赵宏宇
摘要:随着工业信息化进程的快速推进,工业控制、通讯及物联网等技术在能源、交通等领域得到了广泛的应用,电力监控系统也逐渐打破了以往的封闭性,电力监控系统面临病毒、木马、黑客入侵等信息网络安全威胁,由此引发的安全事故会造成严重社会影响和经济损失。为确保新能源场站控制系统安全,依据《中华人民共和国网络安全法》、《电力监控系统安全防护总体方案等安全防护方案和评估规范》、《信息安全技术网络安全等级保护基本要求》等相关法规文件,对新能源场站网络安全关键技术进行重点深入的研究。
关键词:现场运维;运维安全;安全防护
1新能源电站现场运维管控系统安全现状
1.1新能源电站现场运维管控系统安全现状
在多次调研中发现新能源电站运维管控存在诸多的问题和需求,主要集中在:(1)新能源电站位置偏远、站点分散、人员较少,安全运维不及时,成本高;(2)新能源电站 SCADA、NCS、继保等系统的主机通常不安装防病毒软件(可能存在不兼容、误杀、应用异常退出等问题),运维过程可能导致病毒通过移动设备入侵;(3)系统网络设备安全可控、传输加密及网络安全集中管控等防护手段不足;(4)运维缺乏有效的管控措施和审计手段,易导致病毒感染、非法操作、人员管控混乱等现象,一旦出现问题无法回溯问题,职责无法清晰;(5)新能源电站网络安全防护还无法满足《网络安全法》、《等级保护 2.0》新版法规相应要求。
1.2新能源电站现场运维安全系统研究的主要技术问题
当前现场运维的安全防护主要技术问题:(1)现场运维协议、接口多样化,如有网口、串口等;(2)如何保证 U 盘等移动介质在数据交换过程中的安全性;(3)如何对运维人员的身份进行认证;(4)如何对运维人员运维时的操作过程进行审计记录,包括录屏审计以及通信协议审计;(5)对现场运维人员运维时的权限进行控制,实现可操作的最小权限化;(6)因为现场运维环境不固定,需要实现设备的可移动化。2现场运维安全系统设计方案
2.1新能源电站现场运维安全系统研究设计依据
现场运维安全装置的研究工作须参照国家相关部门制订的标准或规范,因而在研究设计时需参照的相关法律、法规、标准、规范包括但不限于以下内容:(1)《电力监控系统安全防护规定》(国家发展改革委第 14 号令)(2《)电力监控系统安全防护总体方案等安全防护方案和评估规范》(国能安全〔2015〕36 号)(3)《GB/T22239-2019 信息安全技术网络安全等级保护基本要求》(4)《中华人民共和国网络安全法》(5)《NB/T 31047-2013 风电调度运行管理规范》(6)《风力发电场运行维护规程》(7)《风力发电机组运行及维护要求》GB/T25385-2019。
2.2现场运维安全系统(平台)设计
运维人员先通过管理平台向运维安全设备下发组织、账号及策略,在现场运维时选择网口、串口、USB 口的运维模式连接风电电力监控系统的对象设备进行运维,运维完成后运维安全设备将操作审计记录回传至管理平台进行存档。
2.3现场运维安全系统的构成
(1)硬件部分
运维安全系统平台服务器:用于系统配置,运行平台服务程序,接收和存储前端数据采集(现场运维安全装置)的数据,实现运维审计数据的记录、回放与分析。现场运维安全装置运维接口整合模块:该模块主要是对网口、串口以及 USB 口等多种接口进行支持,实现对现场基于各种接口以及协议的运维过程进行统一管控。现场运维安全装置身份认证模块:该模块主要身份证、指纹模块,实现从卡识别到生物识别来对运维人员的身份进行认证。现场运维安全装置防火墙模块:该模块用于对运维笔记本需要访问的对象系统进行权限控制,杜绝了非授权访问以及基于敏感端口的病毒传播和恶意网络攻击。现场运维安全装置视频数据采集模块:该模块主要实现对笔记本屏幕进行同步采集,记录。现场运维安全装置数据单向摆渡模块:该模块主要实现当外部 U盘等移动介质要进行数据摆渡时,外部 U 盘不会直接接触到新能源电站电力监控系统对象,而是先将数据拷贝到该数据单向摆渡模块中进行杀毒,然后再经由另外一个单向数据摆渡模块拷贝到新能源电站电力监控系统对象中,确保接触对象的 U 盘和数据都是完全安全可靠的。现场运维安全装置前端显示模块:该模块主要提供给运维人员进行运维安全装置的软件操作。
(2)软件部分
现场运维安全系统平台软件模块:该模块运行于平台服务器端,对现场运维安全装置进行管理、配置,存储由安全运维设备上传的审计数据,并提供审计数据查看的功能。身份验证与权限管理模块:运行于现场运维安全装置上,保存运维人员身份认证信息以及相应的权限信息,当使用的账号密码、身份证或者指纹时,对人员身份进行认证并对人员权限进行限定,对当前需要做的工作进行最小化权限限定,超出权限的指令不允许输入,文件不允许交换。访问控制模块:运行于现场运维安全装置上,主要是根据运维的策略以及人员的权限来进行具体硬件防火墙策略的配置,以达到管控的目的。视频审计模块:运行于现场运维安全装置,主要使用采集笔记本操作过程视频,并且封装成 MP4 格式的视频文件。协议审计模块:针对电力监控系统常用运维协议进行协议解析,并进行协议或通信流量还原记录。数据安全摆渡管控与审计模块:运行于现场运维安全装置上,主要对外部 U 盘的数据进行按照单向拷贝的流程进行操作,包括数据拷贝过程中对数据进行杀毒。同时保存拷贝的数据以及记录拷贝过程中病毒的查杀情况作为审计记录。平台软件连接模块:运行于现场运维安全装置上,该模块主要用于和平台软件进行连接,以进行配置数据的下载和审计数据的上傳。
3现场运维安全装置的特点
现场运维安全装置是保障新能源场站网络安全的重要装置,现场运维安全装置具有七个特点,分别是:
(1)该运维安全装置创新地实现了工控系统现场边界的安全防护,填补了工控系统安全防护中现场边界防护技术的空白。
(2)数据安全摆渡功能确保了 U 盘等移动介质不需要直接接触对象系统,就可完成数据的安全拷贝,大大加强了工控系统现场边界的安全性。
(3)访问控制功能确保了运维人员的运维权限是按需分配的,可以防止误操作以及病毒和攻击的袭扰。
(4)审计功能实现了运维的全过程都是被记录的,方便事后追溯,也大大缩短了出现问题时的排查时间。
(5)运维安全装置小巧,方便携带,不用每个设备上都部署,经济性上有很大的优势。
(6)运维安全装置支持网络、串口、U 口等多种现场运维管控方式。
(7)运维安全装置在进行运维工作时不改变运维人员的日运维习惯。
结语
随着国家新能源建设、运营覆盖面不断扩大,风电行业,特别是新能源电站的安全运维与运维安全之间的矛盾越来越突出。通过研究新能源电站电力监控系统网络边界安全防护的环节的风险管控能力的提升,增强了发现、抵御内外部安全风险手段,具体体现在对现场已部署的横向隔离装置、防火墙、纵向认证装置等安全设备管控粒度的细化与增强。另一方面改善了新能源电站电力监控系统涉及的资产、运行、运维、人员等企业核心管理数据,通过本系统平台数据归集能力实现各项数据的连续性、完整性、一致性需求,通过对运维大数据的可复现、可追溯、可审计、可分析,提高了风电企业安全运维、高效运维、低成本运维的综合管理能力要求。
参考文献
[1]探讨电气工程师在光伏电站工程中的作用[J].李欣蕾.产业科技创新.2020(06)
[2]谈地面光伏电站土建工程施工技术要点[J].屈威.工程建设与设计.2020(23)
[3]漂浮光伏电站箱逆变混凝土浮台的设计及应用[J].顾华敏,汤志辉,邓霞.居舍.2020(36)
[4]光伏电站暂态特性仿真与分析[J].贺素霞,乐丽琴,宇卫.电力电容器与无功补偿.2020(06)