电力监控系统总体安全策略

1.1安全区域的合理划分

实现监控功能时，电力监控系统必须在极其安全的网络中进行，以确保系统的安全。电力监控系统所在的特殊网络需要在物理层面与办公网络进行深度隔离，当电力监控特殊网络与公共网络连接时，需要引入安全联络区域作为两者之间的数据交互区域。电力监控系统通常根据电力监控系统对电力系统运行的影响程度和数据的安全等级来划分安全区域，并根据其重要性放置在相应的安全区域。其中，安全区域一般分为生产控制和信息管理两个区域。

1.2电力网络专用专用专用专用

电力数据调度网络是实现系统数据有效传输的重要网络，需要从物理层面与系统中的其他公共网络隔离，并根据专用网络设施建立电力监控系统数据传输专用网络。安全区域需要在专用网络中建立多个逻辑隔离的安全子网络，并根据VPN技术将网络分为即时或非即时VPN，以确保专用网络的阶梯式数据传输，避免安全区域的交叉。网络安全是电力监控系统运行的重要支持，对电力系统的安全稳定至关重要。由于大多数网络安全风险都是由外部攻击引起的，因此利用相互独立的网络设施建立专用网络对系统的安全保护至关重要。

1.3区域隔离

在不同的安全区域安装各种安全等级的隔离设施，以确保每个安全区域的数据传输。在生产控制区和信息管理区之间，需要安装物理隔离设施来完成双向隔离。交换机和防火墙应安装在生产控制区和信息管理区，通过访问控制技术完成逻辑隔离。

1.4阶梯认证

当生产控制区域向上或向下进行数据传输时，需要基于认证加密和访问控制，以确保阶梯数据传输的保密性和实用性。在生产控制区安装阶梯加密认证设施，在电力通信系统主站和子站的数据互联过程中完成数据加密，确保系统通信的数据安全，确保电力用户访问和数据加解密。

2数据接入安全系统

2.1数据加密传输技术

数据加密作为当前电网数据远程传输过程中最安全的解决方案，主要通过密钥和加密技术实现电网加密，将有意义的电网数据转换为无字面意义的加密报告，完成有用信息的隐藏和数据的安全保护。收到加密数据后，收件人可以通过解密技术和解密钥解密加密数据，从而获得有用的信息。整个过程的核心是密码理论。在数据接入安全系统的过程中，引入数据加密传输技术，限制电力用户的数据发送者根据调度网络和其他特殊网络对数据进行加密，然后由收件人解密。通常，密钥是随机生成的，主要分为特殊类型和开放类型。

2.2恶意代码防控措施

恶意代码通常是主动编写的破坏性程序代码，在电力监控系统数据传输网络中植入恶意代码会对数据安全造成严重危害。因此，可以在生产管理区和信息管理区的边界安装防病毒网关，防止病毒危害监控网络的安全。在生产控制区，还需要引入专门的安全U盘，实现病毒程序的线下更新，而对于智能变电站的应用场景，可以使用杀毒U盘定期消除病毒。

2.3入侵监测

入侵监控主要是通过电力监控系统的运行数据进行收集和分析，以确定是否存在入侵行为，然后向系统管理人员报警。入侵监控技术作为当前系统安全的关键技术，通过在不同安全区域边界安装入侵监控设施，实现系统各区域的即时监控，严格控制重要数据的传输过程，积极防御。目前，电网公司主要使用IDS系统进行电网数据入侵监控，为了方便统一管理，电力监控系统调度网络交换机核心对接端口数据映射到IDS西永监控端口，不同区域交互数据监控，通过数据分析和特征完成数据监控管理，发现异常数据预警，实现入侵监控。

2.4逻辑隔离

逻辑隔离主要是通过安装在电力监控系统内外网络交界处的防火墙实现的，通常包括验证程序、访问控制、数据过滤和应用网关等软硬件设施。防火墙主要包括三种:网络层、应用层和数据库防火墙。电力监控系统可采用目前广泛使用的网络层防火墙，基于TCP/IP协议实现网络交互数据的过滤和分析。通过枚举算法，只允许符合访问控制要求的数据通过防火墙。系统管理者可以自行更改规则，过滤数据，从而判断和监控数据。

2.5物理隔离

物理隔离设施的作用是连接不同位置的局域网，并使用隔离芯片传输交互数据。该设施主要包括内部网络和外部网络主板，前者基于开口网络和高密度网络，后者基于开口网络和低密度网络，基于单向开口互联，完成生产区和管理区域的离线数据传输，达到隔离效果。

2.6安全监管

安全监督需要实现数据审计、安全监控、病毒保护、安全准入等功能，需要全面收集各种设备在生产控制区域的运行信息，完成故障诊断、风险预警等功能，同时需要收集和分析服务器、防火墙、网络交换机等设施的运行信息，通过可视化技术向系统管理者分析，提高系统安全保护效率，结合病毒保护等安全系统完成综合监督。安全监督可以实时监控电力监控系统中各种信息设施的运行，管理加密设施，预警恶意代码和非法入侵。

2.7远程防护

随着自动化水平的不断提高，电力监控系统的故障频率也逐年增加，当故障突然发生时，系统管理者往往受到时空位置的限制，难以处理，因此必须在电力监控系统中引入远程保护技术。目前，远程技术在电力监控系统中的应用需要满足以下要求：（1）第三方人员进行远程操作时，需要完成数字认证、加密操作和远程拨号访问。（2）第三方远程接入系统需要通过堡垒机完成安全审计。（3）使用无线网络远程接入局域网时，需要使用网络层保护，在APN中建立专门的加密通信频道。（4）使用电话线拨号访问时，必须使用电网专用网关完成链路保护。因此，在电力监控系统的数据接入安全系统中，需要将远程拨号网关放置在重要的传输路径中，并提供拨号端口。电力用户数字认证通过后，可通过电话拨号接入网关进行远程访问。

3结语

本文以电力监控系统数据访问安全系统为研究目标，详细分析了当前电力监控系统的总体安全策略和网络拓扑结构要求，设计了包含各种安全保护技术的数据访问安全系统，通过电力系统应用可行性分析探讨了设计=系统的可行性，有助于对电力监控系统安全保护的深入研究。