张燕
国网蚌埠供电公司 安徽 蚌埠 233000
摘要:电力系统包括从发电、输电、变电到用电的各个生产单位及个人,要保证整个电力系统安全、稳定且连续不间断地运行在最佳状态,就必须要保证整个电力系统内所有生产单位的设备,都处于正常稳定的运行状态。这就必须要对电力系统各个生产单位的设备运行状态,实时进行不间断地监视或调整控制。
关键词:风电场;电力监控系统;网络安全;措施优化
引言
国家电网有限公司2019年重点工作部署中明确指出要构建与“三型两网”建设相适应的网络安全防控体系。为了确保电力监控系统业务稳定、快速、安全、高效率地传输,防止其遭到黑客、病毒、恶意代码等各种形式的恶意破坏和攻击,国家电网必须要加强网络安全防护工作。
1 风电场电力监控系统结构
风电场电力监控系统一般按照“安全分区、网络专用、横向隔离、纵向认证”的网络边界防护要求进行部署。其中,纵向边界上,风电场电力监控系统与调控机构主站之间采用电力专用的调度数据网络进行通信,调度数据网与管理信息网、公网实现物理隔离,在风电场站控层与调度数据网的纵向连接处,均按要求部署纵向加密认证装置,与调度端的纵向加密认证设施配对协同工作,实现网络访问控制、通信双方身份认证、通信数据加密传输等功能。风电场电力监控系统通常包括风机数据采集前置机、风机监控系统、升压站监控系统、综合自动化平台、AGC、AVC、功率预测、故障录波、电能量采集、气象预报等系统,分别部署在安全Ⅰ区(控制区)、Ⅱ区(非控制区)和Ⅲ区(信息管理区)。安全Ⅰ区:部署风机数据采集前置机、风机监控系统、升压站监控系统、综合自动化平台、AGC、AVC等系统。安全Ⅱ区:部署功率预测、故障录波、电能量采集等系统。安全Ⅲ区:部署气象预报等系统。风电场Ⅰ区、Ⅱ区分别通过纵向加密装置连接调度主站Ⅰ区、Ⅱ区;信息管理区(Ⅲ区)连接互联网,并通过互联网接入发电集团集控中心或风机厂商运维中心。
2 电力监控系统网络安全防护现状
我国电力监控系统网络安全防护体系建设现状如下:第一,我国先后颁布相关规定,包括《电网和电厂计算机监控系统及调度数据网络安全防护规定》、《电力二次系统安全防护规定》、《工业控制系统信息安全防护指南》,基于上述《规定》,我国实施多项网络安全控制管理措施;第二,在2017年我国颁布《中华人民共和国网络安全法》,对电力监控系统网络安全体系建立提出明确的要求,使我国原有的电力监控系统网络安全防护体系建设方式以及体系运行模式发生较大的变化;第三,我国为加强电力行业生产管理,由工信部出台的《工业控制系统信息安全防护指南》明确指出,要求电力监控系统网络安全防护体系必须具备动态实时感知功能,借助动态实时感知功能,可以提升网络安全升级能力,根据网络环境的变化,使安全防护体系升级至最高管理;第四,我国各地区电力企业加大管理人员的培训力度,培养出更多的网络安全管理人员,从事电力监控系统网络安全防护体系的建设与管理工作,使电力监控系统处于稳定的运行状态;第五,在电力监控系统网络安全体系建设过程中,运用计算机技术,充分发挥计算机的优势,使电力监控系统体现出自动化、智能化等运行特点。但是应注意的是,由于计算机是网络经常受到攻击的对象,电力企业应不断完善计算机硬件和软件,根据网络变化对硬件和软件进行升级,消除可能通过计算机破坏电力监控网络的不利因素。
3 安全防护策略
3.1加强风电监控系统网络安全边界防护
各风电场及主管发电企业应遵循“安全分区、网络专用、横向隔离、纵向认证”原则,确保风电场与调控机构的纵向边界、电场内部生产控制大区与其他外部网络的横向边界按照要求部署专用安全防护设备,并遵循访问最小化原则正确配置防护策略。禁止生产控制大区任何形式的非法外联。规范风电场站互联网出口管理与监控,在互联网出口部署防火墙、IDS、安全审计等防护措施。
3.2变电站侧部署网络安全监测装置
网络安全监测装置是指部署在变电站站控层或并网电厂的电力监控系统,用于采集变电站站控层或发电厂涉网区域的服务器、工作站、网络设备和安全防护设备的安全事件,并转发至调度端网络安全管理平台的数据网关机。现阶段,变电站网络拓扑大体可以分为安全I、II区通过防火墙互联,安全I、II区无防火墙连接及无安全II区三大类。第一类仅需部署1台设备于安全II区,第二类则需在安全I区和安全II区各部署1台设备,第三类则需在安全I区布置1台设备。目前应用较为广泛的是第一类,即部署1台II型网络安全监测装置于II区,接入双路不间断电源、GPS对时信号,并将装置自身告警信息接入测控装置并通过远动装置上送调度端。
3.3加强有关业务传输以及纵向认证
电力监控系统网络安全防护离不开业务的传输,在传输的过程中,要进行纵向加密设置的认证。总的来说,要在广域网和局域网之间的接口上安装加密装置,也可以说是在广域网和局域网的交换机之间。一般加密装置是两个一起安装的,具有加密和解密功能。将纵向加密和防火墙结合在一起,能够对身份认证和相关数据内容进行加密处理,确保数据传输稳定安全性。同时,加密装置能够安全地过滤数据。在电力系统安全建立时,通信设备的身份可以通过调度设备证书进行认证,这样就保证了通信设备符合法律的规定。我们国家还专门设立了有关部门,以实现对通信加密和解密的工作,保证电力信息传输的安全性。纵向加密就是在纵向上进行加密操作,能够有效地确保信息的安全传输。一般在城域网与局域网之间会设置纵向防御线,而在县级调度的主站与远程终端的连接处设置纵向加密认证装置,这样就能够对身份进行双向的认证,保证数据传输的安全性。
3.4强化新能源就地采集终端与监控主机的网络连接防护
风电机组就地采集终端部署微型纵向加密认证装置,实现终端与监控主机之间网络通信的身份认证、访问控制与数据的安全传输。对于暂不具备部署条件的场站,若采用有线方式须进行MAC地址绑定、关闭空闲端口等安全加固工作,采用无线方式必须设置安全接入区,按照要求部署电力专用横向单向安全隔离装置。
3.5建设网络安全运维队伍,提升人员技能等级
为了有效防范网络渗透攻击,国家电网需要进一步提升运维人员技术水平,抽调二次检修室、变电检修室、变电运维室、信通分公司骨干力量,组建网络安全运维队伍,通过开展安全防护培训和模拟网络渗透攻击,在充分发挥各专业优势、发现辖区内各站网络安全薄弱环节的同时,持续提升队伍人员技能等级。
结束语
针对当前风电场电力监控系统基本现状,从远程运维、终端接入、系统本体、人员管控、数据安全分析了存在的安全风险,提出从边界防护、安全配置、纵向加密等方面强化安全防护水平,并提出明确要求,实现对外部网络攻击的有效阻断,以切实提升风电场网络安全防护水平。
参考文献:
[1]肖汉生,张桂玲,李育龙.电力监控系统网络安全管理平台的建设及应用[J].电工技术,2019(20):49-50+52.
[2]丁伟.风电场电力监控系统网络安全威胁防控体系[C].中国电机工程学会电力信息化专业委员会.生态互联数字电力——2019电力行业信息化年会论文集.中国电机工程学会电力信息化专业委员会:人民邮电出版社电信科学编辑部,2019:417.
[3]胡若琳,王昆,肖添,姚远,刘渺,刘建国.电力监控系统安全防护管理方法探讨[J].通讯世界,2019,26(06):228-229.
[4]陈正.电力监控系统网络安全防护体系建设[J].电工技术,2019(03):106-107.
[5]朱姣.探究电力监控系统网络安全防护[J].信息与电脑(理论版),2018(18):214-215.