網(wǎng)絡(luò)安全技術(shù)在風(fēng)電場運(yùn)營中的應(yīng)用

◆楊輝虎

（四川省能投會東新能源開發(fā)有限公司 四川 615200）

網(wǎng)絡(luò)安全技術(shù)在風(fēng)電場運(yùn)營中的應(yīng)用

◆楊輝虎

（四川省能投會東新能源開發(fā)有限公司 四川 615200）

隨著互聯(lián)網(wǎng)技術(shù)的應(yīng)用，各行各業(yè)對網(wǎng)絡(luò)的依存度大大提升，但是開放的網(wǎng)絡(luò)環(huán)境也帶來新的安全威脅，網(wǎng)絡(luò)攻擊事件頻頻發(fā)生，帶來巨大的經(jīng)濟(jì)損失。網(wǎng)絡(luò)安全也成為大型企業(yè)必須要考慮的運(yùn)營因素之一。近年來，風(fēng)力發(fā)電裝機(jī)規(guī)模增長迅速，但是風(fēng)電場網(wǎng)絡(luò)建設(shè)相對滯后，對風(fēng)電場網(wǎng)絡(luò)安全技術(shù)的研究與應(yīng)用尚未形成統(tǒng)一的認(rèn)識和行之有效的處理技術(shù)。有針對性地對風(fēng)電場網(wǎng)絡(luò)安全技術(shù)進(jìn)行研究，具有極大的現(xiàn)實意義。

風(fēng)電場；網(wǎng)絡(luò)安全；技術(shù)應(yīng)用

0 引言

電力是一個國家正常運(yùn)轉(zhuǎn)的動脈，是國民經(jīng)濟(jì)發(fā)展的基礎(chǔ)。風(fēng)力發(fā)電作為一種清潔能源，在我國能源消費(fèi)結(jié)構(gòu)中的占比逐年提升。隨著電力行業(yè)，尤其是風(fēng)電行業(yè)的迅速發(fā)展，相關(guān)業(yè)務(wù)的擴(kuò)展對風(fēng)電場網(wǎng)絡(luò)提出了更高的要求，同時隨著網(wǎng)絡(luò)安全風(fēng)險日益加大，各行業(yè)各部門對于網(wǎng)絡(luò)安全技術(shù)的研究和應(yīng)用逐年增加。

在現(xiàn)實的風(fēng)電場建設(shè)運(yùn)行中，風(fēng)電場通常只是作為生產(chǎn)單位行使功能，風(fēng)電場本部均設(shè)在風(fēng)電場所屬城市中，由此帶來的風(fēng)電場網(wǎng)絡(luò)化辦公和運(yùn)行監(jiān)管顯得格外重要。本文重點(diǎn)研究風(fēng)電場運(yùn)營中的網(wǎng)絡(luò)安全技術(shù)研究，具有一定的現(xiàn)實意義。

1 風(fēng)電場網(wǎng)絡(luò)需求分析

由于風(fēng)電場與電力公司本部相距較遠(yuǎn)，風(fēng)電場分布較為分散，存在作業(yè)面廣、線路長的等問題。為了有效地對風(fēng)電場進(jìn)行管理，建立高效的網(wǎng)絡(luò)管理系統(tǒng)非常重要。

1.1 一般性網(wǎng)絡(luò)需求分析

一般意義上，風(fēng)電場網(wǎng)絡(luò)需要滿足日常管理的信息傳遞功能，同時還需要對電網(wǎng)監(jiān)管與調(diào)控做出準(zhǔn)確及時的反應(yīng)，所以風(fēng)電場網(wǎng)絡(luò)安全需要受到格外重視，必須滿足國家和電力系統(tǒng)對于網(wǎng)絡(luò)安全的相關(guān)要求。風(fēng)電場網(wǎng)絡(luò)主要擔(dān)負(fù)的職能包括：視頻會議、組播業(yè)務(wù)、電網(wǎng)調(diào)度和網(wǎng)絡(luò)管理等。為此，在廣泛調(diào)研與分析的基礎(chǔ)上，提出了“分區(qū)安全、專用網(wǎng)絡(luò)、橫向隔離、縱向認(rèn)證”的原則，來規(guī)范和要求風(fēng)電場網(wǎng)絡(luò)安全，避免因為風(fēng)電場網(wǎng)絡(luò)監(jiān)控及調(diào)度系統(tǒng)受到攻擊而造成電力系統(tǒng)故障。

1.2 網(wǎng)絡(luò)安全防護(hù)需求

對于風(fēng)電場的網(wǎng)絡(luò)安全防護(hù)，主要是針對與能夠接觸網(wǎng)絡(luò)的內(nèi)部人士，原因在于電力系統(tǒng)網(wǎng)絡(luò)主要是在電網(wǎng)內(nèi)部使用，與外部互聯(lián)網(wǎng)的關(guān)系不密切。但是在內(nèi)部引起的安全攻擊更為可怕，攻擊手段更為隱蔽，如不采取有效措施，造成的損失不可估量。

1.3 風(fēng)電場網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全威脅分析

（1）病毒傳播威脅。病毒傳播具有多種傳播途徑，不僅可以通過光盤、硬盤等硬件傳播、還可通過網(wǎng)絡(luò)下載及瀏覽網(wǎng)頁等感染。一旦感染病毒，不僅會造成網(wǎng)絡(luò)癱瘓，更為嚴(yán)重的是造成企業(yè)信息的泄露，帶來不可估量的損失。（2）密碼攻擊。密碼攻擊主要是電腦黑客通過不正當(dāng)方式獲取系統(tǒng)中的密碼文件，并對關(guān)鍵位置訪問權(quán)限進(jìn)行修改，造成網(wǎng)絡(luò)系統(tǒng)防護(hù)等級的下降。（3）竊聽及垃圾郵件攻擊。網(wǎng)絡(luò)竊聽主要是通過在系統(tǒng)中進(jìn)行特定數(shù)據(jù)的下載及不合法傳播進(jìn)行的，垃圾郵件的大量發(fā)送及接收，會造成風(fēng)電企業(yè)網(wǎng)絡(luò)癱瘓及關(guān)鍵郵件信息的外泄。

2 風(fēng)電場網(wǎng)絡(luò)安全防護(hù)體系

2.1 網(wǎng)絡(luò)安全建設(shè)原則

根據(jù)國家電網(wǎng)發(fā)布的《關(guān)于印發(fā)風(fēng)電、光伏和燃?xì)怆姀S二次系統(tǒng)安全防護(hù)技術(shù)規(guī)范規(guī)定的通知》的具體要求，分析總結(jié)了以下四點(diǎn)網(wǎng)絡(luò)安全建設(shè)原則：

（1）安全分區(qū)。按照《電力二次系統(tǒng)安全防護(hù)規(guī)定》，將發(fā)電廠基于計算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理性，重點(diǎn)保護(hù)生產(chǎn)控制以及直接影響電力生產(chǎn)運(yùn)行的系統(tǒng)。

（2）網(wǎng)絡(luò)專用。電力調(diào)度數(shù)據(jù)網(wǎng)是與生產(chǎn)控制大區(qū)相連接的專用網(wǎng)絡(luò)，發(fā)電廠段的電力數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，物理上與發(fā)電廠其他管理網(wǎng)絡(luò)和外部公共信息網(wǎng)絡(luò)安全隔離。

（3）橫向隔離。在生產(chǎn)控制大區(qū)域管理信息大區(qū)之間必須部署經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向隔離裝置。

（4）縱向認(rèn)證。發(fā)電廠生產(chǎn)控制大區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處應(yīng)設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用加密認(rèn)證裝置，實現(xiàn)雙向身份認(rèn)證、數(shù)婦加密和訪問控制。

表1 風(fēng)電廠網(wǎng)絡(luò)安全分區(qū)

2.2 網(wǎng)絡(luò)拓?fù)溲芯?/p>

采用先進(jìn)的網(wǎng)絡(luò)拓?fù)湓恚瑢︼L(fēng)電場網(wǎng)絡(luò)進(jìn)行規(guī)劃，可以有效的提升系統(tǒng)安全等級。具體網(wǎng)絡(luò)拓?fù)浼軜?gòu)如圖1所示。

采用三層網(wǎng)絡(luò)結(jié)構(gòu)，提升系統(tǒng)安全性，分別是：核心層、匯聚層和接入層。現(xiàn)對分層結(jié)構(gòu)中核心層進(jìn)行簡要論述。采用雙核心模式，應(yīng)用兩臺核心交換機(jī)，組成冗余核心，主要負(fù)責(zé)對全網(wǎng)絡(luò)的環(huán)境進(jìn)行控制和監(jiān)管。在具體配置上，使用以太網(wǎng)絡(luò)由協(xié)議，能有有效的解決數(shù)據(jù)在環(huán)路中傳遞帶來的廣播風(fēng)暴危險，在以太網(wǎng)環(huán)路中斷開鏈接情況下，保證有備用煉爐迅速鏈接，連接時間控制在100ms以內(nèi)。放置一個匯聚交換機(jī)在各配線之間，這樣即使有一臺交換機(jī)出現(xiàn)問題，仍可以通過雙聯(lián)路鏈接保證線路的暢通和數(shù)據(jù)的傳遞。

圖1 風(fēng)電場網(wǎng)絡(luò)安全構(gòu)建拓?fù)浣Y(jié)構(gòu)示意圖

2.3 防病毒要求

從某種意義上說，防止病毒對網(wǎng)絡(luò)的危害關(guān)系到整個系統(tǒng)的安全。防病毒軟件要求覆蓋所有服務(wù)器及客戶端。對關(guān)鍵服務(wù)器實時查毒，對于客戶端定期進(jìn)行查毒，制定查毒策略，并備有查殺記錄。病毒防護(hù)是調(diào)度系統(tǒng)與網(wǎng)絡(luò)必須的安全措施。病毒的防護(hù)應(yīng)該覆蓋所有生產(chǎn)控制大區(qū)和管理信息大區(qū)的主機(jī)與工作站。特別在風(fēng)電場要建立獨(dú)立的防病毒中心，病毒特征碼要求必須以離線的方式及時更新。

2.4 網(wǎng)絡(luò)安全部署方案

具體來看，針對于不同分區(qū)的承擔(dān)的功能，需要有針對性進(jìn)行網(wǎng)絡(luò)安全防護(hù)部署。（1）生產(chǎn)控制與信息管理分區(qū)防護(hù)措施：在該部進(jìn)行安全防護(hù)，主要是進(jìn)行單向信息傳遞控制，保證數(shù)據(jù)傳遞只能從生產(chǎn)控制區(qū)傳向信息管理，主要采用的是網(wǎng)閘。（2）控制區(qū)的邊界管理：主要通過防火墻的設(shè)置，把風(fēng)電場控制系統(tǒng)和功率預(yù)測監(jiān)控系統(tǒng)隔離開來，這也是符合國家電網(wǎng)規(guī)定正向隔離方針。（3）控制系統(tǒng)間主要采用具有訪問控制的防火墻進(jìn)行邏輯分區(qū)上的隔離。（4）縱向邊界：在風(fēng)電場網(wǎng)絡(luò)縱向管理上，設(shè)置專用加密的認(rèn)證裝置，采用加密認(rèn)證網(wǎng)絡(luò)，實現(xiàn)雙向的身份認(rèn)證和可控訪問，大大提高縱向上的安全系數(shù)。

2.5 其他網(wǎng)絡(luò)安全防護(hù)技術(shù)

首先是數(shù)據(jù)與系統(tǒng)備份。對風(fēng)電場SIS系統(tǒng)和MIS系統(tǒng)等關(guān)鍵應(yīng)用的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份，確保數(shù)據(jù)損壞、系統(tǒng)崩潰情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)的可用性。

其次是主機(jī)防護(hù)。主機(jī)安全防護(hù)主要的方式包括：安全配置、安全補(bǔ)丁、安全主機(jī)加固。（1）安全配置指的是通過合理地設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限，減少安全弱點(diǎn)。減少或者禁止多余程序的安裝，尤其是對于調(diào)度業(yè)務(wù)系統(tǒng)的專用主機(jī)和工作站，需要以更嚴(yán)格的方式管理系統(tǒng)及軟件的安裝和更新。（2）安全補(bǔ)丁指的是及時下載并安裝系統(tǒng)更新所需要的補(bǔ)丁，較少系統(tǒng)漏洞導(dǎo)致風(fēng)電場網(wǎng)絡(luò)安全問題的發(fā)生。（3）安全主機(jī)加固指的是對有特殊用途的主機(jī)進(jìn)行安全加固，對權(quán)限進(jìn)行強(qiáng)制劃分，重新定義對系統(tǒng)關(guān)鍵位置的訪問權(quán)限，在提升關(guān)鍵位置安全等級的基礎(chǔ)上，防止濫用主機(jī)權(quán)限。

3 風(fēng)電場網(wǎng)絡(luò)安全接入模型研究

針對風(fēng)電場網(wǎng)絡(luò)特點(diǎn)，研究了能夠有效提高接入安全的模型，如圖2所示。

采用該模型可以實現(xiàn)在廣域網(wǎng)中的各類電力企業(yè)的計算機(jī)網(wǎng)絡(luò)使用，既保證了系統(tǒng)的安全性，又可以實現(xiàn)各單位之間的管理控制問題。具體來看，該系統(tǒng)允許電力總部與各風(fēng)電場之間、風(fēng)電場各分部之間、記憶電力企業(yè)與用戶之間的信息交換及安全訪問。該模型中能夠滿足風(fēng)電場對于系統(tǒng)全方位的監(jiān)視與控制。監(jiān)控的范圍主要包括以下幾個方面：訪問用戶是否合法、是否存在計算機(jī)病毒威脅、網(wǎng)絡(luò)是否被入侵以及網(wǎng)絡(luò)資源占用情況等。在此基礎(chǔ)上，通過簡單的系統(tǒng)升級，就可以具備更多的增值服務(wù)，例如：安全網(wǎng)絡(luò)瀏覽、安全郵件的接法、VPN及FTP服務(wù)、安全I(xiàn)P電話撥號服務(wù)等。

圖2 網(wǎng)絡(luò)安全接入模型

設(shè)置防火墻可以有效減少風(fēng)電場內(nèi)網(wǎng)遭受網(wǎng)絡(luò)攻擊的可能性，防火墻的設(shè)置應(yīng)在各風(fēng)電場之間以及風(fēng)電場與外網(wǎng)之間，保證一旦有部分主機(jī)感染病毒或者受到攻擊，能最大程度地減少攻擊造成的損失。在具體使用中，建議采用包含狀態(tài)檢測和自動過濾技術(shù)的硬件防火墻系統(tǒng)。嚴(yán)格控制風(fēng)電場內(nèi)部網(wǎng)絡(luò)的訪問，能夠有效控制風(fēng)電場內(nèi)部資源被未授權(quán)用戶訪問和使用，又能防止內(nèi)部用戶對外網(wǎng)資源的讀取。

4 結(jié)語

我國風(fēng)電行業(yè)起步較國外相對較晚，但發(fā)展規(guī)模相對較為迅速。同時也應(yīng)該看到，風(fēng)電場建設(shè)中網(wǎng)絡(luò)安全建設(shè)相對滯后，沒有形成有效的網(wǎng)絡(luò)安全管理技術(shù)。針對風(fēng)電場網(wǎng)絡(luò)安全現(xiàn)狀，本文通過對風(fēng)電場網(wǎng)絡(luò)安全需求的深入分析，提出了風(fēng)電場網(wǎng)絡(luò)安全建設(shè)原則，并在此原則指導(dǎo)下，對網(wǎng)絡(luò)拓?fù)浼夹g(shù)、防病毒技術(shù)、網(wǎng)絡(luò)安全部署方案等的研究，提出了提升風(fēng)電場網(wǎng)絡(luò)安全的一系列技術(shù)手段，對于從事風(fēng)電場網(wǎng)絡(luò)安全研究的工作人員具有極高的指導(dǎo)意義。

[1]羅斌．電力 SCADA 系統(tǒng)網(wǎng)絡(luò)安全技術(shù)與方法研究[J]．信息安全與通信保密，2014．

[2]許曉暉，董昕，張欣，等．電力行業(yè)計算機(jī)應(yīng)用網(wǎng)絡(luò)安全結(jié)構(gòu)及管理模型[J]．中國電力，2001．

[3]王云海．電力行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及解決方案探討[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013．

[4]錢明．風(fēng)電企業(yè)信息網(wǎng)絡(luò)安全防護(hù)體系建設(shè)探討[J]．科技創(chuàng)新與應(yīng)用，2014．

[5]代永強(qiáng)．風(fēng)電公司網(wǎng)絡(luò)安全建設(shè)規(guī)劃[J]．電力信息化，2010．