光伏电站电力二次系统网络安全风险及防护措施

李伟

（沧州市南大港管理区中科索能光伏发电有限公司，河北 石家庄 050000）

0 引言

随着社会的发展，环境问题日益凸显，充分利用可再生能源已经成为人类的共识。太阳能作为一种清洁能源受到越来越多的关注，随着光伏发电的装机容量在电力系统中所占比例的不断扩大，如何保证光伏电站的安全稳定运行显得尤为重要。电力二次系统是提升光伏电站安全运行水平、提高经济效益、降低运行成本、提高电能质量的重要技术方法。然而实际工作中由于网络安全防护工作的不到位使得电力二次系统易受到黑客及恶意代码的攻击侵害，从而引发电力系统事故并造成不必要的经济损失，因此研究光伏电站电力二次系统网络安全风险、制定合理的防护措施至关重要。

1 光伏电站的电力二次系统

电力二次系统主要由继电保护、安全自动控制、系统通信和调度自动化等部分组成，是电力系统中不可或缺的内容，电力二次系统为运行人员对电力一次系统的运行情况进行整体把握提供了可能，它实现了人与电力一次系统的接触监控，保证一次系统安全、经济地运行。光伏电站电力二次系统主要包括电力监控系统、电力通信、数据网络，而电力二次系统网络安全保护，是对这三部分进行安全保护[1]。电力二次系统安全运行是光伏电站安全运行的重要组成部分，如果电力二次系统发生事故将会影响光伏电站乃至整个电网的安全运行，严重时会引起供电中断，造成大面积停电，带来不必要的经济损失。

2 网络安全防护工作的重要性

随着我国计算机技术、通信技术和网络技术的不断发展，光伏电站互联网生态环境逐步形成，其自动化、智能化水平不断提高，但与此同时也增加了光伏电站电力二次系统的复杂度，提高了网络安全防护工作的难度。光伏电站在不断发展的过程中与外界交叉互联越来越频繁，实践证明，光伏电站网络安全当前最大的安全隐患不是来自系统本身，而是来自与之相连的外部网络[2]，因此，网络安全防护工作主要是为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发的电力系统事故。

电力二次系统可提高光伏电站工作效率、方便管理，然而在不断网络化的同时也给电站数据信息的安全带来了更大的风险。电力行业是我国非常重要的基础行业，电力系统的发展对于我国经济建设具有非常重要的推动作用，光伏在电力系统中的占比不断提高，电站的日常管理也是基于电力二次系统的基础上建立的，因此通过相应的技术措施及安全管理建立电力二次系统网络安全防护体系，为确保光伏发电厂的安全稳定运行，避免遭受不必要的经济损失，具有重要的意义和作用。

3 网络安全防护工作中存在的问题

3.1 安全防护等级低，网络防护方法单一，系统漏洞较多

目前光伏电厂的电力二次系统采取的网络安全防护措施，仅仅只依靠于防火墙、加密装置，此方法是通过对系统进行预先设定的方式，进行电力系统参数匹配，进而达到有效控制网络信息流向和信息包的目的[3]。然而只是采取防火墙、加密装置这样的单一手段的网络防护方法，易被黑客找准规律，利用系统漏洞对电力二次系统进行攻击。同时，纵观电厂电力二次系统网络防护工作的现实情况往往是电厂的安全防护等级过低，电力二次系统的防火墙、加密技术远低于黑客攻击技术，如不能同步升级更新电力二次网络防护系统，此方法很难达到较好的安全防护效果。在实际工作中的问题主要有升压站后台监控系统主机扫描发现存在漏洞，软件存在远程漏洞、拒绝服务漏洞；未关闭通用的网络服务等。

3.2 系统接口较多，易外联外部设备，感染病毒

电力二次系统连接电脑、交换机、继电保护器等装置，用于外接接口较多，在工作人员使用系统的过程中，如未对外联的外部设备进行彻底查杀，电力二次系统易被外部带来的病毒、木马等感染，从而受到攻击,造成系统故障，造成不必要的损失。在实际工作中发现的主要问题有功率预测系统（Ⅱ区）与远动（Ⅰ区）在调度数据网的某一平面非实时交换机处相连，不符合Ⅰ、Ⅱ区数据交互加装防火墙要求，防火墙布置位置不正确；所有服务器、USB口、光驱、数据网内的交换机多余网口未封堵等。

3.3 人员专业性差，安全防护意识不强

电场一般招录的运维人员主要是电气专业的，不具备通信或计算机专业知识，对网络安全防护不够重视，对于发生的网络安全事故处理能力较差，同时安全防护意识也不够强。正是由于专业性差，在电力二次系统的安全防护装置安装、调试的过程中主要依赖于生产厂家具有专业知识的人员，如果网络安全防护知识培训不能得到足够重视、培训内容不够详细、培训效果不够理想则在发生网络安全问题时只能等待聘请专业技术人员，这样容易错过最佳解决问题的时机，在等待的过程中容易引起更大的网络安全事故，波及整个光伏电站或电力系统。

4 网络安全防护措施

4.1 完善制度建设，促进网络安全防护工作顺利进行

在网络安全防护工作中应首先完善电力二次系统安全防护相关制度，目前光伏电站需制定的针对二次系统网络安全防护工作的制度主要有《电力二次系统安全防护管理制度》《权限密码管理制度》《计算机系统管理办法》《二次系统安全防护管理分级责任制》《二次系统安全联合防护应急预案》等，这些制度对继电保护装置及网络安全运行做了详细的规定。这些规定根据“谁主管谁负责，谁运营谁负责”的原则，明确了管理职责，制定了技术管理措施，规定了权限密码管理方式，同时制定安全防护应急预案及安全评估制度，从各个方面保护光伏电站的网络运行安全。需要注意的是在制定各项关于网络安全防护工作制度时，更多的是关注于仪器设备运行安全，而忽略了对运行人员的培训。所以必须加强对运行人员的制度培训学习，使其掌握网络安全防护规定、要求及操作流程。实际工作中只有提高运维人员关于网络安全防护工作的综合素质，做到有制度可循，有人员可用，网络安全防护工作才能顺利进行。

4.2 加强网络安全知识培训，提高人员综合素质

人员是企业发展的内生动力，人员综合素质的提升是网络安全防护工作的重点。在实际工作中应定期组织运维人员进行网络安全知识培训与学习，并将学习考试情况纳入月度或年度终绩效考核。在培训学习的过程中要开拓思维，可以采取内外部培训相结合的形式，丰富培训形式。要充分利用生产厂家安装调试、技术培训的机会，多组织业务骨干进行有针对性地学习，提高技术水平。以此解决后期电力二次系统的维护保养、故障排除无人可用的不利局面。

4.3 加装防护系统，完善网络防病毒体系

在硬件上对电力二次系统中连接的设备加装防火墙、加密装置等防护系统，同时定期对系统进行病毒查杀处理，并实时更新网络系统病毒数据库。在实际工作中主要存在的问题有光功率系统违规外联、调度数据网络未使用加密装置、Ⅰ区向Ⅱ区传送数据未过防火墙等，这些问题均可通过加装防护系统，完善网络防病毒体系得以解决[4-5]。

4.4 网络安全防护技术措施

网络安全防护工作重点在于采取行之有效的技术措施，先进的技术管理是电站安全运行的强力保障。光伏电站在网络安全预防工作中采取的技术措施主要有安全分区、网络专用、横向隔离、纵向认证、采取公钥技术等。

4.4.1 安全分区

将光伏电站二次系统分为生产控制区和管理信息区。将生产控制区分为控制区(Ⅰ区)和非控制区(Ⅱ区)。并通过广域网避免不同安全区的垂直交联。根据电力二次系统安全防护要求，确定不同安全区的安全等级和防护等级。

4.4.2 网络专用

光伏电站电力调度数据网使用独立的网络设备形成网络用于专用信道中，在物理上与其他数据网络和外部公共信息网络安全隔离。将电力调度数据网划分为实时业务子网和非实时业务子网，实时业务子网和非实时业务子网通过逻辑隔离，分别连接到控制区和非控制区。从而通过路由限制安全地隔离各级的数据网络。

4.4.3 横向隔离

在光伏电站生产控制区和管理信息区之间进行横向隔离，安装专业的安全隔离装置，进行横向防御。

4.4.4 纵向认证

光伏电站安装纵向加密装置，装置采用认证、加密、访问控制等技术措施，实现远程安全数据传输和垂直边界安全保护。禁止跨越生产控制区与管理信息区之间边界的任何公共网络服务。为电站电力二次系统安全保护系统加装纵向防线。

5 结语

综上所述，光伏电站作为电力系统中重要的电源形式，电站的二次系统网络安全不但影响电站安全运行，而且影响整个电网的安全性，所以应加强光伏电站二次系统的网络、主机、应用、数据的安全,加强网络安全管理机构、系统、制度建设,保障电站电力二次系统网络安全,防范黑客、恶意代码等对电力二次系统的攻击，不断提高光伏电站整体网络安全防护能力。本文结合光伏电站实际工作总结指出了电力二次系统在网络防护工作中存在的主要问题及可采取的防护措施，旨在进一步提高光伏电站电力二次系统的网络安全防护水平及运行管理水平，在实现自动化、智能化的同时培养高素质人才，并为社会创造更多的经济效益。