网络安全技术在风电场运营中的应用

◆杨辉虎

（四川省能投会东新能源开发有限公司 四川 615200）

网络安全技术在风电场运营中的应用

◆杨辉虎

（四川省能投会东新能源开发有限公司 四川 615200）

随着互联网技术的应用，各行各业对网络的依存度大大提升，但是开放的网络环境也带来新的安全威胁，网络攻击事件频频发生，带来巨大的经济损失。网络安全也成为大型企业必须要考虑的运营因素之一。近年来，风力发电装机规模增长迅速，但是风电场网络建设相对滞后，对风电场网络安全技术的研究与应用尚未形成统一的认识和行之有效的处理技术。有针对性地对风电场网络安全技术进行研究，具有极大的现实意义。

风电场；网络安全；技术应用

0 引言

电力是一个国家正常运转的动脉，是国民经济发展的基础。风力发电作为一种清洁能源，在我国能源消费结构中的占比逐年提升。随着电力行业，尤其是风电行业的迅速发展，相关业务的扩展对风电场网络提出了更高的要求，同时随着网络安全风险日益加大，各行业各部门对于网络安全技术的研究和应用逐年增加。

在现实的风电场建设运行中，风电场通常只是作为生产单位行使功能，风电场本部均设在风电场所属城市中，由此带来的风电场网络化办公和运行监管显得格外重要。本文重点研究风电场运营中的网络安全技术研究，具有一定的现实意义。

1 风电场网络需求分析

由于风电场与电力公司本部相距较远，风电场分布较为分散，存在作业面广、线路长的等问题。为了有效地对风电场进行管理，建立高效的网络管理系统非常重要。

1.1 一般性网络需求分析

一般意义上，风电场网络需要满足日常管理的信息传递功能，同时还需要对电网监管与调控做出准确及时的反应，所以风电场网络安全需要受到格外重视，必须满足国家和电力系统对于网络安全的相关要求。风电场网络主要担负的职能包括：视频会议、组播业务、电网调度和网络管理等。为此，在广泛调研与分析的基础上，提出了“分区安全、专用网络、横向隔离、纵向认证”的原则，来规范和要求风电场网络安全，避免因为风电场网络监控及调度系统受到攻击而造成电力系统故障。

1.2 网络安全防护需求

对于风电场的网络安全防护，主要是针对与能够接触网络的内部人士，原因在于电力系统网络主要是在电网内部使用，与外部互联网的关系不密切。但是在内部引起的安全攻击更为可怕，攻击手段更为隐蔽，如不采取有效措施，造成的损失不可估量。

1.3 风电场网络面临的网络安全威胁分析

（1）病毒传播威胁。病毒传播具有多种传播途径，不仅可以通过光盘、硬盘等硬件传播、还可通过网络下载及浏览网页等感染。一旦感染病毒，不仅会造成网络瘫痪，更为严重的是造成企业信息的泄露，带来不可估量的损失。（2）密码攻击。密码攻击主要是电脑黑客通过不正当方式获取系统中的密码文件，并对关键位置访问权限进行修改，造成网络系统防护等级的下降。（3）窃听及垃圾邮件攻击。网络窃听主要是通过在系统中进行特定数据的下载及不合法传播进行的，垃圾邮件的大量发送及接收，会造成风电企业网络瘫痪及关键邮件信息的外泄。

2 风电场网络安全防护体系

2.1 网络安全建设原则

根据国家电网发布的《关于印发风电、光伏和燃气电厂二次系统安全防护技术规范规定的通知》的具体要求，分析总结了以下四点网络安全建设原则：

（1）安全分区。按照《电力二次系统安全防护规定》，将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理性，重点保护生产控制以及直接影响电力生产运行的系统。

（2）网络专用。电力调度数据网是与生产控制大区相连接的专用网络，发电厂段的电力数据网应当在专用通道上使用独立的网络设备组网，物理上与发电厂其他管理网络和外部公共信息网络安全隔离。

（3）横向隔离。在生产控制大区域管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向隔离装置。

（4）纵向认证。发电厂生产控制大区与调度数据网的纵向连接处应设置经国家指定部门检测认证的电力专用加密认证装置，实现双向身份认证、数妇加密和访问控制。

表1 风电厂网络安全分区

2.2 网络拓扑研究

采用先进的网络拓扑原理，对风电场网络进行规划，可以有效的提升系统安全等级。具体网络拓扑架构如图1所示。

采用三层网络结构，提升系统安全性，分别是：核心层、汇聚层和接入层。现对分层结构中核心层进行简要论述。采用双核心模式，应用两台核心交换机，组成冗余核心，主要负责对全网络的环境进行控制和监管。在具体配置上，使用以太网络由协议，能有有效的解决数据在环路中传递带来的广播风暴危险，在以太网环路中断开链接情况下，保证有备用炼炉迅速链接，连接时间控制在100ms以内。放置一个汇聚交换机在各配线之间，这样即使有一台交换机出现问题，仍可以通过双联路链接保证线路的畅通和数据的传递。

图1 风电场网络安全构建拓扑结构示意图

2.3 防病毒要求

从某种意义上说，防止病毒对网络的危害关系到整个系统的安全。防病毒软件要求覆盖所有服务器及客户端。对关键服务器实时查毒，对于客户端定期进行查毒，制定查毒策略，并备有查杀记录。病毒防护是调度系统与网络必须的安全措施。病毒的防护应该覆盖所有生产控制大区和管理信息大区的主机与工作站。特别在风电场要建立独立的防病毒中心，病毒特征码要求必须以离线的方式及时更新。

2.4 网络安全部署方案

具体来看，针对于不同分区的承担的功能，需要有针对性进行网络安全防护部署。（1）生产控制与信息管理分区防护措施：在该部进行安全防护，主要是进行单向信息传递控制，保证数据传递只能从生产控制区传向信息管理，主要采用的是网闸。（2）控制区的边界管理：主要通过防火墙的设置，把风电场控制系统和功率预测监控系统隔离开来，这也是符合国家电网规定正向隔离方针。（3）控制系统间主要采用具有访问控制的防火墙进行逻辑分区上的隔离。（4）纵向边界：在风电场网络纵向管理上，设置专用加密的认证装置，采用加密认证网络，实现双向的身份认证和可控访问，大大提高纵向上的安全系数。

2.5 其他网络安全防护技术

首先是数据与系统备份。对风电场SIS系统和MIS系统等关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。

其次是主机防护。主机安全防护主要的方式包括：安全配置、安全补丁、安全主机加固。（1）安全配置指的是通过合理地设置系统配置、服务、权限，减少安全弱点。减少或者禁止多余程序的安装，尤其是对于调度业务系统的专用主机和工作站，需要以更严格的方式管理系统及软件的安装和更新。（2）安全补丁指的是及时下载并安装系统更新所需要的补丁，较少系统漏洞导致风电场网络安全问题的发生。（3）安全主机加固指的是对有特殊用途的主机进行安全加固，对权限进行强制划分，重新定义对系统关键位置的访问权限，在提升关键位置安全等级的基础上，防止滥用主机权限。

3 风电场网络安全接入模型研究

针对风电场网络特点，研究了能够有效提高接入安全的模型，如图2所示。

采用该模型可以实现在广域网中的各类电力企业的计算机网络使用，既保证了系统的安全性，又可以实现各单位之间的管理控制问题。具体来看，该系统允许电力总部与各风电场之间、风电场各分部之间、记忆电力企业与用户之间的信息交换及安全访问。该模型中能够满足风电场对于系统全方位的监视与控制。监控的范围主要包括以下几个方面：访问用户是否合法、是否存在计算机病毒威胁、网络是否被入侵以及网络资源占用情况等。在此基础上，通过简单的系统升级，就可以具备更多的增值服务，例如：安全网络浏览、安全邮件的接法、VPN及FTP服务、安全IP电话拨号服务等。

图2 网络安全接入模型

设置防火墙可以有效减少风电场内网遭受网络攻击的可能性，防火墙的设置应在各风电场之间以及风电场与外网之间，保证一旦有部分主机感染病毒或者受到攻击，能最大程度地减少攻击造成的损失。在具体使用中，建议采用包含状态检测和自动过滤技术的硬件防火墙系统。严格控制风电场内部网络的访问，能够有效控制风电场内部资源被未授权用户访问和使用，又能防止内部用户对外网资源的读取。

4 结语

我国风电行业起步较国外相对较晚，但发展规模相对较为迅速。同时也应该看到，风电场建设中网络安全建设相对滞后，没有形成有效的网络安全管理技术。针对风电场网络安全现状，本文通过对风电场网络安全需求的深入分析，提出了风电场网络安全建设原则，并在此原则指导下，对网络拓扑技术、防病毒技术、网络安全部署方案等的研究，提出了提升风电场网络安全的一系列技术手段，对于从事风电场网络安全研究的工作人员具有极高的指导意义。

[1]罗斌．电力 SCADA 系统网络安全技术与方法研究[J]．信息安全与通信保密，2014．

[2]许晓晖，董昕，张欣，等．电力行业计算机应用网络安全结构及管理模型[J]．中国电力，2001．

[3]王云海．电力行业网络安全现状及解决方案探讨[J]．网络安全技术与应用，2013．

[4]钱明．风电企业信息网络安全防护体系建设探讨[J]．科技创新与应用，2014．

[5]代永强．风电公司网络安全建设规划[J]．电力信息化，2010．