新能源電站現場運維安全技術研究與應用

趙宏宇

摘要：隨著工業信息化進程的快速推進，工業控制、通訊及物聯網等技術在能源、交通等領域得到了廣泛的應用，電力監控系統也逐漸打破了以往的封閉性，電力監控系統面臨病毒、木馬、黑客入侵等信息網絡安全威脅，由此引發的安全事故會造成嚴重社會影響和經濟損失。為確保新能源場站控制系統安全，依據《中華人民共和國網絡安全法》、《電力監控系統安全防護總體方案等安全防護方案和評估規范》、《信息安全技術網絡安全等級保護基本要求》等相關法規文件，對新能源場站網絡安全關鍵技術進行重點深入的研究。

關鍵詞：現場運維;運維安全;安全防護

1新能源電站現場運維管控系統安全現狀

1.1新能源電站現場運維管控系統安全現狀

在多次調研中發現新能源電站運維管控存在諸多的問題和需求，主要集中在：（1）新能源電站位置偏遠、站點分散、人員較少，安全運維不及時，成本高;（2）新能源電站 SCADA、NCS、繼保等系統的主機通常不安裝防病毒軟件（可能存在不兼容、誤殺、應用異常退出等問題），運維過程可能導致病毒通過移動設備入侵;（3）系統網絡設備安全可控、傳輸加密及網絡安全集中管控等防護手段不足;（4）運維缺乏有效的管控措施和審計手段，易導致病毒感染、非法操作、人員管控混亂等現象，一旦出現問題無法回溯問題，職責無法清晰;（5）新能源電站網絡安全防護還無法滿足《網絡安全法》、《等級保護 2.0》新版法規相應要求。

1.2新能源電站現場運維安全系統研究的主要技術問題

當前現場運維的安全防護主要技術問題：（1）現場運維協議、接口多樣化，如有網口、串口等;（2）如何保證 U 盤等移動介質在數據交換過程中的安全性;（3）如何對運維人員的身份進行認證;（4）如何對運維人員運維時的操作過程進行審計記錄，包括錄屏審計以及通信協議審計;（5）對現場運維人員運維時的權限進行控制，實現可操作的最小權限化;（6）因為現場運維環境不固定，需要實現設備的可移動化。

2現場運維安全系統設計方案

2.1新能源電站現場運維安全系統研究設計依據

現場運維安全裝置的研究工作須參照國家相關部門制訂的標準或規范，因而在研究設計時需參照的相關法律、法規、標準、規范包括但不限于以下內容：（1）《電力監控系統安全防護規定》（國家發展改革委第 14 號令）（2《）電力監控系統安全防護總體方案等安全防護方案和評估規范》（國能安全〔2015〕36 號）（3）《GB/T22239-2019 信息安全技術網絡安全等級保護基本要求》（4）《中華人民共和國網絡安全法》（5）《NB/T 31047-2013 風電調度運行管理規范》（6）《風力發電場運行維護規程》（7）《風力發電機組運行及維護要求》GB/T25385-2019。

2.2現場運維安全系統（平臺）設計

運維人員先通過管理平臺向運維安全設備下發組織、賬號及策略，在現場運維時選擇網口、串口、USB 口的運維模式連接風電電力監控系統的對象設備進行運維，運維完成后運維安全設備將操作審計記錄回傳至管理平臺進行存檔。

2.3現場運維安全系統的構成

（1）硬件部分

運維安全系統平臺服務器：用于系統配置，運行平臺服務程序，接收和存儲前端數據采集（現場運維安全裝置）的數據，實現運維審計數據的記錄、回放與分析。現場運維安全裝置運維接口整合模塊：該模塊主要是對網口、串口以及 USB 口等多種接口進行支持，實現對現場基于各種接口以及協議的運維過程進行統一管控。現場運維安全裝置身份認證模塊：該模塊主要身份證、指紋模塊，實現從卡識別到生物識別來對運維人員的身份進行認證。現場運維安全裝置防火墻模塊：該模塊用于對運維筆記本需要訪問的對象系統進行權限控制，杜絕了非授權訪問以及基于敏感端口的病毒傳播和惡意網絡攻擊。現場運維安全裝置視頻數據采集模塊：該模塊主要實現對筆記本屏幕進行同步采集，記錄。現場運維安全裝置數據單向擺渡模塊：該模塊主要實現當外部 U盤等移動介質要進行數據擺渡時，外部 U 盤不會直接接觸到新能源電站電力監控系統對象，而是先將數據拷貝到該數據單向擺渡模塊中進行殺毒，然后再經由另外一個單向數據擺渡模塊拷貝到新能源電站電力監控系統對象中，確保接觸對象的 U 盤和數據都是完全安全可靠的。現場運維安全裝置前端顯示模塊：該模塊主要提供給運維人員進行運維安全裝置的軟件操作。

（2）軟件部分

現場運維安全系統平臺軟件模塊：該模塊運行于平臺服務器端，對現場運維安全裝置進行管理、配置，存儲由安全運維設備上傳的審計數據，并提供審計數據查看的功能。身份驗證與權限管理模塊：運行于現場運維安全裝置上，保存運維人員身份認證信息以及相應的權限信息，當使用的賬號密碼、身份證或者指紋時，對人員身份進行認證并對人員權限進行限定，對當前需要做的工作進行最小化權限限定，超出權限的指令不允許輸入，文件不允許交換。訪問控制模塊：運行于現場運維安全裝置上，主要是根據運維的策略以及人員的權限來進行具體硬件防火墻策略的配置，以達到管控的目的。視頻審計模塊：運行于現場運維安全裝置，主要使用采集筆記本操作過程視頻，并且封裝成 MP4 格式的視頻文件。協議審計模塊：針對電力監控系統常用運維協議進行協議解析，并進行協議或通信流量還原記錄。數據安全擺渡管控與審計模塊：運行于現場運維安全裝置上，主要對外部 U 盤的數據進行按照單向拷貝的流程進行操作，包括數據拷貝過程中對數據進行殺毒。同時保存拷貝的數據以及記錄拷貝過程中病毒的查殺情況作為審計記錄。平臺軟件連接模塊：運行于現場運維安全裝置上，該模塊主要用于和平臺軟件進行連接，以進行配置數據的下載和審計數據的上傳。

3現場運維安全裝置的特點

現場運維安全裝置是保障新能源場站網絡安全的重要裝置，現場運維安全裝置具有七個特點，分別是：

（1）該運維安全裝置創新地實現了工控系統現場邊界的安全防護，填補了工控系統安全防護中現場邊界防護技術的空白。

（2）數據安全擺渡功能確保了 U 盤等移動介質不需要直接接觸對象系統，就可完成數據的安全拷貝，大大加強了工控系統現場邊界的安全性。

（3）訪問控制功能確保了運維人員的運維權限是按需分配的，可以防止誤操作以及病毒和攻擊的襲擾。

（4）審計功能實現了運維的全過程都是被記錄的，方便事后追溯，也大大縮短了出現問題時的排查時間。

（5）運維安全裝置小巧，方便攜帶，不用每個設備上都部署，經濟性上有很大的優勢。

（6）運維安全裝置支持網絡、串口、U 口等多種現場運維管控方式。

（7）運維安全裝置在進行運維工作時不改變運維人員的日運維習慣。

結語

隨著國家新能源建設、運營覆蓋面不斷擴大，風電行業，特別是新能源電站的安全運維與運維安全之間的矛盾越來越突出。通過研究新能源電站電力監控系統網絡邊界安全防護的環節的風險管控能力的提升，增強了發現、抵御內外部安全風險手段，具體體現在對現場已部署的橫向隔離裝置、防火墻、縱向認證裝置等安全設備管控粒度的細化與增強。另一方面改善了新能源電站電力監控系統涉及的資產、運行、運維、人員等企業核心管理數據，通過本系統平臺數據歸集能力實現各項數據的連續性、完整性、一致性需求，通過對運維大數據的可復現、可追溯、可審計、可分析，提高了風電企業安全運維、高效運維、低成本運維的綜合管理能力要求。

參考文獻

[1]探討電氣工程師在光伏電站工程中的作用[J].李欣蕾.產業科技創新.2020（06）

[2]談地面光伏電站土建工程施工技術要點[J].屈威.工程建設與設計.2020（23）

[3]漂浮光伏電站箱逆變混凝土浮臺的設計及應用[J].顧華敏，湯志輝，鄧霞.居舍.2020（36）

[4]光伏電站暫態特性仿真與分析[J].賀素霞，樂麗琴，宇衛.電力電容器與無功補償.2020（06）