今天為大家介紹光伏電廠防護(hù)網(wǎng)與光伏電廠防護(hù)網(wǎng)設(shè)計規(guī)范。購買光伏電站圍欄網(wǎng)產(chǎn)品，請聯(lián)系安平正辰絲網(wǎng)公司。咨詢電話：18832882088

2018年1月8日，黑龍江省電力調(diào)控中心一側(cè)網(wǎng)絡(luò)安全管理平臺發(fā)出重要告警。告警來源為安達(dá)某光伏電站。告警數(shù)量從8時起持續(xù)累積，至16時達(dá)到32條，共計告警28933條次。經(jīng)查，發(fā)現(xiàn)告警因電廠未采取嚴(yán)格管控措施，廠家人員調(diào)試后未按要求拆除測試連接網(wǎng)線，導(dǎo)致存在業(yè)務(wù)主機違規(guī)外連、跨區(qū)互連問題。原因調(diào)查完畢后，采取了斷開外網(wǎng)和關(guān)閉不必要的服務(wù)功能的手段進(jìn)行了整改。今年8月國家能源局東北監(jiān)管局通報了這則某光伏電站網(wǎng)絡(luò)異常情況。

時隔幾個月后，國家能源局在9月印發(fā)了《關(guān)于加強電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》，《意見》提出12方面30條具體要求，旨在加強電力調(diào)度機構(gòu)對并網(wǎng)電廠涉網(wǎng)部分電力監(jiān)控系統(tǒng)安全防護(hù)技術(shù)監(jiān)督，強化電網(wǎng)和發(fā)電企業(yè)內(nèi)部網(wǎng)絡(luò)安全技術(shù)監(jiān)督。政策的出臺旨在加強電力行業(yè)網(wǎng)絡(luò)安全，防止不法分子利用漏洞攻擊電力設(shè)備，面對防不勝防的漏洞，需要做到疏而不漏。

隨著信息化在全行業(yè)滲透，信息安全在各個行業(yè)都至關(guān)重要，那么在同樣邁向信息化、智能化的光伏電站，應(yīng)當(dāng)如何做好網(wǎng)絡(luò)安全的防護(hù)？

光伏電力網(wǎng)絡(luò)安全目前有哪些防護(hù)措施

為保障電力網(wǎng)絡(luò)的安全性，國家和行業(yè)相關(guān)部門相繼發(fā)布了多項規(guī)定，其中較據(jù)代表性的為“中華人民共和國國家發(fā)展和改革委員會令第14號令”《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（以下簡稱“14號令”）及“《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》（國能安全【2015】36號)”（以下簡稱“36號文”）。

14號令，第二條要求電力監(jiān)控安全防護(hù)工作應(yīng)當(dāng)落實國家信息安全等級保護(hù)的要去，堅持“安全分區(qū)，網(wǎng)絡(luò)專用，橫向隔離、縱向加密”的原則，保障電力監(jiān)控系統(tǒng)的安全。36號文提出了綜合采用防火墻、入侵檢測、主機加固、病毒防護(hù)、日志審計、統(tǒng)一管理等多種手段，為二次系統(tǒng)的安全穩(wěn)定運行提供可靠環(huán)境。

與此同時將系統(tǒng)劃分不同的安全區(qū)，安全區(qū)間進(jìn)行“橫向隔離，縱向加密”。14號令，第六條規(guī)定“生產(chǎn)控制大區(qū)可以分為控制區(qū)(安全區(qū)Ⅰ)和非控制區(qū)(安全區(qū)Ⅱ);管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)不同安全要求劃分安全區(qū)。根據(jù)應(yīng)用系統(tǒng)實際情況，在滿足總體安全要求的前提下，可以簡化安全區(qū)的設(shè)置，但是應(yīng)當(dāng)避免形成不同安全區(qū)的縱向交叉聯(lián)接?！睋?jù)了解，安全區(qū)Ⅱ區(qū)在實際應(yīng)用中可實現(xiàn)可控，但從電網(wǎng)的法律法規(guī)、實際運行中對設(shè)備的操作習(xí)慣和安全性考慮，一般設(shè)定為不可控，關(guān)鍵區(qū)域的不可控也是提高安全的重要手段。

運維當(dāng)中電力網(wǎng)絡(luò)存在哪些漏洞

據(jù)光伏們了解，目前光伏電力網(wǎng)絡(luò)安全漏洞多產(chǎn)生于人為疏忽或貪圖簡便導(dǎo)致的，而在后期運維中人員行為難于監(jiān)管，成為了產(chǎn)生網(wǎng)絡(luò)漏洞首要痛點：

1、光功率預(yù)測功能外接的天氣預(yù)報數(shù)據(jù)服務(wù)及技術(shù)服務(wù)存在安全漏洞，雖然在技術(shù)上進(jìn)行了物理隔離，但在實際運行或維修過程中存在人為誤操作導(dǎo)致漏洞產(chǎn)生。

光伏電站在運維中光功率預(yù)測功能必須外接天氣預(yù)報數(shù)據(jù)，外接接口的同時封閉的系統(tǒng)就接觸到了外網(wǎng)，雖然在接入同時進(jìn)行了物理隔離，但正向通道是可以發(fā)送數(shù)據(jù)的。氣象服務(wù)站的天氣預(yù)報數(shù)據(jù)和發(fā)電數(shù)據(jù)需要發(fā)送到采集設(shè)備上才可實現(xiàn)預(yù)測，所以光伏電站有功功率、無功功率自動控制系統(tǒng)（光伏AGC/AVC)對氣象服務(wù)站是可控的。

所以雖然在通道上進(jìn)行了物理隔離、設(shè)置了防火墻，但如果出現(xiàn)人為誤操作，一旦黑客入侵氣象服務(wù)站，可能會導(dǎo)致數(shù)據(jù)泄露、篡改、假冒或盜竊，設(shè)備也有著被控制的危險。

2、人為導(dǎo)致進(jìn)入高危工作環(huán)境，為了追求操作方便和技術(shù)需求情況下，會出現(xiàn)人為接入外網(wǎng)或使用未隔離U盤的情況，上述黑龍江電力監(jiān)控事件也是由于人為疏忽造成的。

此類情況在實際中難于管理，正因為在防火墻、正向型物理隔離裝置、反向型物理隔離裝置和專線網(wǎng)絡(luò)的各類制約情況下，使用和維修不便，在遠(yuǎn)程協(xié)助和各類輔助軟件極大輔助化繁為簡的情況下，人為操作才屢禁不止。

3、垃圾軟件、程序不良服務(wù)、不必要賬戶、不必要的硬件接口和網(wǎng)絡(luò)服務(wù)導(dǎo)致的安全漏洞。

具體包括主機未關(guān)閉SNTP、mDNS、DNS、NetBIOS、DHCP、SSDP等不必要服務(wù)引發(fā)的告警，輸入法、防病毒軟件誤配互聯(lián)網(wǎng)更新等不良訪問行為引起的告警，電量終端網(wǎng)絡(luò)連通測試等無價值程序行為引起的告警等。

4、錯誤的網(wǎng)絡(luò)結(jié)構(gòu)參數(shù)、安全防護(hù)策略、用戶權(quán)限導(dǎo)致的安全漏洞。

具體包括業(yè)務(wù)通道參數(shù)錯配引起的通信連接被攔截，網(wǎng)絡(luò)結(jié)構(gòu)不規(guī)范導(dǎo)致的網(wǎng)絡(luò)報文串網(wǎng)，硬件設(shè)計缺陷導(dǎo)致的通信報文無序發(fā)送，縱向加密認(rèn)證裝置證書、策略等配置不準(zhǔn)確觸發(fā)的告警等。

人為在網(wǎng)絡(luò)安全漏洞中作為較大的原因，是值得反思的一件事，在實際運行管理維護(hù)中應(yīng)當(dāng)避免貪圖一時的“方便”而錯誤操作，同時也應(yīng)當(dāng)加強安全防護(hù)意識。針對各種漏洞情況，運維公司在日常工作中需要做到：

1、為了加強網(wǎng)絡(luò)安全，防止漏洞的出現(xiàn)，需要加強對人員操作的管控，也可裝配服務(wù)器，登記每一個操作人員和每一步操作信號，達(dá)到監(jiān)管的效果，并進(jìn)行日志審計。

2、關(guān)閉SNTP、mDNS、DNS、NetBIOS、DHCP、SSDP等不必要服務(wù)，同時關(guān)閉輸入法、防病毒軟件和辦公軟件的自動聯(lián)網(wǎng)更新功能。

3、定期對網(wǎng)絡(luò)安全進(jìn)行全面檢查，消除威脅、修補漏洞。

運維在實際中如何保障二次網(wǎng)絡(luò)安全

實際在運行中，運維公司時是如何進(jìn)行網(wǎng)絡(luò)安全防護(hù)工作的？優(yōu)得運維表示嚴(yán)格遵守國家部委有關(guān)發(fā)電廠二次網(wǎng)絡(luò)安全防護(hù)的有關(guān)規(guī)定，已建立、健全接入遠(yuǎn)程監(jiān)控系統(tǒng)的光伏電站電力監(jiān)控系統(tǒng)安全防護(hù)管理的組織機構(gòu)；組織制定、完善各光伏電站安全防護(hù)管理分級負(fù)責(zé)的責(zé)任制以及聯(lián)合防護(hù)和應(yīng)急機制。

優(yōu)得運維在并網(wǎng)等級10kV及以上的光伏電站接入遠(yuǎn)程監(jiān)控系統(tǒng)項目中，將符合電力調(diào)度數(shù)據(jù)網(wǎng)規(guī)范要求的專用網(wǎng)絡(luò)安全防護(hù)設(shè)備如隔離裝置、防火墻等作為接入方案的標(biāo)準(zhǔn)硬件配置。其安全防護(hù)方案包括：

1、在生產(chǎn)控制大區(qū)內(nèi)部控制區(qū)與非控制區(qū)之間部署防火墻（或者相應(yīng)的邏輯隔離設(shè)備）。

2、同屬于某一安全內(nèi)的各系統(tǒng)之間、各不同位置的廠站網(wǎng)絡(luò)之間，根據(jù)需要采取了一定強度的邏輯訪問控制措施，如防火墻、VLAN等。

3、在生產(chǎn)控制大區(qū)和管理信息大區(qū)間部署正向安全隔離裝置和反向安全隔離裝置，其中正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳輸。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳輸途徑。

4、電站如配置光功率預(yù)測服務(wù)器，則通過專用反向物理隔離裝置與氣象數(shù)據(jù)服務(wù)器相連，氣象數(shù)據(jù)服務(wù)器經(jīng)過防火墻后與internet相連，光功率服務(wù)器通過防火墻與安全I(xiàn)區(qū)交換機相連。

優(yōu)得運維將光伏電站二次網(wǎng)絡(luò)安全防護(hù)工作視為重中之重，不僅在接入方案實施環(huán)節(jié)有著嚴(yán)謹(jǐn)、符合監(jiān)管要求的防護(hù)配置，在電站運行過程中，也有相應(yīng)的監(jiān)管、應(yīng)對措施：

1、在二次網(wǎng)絡(luò)安全防護(hù)方案部署前由優(yōu)得專職通訊專家進(jìn)行接入方案審核、查漏補缺、自查自糾，在防護(hù)設(shè)備接入過程中，積極配合電網(wǎng)監(jiān)管部門進(jìn)行驗收。

2、電站現(xiàn)場運維負(fù)責(zé)人兼網(wǎng)絡(luò)安全防護(hù)員專職，每日巡檢過程中，對網(wǎng)絡(luò)安全防護(hù)硬件設(shè)備如隔離裝置、加密裝置、防火墻等設(shè)備目視檢查，確認(rèn)其正常運行無報警；對網(wǎng)絡(luò)安全防護(hù)硬件設(shè)備的組網(wǎng)、通訊、告警進(jìn)行檢查，確認(rèn)其通訊正常，本地監(jiān)控后臺無相關(guān)告警。

3、對并網(wǎng)等級高、組網(wǎng)方案復(fù)雜或電網(wǎng)監(jiān)管要求嚴(yán)格的場站，優(yōu)得外聘第三方信息系統(tǒng)安全防護(hù)單位進(jìn)行評估審查，根據(jù)其評估意見進(jìn)行相應(yīng)整改，直至滿防護(hù)設(shè)計、監(jiān)管要求。

優(yōu)得運維典型10kV并網(wǎng)光伏電站網(wǎng)絡(luò)安全防護(hù)方案

華為中國智能光伏表示目前從網(wǎng)絡(luò)開放性講無線和光纖面臨同樣的問題，目前無線按照要求加入了安全接入?yún)^(qū)，在14號令與36號文中，對無線專網(wǎng)安全要求“生產(chǎn)控制大區(qū)的業(yè)務(wù)系統(tǒng)在與其他終端的縱向連接中使用無線通信網(wǎng)絡(luò)，應(yīng)當(dāng)設(shè)立安全接入?yún)^(qū)，安全接入?yún)^(qū)不是獨立分區(qū)，與生產(chǎn)控制大區(qū)相連時，應(yīng)當(dāng)采用電力專用橫向單向安全隔離裝置進(jìn)行集中互聯(lián)?！?/p>

安全接入?yún)^(qū)的典型安全防護(hù)框架結(jié)構(gòu)示意圖

完善合理的總體方案才可以保證無線網(wǎng)絡(luò)的安全，在進(jìn)行無線光伏應(yīng)用組網(wǎng)時，采用安全I(xiàn)/II區(qū)與III/IV 區(qū)隔離，依據(jù)14號令與36號文要求無線網(wǎng)絡(luò)通過安全接入?yún)^(qū)連接內(nèi)網(wǎng)，利用1.8G寬帶集群專用通信網(wǎng)達(dá)到網(wǎng)絡(luò)專用，并在各通信點間橫向隔離。

無線在光伏應(yīng)用組網(wǎng)總體方案

相比傳統(tǒng)的無線網(wǎng)絡(luò)組網(wǎng)，LTE縱向加密安全解決方案可以提升無線網(wǎng)絡(luò)安全。華為中國智能光伏表示TD-LTE多媒體數(shù)字集群系統(tǒng)Witen/eLTE，經(jīng)網(wǎng)絡(luò)性能測試，所檢項目：結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)，檢測室結(jié)果符合信息系統(tǒng)安全等級保護(hù)基本要求第三級網(wǎng)絡(luò)安全技術(shù)的要求。

與此同時，LTE還具備易管理易維護(hù)的特點。華為中國智能光伏表示，在方案上基于用戶的QoS控制，集中管理核心網(wǎng)、基站、終端，做到統(tǒng)一網(wǎng)管，簡單運維，并采用軟SIM卡，大量降低故障率。

LTE縱向加密，橫向隔離和安全分區(qū)架構(gòu)圖

作者：付斌

本文由專業(yè)的金屬絲網(wǎng)廠家"正辰公司"發(fā)布,若轉(zhuǎn)載請注明出處

原文地址： http://www.hnclshzy.com/wenku/40984.html