配电自动化系统信息安全认证评价指标体系探讨

配电自动化系统信息安全认证评价指标体系探讨

李留妹

广东优科检测认证有限公司 广东东莞 523000

摘要：随着我国智能电网建设规模的不断扩大，配电自动化系统的智能化水平不断提高。智能配电终端设备和不同类型的通信技术在电网系统中获得了普遍应用，这样导致配电自动化系统在运行过程中面临着信息安全的威胁。为了有效保证配电自动化系统运行的安全稳定性，需要制定完善的配电自动化系统信息安全认证评价指标体系，这样才能为配网自动化运行过程中信息的安全性提供可靠的保障，仅供参考。

关键词：配电自动化系统；信息安全；认证；评价指标

前言

智能电网系统在建设过程中，充分利用了智能终端设备以及通信网络技术，在智能配电网系统在应用过程中会面临着信息安全的威胁，导致电力生产信息在网络上被盗取和篡改，进而影响电网业务系统的保密性和完整性，同时也可能导致智能电网终端设备遭到破坏以及违规操作等风险。因此，制定完善的信息安全防护指标体系成为复杂环境下配电自动化业务应用安全的重要课题。

一、配电自动化系统的信息安全威胁

从当前我国配电自动化系统应用的实际情况来看，面临的威胁主要涉及以下几方面：首先，对抗性威胁。对抗性威胁主要来自恐怖组织以及对企业不满的员以及恶意入侵等方面，同时也包括人为事故和工业间谍等。其次，标准化协议和技术方面的漏洞。当前，在工业领域中，专业的控制系统协议已经不断地开放化，在开放性的标准协议中难免会出现不同程度的漏洞问题，甚至还存在相关人员为了能够保证系统后期开发和维护的便捷性，预留了特定的程序，这些漏洞问题的存在会导致系统在应用过程或者产品本身留下较多的安全隐患。最后，网络管理缺失。计算机互联网技术已经成为当前人们工作和生活必备的应用技术方式，促使信息交流交流更加的快捷，但是在计算机系统应用期间会用户会将系统信息发布到网络上，这也为黑客攻击提供了基本的入侵信息。此外，系统潜在的脆弱性也是重要的威胁。系统自身所具有的潜在脆弱性包括多个方面，其中，程序上的脆弱性大多来自系统安全策略制定的不合理性，也与系统安全架构设计不科学具有直接关系；系统平台上的脆弱性主要有平台的配置和软件硬件设施以及恶意软件的脆弱性；网络安全上的脆弱性涉及的方面较多，在系统应用过程中应重点分析。

二、配电自动化系统的信息安全防护

（一）国家发改委规定的防护要求

由于我国电力生产和管理水平的不断提高，国家对电力二次系统安全防护工作的重视程度不断提高，并制定了更高标准的要求，国家发改委在原来电监会规定制定的基础上，又制定了《电力监控系统安全防护规定》，也就是最新的14号令，对电力二次系统的安全保护工作提出了新的标准和要求。首先，在技术层面的规定上，一是针对配电网和分布式电源在使用无线公网的情况下，对数据通信的具体情况提出了生产控制大区设置安全接入的理念，同时也对相关技术的应用做出了明确的规定，这对于扩大安全防护系统的覆盖面积发挥了技术保障作用。二是对于新阶段出现的生产控制大区内一些二次电力设备在应用过程中存在漏洞和风险情况，需要从设备选型和功能配置以及风险评估等方面提出具体的标准和要求，促使电力监控系统安全防护作用的最大化发挥，并且能够从边界防护朝着纵深防御方向发展。其次，在管理方面。需要公安和工信部门在14号规定中与信息系统和工业控制系统安全防护相关的规定和要求体现出来，二是按照机构调整和改革的具体情况以及有关工作的开展，对现有部门岗位和职责做出重新的表达。

（二）国网公司配电自动化系统防护工作要求

我国电网公司根据发改委制定的最新指令文件要求，对配电自动化系统的安全防护工作作出新的规定。一是重视主站系统的安全防护。对新建立的主站系统服务器应使用经过国家认证的制定部门的安全加固操作系统，并且应设置用户名和口令等较为严格的系统访问控制方案。针对已经投入使用的配电主站系统，应强化安全管理措施。二是在配电系统终端安全防护方面，对来自配电主站的控制命令和参数设置应开展科学的鉴别，确保采用科学可靠的安全鉴别和数据完整性验证对策，同时还应与配电终端上的软硬压板实现良好的配合防护。三是针对横向边界安全防护方面，应在配电自动化系统生产控制大区和管理信息大区的横向边界位置进行部署，大部分情况下应采用物理隔离装置，满足专用格式下的文件资料转换要求。

三、配电自动化系统信息安全认证评价研究

（一）基础设施物理安全指标

基础设施物理安全指标体系中具体包括三个重要性指标，机房和电源以及通信系统，制定的具体审核评价标准包括四点，一是机房基础设施在投入使用后应具有一定的防盗和防水火以及防破坏性等物理安全防护标准；二是，供电的安全可靠性应有效满足系统运行的具体要求；三是电缆和电源线路的布设应具有安全性；四是通信设施及其线缆沟道应符合系统安全稳定运行的实际需求。

（二）体系结构安全

体系结构安全方面具体包括了六个主要指标项，具体为安全分区和纵向认证以及网络专用和入侵监测，另外还包括防火墙和横向隔离以及边界完整性管理等。具体审核评价点包括十个点，电力监控系统在运行期间是否存在网络外联的现象；技术以及运维人员是否在工作中将生产控制大区的计算机设备直接与互联网进行连接混用；利用无线公网通信的过程中是否已经增设了安全接入范围；系统所使用的网络是否属于专用通信通道以及是否利用统计复用的虚拟专网；纵向边界是否科学的配置了应用策略，是否设置了电力专用纵向加密认证装置以及相应的基础性设施；在防止生产控制大区非法外联方面是否设置了技术保证和防护措施；网络设备在应用期间是否要抽查，是否满足系统的安全配置标准；系统运行过程中所使用的防护墙会否仅开通了数据通道，制定的IDS入侵监测措施是否满足安全性要求。

（三）全面安全管理

全面安全管理指标主要分为六个指标项，具体包括人员和设备管理以及外部设备接入管理和系统与设备全寿命周期管理，另外两项为移动介质管理和远程拨号管理。对这六个指标开展审核评价过程中应包括以下七点。系统现场运维管理和厂家技术支持人员在工作中的安全防护措施及安全管理是否到位；针对配电监控系统的核查，其安全管理系统是否达到安全等级以及是否存在漏洞；对于接入设备的身份的核查，其设备的使用证书是否达到安全管理等级要求；对配电监控系统的核查，重点应核查其具体环节是否满足安全管理制度标，并对相关情况做出详细记录；远程拨号访问是否使用电力系统规定的拨号认证服务设备；对外部计算机使用以及移动介质的接入是否制定了相应的安全管理制度并做好详细记录。

结束语：

智能电网在运行过程中为了确保配电自动化系统信息安全，需要制定长效的信息安全防护机制，这就需要结合配电系统安全管理工作的实际情况，制定符合国家规定的配电自动化系统信息安全评价指标体系，为信息安全防护效果评价提供可靠的指标参考，进而提升配电自动化系统运行安全防护管理水平。

参考文献：

[1]周亮,刘畅.配电自动化系统信息安全的影响因素及其评估指标[J].信息安全与技术,2018,009(011):72-75.

[2]丁一,葛磊蛟,张磐,等.新一代配电自动化主站信息穿区安全的ANP评估方法[J].电力系统及其自动化学报,2019,31(3):6.

[3]林永峰,陈亮,张国强.配电自动化终端信息安全风险测评方法研究[J].自动化与仪表,2015,30(12):5.

[4]刘文霞,张力欣.基于FAHP与改进D-S理论的配电自动化系统信息安全等级评估[J].华东电力,2010(1):5.