光伏電站二次安全防護(hù)的應(yīng)用探究

于 波，彭偉義，王 超，師敏杰

（1.國家能源集團(tuán)德令哈光伏發(fā)電有限公司，青海海西 817000；2.國家能源集團(tuán)海西光伏發(fā)電有限公司，青海海西 817000）

0 引言

過去發(fā)電行業(yè)的主力是火電，但是面對傳統(tǒng)能源短缺和用電需求增加的趨勢，以及生態(tài)文明建設(shè)的要求，傳統(tǒng)的火電發(fā)電模式正在實現(xiàn)轉(zhuǎn)型升級，而新型發(fā)電模式如光伏發(fā)電也在逐漸普及。相對而言，光伏發(fā)電過程產(chǎn)生的污染較小、生態(tài)效益較高，可以緩解社會上面對的能源壓力，所以相關(guān)產(chǎn)業(yè)項目出現(xiàn)快速發(fā)展。同時，隨著信息時代的深入發(fā)展，信息技術(shù)在電網(wǎng)中的應(yīng)用更加廣泛，對于電網(wǎng)系統(tǒng)的完善也起到很大作用。其中，監(jiān)控系統(tǒng)是對電站進(jìn)行防護(hù)的系統(tǒng)，是保障光伏電站運(yùn)維安全的關(guān)鍵系統(tǒng)，很容易被攻擊破壞而帶來嚴(yán)重影響。

1 光伏電站監(jiān)控系統(tǒng)的結(jié)構(gòu)

針對光伏電站進(jìn)行的監(jiān)控，是利用數(shù)據(jù)線將光伏電站內(nèi)部的逆變器、匯流箱、輻照儀、氣象儀、電表等設(shè)備連接起來，然后利用數(shù)據(jù)采集器針對上述設(shè)備進(jìn)行數(shù)據(jù)采集，并借助GPRS、Wi-Fi 等方式上傳到網(wǎng)絡(luò)服務(wù)器或本地計算機(jī)，這樣電站運(yùn)維人員就可以借助監(jiān)控系統(tǒng)對電站的運(yùn)行情況進(jìn)行監(jiān)控，同時也方便管理人員和用戶查看和管理運(yùn)行數(shù)據(jù)。通常情況下光伏電站的監(jiān)控系統(tǒng)主要由安全審計、防護(hù)體系、安全監(jiān)測等分系統(tǒng)組成，也包括逆變器運(yùn)行監(jiān)控系統(tǒng)、電量采集通信系統(tǒng)、天氣預(yù)報系統(tǒng)等多個分系統(tǒng)。

2 電網(wǎng)計算機(jī)監(jiān)控系統(tǒng)二次安全防護(hù)要點

2.1 安全分區(qū)

為發(fā)揮安全防護(hù)作用，光伏電站建立的監(jiān)控系統(tǒng)首先要進(jìn)行安全分區(qū)，實際上就是按照系統(tǒng)制定的安全防護(hù)策略來進(jìn)行具體劃分。整體上系統(tǒng)分為I、II、III 和IV 四個安全分區(qū)：前兩個分區(qū)屬于生產(chǎn)控制大區(qū)，后兩個分區(qū)屬于信息管理大區(qū)。其中，逆變器監(jiān)控主機(jī)屬于安全I(xiàn) 區(qū)，功率預(yù)測主機(jī)屬于安全I(xiàn)I 區(qū)，AGC/AVC 屬于安全I(xiàn) 區(qū)，五防系統(tǒng)屬于安全I(xiàn) 區(qū)，電能量采集裝置屬于安全I(xiàn)I 區(qū)，天氣預(yù)報系統(tǒng)屬于信息管理大區(qū)（III 區(qū)和IV 區(qū)）。根據(jù)上述的安全分區(qū)情況，可以有效避免病毒、木馬、惡意代碼等通過分系統(tǒng)侵入監(jiān)控系統(tǒng)，進(jìn)而影響光伏電站的正常運(yùn)行。

2.2 網(wǎng)絡(luò)安全防護(hù)措施

做好安全分區(qū)工作之后，就要采取相應(yīng)的防護(hù)措施，以保障系統(tǒng)核電站運(yùn)行的安全性。本文中的防護(hù)措施是按照不同的系統(tǒng)構(gòu)造來區(qū)別的。

（1）網(wǎng)絡(luò)路由防護(hù)。網(wǎng)絡(luò)路由防護(hù)是為了保證路由器上網(wǎng)的穩(wěn)定性，進(jìn)而保證數(shù)據(jù)傳輸?shù)目煽啃浴１疚闹惺抢锰厥獾募夹g(shù)分割調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，將之分成實時/非實時數(shù)據(jù)網(wǎng)絡(luò)，前者涉及到逆變器運(yùn)行控制相關(guān)數(shù)據(jù)，后者涉及到電量采集等數(shù)據(jù)，在邏輯上兩者是相互獨立的。

（2）網(wǎng)絡(luò)邊界防護(hù)。網(wǎng)絡(luò)邊界防護(hù)主要是為了避免惡意代碼、病毒等入侵系統(tǒng)，保證只有經(jīng)過授權(quán)的節(jié)點才能進(jìn)入系統(tǒng)。本文利用的是接入控制方法，針對調(diào)度數(shù)據(jù)網(wǎng)進(jìn)行防護(hù)。同時，子系統(tǒng)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)邊界都可以提供網(wǎng)絡(luò)屏障，通行方式則是選擇認(rèn)證和加密方式來保證運(yùn)行的隱私性和安全性。

（3）安全區(qū)間距劃分。因為系統(tǒng)中設(shè)定了四大安全區(qū)，對分區(qū)之間的防護(hù)也需要關(guān)注。I+II 以及III+IV 之間借助網(wǎng)絡(luò)實現(xiàn)連接，安裝有專門的單向安全隔離裝置。例如，光功率預(yù)測系統(tǒng)在II區(qū)，與天氣預(yù)報系統(tǒng)進(jìn)行信息交換采用之間設(shè)置了反向安全隔離裝置，而后者與公共數(shù)據(jù)網(wǎng)之間使用防火墻進(jìn)行連接。運(yùn)行監(jiān)控系統(tǒng)在I 區(qū)、II 區(qū)之間的數(shù)據(jù)交換借助防火墻實施防護(hù)，這樣I 區(qū)的數(shù)據(jù)可以發(fā)送到II 區(qū)，但I(xiàn)I 區(qū)的數(shù)據(jù)不可以發(fā)送到I 區(qū)。

（4）傳輸安全防護(hù)。各個分系統(tǒng)之間進(jìn)行遠(yuǎn)程通信，使用的是認(rèn)證、加密、訪問限制等技術(shù)，控制訪問權(quán)限來保證安全性。光伏電站內(nèi)有安裝的加密裝置，在調(diào)度端有配合的解密裝置，這樣在信息傳輸時可以進(jìn)行雙向的認(rèn)證、加密和訪問限制，進(jìn)一步提升系統(tǒng)運(yùn)行的安全性。

（5）安防設(shè)備的監(jiān)控。在變電站和涉網(wǎng)區(qū)域設(shè)置網(wǎng)絡(luò)安全檢測裝置，監(jiān)測所有的主機(jī)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)設(shè)備，保證設(shè)備的安全操作，同時將監(jiān)測出的預(yù)警事件上傳到調(diào)控機(jī)構(gòu)的網(wǎng)絡(luò)安全監(jiān)管平臺，作為警示。

3 光伏電站二次安全防護(hù)的內(nèi)容

3.1 防病毒及惡意代碼系統(tǒng)部署

網(wǎng)絡(luò)系統(tǒng)經(jīng)常會受到的破壞就是病毒和惡意代碼的入侵，因此需要采取一定的防護(hù)措施。按照上述列舉的光伏電站監(jiān)控系統(tǒng)的配置情況，在I+II 區(qū)內(nèi)的非實時數(shù)據(jù)中，以旁路方式配備防惡意代碼系統(tǒng)，既不用改變網(wǎng)絡(luò)結(jié)構(gòu)也不會影響數(shù)據(jù)傳輸。在電站分中心的接入交換機(jī)可支持的所有服務(wù)器及工作站中，統(tǒng)一安裝防病毒系統(tǒng)，對于其中比較特殊而無法安裝的系統(tǒng)如工控系統(tǒng)、某些服務(wù)器系統(tǒng)等，則通過“旁路數(shù)據(jù)監(jiān)測”模式進(jìn)行惡意代碼和病毒的監(jiān)測和處理。

該系統(tǒng)支持以下功能：①支持對當(dāng)前已知病毒的識別檢測，對于未知病毒進(jìn)行隔離，提出預(yù)警；②進(jìn)行病毒、惡意代碼的實時監(jiān)測，監(jiān)測范圍包括整個監(jiān)控系統(tǒng)覆蓋的范圍，可以在第一時間發(fā)現(xiàn)惡意代碼的侵入，并進(jìn)行查殺和報警；③在系統(tǒng)運(yùn)轉(zhuǎn)的同時，隨時自動掃描，查看是否出現(xiàn)漏洞，有漏洞的則可以自動下載補(bǔ)丁更新或提醒操作人員手動更新；④支持網(wǎng)絡(luò)自動升級，并且各個子站與主站之間支持實時通信，實時更新病毒庫，保證所有站點具備一致的病毒防御功能。

3.2 安全審計系統(tǒng)部署

按照法律規(guī)定要求，監(jiān)控系統(tǒng)要有安全審計功能，支持對運(yùn)行人員的所有操作的記錄、分析和標(biāo)準(zhǔn)對比，發(fā)現(xiàn)存在的違規(guī)行為，并進(jìn)行報警，提醒管理人員修正。這個系統(tǒng)的安裝采取的接入方式是旁路單臂部署，這樣不會改變網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)維人員的操作習(xí)慣。另外，如果將該系統(tǒng)安裝在I+II 區(qū)內(nèi)，則可以通過總的接入交換機(jī)，實時獲取區(qū)內(nèi)所有設(shè)備的日志信息。

3.3 入侵檢測系統(tǒng)部署

因為光伏電站的業(yè)務(wù)范圍比較廣闊，需要的電力較多，對傳輸保持穩(wěn)定的要求更高，以供應(yīng)群眾的需要。基于此，在II 區(qū)安裝入侵檢測裝置，將之與各區(qū)的接入層交換機(jī)直接連線，這樣所有通過該設(shè)備的數(shù)據(jù)就會被這個子系統(tǒng)進(jìn)行流量數(shù)據(jù)分析，支持檢測可疑的入侵行為。該系統(tǒng)的使用需要實時更新?lián)碛械牟《編欤话闶嵌ㄆ诘顷懢W(wǎng)站進(jìn)行下載，然后自動安裝更新，實現(xiàn)病毒庫的升級。

3.4 網(wǎng)絡(luò)安全監(jiān)測裝置部署

由于互聯(lián)網(wǎng)本身存在較大的網(wǎng)絡(luò)信息安全風(fēng)險，為了避免這個問題的出現(xiàn)，需要在系統(tǒng)運(yùn)行中安裝網(wǎng)絡(luò)安全監(jiān)測裝置，用來監(jiān)控網(wǎng)絡(luò)的安全接入，在本文中指的是涉網(wǎng)區(qū)域的服務(wù)器、工作站、各種網(wǎng)絡(luò)設(shè)備等。在I、II 區(qū)內(nèi)各自安裝網(wǎng)絡(luò)安全監(jiān)測裝置，任何進(jìn)入設(shè)備和系統(tǒng)的安全數(shù)據(jù)及網(wǎng)絡(luò)安全事件信息都會直接轉(zhuǎn)發(fā)到調(diào)控機(jī)構(gòu)進(jìn)行處理。

4 光伏電站二次安全防護(hù)的效果分析

通過部署上述講述的四大系統(tǒng)，大大增加了光伏電站抵御外部網(wǎng)絡(luò)攻擊的能力。

（1）防惡意代碼系統(tǒng)的設(shè)置，可以在上述所說的系統(tǒng)內(nèi)部制定統(tǒng)一的防護(hù)策略，實現(xiàn)對所有病毒、惡意代碼攻擊行為的監(jiān)測、識別和處理，然后將結(jié)果發(fā)送到主站。這樣就支持調(diào)度主站對各個子系統(tǒng)的安全實時監(jiān)控，并能第一時間反應(yīng)過來，采取有效措施，避免出現(xiàn)更多的惡意攻擊，這樣就能實現(xiàn)對電站網(wǎng)絡(luò)安全情況的知曉、控制和管理。

（2）在生產(chǎn)控制大區(qū)部署的網(wǎng)絡(luò)安全審計系統(tǒng)和入侵檢測系統(tǒng)：①可以支持對該大區(qū)的所有數(shù)據(jù)的監(jiān)測和識別，同時支持對日志信息的實時收集和分析，以便于及時發(fā)現(xiàn)系統(tǒng)中的漏洞；②借助網(wǎng)絡(luò)安全審計平臺，可以自動、實時的對系統(tǒng)進(jìn)行安全等級評估，形成對應(yīng)的評估報告。

（3）除了利用計算機(jī)監(jiān)控系統(tǒng)支撐光伏電站的二次安全防護(hù)，光伏電站還需要配合制度建設(shè)和執(zhí)行來強(qiáng)化安全防護(hù)工作：①密切關(guān)注政府和國家出臺的光伏項目建設(shè)規(guī)章制度，以此為依據(jù)規(guī)范安全防護(hù)行為，避免出現(xiàn)不合規(guī)行為；②針對相關(guān)光伏發(fā)電技術(shù)的規(guī)定進(jìn)行細(xì)化和明確，統(tǒng)一技術(shù)要求與標(biāo)準(zhǔn)，要求相關(guān)用戶嚴(yán)格按照標(biāo)準(zhǔn)要求進(jìn)行實施、實行統(tǒng)一的標(biāo)準(zhǔn)，避免出現(xiàn)同一地區(qū)發(fā)電并網(wǎng)標(biāo)準(zhǔn)不一致的問題；③科學(xué)應(yīng)對配電網(wǎng)運(yùn)維管理工作，制定科學(xué)的工作制度，建立長效機(jī)制，借助云計算、人工智能等技術(shù)加快推進(jìn)智能電網(wǎng)建設(shè)，以大電網(wǎng)為依托，支撐光伏發(fā)電二次安全防護(hù)工作；④合理配置光伏發(fā)電服務(wù)涉及部門與人員，加強(qiáng)對于光伏發(fā)電的了解，提升業(yè)務(wù)能力水平，積極應(yīng)對光伏發(fā)電業(yè)務(wù)增長帶來的人才和工作需求；⑤關(guān)注對從業(yè)人員崗位能力的提升與培養(yǎng)，尤其是對于在當(dāng)?shù)氐男麄魍茝V方面，為有意向的用戶提供技術(shù)支持，使用戶理解這個項目的現(xiàn)實意義、認(rèn)可項目開展，并指導(dǎo)用戶科學(xué)使用和建設(shè)該項目。

5 結(jié)束語

面對傳統(tǒng)能源緊缺以及生態(tài)文明建設(shè)的形勢，發(fā)展光伏發(fā)電具有良好的前景，并具備豐富的光能資源優(yōu)勢。但對于光伏電站的運(yùn)維管理，還需要做好安全防護(hù)工作。本文介紹了二次安全防護(hù)系統(tǒng)在光伏電站中應(yīng)用時的安全防護(hù)策略及安全防護(hù)內(nèi)容，然后按照設(shè)計方案對某個光伏電站二次安全防護(hù)系統(tǒng)進(jìn)行了改造，匯總和分析實際使用結(jié)果，結(jié)果表明二次安全防護(hù)系統(tǒng)的性能達(dá)到了設(shè)計要求。