風電場電力監控系統安全防護探討

翟曉佳

【摘 要】計算機技術發展迅速，并取得了很大的成功，電力監控系統的安全防護受到重視，因為計算機技術應用到了人們生產生活到許多方面，根據責任執行制度，為保證主管部門和運營單位的責任，因此，各級工作人員都明確掌握了保護工作的要點，使這一先進技術成為安全防護工作的保障。本文就風電場電力監控系統安全防護進行了研究。

【關鍵詞】風電場；電力監控系統；安全防護

前言

工業化程度的提高增加了對能源的需求量，然而能源供應緊張的局面不斷出現，為緩解國內能源緊缺的現狀，新能源發電技術得到國家政策的鼓勵和重點扶持，給風能、太陽能等清潔能源發展利用帶來重大契機。越來越多的風電場和光伏電站不斷新建和并網發電，極大的擴展了電力通信網絡的節點數量，由于地理位置分散且數量巨大，易于成為黑客發起對電力通信網絡進行入侵和的薄弱環節，如何保證并網新能源發電廠的監控系統信息安全成為亟待解決的重要問題。

1電力監控系統安全防護的必要性

電力二次系統是在維護電網的安全、穩定根本目標的基礎上，實現電網的優化運行。電力二次系統的快速進步與近年來電網的蓬勃發展密不可分，調度中心通過電力調度數據網與廠站之間進行數據交換，廠站內部生產控制系統和管理信息網絡橫向結合，通過網絡實現遠方遙控，二次系統依靠網絡新技術提高對全網監控、管理可靠性、準確性和實時性。與此同時，各級電力企業廣泛使用到互聯網和日益普及的計算機應用，給日益猖獗的黑客、計算機病毒、木馬程序帶來可乘之機。對電力系統的網絡攻擊借助系統漏洞進行，使監控系統或通信網絡的正常運行被擾亂，由于一次設備通過監控系統遙控操作，還可借此將攻擊影響放大，達到引發電力系統停電甚至連鎖故障的最終目的，安全性成為計算機系統和網絡不得不考慮的重要問題。在這一背景下，發改委第14號令《電力監控系統安全防護規定》和《國家能源局關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》（國能安全2015[36]號）應運而生。

2電力監控系統安全防護總體概述

將國家信息安全等級保護制度落實到電力監控系統安全防護工作，防范黑客及惡意代碼等對電力二次系統所造成的攻擊侵害，避免引發電力系統事故，堅持“安全分區、網絡專用、橫向隔離、縱向認證”的原則。電力企業內部基于計算機和網絡技術的業務系統，原則上劃分為生產控制大區和管理信息大區。生產控制大區可以分為控制區（安全區I）和非控制區（安全區II）；管理信息大區內部在滿足安全防護總體原則的前提下，可以根據業務系統實際情況，簡化安全區的設置，但應避免形成不同安全區的縱向交叉連接，用不同強度的安全隔離設備對安全區之間和安全區通信通道之間進行隔離。

3電力監控系統安全防護的要求歸納

電力監控系統針對生產控制、生產管理與通信管理網絡的設計，需要針對電力監控系統的安全防護所需，遵循《電力監控系統安全防護規定》（國家發改委2014年第14號令）、《電力監控系統安全防護總體方案等安全防護方案和評估規范》（國家能源局國能安全2015年第36號）和《電力行業信息安全等級保護管理辦法》（國家能源局國能安全2014年第318號）的要求。《中華人民共和國網絡安全法》中，把網絡和信息安全由原本規章制度的級別提升到了國家法律層次。電力監控系統所實施的安全防護，要按照十六字方針的規定，及時對外部網絡的邊界進行隔離，并設置合適的安全防護和預警系統，運用專業的技術更快速地發現網絡異常，逐步形成科學高效的安全防護體系，及時加以防護。要做好電力監控系統的安全防護工作，一定設置好三道防線——第一道防線系統邊界，第二道防線網絡傳輸邊界，第三道防線業務主機。

4電力監控系統安全防護主要的業務歸類和安全分區

按照電力監控系統具有的特點和其他業務系統的重要程度、運行情況等，把電力監控系統進行分類，即2個大區、3個小區以及安全接入區。對于3個安全區而言，安全區Ⅰ是控制區，主要部署了核心系統以及能夠隨時進行監控的系統，是進行電力生產的重點區域。系統在不間斷的運行過程中，可以通過數據網絡或是專用通道實現信息傳輸，是進行安全防護必不可少的，安全級別排在第一位。安全區Ⅱ是非控制區，是進行電力生產不可或缺的一部分。此區沒有設置可以進行遠方控制的系統，系統運行中通過對數據網絡的運用，能夠很好地傳輸信息內容，也是安全防護的重點環節，但它的安全等級較安全區I低。調度生產的管理區是安全區Ⅲ，能夠完成電力調度，并且注重管理優化，是對管理水平與決策能力系統的優化。它可以不直接與電力生產環節閉環。安全接入區與生產控制大區中的業務連接，需經過電力專用橫向反向隔離裝置，然后與外部網絡相連接。在設置硬件防火墻后，電源將會通過北斗星接入，然后利用配網系統連接GPRS通道。整個過程都需接觸安全接入區域。

5風電場電力監控系統安全防護工作建議

5.1制定管理制度

建議聘請信息安全專業咨詢公司的專業人士針對自身風電場電力監控系統的實際情況和人員情況制定合規的、方便執行和操作的管理制度。

5.2防盜

通信機房防盜裝置為主動防范，可以任意選用以下2種之一達到防盜的目的：聲光報警類裝置，可以定位出事地點；氣體類裝置，噴出的溶膠煙霧充滿機房，迫使犯罪分子難以忍受環境放棄盜竊。可以任意選用以下2種之一的改造方案到達電磁屏蔽目的：其一采用專用屏蔽機柜，防止機柜內電磁泄露導致泄密，同時防止外界電磁干擾；其二是在窗戶加裝電磁屏蔽窗簾。建議采用后者，其成本低，改造實施過程簡單方便。通過部署身份及訪問管理系統，可以解決共享賬號問題。維護人員接人IT系統進行維護操作具有接人方式多樣、接入點分散的特點。身份及訪問管理系統統一維護人員訪問系統和設備的入口，提供訪問控制功能，有效的解決運維人員的操作問題，降低相關IT系統的安全風險。主機、數據庫、網絡設備等用戶賬號密碼管理策略建議按照以下策略執行：口令復雜度（令長度不得小于8位，且為字母、數字或特殊字符的混合組合，用戶名和口令不得相同）、口令更換周期（三個月更換一次）、登錄失敗次數限制（失敗5—10次鎖定賬號）、密碼加密傳輸及加密存儲。

結束語：風電場的電力監控系統作為關鍵信息基礎設施，應嚴格按照相關法律法規，行業規范等執行并落實自身的信息安全防護工作，降低信息安全風險，為國家整體的信息安全建設添磚加瓦。

參考文獻：

[1]全國人民代表大會常務委員會.中華人民共和國網絡安全法[z].2016.

[2]國家能源局.電力監控系統安全防護總體方案等安全防護方案和評估規范（國能安全[2015]36號）[z].2015.

（作者單位：國網太原供電公司）