中電建新能源集團(tuán)股份有限公司 李耀曦
隨著新能源電站的快速發(fā)展,保障電站的安全運行成為一個重要的問題。電力二次系統(tǒng)是新能源電站中非常重要的組成部分,包括了計算機(jī)監(jiān)控系統(tǒng)、功率預(yù)測系統(tǒng)、電能質(zhì)量監(jiān)測系統(tǒng)、調(diào)度數(shù)據(jù)網(wǎng)、綜合數(shù)據(jù)網(wǎng)、AGC、AVC、測控裝置、五防系統(tǒng)、保護(hù)裝置、故障錄波裝置、TMU 裝置、規(guī)約轉(zhuǎn)換裝置、PMU 裝置等。這些系統(tǒng)都需要得到很好的保護(hù),確保電站的正常運行。此外,還需要對向集控中心傳輸數(shù)據(jù)的網(wǎng)絡(luò)系統(tǒng)進(jìn)行保護(hù),可以確保電站的運行數(shù)據(jù)不會被外部的惡意攻擊者獲取,保障電站的運行安全。
在電網(wǎng)二次電網(wǎng)的安全保護(hù)系統(tǒng)中,電網(wǎng)的安全劃分是其最根本的構(gòu)成。將發(fā)電公司、電網(wǎng)公司、供電公司分為兩個區(qū)域,在區(qū)域范圍內(nèi),還可以再分為一類安全區(qū)(安全區(qū)I)和一類不屬于安全區(qū)的控制區(qū)(安全區(qū)II),安全分區(qū)總設(shè)計如圖1所示。在控制區(qū)內(nèi),對于電力二次系統(tǒng)的安全防護(hù)需要格外重視。因此,需要采取一系列的措施確保其安全性。首先,應(yīng)該嚴(yán)格控制區(qū)內(nèi)人員的出入,確保只有授權(quán)人員才能夠進(jìn)入控制區(qū)。其次,在控制區(qū)內(nèi)應(yīng)該設(shè)置安全防護(hù)設(shè)施,包括防火、防爆、防雷等措施。此外,應(yīng)該加強(qiáng)對電力二次系統(tǒng)進(jìn)行監(jiān)控和管理,及時排除潛在的安全隱患。在非控制區(qū)內(nèi),雖然安全性要求沒有控制區(qū)高,但也需要采取一定的安全措施確保電力二次系統(tǒng)的安全性。二次系統(tǒng)安全分區(qū)詳情見表1。
表1 二次系統(tǒng)安全分區(qū)
在新能源發(fā)電場站的電力二次系統(tǒng)中,應(yīng)設(shè)置相應(yīng)的安全監(jiān)測系統(tǒng)。這個系統(tǒng)可以監(jiān)測電力二次系統(tǒng)的運行狀態(tài),檢測系統(tǒng)中是否存在潛在的安全隱患,及時發(fā)現(xiàn)和排除故障。在監(jiān)測系統(tǒng)中,可以采用各種各樣的技術(shù),例如基于網(wǎng)絡(luò)的安全監(jiān)測、基于數(shù)據(jù)挖掘的安全監(jiān)測、基于智能算法的安全監(jiān)測等。這些技術(shù)可以在一定程度上提高電力二次系統(tǒng)的安全性能,減少潛在的安全風(fēng)險。此外,為了進(jìn)一步增強(qiáng)電力二次系統(tǒng)的安全性,還可以采用身份認(rèn)證、訪問控制、數(shù)據(jù)加密等措施[1]。
在新能源發(fā)電場站電力二次系統(tǒng)中,電力調(diào)度數(shù)據(jù)網(wǎng)是重要的組成部分,其安全防護(hù)隔離強(qiáng)度必須得到保障。為了確保數(shù)據(jù)的安全性和可靠性,需要采取一系列措施加強(qiáng)對電力調(diào)度數(shù)據(jù)網(wǎng)的安全防護(hù)。首先,應(yīng)該建立完善的安全防護(hù)體系,包括安全防護(hù)策略、安全防護(hù)規(guī)程、安全防護(hù)措施等,從而保障電力調(diào)度數(shù)據(jù)網(wǎng)的安全性。其次,應(yīng)該加強(qiáng)對電力調(diào)度數(shù)據(jù)網(wǎng)的監(jiān)控和管理,及時發(fā)現(xiàn)和處理網(wǎng)絡(luò)安全事件,避免網(wǎng)絡(luò)安全問題的發(fā)生。此外,應(yīng)該對電力調(diào)度數(shù)據(jù)網(wǎng)進(jìn)行定期的漏洞掃描和安全評估,及時發(fā)現(xiàn)并修復(fù)漏洞,提高網(wǎng)絡(luò)的安全防護(hù)能力。
電力系統(tǒng)安全問題存在多個方面的風(fēng)險。首先,由于設(shè)備廠商保密工作不到位或泄漏,或使用有問題的筆記本電腦和U 盤。這些設(shè)備可能會感染病毒或惡意軟件,從而導(dǎo)致系統(tǒng)安全風(fēng)險。其次,計算機(jī)監(jiān)控系統(tǒng)操作系統(tǒng)漏洞未及時修補(bǔ),可能存在非正版激活系統(tǒng)環(huán)境。這樣的環(huán)境容易受到黑客攻擊,從而導(dǎo)致系統(tǒng)被破壞或數(shù)據(jù)泄漏。再次,電廠運維人員修改系統(tǒng)配置也可能導(dǎo)致安全問題。如果不小心或者有意篡改系統(tǒng)配置,可能會導(dǎo)致系統(tǒng)崩潰或數(shù)據(jù)損失。最后,殺毒軟件未及時更新也存在著潛在的安全風(fēng)險。如果系統(tǒng)中的殺毒軟件沒有及時更新,其便可能無法檢測到新的病毒或惡意軟件,從而無法保護(hù)系統(tǒng)安全。
電力實時閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)是電力發(fā)電廠的重要組成部分。因此場站安全防護(hù)工作的重點是保護(hù)系統(tǒng)的安全。為此,建立健全發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)體系是總體目標(biāo),保護(hù)系統(tǒng)免受黑客、病毒、惡意代碼等侵害。在場站安全防護(hù)工作中,除了預(yù)防被攻擊外,還需要在系統(tǒng)遭到損害后,迅速恢復(fù)絕大部分的功能,防止安全事件引發(fā)電力一次系統(tǒng)事故或大面積停電事故。因此,電力發(fā)電廠必須高度重視場站安全防護(hù)工作,包括物理安全、網(wǎng)絡(luò)安全和安全管理三個方面。在物理安全方面,要保證場站的門禁、監(jiān)控等設(shè)施運行正常,防止不法分子闖入場站。在網(wǎng)絡(luò)安全方面,要對電力實時閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)等進(jìn)行隔離、加密等,防止黑客攻擊和病毒感染。在安全管理方面,要制定完善的安全策略和安全管理制度,培養(yǎng)員工的安全意識,提高場站的整體安全水平[2]。
5.1.1 防火墻
作為一種介于內(nèi)網(wǎng)與外網(wǎng)之間的軟硬件組合而成的一種網(wǎng)絡(luò)安全防御體系,對整個網(wǎng)絡(luò)的安全起到了至關(guān)重要的作用,其具有防止網(wǎng)絡(luò)攻擊,病毒入侵,非法信息過濾,非法入侵等作用[3]。在電網(wǎng)二次設(shè)備的安全保護(hù)中,大部分企業(yè)都把防火墻安裝在電網(wǎng)的邊緣,充當(dāng)服務(wù)器和網(wǎng)關(guān)的角色。分組過濾式防火墻是一種常用的防火墻,通過審計協(xié)議類型,源/目標(biāo)端口,端口等來保證系統(tǒng)的安全性。但是,使用防火墻技術(shù)并不能確保整個區(qū)域的安全,攻擊者還是有可能找到該區(qū)域。所以,在傳統(tǒng)防火墻基礎(chǔ)上,應(yīng)采用密碼技術(shù)、認(rèn)證技術(shù)等多種技術(shù)手段來保證系統(tǒng)的安全,隨著計算機(jī)技術(shù)的發(fā)展,防火墻的性能也在不斷提高。
5.1.2 身份認(rèn)證技術(shù)
在電力二次系統(tǒng)中,身份認(rèn)證技術(shù)的應(yīng)用較為重要。身份認(rèn)證技術(shù)可以通過密碼、指紋、人臉識別等方式,對操作人員進(jìn)行身份認(rèn)證,確保只有獲得授權(quán)的操作人員才能夠訪問系統(tǒng)。同時,身份認(rèn)證技術(shù)還可以對系統(tǒng)進(jìn)行監(jiān)控,發(fā)現(xiàn)異常操作行為,及時采取措施,保護(hù)系統(tǒng)的安全。除此之外,身份認(rèn)證技術(shù)還可以實現(xiàn)權(quán)限控制。通過身份認(rèn)證技術(shù),可以對操作人員的權(quán)限進(jìn)行控制,確保操作人員僅能夠進(jìn)行其所需的操作,避免誤操作和惡意操作,保障電力二次系統(tǒng)的安全。
5.2.1 陷阱技術(shù)
“蜜罐”技術(shù)就是人為地設(shè)計出一個系統(tǒng)的弱點引誘黑客攻擊,此項技術(shù)并未提供其他有價值的信息,只是通過“蜜罐”技術(shù)引誘黑客進(jìn)入,因此,一旦有人試圖進(jìn)入“蜜罐”,就會被認(rèn)定為“非法入侵”。利用“蜜罐”誘使黑客向“錯誤點”發(fā)起攻擊,延遲了對“正確點”的攻擊,并以此拖延攻擊者對“正確點”的攻擊,讓其無法獲得有效信息[4]。
5.2.2 取證技術(shù)
取證技術(shù)是指在系統(tǒng)被入侵后,通過收集攻擊者的信息尋找攻擊源,并且為后續(xù)的安全措施提供依據(jù)?!皠討B(tài)取證”是指通過對網(wǎng)絡(luò)中的信息進(jìn)行實時的分析,能夠在網(wǎng)絡(luò)被破壞的情況下,及時切斷網(wǎng)絡(luò)鏈接,從而達(dá)到“誘敵性”的目的,該方法主要是利用IDS 與誘捕技術(shù)相結(jié)合來實現(xiàn)對數(shù)據(jù)的即時分析與提取。在動態(tài)取證中,可以通過在受保護(hù)的主機(jī)上安裝代理服務(wù)器記錄黑客的操作、文件的盜取和破壞等行為。這些記錄可以幫助了解攻擊者的行為模式、攻擊手段和攻擊目的。同時,也可以利用入侵檢測系統(tǒng)收集證據(jù),將計算機(jī)取證結(jié)合到入侵檢測等網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中進(jìn)行動態(tài)取證[5]。
隨著新能源電場站的建設(shè)和運營,電力二次系統(tǒng)的安全防護(hù)策略成了一個重要的話題。在制定安全防護(hù)策略時,需要考慮到復(fù)雜性和設(shè)備通信系統(tǒng)的差異。因為電力二次系統(tǒng)中存在著許多不同的設(shè)備和系統(tǒng),并且這些設(shè)備和系統(tǒng)之間的通信方式也各不相同。為了保證安全,需要對每個系統(tǒng)進(jìn)行分析和評估,制定相應(yīng)的安全策略??梢愿鶕?jù)“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”原則制定不同的策略,可以幫助對整個電力二次系統(tǒng)進(jìn)行分析和評估,從而制定出適合的安全策略。