1.行业现状

1.1.行业背景

水电厂电力监控系统由电气系统、水情系统等组成。当前，水电厂电力监控系统已按照《电力监控系统安全防护总体方案》（国内安全[2015]36号）的“安全分区、网络专用、横向隔离、纵向认证”十六字方针进行了相关建设。水电厂监控系统分为安全Ⅰ区、安全Ⅱ区及安全Ⅲ区，各区之间采用隔离装置进行安全防护。随着网络攻击形式的复杂化，国家、行业对网络安全的防护要求日益提高，需要在边界防护的基础上，出现了新的安全挑战，如违规外联、非授权接入、运维管控等。

1.2.政策要求

中华人民共和国网络安全法

关键信息基础设施安全保护条例

网络安全等级保护实施指南

网络安全等级保护基本要求

关键信息基础设施安全保护条例

关键信息基础设施安全检查评估指南

国能安全[2015]36号文电力监控系统安全防护总体方案

国能安全[2014]电力行业网络与信息安全管理办法

国能发安全规〔2022〕92号-电力二次系统安全管理若干规定

国能发安全规〔2022〕100号-电力行业网络安全管理办法

国能综通安全〔2023〕21号-国家能源局综合司关于开展电力二次系统安全专项监管工作的通知

国能发安全[2023]23号防止电力生产事故的二十五项重点要求

2.解决方案

2.1.技术框架

匡安水电厂电力监控系统网络安全解决方案基于等级保护2.0的基本要求，并结合《电力监控系统安全防护总体方案》、《电力监控系统安全防护规定》（2014年14号令）的要求设计。

2.2.方案内容

水电厂电力监控系统根据《电力监控系统安全防护总体方案》划分为安全Ⅰ区、安全Ⅱ区及安全Ⅲ区，其中安全Ⅰ区主要包括水电厂集中监控系统、梯级调度监控系统、PMU、继电保护、五防系统等；安全Ⅱ区主要包括梯级水库调度自动化系统、水情自动测报系统、水电厂水库调度自动化系统、电能量采集装置、电力市场报价终端、故障录波等；安全Ⅲ区主要包括雷电监测系统、气象信息系统、大坝自动监测系统、防汛信息系统、报价辅助决策系统、检修管理系统和管理信息系统(MIS)等。匡安水电厂电力监控系统安全防护解决方案，主要在安全Ⅰ区、安全Ⅱ区部署主站运维网关、便携式运维网关、网络安全关键风险检测装置和设备接口安全管控系统，实现电力监控系统主机防护、安全审计和安全管理等安全防护功能，详情如下：

（1）运维管控

水电厂电力监控系统集中监控系统及水情系统等均需要经常性开展运维工作，为保障运维工作有序开展，防控运维前、运维中、运维后的安全风险，在安全I/II区部署机架式主站运维网关或配置移动式便携式运维网关，实现对系统内部运维资产、运维用户的统一管理，并细化运维过程细粒度监管，从而对运维事前事中进行有效管控及事后可追溯，保障运维安全。

（2）风险检测

通过在电力监控系统接入网络安全关键风险检测装置，对电力监控系统网络及设备进行网络跨区连接检测、主机违规外联检测、纵向边界安全检测及电力监控系统频发漏洞专项检测，并综合分析结果，为电力监控系统网络安全整改提供技术依据及建议。

（3）设备接口管控

违规外联、非授权接入等风险是影响水电厂电力监控系统稳定运行的重要因素，通过在水电厂安全II区部署设备接口安全管控系统，配合终端主机（如后台监控主机、水情工作站）上部署的USB接口管控装置，并接入局域网交换机，实现对电力监控系统设备接口（USB接口、网络接口）的统一集中管控，从接入根源上杜绝违规外联、非授权接入，从而提升接入电力监控系统的防护水平。

3.客户价值

提高运维管控及设备接入安全管控水平，强化事前及事中控制能力，降低电力监控系统运维及接入带来的风险。

具备风险检测能力，及时发现技术性违章，防止管理性违章，从而提升网络安全管理水平。