雷 亮,谭小瑶,刘 漫,周致富,张祥锐
(湖北能源集团新能源发展有限公司 湖北 武汉 430205)
电力资源十分宝贵,当新能源场站电力监控系统中出现网络安全问题时,容易造成当地大范围停电,阻碍社会生产生活,为此网络安全问题将成为新能源场站中关注的焦点。网络安全需要依赖于电力监控系统,电力监控系统维护网络安全的重要性也逐渐显现。大部分新能源场站中,均以风电场、光伏电站作为核心代表,这类新能源场站的数量不断增加,并带动其装机容量日益剧增。新能源场站在建立初期,建厂地有一定的要求,为了避免干扰居民生活,会选择较偏僻的位置建立,如此一来,户外终端存在分散的问题难以避免,加之网络安全防护力量较小,例如缺乏有效的物理防护措施、并未构建有效的防护体系、系统本体安全系数较低等问题,均容易降低新能源场站电网的网络安全性,为此,新能源场站电力监控系统维护面临重大挑战。基于此,本文将结合新能源场站生产过程中的重点,着重分析新能源场站电力监控系统网络安全中的薄弱环节,并通过各经典案例分析提出相关建议,以期为提高新能源场站电力监控系统网络安全水平提供帮助,加强社会建设。
在新能源场站发展过程中,能够缓解我国大部分地区能源短缺的问题,为此国家十分支持,并提出相应的政策支持,并在新能源场站中加强发电技术,并大力开发风能、太阳能的利用[1]。我国新能源场站在建设活动中更具稳定性,充分满足我国社会生产生活对电力的需要。当前新能源在社会中的应用率逐渐提高,在电网中,把风电场与光伏电站合并连接,使电力通信网络的节点数量不断增加,但在具体应用中,应用具有分散性,导致电力通信网络出现安全隐患,与此同时,在新能源场站电力监控系统安全薄弱环节中,通过加强网络安全防护才能提高网络安全的便利性,使电力监控系统网络更加具备安全性与稳定性,不断优化电网,保证稳定运行。当电网不断发展,电力监控系统不断更新,通过维护电力调度数据网之间加强全网监控管理的有效性,实施实时监控,防止病毒入侵,避免造成电力监控系统网络安全问题[2]。
新能源电厂电力监控中按照相关规定改进结构,主要将安全区分为控制区(安全区Ⅰ)、非控制区(Ⅱ)以及管理信息大区(安全区Ⅲ),并采用纵向加密装置以省级接入网路由器、地区接入网路由器以及综合数据网路由器为主,分别对新能源场站中的监控系统实施保护,这类典型电力监控系统结构具有较多特点:
(1)由于新能源场站外部有户外终端,容易被黑客利用,破坏新能源场站中的电力监控系统,为此应该做好防范,保护电网网络安全,应该在新能源场站总控制系统中及时与户外终端之间及时设置微型纵向加密装置,其中户外就地采集终端包括多种控制终端,其中包括风机控制终端。在网络通信部署中进行微型纵向加密后有利于提高电力监控系统网络安全性[3]。这是由于微型纵向加密装置的运用在电厂中能够有效解决电力调度系统业务数据的机密性及完整性问题,属于一种安全装置,与此同时,该装置可以采用多种有效手段保护电厂中的各项数据,例如认证、加密以及访问控制等,从而实现安全传输。
(2)大部分新能源场站想要获取有效的气象数据信息,一般会通过外网途径获取,因此面对一定的风险,难以有效控制,需要及时调整业务分区。由综合数据网路由器通过纵向加密装置,以单机信息功率预测OMS相关业务主机部署于管理信息安全大区(安全区Ⅲ区),而气象服务器中进行测风塔、气象应以安全区Ⅲ区之外的区域为主,一般是外部网络,互联网位于生产控制大区中,向着后方传输数据通道,有效控制了场站控制大区所对外暴露的面积,有效提高新能源场站的电力系统网络安全性[4]。
(3)新能源场站的电厂安全区(Ⅲ区)呈现纵向方向的防火墙方法难以有效地在线对横向防火墙实施管控,应重视安全区(Ⅲ区)边界防护措施以及网络纵向防护。设计防火墙,并提高防火墙的防护力度,将防火墙直接设计成为横向隔离装置,新能源场站安全区(Ⅲ区)安全防护可以有效提升[5]。
我国大多数的新能源场站尽管有相应的网络安全防护系统,并与国家相关要求相符,且有所加强,但是我国的新能源场站的电力监控系统体系结构安全依旧存在较多问题,尤其是物理安全与安全管理属于新能源场站中最为薄弱的环节。
新能源场站主要以系统本体安全和安全管理为主要管理,新能源场站电力监控系统薄弱环节中的问题主要有以下几个方面:
(1)新能源场站中的网络安全体系结构尚未完善,并不是所有设备均已经完全接入网络安全监测装置,在此过程中,各级调控中心想要对这些设备实施管控、监视难以实现,并不具备相应的管控与监视权力[6]。一部分新能源场站网络安全监测装置在确定针对白名单策略过程中,并未严格遵循原则实施配置,增加告警遗漏几率,因此造成新能源场站出现严重的电力监控网络安全事件,造成监测功效降低。
(2)当系统本体安全性过低,难以保障网络安全,容易受到危险因素入侵,面临较大的风险,场站中的本体安全风险十分常见,电力监控系统中存在的本体安全风险有非自控的主机设备,但是这种本体安全风险仅存在于部分电力监控系统中,与此同时,这类风险缺乏自主可控安全操作系统,难以有效预知风险,网络安全风险不可控制程度较高,所以场站容易被网络安全事件影响[7]。再者主机没有完成系统安全加固,主机USB接口以及各种端口并未关闭,或是硬件接口或空闲端口未关闭,例如硬件接口中的光驱设备并未关闭会导致监控系统安全性较低,缺乏与MAC地址绑定,这样一来,不属于新能源场站的外部人员也能进入监控系统中。
(3)缺乏有效的物理安全防护。一些新能源场站中,室内机房缺乏物理安全防护,例如缺乏电子门禁系统,无法隔离外部人员。缺乏视频监控系统导致场站内部难以实时监控,导致外部人员存在非法行为,潜入新能源场站内。新能源场站内应该设置相应的门锁,这是最佳的物理防护,但是部分场站并未在最为关键的部分设置相应的高等级门锁及安装监控摄像头,当外部有非法人员恶意进入却难以及时发现,由于网络安全系统不足,也降低电力监控系统的安全性[8]。
(4)缺乏有效的安全管理。安全管理环节薄弱导致内部管理容易出现误差。当场站的网络安全中没有配备充足的专业技术人员,从而降低场站中的网络安全技术水平,减少安全技术力量,与此同时,场站中的安全管理意识不足,所以总体的管理水平偏低。出现这种问题的主要原因是,场站中的监控系统网络在日积月累的工作中容易产生较多的垃圾安全资料,但是场站工作人员并未对其进行有效管理,所以安全资料管理杂乱无序,除此之外,场站未落实安全防护方案,实际设备与方案各项设备并未保持一致,导致实际网络连接与安全防护方案中的安全防护拓扑图不同,加之未经常更新会导致场站中的系统运行管理以及网络安全出现严重问题。为了提高新能源场站中电力监控系统安全性,必须安排专业人员负责,但是大部分场站中未配备专业的安全专责人员,网络安全责任难以落责,部分场站的相关网络安全事项是由其他电气人员负责,但是电气人员不具备专业性。再者,专用调试设备与移动介质是有利于对相关设备实时加固,但是大部分场站并未配备相关的设备,因此设备缺乏安全加固,导致电力监控设备可能存在传播病毒的极大风险[9]。安全防护评估工作有助于新能源场站提前预估相关风险,并做好及时防护,但是一些新能源场站中并未及时按照相关的等级保护测评实施安全防护工作,甚至完全忽视评估工作以及评估结果,并未对场内的安全防护实施任何的调查与整改,导致电力监控系统网络安全监控的等级保护测评以及安全防护过于表面化。
在某一个新能源场站中的安全区(Ⅰ-Ⅱ区)中的防火墙配置策略中首要策略为留出一条专门由IP通过的通道,其余策略是对装置的服务实施限制。在场站的电力监控系统中配置防火墙时,同时配置相关安全策略,但是缺乏详细检查与细化,疏忽大意导致防火墙并未发挥效用。基于此,应该将重点放在防火墙的安全策略上,可以采取白名单的方式对防火墙进行梳理,避免开启与业务无关的地址以及服务端口,可以尝试对安全设备调试,配合有效的审计制度,将场站电力系统安全网络管理各项责任积极落实,并建立、健全网络安全系统,网络安全设备实施调试后需要及时检查。
某一新能源场站中的110 kV光伏电站的安全区(Ⅲ区)的OMS服务器移动存储设备接入后,容易导致场站中的电力监控系统网络安全管理平台发出报警现象,当相关人员在现场进行详细核实后,发现管理平台所发出的报警与运维人员的操作相关,是由于运维人员将U盘在OMS服务器上不断进行插拔导致平台出现报警提示,加之OMS服务器的安全性与加固措施并不完善,导致移动接口存储驱动并未及时删除,通过使用U盘可以直接完成数据传输工作。但是设备出现报警提示表示该场站中的电力监控系统并未充分落实安全监管工作,工作人员并未树立良好的安全意识,站内主机设备未封闭物理接口。所以应该禁止使用U盘接入设备,进行删除驱动以及物理封闭过程中需要对电力监控系统的主机以及移动接口实施关闭,避免在连接网络的设备上随意拔插相关移动设备[10]。
某一个新能源场站中的安全区(Ⅲ区)纵向加密装置发出警报,其SMB的服务访问出现不良情况,服务访问异常,端口访问也出现异常现象。目的端口为TPC的445端口,为了充分发挥其作用,开展访问工作,可以运用在局域网中将不同文件实施分享,除此之外,还可以共享同一个打印机。但是,由于共享性过高,容易导致不同病毒对网络端口进行入侵,遭受风险。对该现场实时分析,可以确定设备中的加密装置中的主机已经被病毒感染,而病毒发作时会做出一些反应,例如不受控制地向处于同一个网段IP以及随机生成的IP发起TPC的445端口的访问请求申请,但是该请求不能及时被传输,反而被纵向加密认证装置实施拦截,因此会产生相应的告警。这类的防范措施应该将装置的操作系统关闭,可以采用自主能够操作的系统,对装置系统长期实施病毒查杀,增强网络安全系统的安全性。
在新能源场站中的网络安全系统监测装置及时对接相关设备。在新能源场站中的安全区(安全I区、安全Ⅱ区、安全Ⅲ区)的电力网络安全监测装置对厂内涉网设备实施运行信息采集,例如各种计算机设备、网络设备和安防设备,并对场站中的各种设备实施细致监控与分析,做好安全防护工作。
在新能源场站中大力建设基础设备设施,并对非自主可控软硬件设备加以改造。新能源场站应在机房内外安装相关的机房电子门禁,加强视频监控设备安全,以及各种防护措施,避免外部人员入侵,重视物理安全防护手段,将各种硬件设备加以升级并实施改造,慢慢实现新能源场站中的电力监控系统涉网设备软硬件自主可控,帮助场站排除电力安全系统中的各种安全隐患。
新能源场站中,需要设置相关专员,有助于提高新能源场站现代化程度,建立安全管理模式,将安全网络管理责任落实到人,并提高网络安全标准化管理水平,切实提高工作效率,按照我国相关的规范要求与电网公司规范要求开展工作,保障网络安全规范化。
在新能源场站中设置风险库有助于为场站提供防控目标,能够有效规避风险点。新能源场站并网数据接入安全审查过程中,由于涉及到多个专业,为了提高并网安全审查效率,需拓展网络安全风险库,有效提高网络安全风险控制。例如江苏盐城新能源场站为了提高网络安全防护水平,在风险防控作业指导书指导下,启动系统网络安全风险库,覆盖多个风险点,提高安全审查精确性。
加强督导闭环有助于提高防控网络风险的严谨性,设置科学的网络安全值班制度,并通过远程渗透业务端口等方式关注场站中的网络设备以及各数据安全,需确保系统无网络安全漏洞,为了进一步加强网络安全保障能力,可以通过周期性巡检以及飞行检查等方式及时发现网络安全隐患,并重点关注网络端口封堵,及时发现安全漏洞。
总之,当前我国部分新能源场站是保障我国社会生产生活的重要组成部分,但是大部分场站中的电力监控系统的网络安全防护力度不足,存在较多薄弱环节,需要及时分析具体情况,例如网络防护体系是否建立、强化体系结构是否安全、是否建立物理安全基础措施等,对场站加以防护,避免出现网络安全风险点与网络安全事件,切实提高场站的网络安全防护水平。