導(dǎo)語：風(fēng)電企業(yè)網(wǎng)絡(luò)安全防護體系建設(shè)探討一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

風(fēng)電場的特點是單機容量小、地域分布廣、數(shù)量龐大、機型繁多。早期的風(fēng)電場多采用分散化的管理方式。由于風(fēng)電場多地處偏遠，氣候環(huán)境相對惡劣，信息溝通受到限制，現(xiàn)場人員受到相對孤立的工作環(huán)境制約，缺少及時有效的技術(shù)支持。加之風(fēng)力發(fā)電尚處于行業(yè)初期的高速發(fā)展階段，設(shè)備更新?lián)Q代較快，各種新技術(shù)正在不斷沖擊著我們尚未成熟的生產(chǎn)運維管理體系，分散化管理不利于風(fēng)電場實現(xiàn)精益化管理和培養(yǎng)高水平技術(shù)人才。風(fēng)電場集中控制中心是一套集計算機軟件技術(shù)、計算機網(wǎng)絡(luò)技術(shù)、自動監(jiān)控與遠程監(jiān)控技術(shù)、通信技術(shù)及相關(guān)專業(yè)技術(shù)于一體的高效、穩(wěn)定的風(fēng)電場專業(yè)信息管理系統(tǒng)，為電站的正常運行和管理提供技術(shù)保障[1]，實現(xiàn)區(qū)域集中運行監(jiān)控和規(guī)模化的檢修維護，減少在惡劣環(huán)境中值守的運行人員，實現(xiàn)人性化管理；通過先進的信息技術(shù)能對風(fēng)機、升壓站、風(fēng)塔、視頻監(jiān)控等設(shè)備的實時數(shù)據(jù)進行采集、處理和分析，充分發(fā)揮大數(shù)據(jù)的優(yōu)勢，進行故障分析和診斷，及時發(fā)現(xiàn)風(fēng)電場運行中存在的問題，為風(fēng)電場的運行提供依據(jù)。通過對不同風(fēng)電場之間運營數(shù)據(jù)的多維對比分析，結(jié)合天氣、人員、資金、庫存等因素，進一步優(yōu)化風(fēng)電場運營管理模式，實現(xiàn)生產(chǎn)移動應(yīng)用系統(tǒng)等新技術(shù)的應(yīng)用，使風(fēng)電場效益最大化[2]。鑒于此優(yōu)勢，各大風(fēng)電企業(yè)都在開展區(qū)域風(fēng)電集控中心建設(shè)。但在風(fēng)電集控中心建設(shè)過程中，抵御日新月異的互聯(lián)網(wǎng)威脅，保護敏感信息安全，進行監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護也是不可或缺的。

1風(fēng)電集控中心的系統(tǒng)結(jié)構(gòu)

風(fēng)電集控中心的主要功能是實現(xiàn)對風(fēng)電場的監(jiān)視、控制和管理，實現(xiàn)“無人值班、少人值守、遠程集控、統(tǒng)一調(diào)度”的科學(xué)管理模式。監(jiān)控系統(tǒng)應(yīng)具備與風(fēng)電場內(nèi)的風(fēng)電機組數(shù)據(jù)采集與建設(shè)控制（SCADA）系統(tǒng)、升壓站綜合自動化系統(tǒng)、電能量計量系統(tǒng)、風(fēng)功率預(yù)測系統(tǒng)通信的能力，并具備遙測、遙信、遙控、遙調(diào)等遠動功能，以及與電網(wǎng)調(diào)度機構(gòu)交換實時信息的能力。風(fēng)電集控中心由主站系統(tǒng)、數(shù)據(jù)通信鏈路以及子站系統(tǒng)三部分組成[3]，包括但不限于數(shù)據(jù)通信子系統(tǒng)、數(shù)據(jù)采集子系統(tǒng)、SCADA子系統(tǒng)、生產(chǎn)管理信息子系統(tǒng)、遠程視頻/音頻子系統(tǒng)、高級應(yīng)用子系統(tǒng)等。其中，數(shù)據(jù)通信子系統(tǒng)、數(shù)據(jù)采集子系統(tǒng)、SCADA子系統(tǒng)為基本子系統(tǒng)，生產(chǎn)管理信息子系統(tǒng)、遠程視頻/音頻子系統(tǒng)、高級應(yīng)用子系統(tǒng)等可以根據(jù)實際情況進行刪減，亦可增加其他功能子系統(tǒng)。主站系統(tǒng)部署在集控中心，實現(xiàn)風(fēng)電企業(yè)對所轄子站的信息采集、監(jiān)視、控制、管理，為運行人員提供人機交互界面。一般由前置采集服務(wù)器、運行監(jiān)控服務(wù)器、實時數(shù)據(jù)庫服務(wù)器、歷史數(shù)據(jù)庫服務(wù)器、各種監(jiān)控業(yè)務(wù)服務(wù)器、磁盤陣列、交換機、路由器等網(wǎng)絡(luò)設(shè)備以及縱向加密裝置、隔離裝置、防火墻等安全防護設(shè)備組成。數(shù)據(jù)通信鏈路是為集控中心與風(fēng)電場提供的電力專用數(shù)據(jù)網(wǎng)絡(luò)，承載場站監(jiān)控等業(yè)務(wù)。宜選擇電力專用通信網(wǎng)絡(luò)，并采用加密、單向認(rèn)證等技術(shù)保護關(guān)鍵場站及關(guān)鍵業(yè)務(wù)。當(dāng)不具備采用電力專線條件時，可采用運營商虛擬專線。子站系統(tǒng)部署在風(fēng)電場站，實現(xiàn)對風(fēng)電場站監(jiān)控系統(tǒng)、風(fēng)機主控系統(tǒng)、升壓監(jiān)控等數(shù)據(jù)的采集，并通過專用網(wǎng)絡(luò)上傳到主站系統(tǒng)，同時接收主站指令，完成風(fēng)機、開關(guān)等電氣設(shè)備的調(diào)節(jié)與控制。一般由數(shù)據(jù)采集服務(wù)器、交換機、路由器等網(wǎng)絡(luò)設(shè)備以及縱向加密裝置，防火墻等安全防護設(shè)備組成。

2風(fēng)電集控中心安全區(qū)域劃分

按照國家發(fā)改委2014年第14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》的具體要求，發(fā)電企業(yè)、電網(wǎng)企業(yè)內(nèi)部基于計算機和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以劃分為控制區(qū)（安全區(qū)I）和非控制區(qū)（安全區(qū)II）；管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)的不同要求劃分安全區(qū)?？刂茀^(qū)（安全區(qū)I）直接實現(xiàn)對電力一次系統(tǒng)的實時監(jiān)控，縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ?，是安全防護的重點與核心；非控制區(qū)（安全區(qū)II）在線運行但不具備控制功能，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與控制區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊聯(lián)系緊密；管理信息大區(qū)是指生產(chǎn)控制大區(qū)以外的電力企業(yè)管理業(yè)務(wù)系統(tǒng)的集合[4]。根據(jù)風(fēng)電集控中心的功能定位，也必須按照此規(guī)定進行安全區(qū)域劃分及建設(shè)[5]。

3風(fēng)電集控中心網(wǎng)絡(luò)安全防護現(xiàn)狀

2015年12月23日和2016年12月18日，一年之內(nèi)烏克蘭電網(wǎng)系統(tǒng)遭受了兩起由黑客入侵而引發(fā)的嚴(yán)重停電事故。其中，前一起被認(rèn)為是世界上首起公開的針對電網(wǎng)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)信息攻擊事件[6]，直接造成70萬個家庭在圣誕前夜陷入了一片黑暗。2017年，某省能源監(jiān)管辦對當(dāng)?shù)氐娘L(fēng)電、光伏電站進行多次現(xiàn)場核查，經(jīng)核查發(fā)現(xiàn)，43個光伏電站、風(fēng)電場存在重大隱患，經(jīng)過數(shù)月時間后，相關(guān)問題及隱患得到及時整改。該省電力調(diào)度控制中心在2017年3月28日下午起，將這些新能源電站強制與電網(wǎng)解網(wǎng)，并切斷站場與調(diào)度數(shù)據(jù)網(wǎng)的連接。2018年3月28日11時45分，某省電力調(diào)度控制中心內(nèi)網(wǎng)安全監(jiān)視平臺出現(xiàn)大量告警，且告警數(shù)量在急劇增加。經(jīng)分析確認(rèn)，告警信息為某風(fēng)電場省調(diào)接入網(wǎng)非實時縱向加密認(rèn)證裝置攔截的不符合安全策略的非法訪問，發(fā)出非法訪問的源地址為站內(nèi)風(fēng)功率預(yù)測服務(wù)器，觀察一段時間后發(fā)現(xiàn)告警數(shù)量在不斷增加并無減少跡象。從11時45分到14時51分?jǐn)嗑W(wǎng)，平臺共收到告警信息數(shù)量為326554條。通過這些真實案例，集控中心及風(fēng)電場暴露出大量電力監(jiān)控系統(tǒng)的安全漏洞，主要有以下安全問題。3.1集控中心及風(fēng)電場生產(chǎn)控制大區(qū)內(nèi)缺少安全防護措施。集控中心和風(fēng)電場的信息網(wǎng)絡(luò)安全防護手段主要集中在生產(chǎn)控制大區(qū)與管理信息大區(qū)的網(wǎng)絡(luò)邊界之間，生產(chǎn)控制大區(qū)與電網(wǎng)調(diào)度系統(tǒng)網(wǎng)絡(luò)邊界之間，生產(chǎn)控制大區(qū)與第三方監(jiān)管機構(gòu)網(wǎng)絡(luò)邊界之間，通常使用網(wǎng)絡(luò)隔離產(chǎn)品與安全加密類產(chǎn)品。但是，在生產(chǎn)控制大區(qū)內(nèi)部缺少有效的網(wǎng)絡(luò)信息安全防護手段及措施。3.2工業(yè)控制系統(tǒng)自身存在漏洞、防護措施薄弱。集控中心和風(fēng)電場使用的工業(yè)控制系統(tǒng)在硬件設(shè)計開始時很少考慮安全問題，導(dǎo)致安全漏洞的出現(xiàn)。如施耐德公司的67160型PLC存在IP分片語法拒絕服務(wù)漏洞（CNVD-2016-07839），這些高危漏洞的存在給電力行業(yè)信息網(wǎng)絡(luò)安全帶來無法估量的安全風(fēng)險。3.3操作系統(tǒng)存在漏洞。目前大多數(shù)集控中心及風(fēng)電場控制系統(tǒng)的工程師站/操作員站/HMI采用的是Windows平臺，Windows平臺存在大量的安全漏洞。為保證過程控制系統(tǒng)的相對獨立性，同時考慮到系統(tǒng)的穩(wěn)定運行，通?，F(xiàn)場工程師在系統(tǒng)運行后不會對Windows平臺安裝任何補丁，安全隱患很大[7]。而且在傳統(tǒng)觀念上認(rèn)為相對安全的Linux、Unix等系統(tǒng)，近年來也爆發(fā)了大量高危漏洞，這些系統(tǒng)在使用的過程中也需要對系統(tǒng)進行漏洞管理工作。3.4應(yīng)用軟件存在漏洞。由于集控中心及風(fēng)電場使用的SCADA控制軟件多為各企業(yè)定制化產(chǎn)品，在軟件開發(fā)階段缺少安全設(shè)計，導(dǎo)致這類軟件存在大量的安全漏洞[6]。3.5殺毒軟件自身缺陷。為了確保集控中心及風(fēng)電場工控系統(tǒng)應(yīng)用軟件的可用性，許多工控主機通常不安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，如殺毒軟件與其他應(yīng)用軟件兼容性問題、病毒庫受到網(wǎng)絡(luò)限制無法正常更新等問題，都是造成殺毒軟件無法在風(fēng)力發(fā)電行業(yè)大量使用的原因。而且殺毒軟件對新病毒的處理總是滯后的，導(dǎo)致每年都會爆發(fā)大規(guī)模的病毒攻擊，特別是新出現(xiàn)的病毒無法及時進行查殺工作。3.6多種網(wǎng)絡(luò)途徑切入點通過分析多個網(wǎng)絡(luò)安全事件，惡意攻擊主要源于對多種網(wǎng)絡(luò)入口接入點疏于防護，包括USB接口類移動存儲介質(zhì)、遠程維護通道、移動便攜式設(shè)備等，都可以隨意接入到網(wǎng)絡(luò)中。這些介質(zhì)、維護通道、便攜設(shè)備的自身安全問題也會給網(wǎng)絡(luò)造成安全隱患。3.7安全策略和管理流程漏洞在許多工業(yè)控制系統(tǒng)中，以犧牲安全為代價追求可用性是一種常見的現(xiàn)象。缺乏完整和有效的安全政策和管理程序也對工業(yè)控制系統(tǒng)的信息安全構(gòu)成一定的威脅。例如，工業(yè)控制系統(tǒng)中任意使用移動存儲介質(zhì)（包括筆記本電腦、USB驅(qū)動器等設(shè)備），防火墻的訪問控制策略松懈等。

4風(fēng)電集控中心網(wǎng)絡(luò)安全防護方案

按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的建設(shè)原則，采用主動防護，綜合監(jiān)控等安全手段，對風(fēng)電集控中心監(jiān)控系統(tǒng)進行安全防護建設(shè)工作，滿足網(wǎng)絡(luò)、主機、數(shù)據(jù)庫等多方面的安全要求。

作者:張樹曉 單位:中國大唐集團新能源科學(xué)技術(shù)研究院有限公司