电力监控系统安全审计技术应用研究

电力监控系统安全审计技术应用研究

摘要：随着经济的发展，促进电力企业的不断进步。电力监控系统是电力系

统信息安全中的重要防护对象。当前智能电网的建设多依赖于电力系统信息化和

智能化的建设情况。当前电力监控系统频繁遭受网络攻击与恶意程序攻击，严重

时可能会造成电力系统的崩溃。因此强化电力监控系统的安全防护，才能确保新

兴信息技术与信息系统在电力系统中的实际应用，保障电力系统的可靠供电。本

文就电力监控系统安全审计技术应用展开探讨。

关键词：电力监控系统；安全审计；应用

引言

电网安全运行的不可或缺要素之一就是电力监控系统，随着当今社会的发展，网络和通信技术等新兴科技被深化应用于电力监控系统中，因而对电网保护性能

监控系统要求很高，同时也应当逐步提高电网自动化和智能化管理水平。特别是

在国家基建迅猛发展的当下，电力系统作为发展命脉，其重要性不言而喻，因此

更应加大对电力监控系统的安全监测管理的分析和思考，逐步尝试对当下情况进

行优化，用以满足电网系统发展的需要。

1电力监控系统现有架构

依据国家能源局发布的《电力监控系统安全防护方案》，电力监控系统安全

防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证”。（1）安全

分区：将电力监控系统分为生产控制大区和信息管理大区，生产控制大区可分为

控制区和非控制区。控制区是电力生产的重要环节，直接实现对电力生产的实时

监控。（2）网络专用：纵向数据传输采用专用网络，使用虚拟专用网络(VPN)技

术划分实时子网和非实时子网。（3）横向隔离：在生产大区和信息管理大区之

间部署物理隔离装置实现正向、反向隔离。生产大区内部部署带访问控制功能的

隔离装置或防火墙实现逻辑隔离。电力监控系统与传统的数字网络均是采用单向

隔离装置进行强逻辑隔离。（4）纵向认证：生产控制大区在不同企业之间的纵

向进行数据远程通信时，采用认证加密、访问控制技术措施保证数据交互过程中

的保密性和完整性。

2安全审计需求

电力监控系统的安全设计的功能性需求主要有功能性需求和非功能性需求，

其中功能性需求有以下几个方面：（1）操作设置。安全审计员可以根据操作设

置对监控设备配置数据实施删改、查询等操作。（2）审计规则。安全审计员可

以根据操作设置对审计规则实施删改、查询等操作。（3）审计管理。安全审计

员可以在该模块基于规则对监控数据进行审计，若审计事件在规则允许范围内则

执行，反之则不执行，并做好信息记录和安全预警。（4）日志管理。安全审计

员能够基于该模块查询审计日志，并新增录入日志，以便事后再次查询。（5）

操作记录。当系统运转时，该模块可以对运转过程中存在的用户操作进行记录，

当产生安全事故时可以启动追责流程。（6）序列审计。根据安全审计员制定的

审计规则，判定系统用户是否存在违规操作。非功能性需求有以下几个方面：（1）性能需求。审计过程中对于性能需求主要有系统寿命、操作响应时间、CPU

负载率、并发承受数、延展性、系统网络稳定性等。（2）安全需求。审计过程

中对于安全需求主要有网络安全、设备安全、业务安全、存储安全、认证安全、

访问安全等。（3）数据质量需求。审计过程中对于数据质量需求主要有时效性、准确性、完整性等。

3电力监控系统安全审计技术应用策略

3.1管理设备入网接入

加大准入安全扫描力度，包括对委托能源监测系统的源头控制和安全措施，

并对这些系统进行彻底的准入安全扫描测试，以确保设备和系统的正常运行和保

护要求。避免不符合要求的设备和系统投入使用，有效提高网络安全。为了将设

备连接到每个接入网络，由建设管理部门起草接入申请，经控制办公室批准并发

布方式单，从而避免审计失误。为了优化安全设备的准入，特别是垂直加密和隔

离等设备，控制和监督部门需要结合不同角度的信息，认真批准设备运行和维护

部门以及施工管理部门指定的准入请求。

3.2加强测试验证

在做好充分的前期准备且完成安装与通信调试工作后，以整个装置为对象实

施测试验证。在这一环节，应当及时上传相关事件，以服务器、工作站等为对象，准确上传各项内容，以免对测试验证结果的准确性和有效性造成影响。待完成事

件上传后，可通过远程方式调阅相关设备的数据信息，就远程网络安全管理平台

通信功能发挥的有效性实施验证，便于调和安全实践，为网络安全监测装置的良

性运行创造可靠条件。

3.3基于细粒度的审计策略

安全审计的过程中会全面记载用户的具体会话信息，其中包含用户的登入登出、SQL操作的用户、源程序、源终端、源终端登入用户、会话参数设定、语句、返回状况、涉及变量、运行时间、参量标定值等，由此可以看出，安全审计主要

是通过SQL完成对数据库中各类参数操作的审计。安全审计系统的基础是基于角

色的访问控制（Role-Based Access Control，RBAC）模型，通过灵活的访问功能，帮助用户制定审计策略。因此，本文的审计策略主要是根据业务开展过程中

主机与用户（囊括服务器与用户IP地址、用户身份认证、用户访问账号）、时

间限制（策略执行时限，通常为固定时段或周期性时间）、规则集合（定义审计

规则的集合）、动作（囊括开断或是通行）、响应模式（囊括安全事件风险等级、入库详情等）等因素来确定。由于大多数时候用户通常仅注重核心用户的重要业

务访问操作，故而安全审计系统需要供给操作策略的定义，而细粒度可以保障安

全审计的精确性。

3.4网络安全监测设置的管理

结合电力系统运行实际出发，可将严禁外部拨号访问的系统设置于生产控制

大区，依托现代化技术来验证网络用户身份，进行仔细核对，以确保网络安全监

测数据的准确性与安全性。针对一台服务器存在多个网络地址的情况出发，应当

实施严厉查处，为网络安全体系防护的落实创造优良条件，促进电力系统运行效

果的明显改善。

3.5安全制度建设