淺談新能源發電場站電力二次系統安全防護

中電建新能源集團股份有限公司 李耀曦

1 引言

隨著新能源電站的快速發展，保障電站的安全運行成為一個重要的問題。電力二次系統是新能源電站中非常重要的組成部分，包括了計算機監控系統、功率預測系統、電能質量監測系統、調度數據網、綜合數據網、AGC、AVC、測控裝置、五防系統、保護裝置、故障錄波裝置、TMU 裝置、規約轉換裝置、PMU 裝置等。這些系統都需要得到很好的保護，確保電站的正常運行。此外，還需要對向集控中心傳輸數據的網絡系統進行保護，可以確保電站的運行數據不會被外部的惡意攻擊者獲取，保障電站的運行安全。

2 電力二次系統安全防護原則

2.1 安全分區

在電網二次電網的安全保護系統中，電網的安全劃分是其最根本的構成。將發電公司、電網公司、供電公司分為兩個區域，在區域范圍內，還可以再分為一類安全區（安全區I）和一類不屬于安全區的控制區（安全區II），安全分區總設計如圖1所示。在控制區內，對于電力二次系統的安全防護需要格外重視。因此，需要采取一系列的措施確保其安全性。首先，應該嚴格控制區內人員的出入，確保只有授權人員才能夠進入控制區。其次，在控制區內應該設置安全防護設施，包括防火、防爆、防雷等措施。此外，應該加強對電力二次系統進行監控和管理，及時排除潛在的安全隱患。在非控制區內，雖然安全性要求沒有控制區高，但也需要采取一定的安全措施確保電力二次系統的安全性。二次系統安全分區詳情見表1。

表1 二次系統安全分區

2.2 橫向隔離

在新能源發電場站的電力二次系統中，應設置相應的安全監測系統。這個系統可以監測電力二次系統的運行狀態，檢測系統中是否存在潛在的安全隱患，及時發現和排除故障。在監測系統中，可以采用各種各樣的技術，例如基于網絡的安全監測、基于數據挖掘的安全監測、基于智能算法的安全監測等。這些技術可以在一定程度上提高電力二次系統的安全性能，減少潛在的安全風險。此外，為了進一步增強電力二次系統的安全性，還可以采用身份認證、訪問控制、數據加密等措施[1]。

2.3 專用網絡及構造

在新能源發電場站電力二次系統中，電力調度數據網是重要的組成部分，其安全防護隔離強度必須得到保障。為了確保數據的安全性和可靠性，需要采取一系列措施加強對電力調度數據網的安全防護。首先，應該建立完善的安全防護體系，包括安全防護策略、安全防護規程、安全防護措施等，從而保障電力調度數據網的安全性。其次，應該加強對電力調度數據網的監控和管理，及時發現和處理網絡安全事件，避免網絡安全問題的發生。此外，應該對電力調度數據網進行定期的漏洞掃描和安全評估，及時發現并修復漏洞，提高網絡的安全防護能力。

3 新能源發電場站可能存在的風險

電力系統安全問題存在多個方面的風險。首先，由于設備廠商保密工作不到位或泄漏，或使用有問題的筆記本電腦和U 盤。這些設備可能會感染病毒或惡意軟件，從而導致系統安全風險。其次，計算機監控系統操作系統漏洞未及時修補，可能存在非正版激活系統環境。這樣的環境容易受到黑客攻擊，從而導致系統被破壞或數據泄漏。再次，電廠運維人員修改系統配置也可能導致安全問題。如果不小心或者有意篡改系統配置，可能會導致系統崩潰或數據損失。最后，殺毒軟件未及時更新也存在著潛在的安全風險。如果系統中的殺毒軟件沒有及時更新，其便可能無法檢測到新的病毒或惡意軟件，從而無法保護系統安全。

4 新能源電場站防護目標與重點對象

電力實時閉環監控系統及調度數據網絡是電力發電廠的重要組成部分。因此場站安全防護工作的重點是保護系統的安全。為此，建立健全發電廠監控系統安全防護體系是總體目標，保護系統免受黑客、病毒、惡意代碼等侵害。在場站安全防護工作中，除了預防被攻擊外，還需要在系統遭到損害后，迅速恢復絕大部分的功能，防止安全事件引發電力一次系統事故或大面積停電事故。因此，電力發電廠必須高度重視場站安全防護工作，包括物理安全、網絡安全和安全管理三個方面。在物理安全方面，要保證場站的門禁、監控等設施運行正常，防止不法分子闖入場站。在網絡安全方面，要對電力實時閉環監控系統及調度數據網絡等進行隔離、加密等，防止黑客攻擊和病毒感染。在安全管理方面，要制定完善的安全策略和安全管理制度，培養員工的安全意識，提高場站的整體安全水平[2]。

5 電力二次系統安全防護措施

5.1 加強被動防御技術

5.1.1 防火墻

作為一種介于內網與外網之間的軟硬件組合而成的一種網絡安全防御體系，對整個網絡的安全起到了至關重要的作用，其具有防止網絡攻擊，病毒入侵，非法信息過濾，非法入侵等作用[3]。在電網二次設備的安全保護中，大部分企業都把防火墻安裝在電網的邊緣，充當服務器和網關的角色。分組過濾式防火墻是一種常用的防火墻，通過審計協議類型，源/目標端口，端口等來保證系統的安全性。但是，使用防火墻技術并不能確保整個區域的安全，攻擊者還是有可能找到該區域。所以，在傳統防火墻基礎上，應采用密碼技術、認證技術等多種技術手段來保證系統的安全，隨著計算機技術的發展，防火墻的性能也在不斷提高。

5.1.2 身份認證技術

在電力二次系統中，身份認證技術的應用較為重要。身份認證技術可以通過密碼、指紋、人臉識別等方式，對操作人員進行身份認證，確保只有獲得授權的操作人員才能夠訪問系統。同時，身份認證技術還可以對系統進行監控，發現異常操作行為，及時采取措施，保護系統的安全。除此之外，身份認證技術還可以實現權限控制。通過身份認證技術，可以對操作人員的權限進行控制，確保操作人員僅能夠進行其所需的操作，避免誤操作和惡意操作，保障電力二次系統的安全。

5.2 主動防御技術

5.2.1 陷阱技術

“蜜罐”技術就是人為地設計出一個系統的弱點引誘黑客攻擊，此項技術并未提供其他有價值的信息，只是通過“蜜罐”技術引誘黑客進入，因此，一旦有人試圖進入“蜜罐”，就會被認定為“非法入侵”。利用“蜜罐”誘使黑客向“錯誤點”發起攻擊，延遲了對“正確點”的攻擊，并以此拖延攻擊者對“正確點”的攻擊，讓其無法獲得有效信息[4]。

5.2.2 取證技術

取證技術是指在系統被入侵后，通過收集攻擊者的信息尋找攻擊源，并且為后續的安全措施提供依據。“動態取證”是指通過對網絡中的信息進行實時的分析，能夠在網絡被破壞的情況下，及時切斷網絡鏈接，從而達到“誘敵性”的目的，該方法主要是利用IDS 與誘捕技術相結合來實現對數據的即時分析與提取。在動態取證中，可以通過在受保護的主機上安裝代理服務器記錄黑客的操作、文件的盜取和破壞等行為。這些記錄可以幫助了解攻擊者的行為模式、攻擊手段和攻擊目的。同時，也可以利用入侵檢測系統收集證據，將計算機取證結合到入侵檢測等網絡系統結構中進行動態取證[5]。

6 結語

隨著新能源電場站的建設和運營，電力二次系統的安全防護策略成了一個重要的話題。在制定安全防護策略時，需要考慮到復雜性和設備通信系統的差異。因為電力二次系統中存在著許多不同的設備和系統，并且這些設備和系統之間的通信方式也各不相同。為了保證安全，需要對每個系統進行分析和評估，制定相應的安全策略。可以根據“安全分區、網絡專用、橫向隔離、縱向認證”原則制定不同的策略，可以幫助對整個電力二次系統進行分析和評估，從而制定出適合的安全策略。