基础建设
- 271 -
基于主动型网络攻击的电力监控系统防护
华润电力控股有限公司,郭骅祥、杨延超
摘 要:近年来,随着网络技术日趋成熟,电力监控系统愈加智能化、集中化,尤其是以风力发电、光伏发电为代
表的新能源产业蓬勃发展,电力监控网络节点更多更分散,集中监控对网络依赖度更高,同时对网络安全提出了更高的
要求,本文探讨了电力监控系统在面对主动攻击的网络威胁时,如何从人员和设备等方面进行更有效的防护。
关键词:电力监控网络;主动攻击;安全防护
在 2019 年出版的
《中国电力行业年度发展报告》
中提到,我国新增发电生产能力约为 12.785 兆瓦。
其中,并网的风电和光伏发电分别为 2.127 兆瓦和
4.525 兆瓦,
合计新增占全国新增装机容量的 52.0%,
目前全国非传统化石能源的总装机容量已占比超过
40%,尤其是受风电上网电价补贴政策变化影响,
2020 年风电抢装并网将达到顶峰。
与传统火电相比,
由于风力发电和光伏发电对环境条件要求较高,这
些新能源发电厂往往地处山区、戈壁滩,运行人员
配少,集中监控难度大,对网络通信技术手段的电
力监控网络使用频率高、依赖程度高,而且由于大
多数新能源场站值守人员从事的往往是设备类的日
常检修工作,对于网络安全缺乏系统学习和有效认
识,导致电力监控系统的网络安全同时面临人员和
设备两方面的风险,有鉴于 2016 年 1 月 25 日以色
列国家电网遭受网络攻击导致大规模电网故障,说
明工业领域对主动攻击的网络威胁手段准备不足,
在重要基础设施遭受网络攻击时变得异常敏感,其所
造成的影响波及经济、政治领域,因此,在互联网飞速
发展,不断更新迭代,不断应用于基础电力设施的方方
面面时,做好电力监控系统网络安全防护意义重大。
电力监控系统一般是指以计算机和网络技术为
基础的,用于监视和控制发电厂生产过程的智能设
备,以及作为基础支撑的通信及网络等,包括发电
厂的主控制系统、外围辅助控制系统、控制区电气
二次系统、现场总线设备与智能化仪表等控制区实
时系统,以及厂级监控信息系统等非控制区监控系
统。按照“安全分区、网络专用、横向隔离、纵向
认证、综合防护”的原则分为生产控制大区和管理
信息大区,其中生产控制大区细分为控制区 I 区和
非控制区 II 区,I 区、II 区和管理信息大区由于各
类生产业务需求互相之间会有一定的数据往来,整
体网络架构简要示意图见图 1。
在控制区与非控制区之间往往通过防火墙做策
略隔离,非控制通过正反向隔离与外部网络做内外
虚拟网口隔离,电厂与调度数据网之间利用纵向加
密做隧道的认证和建立,这些不同分区之间往往都
是通过设备进行逻辑上的隔离,电力监控系统整体
上具有复杂性、分散性、高可用性的特点。
复杂性:
电力监控系统的复杂性往往并非体现在网络拓
扑中,由于电力监控系统的整体构成涉及的厂商和
设备类别非常多,尤其是新能源场站,电气二次的
品牌型号以及接口类型、协议类型都不一而同,监
控后台需要从交换机、规约转换器、服务器、防火
墙等不同的设备上进行采集,采集到的遥信、遥测、
遥脉、遥控等信号量在监控系统进行汇集,调度需
根据上传数据做出判断下发调控指令。
打分:
0 星