；储能

01背景

当下，电力、通讯、金融、交通等行业是让社会得以有序运行和经济平稳发展的重要支柱，其稳定性、安全性关系国计民生。随着国家对数字化转型的推进，作为国家基石的电力行业所面临的网络安全挑战愈发严苛。隔绝安全隐患，降低安全风险，建设安全防护体系，提升安全防护水平，可有力防范网络安全事件的发生，有效保障电力系统安全稳定运营和可靠供应。

02火力发电网络安全风险分析及应对

在数字化转型和“双碳”目标下，新能源迅猛发展，大量新能源电力并入电网使得生产至运营各个环节所面临的问题和困难急剧增加。这让火力发电厂在完成发电和供热任务外，还需频繁担任调峰任务。为保障电网的稳定运行，火电进一步提高了对供电灵活性能的的要求，于是智慧电厂的建设成为必然之路，但电厂传统工控系统的边界被打破，风险也随之而来。

1. 火力发电安全风险分析

（1）火力发电特点

火力发电厂中所涉及的工艺流程复杂，一般通过大型分散控制系统（DCS）对发电过程中燃烧系统、汽水系统、电气系统三大系统的运转进行控制。这三大系统内部根据生产环节不同又分成了其他如输煤、锅炉燃烧、除尘、汽机等系统，不同生产环节适用的控制系统类别也有所不同。电厂在信息化生产运营中除了控制系统之外，还需要管理信息系统（MIS）和厂级监控信息系统（SIS）等的协调配合，依此完成企业的生产、运营和行政管理，优化电厂实时生产过程。

DCS、MIS、SIS系统，所用协议、所面向的对象和侧重点都不一样，在数字化进程中，不同系统的更新和优化带来便捷的同时，也会让系统整体更加复杂，带来更多问题。

（2）安全风险分析

传统火电厂在迈向新时期智慧电厂的转变中所面临的常见安全风险如下：

边界防护薄弱：火电厂在生产过程中需要由管理系统进行协调和控制，这使得生产系统网络与管理系统网络参杂互联，让控制生产的工业控制系统网络面临来自外部信息网络的安全威胁，控制系统将更容易被入侵。

传统安全难适配：火电厂生产中使用的工业控制系统对实时性和可靠性有着极高要求，跟传统信息安全产品所适配的场景不一样；同时火电生产场景中涉及的工业协议种类众多，安全产品需要对工控协议进行深度解析防护，防护难度大。

网络监控能力较弱：电厂识别网络入侵行为、病毒、业务访问异常等现象的技术手段薄弱，一旦发生问题，难以追踪溯源和及时处理。

存在终端安全风险：火电厂所采用的工业主机系统配置简单，系统几乎从不更新，无法及时修补系统漏洞，容易被外界入侵。

控制设备存在漏洞：以往的火电厂很多采用西门子、ABB、艾默生等国外控制系统，而进口的控制系统是否存在后门和漏洞尚不掌握；传统工业控制系统本身的安全防护能力薄弱，部分控制系统或者设备本身就有的漏洞存在，一旦被外界利用，将引起巨大生产事故。

生产运维风险：火电厂工控系统专业性强，需设备厂商人员来负责运维检修，但却缺乏合适的监管手段，若外部设备厂家或控制系统运维人员的个人电脑、U盘在维护时使用，会使得工作主机易被入侵和感染病毒。

2. 火力发电安全应对建议

根据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》、《工业控制系统信息安全防护指南》和《电力监控系统安全防护总体方案等安全防护方案和评估规范》（国家能源局国能安全2015年第36号）（本文后简称“36号文”）等相关文件要求，结合大量用户系统的实际情况，提出工控网络安全方案如图1。

图1 火电工控网络安全建设方案

针对边界防护薄弱的风险，对整体网络进行安全区域划分：根据文件要求来划分生产控制大区（包括安全Ⅰ区和安全Ⅱ区）和管理信息大区的范围，并梳理系统整体网络架构。

针对工控环境的特点，采取边界安全防护措施：在控制区和非控制区边界及各个子系统之间部署工控安全防火墙，可针对工控环境下特有的私有协议进行深度解析，并完善安全策略，管控跨越边界的流量，将安全威胁遏制在小范围内，避免跨区域传播。

针对网络入侵和异常访问行为，采取流量入侵检测措施：在控制区的关键节点部署工控安全审计平台，基于工控协议深度解析能力实现对通讯流量的语义级别解析，实现对合法流量异常行为的检测。

针对USB接口、设备滥用以及系统漏洞问题，采取主机安全加固手段：对关键的主机、服务器上进行主机加固，通过适合工业场景的白名单模式，固化可信的进程、网络、外设、文件等多类对象，防止文件受到篡改；同时结合安全服务，对操作系统的安全配置进行加固，提高整体安全防护水平。

针对工控设备漏洞，采取安全合规分析手段：将工控漏洞扫描系统通过接入工控网络，识别现场资产和漏洞，及时发现系统弱点所在，根据各类政策文件要求对工控网络安全状况进行评估，同事满足关键信息基础设施定期安全检查要求。

针对安全设备分散问题，建设安全管理中心：安全管理中心包含综合管理平台和工业运维审计管理系统，综合管理平台可以实现对安全设备的集中管控，对安全策略统一下发，极大提高安全管理水平和工作效率；工业运维管理审计系统对人员访问过程进行授权，支持操作记录、审计和回放等功能，简化运维操作的同时提升运维管理水平。

03新能源发电网络安全风险分析及应对

“双碳”挑战下，国家能源局《清洁能源消纳情况综合监管工作方案》提出：“督促有关地区和企业严格落实国家清洁能源政策，监督检查清洁能源消纳目标任务和可再生能源电力消纳责任权重完成情况。”新能源电厂在全国发电量占比越来越高，而新能源基地的风机、太阳能组件等设备数量众多且地理位置分散，从运转到向电网输送电能是一个繁复的过程，又与外部网络有着密切的联系，易遭受非法入侵与攻击，所以采取防护手段保障新能源电站网络安全刻不容缓。

1. 新能源发电安全风险分析

（1）新能源发电特点

新能源包括太阳能、生物质能、风能、地热能、波浪能、洋流能和潮汐能等能源。新能源发电以风力发电为例，大型风力发电基地占地广且人烟稀少，迫切需要完成智慧风电的建设。

智慧风电建设需要从风机、场站、集控中心、集团四个层级来着手。风机是风力发电系统的核心；风电场由风力发电机组、输变线路、升压站等部分构成；集控中心远程监控着风力机组并管理整个风电场的运行；集团则是从成本、电量、人员等各个角度包揽整体的运营，指导风电智慧化发展。

未来智慧风电需要云计算、大数据、物联网、人工智能等技术的支撑，这让风电行业不仅需要针工控环境下的安全威胁进行防护还需要采取防护措施以防止外界的新型攻击手段。

（2）安全风险分析

大型新能源基地覆地范围广、设备繁杂、值守人员有限，规范运维和集中管理难度大，难免存在如下安全风险：

物理安全风险：风电场的设备如风机分布区域广且场站内人烟稀少，预防和保护措施缺乏，边界容易被暴力入侵。

数据泄露风险：风电场生产运行数据主要存储于控制器、各服务器以及操作员站主机内，面临系统弱口令、空闲端口未关闭、移动存储介质乱用等等问题。

安全设备缺乏联动手段：从风电场到集控中心到集团，各个层级间安全设备是独立的，难以统一管理，运维困难。

运维网络安全风险：风机运行状态的监视和人员巡检自动化水平低，工作人员在没有监管的情况下，若采取跳过安全设备运行的操作，会产生严重安全风险；风电场缺乏安全专业人，在安全维护上对安全厂家或设备供应商依赖度高。

安全管理体系缺失：风电场人员有限，监管难以依靠人力，但却很少有电场正式建立完善的工控安全体系，存在缺乏针对人员管理和行为的审计流程及制度规范的现象。

安全应急能力有待提高：风电场缺乏针对所在的特定环境和运营模式的安全应急体系，缺乏针对工控系统安全事件的应急能力。

2. 新能源发电安全应对建议

在“安全分区、专网专用、横向隔离、纵向加密”的十六字方针基础上，结合大型新能源基地不同层级网络的特点，智慧风电的安全建设需要从场站级、区域级、集团级三方层级进行建设。

（1）场站级安全建设

根据新能源场站实况和电力行业36号文的要求，以十六字方针为框架建设纵深防御体系，具体方案如图2。

图2 新能源场站工控网络安全建设方案

安全分区

将新能源场站按照电力监控系统安全防护要求划分为：包含控制区（安全Ⅰ区）和非控制区（安全Ⅱ区）的生产控制大区和管理信息大区（安全Ⅲ区）。

专网专用

采用物理隔离的手段，将电力企业网络和外部网络安全隔离：使用独立的网络设备组网，建立专用通道连接发电场和电力调度数据网。

横向隔离

不同安全区之间采取横向隔离措施：采用电力专用安全隔离装置，使用物理隔离的方式，隔离生产控制区域和管理信息区域。在安全隔离的基础上，还应提升访问控制力度，如采用防火墙实现逻辑隔离，避免越权访问问题出现，保证边界与数据传输的安全。

纵向加密

跨区域访问应采取加密手段：生产控制大区与调度数据网之间的数据通讯必须要通过电力专用纵向加密认证装置或者加密认证网关等设施，保证关键信息不会泄露，保障系统的安全性。

综合防护

36号文中提出场站的综合防护要对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护。

在主机上采取主机加固手段，只允许受信任的对象运行，固化安全环境；

在控制区和非控制区之间部署防火墙保障系统安全，按照严格的安全规则过滤对所有流经的数据，杜绝越权访问，防止各类非法攻击行为；

在生产控制大区与外部网络连接的核心交换机处部署入侵检测装置，识别网络中发生的入侵行为并实时报警；

在生产控制大区边界部署防病毒网关，在主机、服务器及数据库安装恶意代码防范软件，保护数据传输的安全；

在管理信息大区的办公区域布置下一代防火墙，抵御应用层攻击；

在控制大区和非控制大区的过程监控层网络分别部署工控安全监测审计平台、日志审计与分析系统，对系统的重要操作进行记录、分析，对全网海量的日志数据进行集中收集，实现实时告警响应，准确定位追溯，低风险威胁；

事先对系统数据进行备份和容灾，提高信息可靠性和可用性；

采用漏洞检测工具对各个安全区域的工控系统进行周期的漏洞检测，在信息系统受到攻击或损害之前为管理员提供漏洞分析报告和修补建议。

（2）区域级安全建设

区域级防护是针对集控中心侧的安全防护，结合生产实际和电力行业36号文的要求，建设纵深防御体系和区域级安全运营中心，具体方案如图3。

图3 新能源集控中心网络安全建设方案

安全分区，专网专用，横向隔离，纵向加密：按照生产控制大区（I区、II区）以及管理大区（Ⅲ区）对集控中心网络系统进行分区。分别部署力电力专用的安全隔离装置、电力专用纵向加密认证装置、防火墙、入侵检测系统、安全审计系统等装置，并建设安全管理中心，构建网络安全纵深防御系统。

安全运营中心：构建防御、检测、响应于一体的主动防御体系。安全运营中心掌握设备资产台账、网络安全态势和生产安全指数，对范围内工控网络终端、工业控制系统进行防护，360°无死角监控全局网络安全态势，有效降低安全信息汇总和分析的复杂性，提升运维人员工作效率，保障电力监控系统安全平稳运行。安全运营中心可实现事前精准定位威胁、事中智能联动处置、事后协同溯源取证等重要功能，是主动防御体系中的安全核心。

（3）集团侧安全建设

将所有层级的安全态势集于一体，支持集团安全态势可视化、安全生产监管、应急指挥处置等功能，具体系统架构和安全措施如图4。

图4 集团网络安全建设方案

集团安全态势可视化：汇集各类安全数据、态势要素，以可视化方式多维度呈现资产、漏洞、攻击、管理等全⽹运行态势，辅助企业决策和运维指挥，实现工业现场生产数据和网络安全数据的监测、预警和安全事件处置。

安全生产监管：包含安全事件通报、应急指挥联动、年度安全检查、年度安全考核等功能，落实安全保护工作和安全管理制度，强化安全管理。

应急指挥处置：结合生产实际，建立制定相关制度和应急，让各系统和部门在发生安全事故时以最快速度响应，并实现高效协调联动以完成及时修复的职责，最大程度降低损失。

（4）未来安全建设方向

目前网络安全、工业互联网安全等新经济领域发展迅猛，企业专业人才短缺和网络安全新技术研究评测问题亟待解决。

工控网络安全靶场平台

工控网络安全靶场平台可低成本、高效率的模拟接近真实的工控网络环境，为企业安全建设赋能。借助靶场平台提供的场景构建模块，可迅速搭建起高仿真的靶场环境，开展攻防技术的演练，通过现实与仿真结合的模拟环境演练，深层次完成网络安全技术训练，让相关人员通过实战的方式学习最前沿的网络安全技术，提升专业技术水平，如图5。

图5 靶场功能模块和架构

工业互联网安全实验室

工业互联网安全实验室可构建电力行业典型业务虚实结合仿真场景，能有针对性地开展安全防护策略制定与验证、渗透测试理论及方法、网络新技术研究测评、攻防演练竞赛、网络安全风险评估相关研究，以支撑各单位电力监控系统安全防护工作的持续有效开展，如图6。

图6 实验室架构和安全能力

04储能网络安全风险分析及应对

储能系统响应速度快，同时能起到优化电源结构、增加调峰容量的作用，达到能源消纳、提高配电系统利用率的效果，从而减少弃风/弃光量的作用。2021年7月国家发改委、国家能源局正式印发《关于加快推动新型储能发展的指导意见》，储能行业迎来最大发展机遇期，但安全是该领域的一大挑战。

1. 储能系统安全风险分析

（1）储能发电特点

储能电站例如化学储能，含有能量高度密集的化学集成设备，安全风险较高，因此储能电站对所处环境、电池状态和人员运维有着极高要求。储能电站的数字化建设可以通过大数据、云计算等技术来实现，通过对电池状态进行实时分析、状态预判和主动预警，可以提前判断运行维护过程中可能出现的故障并及时排查，可在储能电站安全保护上起到积极作用。

采取全方位的实时监测和预警手段，及时发现问题并解决，可有效保证储能电站的安全运行，因此储能系统内引入了数量和种类繁杂的智能传感器以及监控设备，这也让储能系统受到的对外攻击面增大。

（2）安全风险分析

储能所包含的设备繁杂，系统结构复杂，存在风险包括：

边界混乱：储能系统网络结构复杂，内部子系统之间通常采用大规模串并联的方式连接，缺乏明确的边界划分和防护，一旦发生网络安全事故可能引起非常严重的连锁反应。

智能设备风险：储能系统内的电池管理系统、工业控制系统等智能设备繁杂，系统本身可能就存在漏洞，一旦被外界利用，后果不堪设想。

运维安全风险：针对近十年来的储能事故分析发现，大多数事故发生在电站运行过程中或检修运维环节，储能系统缺乏针对人员行为审计手段和规范的流程，这使得运维过程很容易出现安全问题。

缺乏事前预警手段：储能电站一旦发生事故非常容易起火爆炸，因此事前防范才是重中之重，然而针对电站的网络安全态势却缺乏有效监测和预警手段。

2. 储能系统安全应对建议

根据储能系统现状给出工控网络安全建设架构图如图7。

图7 储能工控网络安全建设方案

针对边界混乱，需进行安全域划分，采取边界防护：梳理系统网路架构，按照图10储能工控网络安全建设架构进行划分；针对工控场景下的需求，在各安全域边界的数据通讯处部署工业防火墙，对边界流量进行控制。

针对智能设备风险，需要采取漏洞检测：对各个安全区域的工控系统进行周期的漏洞检测，在安全事故发生之前为管理员提供漏洞分析报告和修补建议。

针对运维安全风险，需要进行安全审计：在站控层网络部署工控安全审计设备，建立规范的操作流程，并对系统的重要操作进行记录、分析，及时发现各种违规行为和攻击行为，保证访问和操作行为安全。

针对预警手段缺乏，需要建设安全态势平台：密切关注实时安全状况，通过实时分析、关联分析、规则库等手段多方位进行风险分析，确保能源储存和供应全过程的稳定性，保障生产安全。

05总结

发展网络安全技术、建设网络安全防护体系、提升网络安全防护能力是一场需要坚持不懈的持久战。我们应进一步提高对新形势、新挑战、新任务的认识，把握工作关键方法，不断发现问题，坚持改进问题，努力开创电力网络安全与信息化工作新局面，让电力行业的安全免疫机制真正活起来，保障国家关键信息基础设施安全，为推动能源转型和电力安全发展做出新的贡献。

参考文献

[1]魏钦志.工业控制系统安全现状及安全策略分析[J].信息安全与技术,2013(2)；25-28.

[2]李宇峰，臧磊.浅谈电力监控系统二次安全防护的解决方案[J].水电自动化与大坝监测,2013(5);32-36.

[3]张大松，姜洪朝，吴云峰.火电工控系统网络安全防护方案设计[J].信息技术与网络安全,2020(3);17-22.

[4]汪义舟,风电场电力监控系统网络安全防护方案[J].自动化博览.2021(1),38-41.

[5]彭志强，卜强生，袁宇波，郑明忠，张琦兵，陈兵.电网侧储能电站监控系统体系架构及关键技术(J),电力系统保护与控制.2020(10),62-69.

[6]国家能源局.电力监控系统安全防护总体方案[R].北京：国家能源局，2015.