网络安全 - 463 - 智慧电厂网络边界安全防护体系研究 华能（浙江）能源开发有限公司长兴分公司，王时峰 摘 要：本文以智慧电厂建设推进过程中，内外网互通需求为锲机，研究完善内外网互通的网络安全防护体系的有 效方法。提出了网络安全纵深协同防御措施，结合集团公司互联网出口收敛的整体规划，实现智慧电厂网络边界与区域 公司网络安全整体实时防护，为解决智慧电厂的网络安全防护提供一种新的有效途径。 关键词：智慧电厂；网络安全；网络边界 随着国家经济转型升级的持续深入推进，以及 新一轮电力体制改革在全国范围内不断深化，智慧 电厂建设已经成为当下电厂推动发展的共识，依托 以大数据、物联网、云计算、人工智能以及移动互 联网等新一代信息技术手段在智慧电厂建设中的应 用，促进新一代信息技术和传统能源产业深度融合， 打造出更高效、更环保、更节能的电能供应系统， 来不断提升电厂的核心竞争力，是电厂顺应时代发 展的新趋势。 智慧电厂建设过程，其本质仍源于电厂信息化 的推进，大数据、物联网、云计算、移动互联、虚 拟现实、人工智能等新技术在电厂中不断推广应用， 智慧检修、智慧运行、智慧燃料、智慧设备、智慧 安全、智慧仓储、智慧营销、智慧党建、智慧决策 等内容逐步涵盖电厂全业务，传统电厂也逐渐向全 网络化和信息系统化运营方式转型，给电厂带来更 加环保、更加高效、更加盈利的回报，但这也是一 把“双刃剑”，随着电厂智能化程度越来越高，电 厂内外网络数据交互的需求也越来越大，原来内外 网络物理隔离的高安全防护体系势必会被打破，电 厂面临的网络安全风险系数也大大增加，必须重新 构造智慧电厂内外网络边界的高安全防护体系。 自 2014 年国家发展和改革委员会 14 号令《电 力监控系统安全防护规定》替代《电力二次系统安 全防护规定》后，2015 年国家能源局根据电力监控 系统安全防护体系的总体框架，进行了细化和完善， 发布了《电力监控系统安全防护总体方案》（国能 安全〔2015〕36 号），提出了发电厂的电力监控系 统安全防护方案及电力监控系统安全防护评估规 范，电厂依据相应的防护方案进行了实施，把基于 网络的生产控制系统作为防护的重点，将各信息系 统根据不同的安全级别要求分别置于生产控制大区 和管理信息大区内，生产控制大区与管理信息大区 之间的横向边界部署了经国家指定部门检测认证的 电力专用单向安全隔离装置，控制大区与广域网的 纵向边界部署了经过国家指定部门检测认证的电力 专用加密认证装置，实现双向身份认证、数据加密 和访问控制；生产控制大区又分为控制区（安全区 I）、非控制区（安全区 II），控制区和非控制区采 用逻辑隔离；管理信息大区在不影响生产控制大区 安全的前提下，可以根据电厂自身网络安全需要划 分生产管理区（安全区Ⅲ）、管理信息区（安全区 Ⅳ）；统调电厂调度管理信息区（也称安全区Ⅲ） 不与电厂内部的其它任何网络互连，其广域网经过 防火墙与省调度中心管理信息区互连；电厂的生产 管理区（安全区Ⅲ）称作内网，其广域网网经过防 火墙与集团公司管理信息区互连，电厂的管理信息 区（安全区Ⅳ）称作外网，主要连接因特网，经过 防火墙与公网互通，内外网之间没有任何连接，实