电力是国家重要的基础设施，电力监控系统用于监视和控制电力生产和供应过程，是电力安全稳定运行的支撑系统。电力监控系统安全是电力系统安全的重要组成部分。
      国家对电力监控系统安全非常重视。在2002年，原经贸委发布了《电网与电厂计算机监控系统及调度数据网络安全防护规定》；原电监会在2006年发布《电力二次系统安全防护方案》。到2015年国家能源局发布36号文，即《电力监控系统安全防护总体方案等安全防护方案和评估规范》，电力监控系统安全成体系的发展，已经走过了十个年头了，积累了大量的工控系统安全实践经验。国家能源局发布的36号文，在总结以前经验的基础上，对电力监控系统安全防护进行了提升和完善。
      本文在分析电力监控系统安全实践的基础上，提炼其最佳实践理念、方法、经验、技术的基础上，力求为其它刚刚起步的其它行业工控系统安全提供有益的指导，以提升其工控系统安全防护水平。
一、电力监控系统介绍
电力监控系统是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支撑的通信及数据网络等。
电力监控系统具体包括电力数据采集与监控系统、变电站自动化系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量系统、实时电力市场的辅助控制系统、电力调度数据网络等。
简单来说，电力监控系统包括发电厂的监控系统、电网调度的监控系统、以及配电的监控系统。本文以电网调度的监控系统安全来说明电力监控系统安全防护方案。
二、电力监控系统安全体系架构
建立电力监控系统安全体系架构，目的是防止黑客、病毒、恶意代码对电力监控系统形成恶意破坏、攻击、非法操作、防止电力监控系统的瘫痪。
电力监控系统安全体系架构可以从防护、加固、监控三个方面划分，形成了防护体系、加固体系、监控体系。其中，防护体系发展的尤为完善，形成了经典的十六字方针，即“安全分区、网络专用、横向隔离、纵向认证”；面对新的安全形势，在36号文中，加强了安全监控，提出了综合安全防护；电力监控系统虽然没有明确安全提出安全加固，但在实际安全工作中，对电力监控系统软硬件的国产化、应用系统数字证书的应用、网络通信的打标签，在加固方面进行了全面的实践。
2.1电力监控系统之安全防护体系架构
电力监控系统安全防护体系架构，在2006年发布《电力二次系统安全防护方案》以后，得到了全面的贯彻执行，尤其在电网调度监控系统贯彻的最为彻底，其核心内容体现在“安全分区、网络专用、横向隔离、纵向认证”十六字方针上。其架构如下图所示：

1、安全分区
基于业务系统的不同属性，将调度监控系统划分为生产控制大区和管理信息大区。生产控制大区又可以分为控制区(安全区I)和非控制区(安全区II)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。
安全分区的意义在于依据业务属性，把监控系统划分为不同区域；不同区域依据其业务系统的重要性及其特点，进行不同的安全隔离；安全隔离依据不同区域业务交换特点，采用不同的安全隔离设备。
2、网络专用
网络专用有两个层面的含义，首先电力调度数据网传输生产控制区业务，绝不允许传输管理信息大区业务；电力调度数据网分为实时子网和非实时子网，实时子网只传输控制区业务数据，非实时子网只传输非控制业务。其次，电力调度数据网只传输专有协议，禁止http、ftp等通用协议的传输。
网络专用的意义在于可以最大程度保证网络的独立性和业务的纯粹性，避免不同网络、非业务数据流对合法区域业务的影响。
3、横向隔离
在安全分区的基础上，横向不同区域之间，就可以实现安全隔离了。但不同区域之间的隔离方式，因区域的业务属性不同，横向隔离方式区别特别大。对于电力调度系统I区和II区之间，由于两个区域业务系统之间关联性、实时性较强，因此通过防火墙进行安全隔离；II区和III区之间，由于两个区域业务系统之间关联性、实时性要求不强，同时要求两网要趋近于物理隔离，因此通过正反单向隔离装置进行隔离；III区和IV区之间，由于两个区域业务系统之间在物理隔离的基础上进行数据交换，因此通过安全数据交换系统进行隔离。
4、纵向认证
纵向认证是相同区域，由于隶属于不同单位、不同地理位置，需要跨越广域网进行通信，两个相同的区域跨越广域网进行通信时，需要对传输信道进行加密，在数据传输到达对端时，需要进行身份认证。
纵向认证通过纵向加密认证装置来实现的，纵向加密认证装置，保证了数据在传输过程中的保密性、完整性和抗抵赖性。
2.2电力监控系统之安全监控体系架构
      电力调度监控系统安全防护体系架构，经过十几年的发展，已经日趋完善，为电力调度系统安全稳定健康持续运行起到了积极防御作用。面对新的安全形势，在36号文中，强化了安全监控的地位与作用，提出了综合安全防护理念。 电力监控系统安全监控体系架构，从本质上来说，要实现以下几个方面的监控：
1、基础设施监控
基础设施监控主要监控工业交换机、操作员站、工程师站、应用服务器、数据库、PLC的CPU、MEM、磁盘、端口流量的状态。同时，还可以实现以下功能。
a)      基础设施设备自动识别；
b)      分布式网络拓扑自动拼接；
c)       全被动系统数据采集等技术；
d)      对二次系统基础设施的资产、性能和告警数据进行监管
e)      实现性能管理、拓扑管理和视图管理。

2、业务行为监控
主要对监控系统控制行为进行监控，以保障监控系统稳定、持续运行。业务行为监控包括业务通信协议解析，如电网104、61850规约，以及业务通信指令及其参数的监控，以保证指令合法、参数合规。
3、运维行为监控
运维是电力监控系统中最容易出问题的环节，需要对运维人员进行帐号和权限的管理，对运维行为进行审计和预警。
4、异常行为监控
异常行为监控包括基于恶意特征码检测、异常行为检测、沙箱异常检测、和基于行为白名单的检测。

5、网络流量形态监控
通过实时采集镜像通信数据，将逐包检测与逐流检测相结合，分析判断异常流量的业务交互，包括流量大小、方向、关系、时间的异常，有力补充传统信息安全的网络边界防护手段。
2.3电力监控系统之安全加固体系架构
      电力调度监控系统安全加固，着眼于本质安全，从硬件、操作系统、应用软件基本实现了拥有自主知识产权的国产化产品。同时，数字证书广泛应用于业务系统用户验证、通信双方身份验证、设备与设备之间的认证。
三、电力监控系统安全体系架构抵御风险的能力
2015年12月27日，乌克兰电力公司网络系统遭到黑客攻击，这是首次由黑客攻击行为导致的大规模停电事件,已引起公众极大的恐慌。黑客使用了高度破坏性的恶意软件至少感染了三个地区电力部门的基础设施，导致发电设备产生故障。
乌克兰电网事件是否会发生在中国呢？这种可能性是有的，但几率极其低。首先由于“安全分区、网络专用、横向隔离、纵向认证”这种安全体系架构，想从互联网渗透防火墙、正反向隔离装置、防火墙这三层横向隔离装置，几乎是不可能的；其次电力调度系统基本上是拥有自主知识产权的专用软硬件，通用软硬件出现的漏洞不会在专用系统中出现，入侵电力调度系统难度极其高；最后，电力监控系统正在从系统可用性、网络行为、流量等加强动态监控，非白名单的网络入侵或异常行为，能够及时发现并预警。
四、其它行业工控安全如何学习电力行业经验
从2006年发布《电力二次系统安全防护方案》到现在为止，电力监控系统安全防护走过了近十个年头。十年当中，发生了无数次工业控制系统安全事件，造成了大量财产损失，甚至生命安全。我国电力监控系统能够坚强的走过来，《电力二次系统安全防护方案》提出的核心理念：“安全分区、网络专用、横向隔离、纵向认证”功不可没。
其它行业工业控制系统能够根据企业自身情况，按照“安全分区、网络专用、横向隔离、纵向认证”核心理念，建立工业控制系统安全防护体系架构，安全防御水平会提升到一个新的水平。
同时，如果能够着眼于本质安全，从硬件、操作系统、应用软件基本实现了拥有自主知识产权的国产化产品，实现专用系统，那么工控系统从加固角度等到了极大的加强。
在日益复杂的网络安全环境下，安全监控的意义凸显，甚至可以说没有安全监控，就没有安全。安全监控一般旁路采集网络数据进行监控，不影响现有系统的正常运行。从实际案例来看，目前着手工控系统安全建设，首先进行安全监控建设，从安全监控中发现问题，逐步完善安全防护，不失为可取之道。