特高壓直流輸電系統換流站網絡安全研究

李鳳龍，張浩然，趙冠華，趙東杰，李桂舉

（許繼電氣直流輸電分公司，河南 許昌 461000）

0 引 言

隨著國民經濟的快速增長，國內用電需求大幅增加，而國內自然條件、能源以及負荷中心的分布使得遠距離、大容量、低損耗的電力傳輸成為必然，特高壓直流輸電技術正好迎合這一需求。近年來，隨著直流輸電電壓等級的不斷提高，直流換流站中電力設備在數量和容量上不斷增加，導致換流站網絡安全問題日益突出，對電力系統的平穩運行帶來了嚴峻挑戰。近期國家電網公司、南方電網公司相繼出臺各種文件，強調換流站網絡安全重要性以及對存在的風險隱患進行多輪次排查[1]。面對當前嚴峻的電力系統網絡安全形勢，換流站作為電力系統行業的重要核心支柱急需加強網絡安全防護，打造晴朗的換流站網絡空間，筑起積極主動、攻防兼備、可管可控的換流站網絡安全屏障勢在必行[2]。

1 換流站常見網絡安全隱患

1.1 工作人員網絡安全知識積累不夠

在電力系統網絡安全的建設和運維過程中，通信運維相關負責人不專業，對網絡安全知識掌握不夠。隨著信息化進程的步伐加快和信息安全防護技術的不斷提升，從事換流站網絡安全相關工作需要不斷吸收新技術，由于日常的換流站運維工作的繁雜導致技術的提升不夠，對當前網絡安全現狀認知不夠，出現違規工作、不按既定規范作業等現象，對換流站整體網絡安全帶來極大隱患，嚴重時可導致換流站控制保護系統和VBE的跳閘。

1.2 網絡病毒

網絡病毒是電力系統網絡運維過程中最為常見的問題。常見的網絡病毒主要有木馬病毒、蠕蟲病毒和后門病毒等，都具有傳播速度快，擴散面廣，傳播形式趨于復雜，清除更加困難等特征[3]。工作人員將自己的筆記本電腦接入換流站網絡進行調試，或者未使用換流站專用移動存儲盤工作等，一旦站內某臺計算機感染病毒，就會通過網絡迅速擴散，對換流站整個網絡及其計算機造成極大沖擊，嚴重時會對逆變側換流站網絡架構與計算機造成極大損害。

1.3 身份認證安全系數不高

換流站計算機系統大部分是基于電力系統行業需求開發，使用口令為用戶身份認證的鑒別模式，而這種模式最容易受到黑客攻擊，如果用戶再使用的是“弱口令”則最容易被勒索病毒攻擊。此外，一些計算機系統還用數據庫或者文件將口令、用戶名以及一些安全控制信息用明文方式去記錄。目前，這種身份認證安全措施已不再適用于電力系統領域。

1.4 信息化網絡安全體系不健全

隨著電力系統的自動化程度不斷深入推進，嚴格管控電力網絡安全制度規范化，不斷創新完善網絡安全防護制度清晰化已迫在眉睫，這樣才能從根本上提升電力系統網絡安全。就當前情況而言，換流站的日常運維中仍然對網絡安全體系建設不夠重視和完善，很大程度上對換流站整體網絡架構產生極大隱患。由于缺乏科學的、系統的網絡安全體系，使得在日常運維中容易出現大漏洞。

1.5 網絡管理運營的風險

網絡管理運營是電力系統信息通信網絡安全風險的來源之一。電力系統信息通信網絡的安全離不開電力系統內外網分離措施。從實際情況來看，網絡管理運營還存在一定的風險，主要是由人為導致的。在對網絡進行日常管理與運營時，電網內部的管理人員以及操作人員通過移動存儲介質與終端等設備進行數據通信，進而造成信息出現泄漏與失真等情況。在這種情況下，很容易受到病毒或木馬的侵擾，嚴重時整個電力系統的正常運行將會受到一定影響。

2 換流站網絡安全防范措施

2.1 提高工作人員網絡安全知識水平

換流站網絡安全關系區域電網的穩定，必須引起相關工作人員的高度重視。因此，為了確保換流站網絡體系的安全穩定，首要任務就是加強工作人員的網絡安全意識，提高網絡安全技術水平。各省檢公司、超高壓局及其換流站應積極開展各種學習活動、網絡安全知識講座以及網絡安全技能競賽等，從而使全員均有網絡安全意識，網絡安全技能大幅提升，從根本上確保換流站網絡結構的安全穩定。

2.2 使用防病毒系統和專用設備

在換流站，任何信息的交互大多采用了計算機，而更多的裝置采用了嵌入式系統，在調試期間需接入外部計算機設備進行調試，同時為了數據及其配置備份，需要用到外部移動存儲器。在此工作期間必須使用專用調試計算機和移動存儲設備，嚴防帶病毒存儲設備或者將調試計算機接入外部互聯網，從根源上確保換流站整個體系設備均不被網絡病毒進行感染和攻擊。

2.3 提高身份認證安全系數

一個安全的信息系統應當做到在保障授權用戶使用系統的同時必須禁止非授權用戶訪問系統，而身份認證則是確保系統安全的重要保障。因為用戶身份是訪問控制決策的一個關鍵參數，不同身份的用戶應被授予有相應的權限。此外，再把與安全相關的事件記錄到日志中，記錄用戶的身份。目前，換流站常見的用戶身份認證方法有口令和口令卡等，口令必須禁止弱口令，防止字典攻擊等[4]。

2.4 完善網絡安全體系建設

近年來，隨著電力市場化進程的加快，完善電力系統網絡安全體系進程刻不容緩。換流站安全系統的建設包括了網絡防火墻、入侵檢測、漏洞掃描、計算機防病毒、縱向加密等在內的安全系統。首先，安全管理建設與安全策略建設密不可分，有必要建立集中式、全方位、動態的安全管理中心，使其與整體安全有關的各項安全技術和產品捏合在一個規范的、集體的、集中的安全平臺上。其次，安全策略實現電子化和自動化管理，遵循均衡、動態和立體性的原則。

2.5 研發安全性數據傳輸渠道

經研究表明，現階段在計算機系統中建設傳輸渠道對提高計算機之間的傳輸具有明顯的效果。由于各種因素的限制，電力系統中的相關數據在傳輸過程中無法得到安全保障。要想保證我國電力系統傳輸數據的真實有效性，就要對相關數據在傳輸過程中的安全進行保障。數據的真實性隨著信息在傳輸過程中遇到的問題而改變，將會嚴重誤導信息接收方，使其無法做出正確的決策，從而導致電力系統在正常運行過程中受到嚴重的影響。因此，研發安全性數據傳輸渠道是保障我國電力系統正常運行的重要基礎。

2.6 加強網絡管理運營

網絡管理運營的質量決定了電力系統信息通信網絡是否安全。在電力信息通信網絡系統正常運行的背景下，要想提升網絡管理運營效率，就要結合我國電力工業的特點，同時進一步完善相關人員與網絡管理隊伍建設工作，提升自身管理行為。在遵循相關工作流程前提下，相關專業人員應對設備下線的工作進行記錄與評估，同時開展剩余信息的刪除與銷毀工作，并注重信息網絡安全保密工作，從而保障網絡與信息的安全運行。同時，相關部門要加強對電力系統網站管理與維護的規范工作，以滿足網絡設備的配置維護、故障分析以及收集等需求。在內網獨立的背景下，相關技術人員應對其質量進行管控，以降低因技術人員誤操作而出現風險隱患的情況。電力企業還應開展離線設備信息處理培訓工作，以避免自身數據信息泄漏，從而保障電力系統的安全運轉。

3 結 論

電力系統關系到國計民生，而換流站作為電力系統穩定可靠運行的壓艙石，必須要有較高的安全需求。本文介紹了換流站常見網絡安全隱患，并提出了換流站網絡安全防范措施。