基础建设 - 271 - 基于主动型网络攻击的电力监控系统防护 华润电力控股有限公司，郭骅祥、杨延超 摘 要：近年来，随着网络技术日趋成熟，电力监控系统愈加智能化、集中化，尤其是以风力发电、光伏发电为代 表的新能源产业蓬勃发展，电力监控网络节点更多更分散，集中监控对网络依赖度更高，同时对网络安全提出了更高的 要求，本文探讨了电力监控系统在面对主动攻击的网络威胁时，如何从人员和设备等方面进行更有效的防护。 关键词：电力监控网络；主动攻击；安全防护 在 2019 年出版的 《中国电力行业年度发展报告》 中提到，我国新增发电生产能力约为 12.785 兆瓦。 其中，并网的风电和光伏发电分别为 2.127 兆瓦和 4.525 兆瓦， 合计新增占全国新增装机容量的 52.0%， 目前全国非传统化石能源的总装机容量已占比超过 40%，尤其是受风电上网电价补贴政策变化影响， 2020 年风电抢装并网将达到顶峰。 与传统火电相比， 由于风力发电和光伏发电对环境条件要求较高，这 些新能源发电厂往往地处山区、戈壁滩，运行人员 配少，集中监控难度大，对网络通信技术手段的电 力监控网络使用频率高、依赖程度高，而且由于大 多数新能源场站值守人员从事的往往是设备类的日 常检修工作，对于网络安全缺乏系统学习和有效认 识，导致电力监控系统的网络安全同时面临人员和 设备两方面的风险，有鉴于 2016 年 1 月 25 日以色 列国家电网遭受网络攻击导致大规模电网故障，说 明工业领域对主动攻击的网络威胁手段准备不足， 在重要基础设施遭受网络攻击时变得异常敏感，其所 造成的影响波及经济、政治领域，因此，在互联网飞速 发展，不断更新迭代，不断应用于基础电力设施的方方 面面时，做好电力监控系统网络安全防护意义重大。 电力监控系统一般是指以计算机和网络技术为 基础的，用于监视和控制发电厂生产过程的智能设 备，以及作为基础支撑的通信及网络等，包括发电 厂的主控制系统、外围辅助控制系统、控制区电气 二次系统、现场总线设备与智能化仪表等控制区实 时系统，以及厂级监控信息系统等非控制区监控系 统。按照“安全分区、网络专用、横向隔离、纵向 认证、综合防护”的原则分为生产控制大区和管理 信息大区，其中生产控制大区细分为控制区 I 区和 非控制区 II 区，I 区、II 区和管理信息大区由于各 类生产业务需求互相之间会有一定的数据往来，整 体网络架构简要示意图见图 1。 在控制区与非控制区之间往往通过防火墙做策 略隔离，非控制通过正反向隔离与外部网络做内外 虚拟网口隔离，电厂与调度数据网之间利用纵向加 密做隧道的认证和建立，这些不同分区之间往往都 是通过设备进行逻辑上的隔离，电力监控系统整体 上具有复杂性、分散性、高可用性的特点。 复杂性： 电力监控系统的复杂性往往并非体现在网络拓 扑中，由于电力监控系统的整体构成涉及的厂商和 设备类别非常多，尤其是新能源场站，电气二次的 品牌型号以及接口类型、协议类型都不一而同，监 控后台需要从交换机、规约转换器、服务器、防火 墙等不同的设备上进行采集，采集到的遥信、遥测、 遥脉、遥控等信号量在监控系统进行汇集，调度需 根据上传数据做出判断下发调控指令。