电力系统涉及空间广、响应速度快,高度依赖现代计算机应用程序和控制技术,作为整个电力系统的神经网络和控制中枢,电力监控系统安全防护的重要性不言而喻。
相较于2004年出台的《电力二次系统安全防护规定》(原国家电监会5号令,以下简称“5号令”),今年9月1日起正式实施的《电力监控系统安全防护规定》(以下简称《规定》),在秉承“16字”总体策略的同时,撷取了电力监控系统安全防护攻防相长的十年经验,融合了国家有关部门关于信息系统、工业控制系统安全防护的有关规定,对十年间电力生产技术和管理水平的发展以及完善管理规定和技术措施的需求均有充分体现。
近日,记者采访了业内专家,深入解析《规定》的新意所在、剑指何方,以期为电力企业提供参考,旨在促进企业扎实有效做好电力监控系统安全防护工作。
布局新架构、引入新概念技术措施日臻完善
“安全分区、网络专用、横向隔离、纵向认证”。2004年,“5号令”确立了电力监控系统安全防护的总体策略,这也成为《规定》秉承的基本防护原则。
在此基础上,《规定》针对实践中存在的突出问题提出了新的解决方案,“安全接入区”、“安全标签”等新概念的引入进一步拓宽了电力二次系统安全防护体系的覆盖范围。
针对分布式能源、配网自动化、智能电网等新技术快速发展应用,以及电力监控系统使用无线公网进行数据通信情况日益普遍的实际,《规定》提出了在生产控制大区内设置“安全接入区”的理念。
《规定》明确,“生产控制大区的业务系统在与其终端的纵向联接中使用无线通信网、电力企业其他数据网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式(VPN)等进行通信的,应当设立安全接入区。”“安全接入区与生产控制大区中其他部分的联接处必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。”华北电力大学李庚银接受采访时表示,“安全接入区”是个非常好的解决方案,将不安全但又必须接入的一些通道由“安全接入区”统一管理,形成统一的安全防护策略,从而满足了相应等级的安全防护要求。
李庚银指出,随着物联网的发展,无线接入模式将会迅速普及,其安全防护工作就应该及时跟上,《规定》适时提供了合理的解决方案。他建议企业在实际应用时考虑将专线通信方式加入到“安全接入区”中,确保所有信道的安全接入。
对于“安全标签”的要求,《规定》强调,要依照电力调度管理体制建立基于公钥技术的分布式电力调度数字证书及安全标签,生产控制大区中的重要业务系统应当采用认证加密机制。
业内专家分析认为,《规定》引入“安全标签”概念,这是资产管理的基础,也是身份鉴别的最好解决手段,对信息安全会有极大的帮助。
此外,针对近期发现的生产控制大区内部分二次设备存在漏洞和风险的问题,《规定》从设备选型及配置、漏洞及风险整改等方面提出了相关要求,使电力监控系统安全防护体系从重点强化“边界防护”向“纵深防御”发展。《规定》明确,电力监控系统在设备选型及配置时,应当禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备;对于已经投入运行的系统及设备,应当按照国家能源局及其派出机构的要求及时进行整改,同时应当加强相关系统及设备的运行管理和安全防护。生产控制大区中除安全接入区外,应当禁止选用具有无线通信功能的设备。
对此,李庚银分析指出,这一规定实际上是强调技术方案“安全一票否决制”:不管是系统还是设备,只要因安全问题在国家能源局等监管部门“挂上号”的,技术方案中就坚决不能用。这有助于引导企业向安全可控的国产化方案过渡。
此外,针对工作实践中反映出的关于设备远程维护的防护措施、智能变电站的安全防护措施、非控制区的纵向边界防护强度等方面的实际问题,《规定》都作出了进一步规范。
国家电力调度控制中心辛耀中指出,电力监控系统防护体系可以分为五个方面,包括结构安全、本体安全、安全免疫、物理安全、安全管理,“5号令”所强调的是结构安全,而新修订的《规定》是在包括其他安全内容的基础上,新增加了安全免疫内容后出台的,进一步增强了安全强度。
强化监管、分级负责安全管理显著加强
电力监控系统安全防护是电力安全生产管理体系的有机组成部分,提升电力监控系统安全防护水平,一方面需要政府监管部门制定电力监控系统安全防护相关管理规定和技术规范,并采取行政手段进行监督考核管理。另一方面要加强安全管理,
使安全防护工作真正落到实处,确保企业采用技术监督手段来发现问题、解决问题,从而不断提高自身安全防护能力。
新修订的《规定》最为显著的变化就是新增“监督管理”一章,明确提出,国家能源局及其派出机构负责制定电力监控系统安全防护相关管理和技术规范,并监督实施。
业内专家指出,《规定》在组织形式上更加清晰,强调了监管部门的监管职能,国家能源局及其派出机构依法对电力监控系统安全防护工作进行监督管理,其政监合一、一体两翼的独特优势,有利于提升电力监控系统安全防护的整体效能。
在安全管理方面,《规定》强调的另一个重点就是安全责任制。
《规定》明确,电力企业应当按照“谁主管谁负责,谁运营谁负责”的原则,建立健全电力监控系统安全防护管理制度,将电力监控系统安全防护工作及其信息报送纳入日常安全生产管理体系,落实分级负责的责任制。
李庚银表示,安全责任制是需要各企业一把手高度重视的,随着信息化在生产控制系统中比重的加大,以及信息安全事件的频发,生产控制系统因网络和信息安全而遭受破坏的风险越来越高,《规定》中已经“将电力监控系统安全防护评估纳入电力系统安全评价体系”中,成为安全生产的重要组成部分,确实到了引起企业安全生产责任人重视的时候了。
此外,《规定》还特别强调了安全防护评估制度化,要求形成自评估、第三方评估以及检查评估的联合评估模式,确保电力生产安全。同时将应急处理提到了一个较高的位置,需要从业人员加强忧患意识、责任意识,以备不时之需。