導語：風電企業(yè)網(wǎng)絡安全防護體系建設探討一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

風電場的特點是單機容量小、地域分布廣、數(shù)量龐大、機型繁多。早期的風電場多采用分散化的管理方式。由于風電場多地處偏遠，氣候環(huán)境相對惡劣，信息溝通受到限制，現(xiàn)場人員受到相對孤立的工作環(huán)境制約，缺少及時有效的技術支持。加之風力發(fā)電尚處于行業(yè)初期的高速發(fā)展階段，設備更新?lián)Q代較快，各種新技術正在不斷沖擊著我們尚未成熟的生產(chǎn)運維管理體系，分散化管理不利于風電場實現(xiàn)精益化管理和培養(yǎng)高水平技術人才。風電場集中控制中心是一套集計算機軟件技術、計算機網(wǎng)絡技術、自動監(jiān)控與遠程監(jiān)控技術、通信技術及相關專業(yè)技術于一體的高效、穩(wěn)定的風電場專業(yè)信息管理系統(tǒng)，為電站的正常運行和管理提供技術保障[1]，實現(xiàn)區(qū)域集中運行監(jiān)控和規(guī)?；臋z修維護，減少在惡劣環(huán)境中值守的運行人員，實現(xiàn)人性化管理；通過先進的信息技術能對風機、升壓站、風塔、視頻監(jiān)控等設備的實時數(shù)據(jù)進行采集、處理和分析，充分發(fā)揮大數(shù)據(jù)的優(yōu)勢，進行故障分析和診斷，及時發(fā)現(xiàn)風電場運行中存在的問題，為風電場的運行提供依據(jù)。通過對不同風電場之間運營數(shù)據(jù)的多維對比分析，結(jié)合天氣、人員、資金、庫存等因素，進一步優(yōu)化風電場運營管理模式，實現(xiàn)生產(chǎn)移動應用系統(tǒng)等新技術的應用，使風電場效益最大化[2]。鑒于此優(yōu)勢，各大風電企業(yè)都在開展區(qū)域風電集控中心建設。但在風電集控中心建設過程中，抵御日新月異的互聯(lián)網(wǎng)威脅，保護敏感信息安全，進行監(jiān)控系統(tǒng)的網(wǎng)絡安全防護也是不可或缺的。

1風電集控中心的系統(tǒng)結(jié)構

風電集控中心的主要功能是實現(xiàn)對風電場的監(jiān)視、控制和管理，實現(xiàn)“無人值班、少人值守、遠程集控、統(tǒng)一調(diào)度”的科學管理模式。監(jiān)控系統(tǒng)應具備與風電場內(nèi)的風電機組數(shù)據(jù)采集與建設控制（SCADA）系統(tǒng)、升壓站綜合自動化系統(tǒng)、電能量計量系統(tǒng)、風功率預測系統(tǒng)通信的能力，并具備遙測、遙信、遙控、遙調(diào)等遠動功能，以及與電網(wǎng)調(diào)度機構交換實時信息的能力。風電集控中心由主站系統(tǒng)、數(shù)據(jù)通信鏈路以及子站系統(tǒng)三部分組成[3]，包括但不限于數(shù)據(jù)通信子系統(tǒng)、數(shù)據(jù)采集子系統(tǒng)、SCADA子系統(tǒng)、生產(chǎn)管理信息子系統(tǒng)、遠程視頻/音頻子系統(tǒng)、高級應用子系統(tǒng)等。其中，數(shù)據(jù)通信子系統(tǒng)、數(shù)據(jù)采集子系統(tǒng)、SCADA子系統(tǒng)為基本子系統(tǒng)，生產(chǎn)管理信息子系統(tǒng)、遠程視頻/音頻子系統(tǒng)、高級應用子系統(tǒng)等可以根據(jù)實際情況進行刪減，亦可增加其他功能子系統(tǒng)。主站系統(tǒng)部署在集控中心，實現(xiàn)風電企業(yè)對所轄子站的信息采集、監(jiān)視、控制、管理，為運行人員提供人機交互界面。一般由前置采集服務器、運行監(jiān)控服務器、實時數(shù)據(jù)庫服務器、歷史數(shù)據(jù)庫服務器、各種監(jiān)控業(yè)務服務器、磁盤陣列、交換機、路由器等網(wǎng)絡設備以及縱向加密裝置、隔離裝置、防火墻等安全防護設備組成。數(shù)據(jù)通信鏈路是為集控中心與風電場提供的電力專用數(shù)據(jù)網(wǎng)絡，承載場站監(jiān)控等業(yè)務。宜選擇電力專用通信網(wǎng)絡，并采用加密、單向認證等技術保護關鍵場站及關鍵業(yè)務。當不具備采用電力專線條件時，可采用運營商虛擬專線。子站系統(tǒng)部署在風電場站，實現(xiàn)對風電場站監(jiān)控系統(tǒng)、風機主控系統(tǒng)、升壓監(jiān)控等數(shù)據(jù)的采集，并通過專用網(wǎng)絡上傳到主站系統(tǒng)，同時接收主站指令，完成風機、開關等電氣設備的調(diào)節(jié)與控制。一般由數(shù)據(jù)采集服務器、交換機、路由器等網(wǎng)絡設備以及縱向加密裝置，防火墻等安全防護設備組成。

2風電集控中心安全區(qū)域劃分

按照國家發(fā)改委2014年第14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》的具體要求，發(fā)電企業(yè)、電網(wǎng)企業(yè)內(nèi)部基于計算機和網(wǎng)絡技術的業(yè)務系統(tǒng)應當劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以劃分為控制區(qū)（安全區(qū)I）和非控制區(qū)（安全區(qū)II）；管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)的不同要求劃分安全區(qū)?？刂茀^(qū)（安全區(qū)I）直接實現(xiàn)對電力一次系統(tǒng)的實時監(jiān)控，縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡或?qū)Ｓ猛ǖ溃前踩雷o的重點與核心；非控制區(qū)（安全區(qū)II）在線運行但不具備控制功能，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡，與控制區(qū)中的業(yè)務系統(tǒng)或其功能模塊聯(lián)系緊密；管理信息大區(qū)是指生產(chǎn)控制大區(qū)以外的電力企業(yè)管理業(yè)務系統(tǒng)的集合[4]。根據(jù)風電集控中心的功能定位，也必須按照此規(guī)定進行安全區(qū)域劃分及建設[5]。

3風電集控中心網(wǎng)絡安全防護現(xiàn)狀

2015年12月23日和2016年12月18日，一年之內(nèi)烏克蘭電網(wǎng)系統(tǒng)遭受了兩起由黑客入侵而引發(fā)的嚴重停電事故。其中，前一起被認為是世界上首起公開的針對電網(wǎng)基礎設施的網(wǎng)絡信息攻擊事件[6]，直接造成70萬個家庭在圣誕前夜陷入了一片黑暗。2017年，某省能源監(jiān)管辦對當?shù)氐娘L電、光伏電站進行多次現(xiàn)場核查，經(jīng)核查發(fā)現(xiàn)，43個光伏電站、風電場存在重大隱患，經(jīng)過數(shù)月時間后，相關問題及隱患得到及時整改。該省電力調(diào)度控制中心在2017年3月28日下午起，將這些新能源電站強制與電網(wǎng)解網(wǎng)，并切斷站場與調(diào)度數(shù)據(jù)網(wǎng)的連接。2018年3月28日11時45分，某省電力調(diào)度控制中心內(nèi)網(wǎng)安全監(jiān)視平臺出現(xiàn)大量告警，且告警數(shù)量在急劇增加。經(jīng)分析確認，告警信息為某風電場省調(diào)接入網(wǎng)非實時縱向加密認證裝置攔截的不符合安全策略的非法訪問，發(fā)出非法訪問的源地址為站內(nèi)風功率預測服務器，觀察一段時間后發(fā)現(xiàn)告警數(shù)量在不斷增加并無減少跡象。從11時45分到14時51分斷網(wǎng)，平臺共收到告警信息數(shù)量為326554條。通過這些真實案例，集控中心及風電場暴露出大量電力監(jiān)控系統(tǒng)的安全漏洞，主要有以下安全問題。3.1集控中心及風電場生產(chǎn)控制大區(qū)內(nèi)缺少安全防護措施。集控中心和風電場的信息網(wǎng)絡安全防護手段主要集中在生產(chǎn)控制大區(qū)與管理信息大區(qū)的網(wǎng)絡邊界之間，生產(chǎn)控制大區(qū)與電網(wǎng)調(diào)度系統(tǒng)網(wǎng)絡邊界之間，生產(chǎn)控制大區(qū)與第三方監(jiān)管機構網(wǎng)絡邊界之間，通常使用網(wǎng)絡隔離產(chǎn)品與安全加密類產(chǎn)品。但是，在生產(chǎn)控制大區(qū)內(nèi)部缺少有效的網(wǎng)絡信息安全防護手段及措施。3.2工業(yè)控制系統(tǒng)自身存在漏洞、防護措施薄弱。集控中心和風電場使用的工業(yè)控制系統(tǒng)在硬件設計開始時很少考慮安全問題，導致安全漏洞的出現(xiàn)。如施耐德公司的67160型PLC存在IP分片語法拒絕服務漏洞（CNVD-2016-07839），這些高危漏洞的存在給電力行業(yè)信息網(wǎng)絡安全帶來無法估量的安全風險。3.3操作系統(tǒng)存在漏洞。目前大多數(shù)集控中心及風電場控制系統(tǒng)的工程師站/操作員站/HMI采用的是Windows平臺，Windows平臺存在大量的安全漏洞。為保證過程控制系統(tǒng)的相對獨立性，同時考慮到系統(tǒng)的穩(wěn)定運行，通常現(xiàn)場工程師在系統(tǒng)運行后不會對Windows平臺安裝任何補丁，安全隱患很大[7]。而且在傳統(tǒng)觀念上認為相對安全的Linux、Unix等系統(tǒng)，近年來也爆發(fā)了大量高危漏洞，這些系統(tǒng)在使用的過程中也需要對系統(tǒng)進行漏洞管理工作。3.4應用軟件存在漏洞。由于集控中心及風電場使用的SCADA控制軟件多為各企業(yè)定制化產(chǎn)品，在軟件開發(fā)階段缺少安全設計，導致這類軟件存在大量的安全漏洞[6]。3.5殺毒軟件自身缺陷。為了確保集控中心及風電場工控系統(tǒng)應用軟件的可用性，許多工控主機通常不安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，如殺毒軟件與其他應用軟件兼容性問題、病毒庫受到網(wǎng)絡限制無法正常更新等問題，都是造成殺毒軟件無法在風力發(fā)電行業(yè)大量使用的原因。而且殺毒軟件對新病毒的處理總是滯后的，導致每年都會爆發(fā)大規(guī)模的病毒攻擊，特別是新出現(xiàn)的病毒無法及時進行查殺工作。3.6多種網(wǎng)絡途徑切入點通過分析多個網(wǎng)絡安全事件，惡意攻擊主要源于對多種網(wǎng)絡入口接入點疏于防護，包括USB接口類移動存儲介質(zhì)、遠程維護通道、移動便攜式設備等，都可以隨意接入到網(wǎng)絡中。這些介質(zhì)、維護通道、便攜設備的自身安全問題也會給網(wǎng)絡造成安全隱患。3.7安全策略和管理流程漏洞在許多工業(yè)控制系統(tǒng)中，以犧牲安全為代價追求可用性是一種常見的現(xiàn)象。缺乏完整和有效的安全政策和管理程序也對工業(yè)控制系統(tǒng)的信息安全構成一定的威脅。例如，工業(yè)控制系統(tǒng)中任意使用移動存儲介質(zhì)（包括筆記本電腦、USB驅(qū)動器等設備），防火墻的訪問控制策略松懈等。

4風電集控中心網(wǎng)絡安全防護方案

按照“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的建設原則，采用主動防護，綜合監(jiān)控等安全手段，對風電集控中心監(jiān)控系統(tǒng)進行安全防護建設工作，滿足網(wǎng)絡、主機、數(shù)據(jù)庫等多方面的安全要求。

作者:張樹曉 單位:中國大唐集團新能源科學技術研究院有限公司