新能源電廠電力監(jiān)控系統(tǒng)安全防護淺析

曾繁禮

內(nèi)蒙古龍源蒙東新能源有限公司 ?024000

摘要：電力監(jiān)控系統(tǒng)是新能源電廠產(chǎn)電、發(fā)電的核心系統(tǒng)，隨著“兩化融合”的飛速發(fā)展，電力監(jiān)控系統(tǒng)自動化水平快速進化給新能源企業(yè)帶來巨大便利的同時，也帶來了系統(tǒng)入侵、信息泄密等網(wǎng)絡安全問題。本文將從新能源電廠現(xiàn)狀入手，分析新能源電廠電力監(jiān)控系統(tǒng)結(jié)構(gòu)和面臨的威脅，并結(jié)合“國家能源局36號文件”淺析如何做好新能源電廠電力監(jiān)控系統(tǒng)的網(wǎng)絡安全防護工作。

關(guān)鍵詞：新能源電廠;電力監(jiān)控系統(tǒng);安全防護

隨著迅猛發(fā)展的現(xiàn)代計算機技術(shù)、通信技術(shù)、網(wǎng)絡技術(shù)與工業(yè)控制系統(tǒng)（以下簡稱工控系統(tǒng)）的融合逐步深入，在極大地提高了工業(yè)控制系統(tǒng)工作效率的同時，也帶來了嚴峻的網(wǎng)絡安全問題。針對工控系統(tǒng)的網(wǎng)絡攻擊不僅僅以獲取經(jīng)濟利益為目的，還呈現(xiàn)出以破壞國家基礎設施和能源供給的趨勢。以能源、電力為代表的關(guān)鍵信息基礎設施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡安全的重中之重，也是可能遭到重點攻擊的目標。其中新能源電廠作為利用清潔、可再生能源發(fā)電的企業(yè)，為社會經(jīng)濟的發(fā)展提供清潔可靠的能源的同時，相比于火力發(fā)電電廠，電力監(jiān)控系統(tǒng)網(wǎng)絡拓撲結(jié)構(gòu)更加復雜，與外部網(wǎng)絡也有著更多更密切的聯(lián)系，因此新能源電廠的電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護已日漸成為信息安全領(lǐng)域關(guān)注的焦點。

新能源電廠電力監(jiān)控系統(tǒng)一般包含發(fā)電機監(jiān)控系統(tǒng)、升壓站綜合自動監(jiān)控系統(tǒng)、功率控制系統(tǒng)（AGC/AVC）、同步相量采集系統(tǒng)、功率預測系統(tǒng)等。按照《電力監(jiān)控系統(tǒng)安全防護規(guī)定》，原則上將發(fā)電廠基于計算機及網(wǎng)絡技術(shù)的業(yè)務系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，并根據(jù)業(yè)務系統(tǒng)的重要性和對一次系統(tǒng)的影響程度將生產(chǎn)控制大區(qū)劃分為控制區(qū)（安全I區(qū)）及非控制區(qū)（安全II區(qū)）。其中位于生產(chǎn)控制大區(qū)安全Ⅰ區(qū)的為發(fā)電機監(jiān)控系統(tǒng)、升壓站綜合自動監(jiān)控系統(tǒng)、AGC/AVC系統(tǒng)、同步相量采集系統(tǒng)等，位于生產(chǎn)控制大區(qū)安全Ⅱ區(qū)的為功率預測系統(tǒng)、電能量采集系統(tǒng)、保護信息子站系統(tǒng)等。電力監(jiān)控系統(tǒng)安全防護將重點保護生產(chǎn)控制以及直接影響電力生產(chǎn)（機組運行）的系統(tǒng)。

從信息安全發(fā)展角度來看，新能源電廠在設計之初，網(wǎng)絡安全防護多集中于以邊界防護為主，缺乏系統(tǒng)的安全防護建設，而針對電力監(jiān)控系統(tǒng)面臨的越來越復雜的安全形勢，為了保障電廠的穩(wěn)定安全按運行，需要從安全的各個層面來考慮變電站的安全建設。根據(jù)電力行業(yè)各“政策”和“要求”指導文件內(nèi)容結(jié)合目前已經(jīng)實施的試點項目防護內(nèi)容，當前新能源電廠電力監(jiān)控系統(tǒng)安全防護應當從“入侵檢測、主機加固、應用安全控制、安全審計、集中管控”這幾個方面，進行合理性的加強。

1、 入侵檢測

根據(jù)“國家能源局36號文件”附件4中5.1要求“生產(chǎn)控制大區(qū)可以統(tǒng)一部署一套網(wǎng)絡入侵檢測系統(tǒng)”，結(jié)合試點項目防護內(nèi)容，應當在調(diào)度數(shù)據(jù)網(wǎng)I區(qū)、II區(qū)交換機處統(tǒng)一部署一套網(wǎng)絡入侵檢測系統(tǒng)，合理設置檢測規(guī)則，檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡邊界正常信息流中的入侵行為，分析潛在威脅并進行安全審計。

2、 主機加固

根據(jù)“國家能源局36號文件”附件4中5.2要求“發(fā)電廠廠級信息監(jiān)控系統(tǒng)等關(guān)鍵應用系統(tǒng)的主服務器， 以及網(wǎng)絡邊界處的通信網(wǎng)關(guān)機、Web服務器等，應當使用安全加固的操作系統(tǒng)”，結(jié)合試點項目防護內(nèi)容，應當在發(fā)電機監(jiān)控系統(tǒng)、升壓站綜合自動監(jiān)控系統(tǒng)、功率控制系統(tǒng)（AGC/AVC）、同步相量采集系統(tǒng)、功率預測系統(tǒng)等系統(tǒng)的監(jiān)控主機、工程師站或服務器上，通過加固安全配置、安裝經(jīng)過測試的安全補丁、采用專用軟件加固操作系統(tǒng)，強化操作系統(tǒng)訪問控制能力以及配置安全的應用程序，保證監(jiān)控主機、工程師站或服務器的安全。

3、 應用安全控制

根據(jù)“國家能源局36號文件”附件4中5.3要求“對于發(fā)電廠內(nèi)部遠程訪問業(yè)務系統(tǒng)的情況，應當進行會話控制，并采用會話認證、加密與抗抵賴等安全機制?！苯Y(jié)合試點項目防護內(nèi)容，發(fā)電機監(jiān)控系統(tǒng)、升壓站綜合自動監(jiān)控系統(tǒng)、功率控制系統(tǒng)（AGC/AVC）、同步相量采集系統(tǒng)、功率預測系統(tǒng)等系統(tǒng)通過網(wǎng)線與調(diào)度數(shù)據(jù)網(wǎng)I區(qū)、II區(qū)交換機相連，經(jīng)縱向加密認證裝置認證及數(shù)據(jù)加密后，將數(shù)據(jù)傳送至上級調(diào)度機構(gòu)。

4、 安全審計

根據(jù)“國家能源局36號文件”附件4中5.4要求“生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)應當具備安全審計功能”以及結(jié)合試點項目防護內(nèi)容，在生產(chǎn)控制大區(qū)安全I區(qū)核心交換機處部署一套安全審計功能模塊，對生產(chǎn)控制大區(qū)網(wǎng)絡運行日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務應用系統(tǒng)運行日志、安全設施運行日志等進行集中收集、自動分析，及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。

5、 集中管控

根據(jù)“國家能源局36號文件”附件1中3.13和《國家電網(wǎng)公司關(guān)于加快推進電力監(jiān)控系統(tǒng)網(wǎng)絡安全管理平臺建設的通知》（國家電網(wǎng)調(diào)【2017】1084號）文件要求，結(jié)合試點項目防護內(nèi)容，在調(diào)度數(shù)據(jù)網(wǎng)I區(qū)、II區(qū)交換機處分別部署網(wǎng)絡安全監(jiān)測裝置，實現(xiàn)“生產(chǎn)控制大區(qū)應當逐步推廣內(nèi)網(wǎng)安全監(jiān)視功能，實時監(jiān)測電力監(jiān)控系統(tǒng)的計算機、網(wǎng)絡及安全設備運行狀態(tài)，及時發(fā)現(xiàn)非法外聯(lián)、外部入侵等安全事件并告警”。

新能源電廠的安全防護應嚴格遵守“國家能源局36號文件”及其他電力行業(yè)政策標準要求，積極參考已有試點項目經(jīng)驗，做好電廠安全防護的組織保障，做好電廠安全防護問題的問題整改，做好電廠安全防護的運行管理，做好電廠安全防護的應急響應處置，維護好電力監(jiān)控系統(tǒng)的網(wǎng)絡安全。

參考文獻：

[1]《關(guān)于展開電力監(jiān)控安全防護專項檢查工作的通知》（國能安全【2016】92號）文件。

[2]《國家電網(wǎng)公司關(guān)于加快推進電力監(jiān)控系統(tǒng)網(wǎng)絡安全管理平臺建設的通知》（國家電網(wǎng)調(diào)【2017】1084號）文件。

[3]《國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總結(jié)方案等安全防護方案和評估規(guī)范的通知》（國家能源局【2015】36號）文件