摘要:针对当前风电场面临的物理安全、远程运维网络安全、设备运行数据安全等问题,从技术及管理多个角度出发,总结现场存在问题,提出预防改善措施及建议。
关键词:风电场;二次安防;管理
一、风电场远程监控系统建设原理及依据
1.建设原理。风电场远程监控系统是以计算机为基础的过程控制与自动化系统,可以对现场的运行设备进行视频监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功能,它是风电场各种监控系统数据的信息共享、交换、传输平台,并为业主提供远程分布式监测平台。
2.远程监控系统建设依据。为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故,建立电力二次系统安全防护体系,保障电力系统的安全稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》和国家有关规定,系统建设应严格遵守《电力二次系统安全防护规定》,坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全。监控系统风场侧和监控中心侧之间采用点对点电力调度专网互连,且在风场侧和总部侧分别部署有纵向加密设备。纵向加密设备的部署原则是监控中心侧安全一区进口处部署加密设备,其下属每个风场安全一区出口处部署加密设备。系统总体需实现远控和WEB功能。
二、远程运维系统建设的难点
远程运维系统建设要面临以下两个方面的难点:
1.数据采集。目前,风电机组整机制造厂商众多,为了实现将各个风电场的不同整机厂家的数据采集到公司总部,必须制定统一的数据采集接口。采集的数据有两类:一类是实时数据,建议通过OPC接口来采集;另一类是历史数据,建议通过历史数据库来进行采集。数据采集接口规范化以后,还存在实时数据的采集速率问题,若采集速率过低,就会造成公司总部的实时数据在线展现更新较慢、画面长时间不更新的问题;若采集速率过高,就要考虑服务器的承受能力和网络的承受能力。针对这个问题,应该依据风电场的数量、采集数据的数量和网络能力来进行综合平衡,从而得到一个满意的采集数据速率。
2.网络安全。各个风电场采集的数据要经过Internet网络到达公司总部,这就要考虑网络安全问题,防止黑客攻击、病毒侵害、人员非法操作等。不同的网络安全解决措施,付出的成本代价也不相同,采用VPN(虚拟专用网络)加硬件防火墙的策略来解决这个问题;同时,当风电场用户访问WEB服务器时,对不同的用户级别分别授予不同的操作权限来控制非法操作。
三、风电场远程运维安全防护存在的主要问题
1.物理安全方面。风电场升压站区域设置有围墙、视频监控等安全防护措施,安全防护能力较强。而风电机组、箱变等设备露天布置较为分散,也未安装护栏等隔离设施。风机塔筒门和箱变门仅靠机械门锁,锁芯安全等级不高。风机视频监控系统未全面普及,仅在风机机位附近设置一台摄像机,监视塔筒门和箱变门附近,部分风机在机舱内设置有几台摄像机,用于对机舱内设备状态进行视频监控。风机和箱变设备的物理安全主要依赖风场人员的定期巡视检查。存在的主要问题:①现场设备防护水平较低,容易遭受暴力入侵,且设备分布区域广,普遍人烟稀少,不利于预防预控工作的开展;②风场运维人员仅依赖监控系统对风机运行状态的监视和人员巡检对设备的检查确认,风机台数较多时,检查的周期明显加长;③继保室、高压开关室等重点区域人员进出管理仍有疏漏,未审核工作事项,缺少审批、出入记录。
期刊文章分类查询,尽在期刊图书馆
2.远程运维网络安全方面。风电场监控系统是开展远程运维的核心设施,运维网络的安全主要取决于监控系统的安全防护水平。电力监控系统按照“安全分区、网络专用、横向隔离、纵向加密”的要求进行设计和布置,风电场各子系统被分别布置在生产控制大区的I区和II区以及管理信息大区,在分区边界都布置有隔离装置、加密装置、防火墙等设备作为边界防护装置,与调度和集控中心通信则通过调度数据网或租用专线的方式进行。存在的主要问题:①技术资料不完整,人员对系统配置方式、网络结构等情况不了解,技术水平欠缺,安全防护依赖厂家或设备供应商;②边界防护设备缺失,风功率预测、在线振动监测等系统数据流横跨安全I区、II区和外部公网,各区边界上防护装置如横向隔离装置、防火墙等缺失较多;③受地区电网调度机构设备配置的影响,部分风场安全I区、II区数据未分别接入实时通道和非实时通道,存在通道混用现象,部分风场与调度数据网边界未配置纵向加密装置;④部分风场风机监控系统网络采用首尾相连的串接方式,中间节点断开导致同一回路后续风机失去通信,网络可靠性较低;⑤边界防护装置安全策略配置不规范,部分风场未禁用高风险通用网络服务,管理账户为出厂默认,安全策略未配置或未细化至IP地址、端口级,对日志记录缺少关注,难以及时发现网络异常。
3.设备运行数据安全方面。风电场生产运行数据主要存储于风机控制器、风机监控系统服务器、升压站综自系统服务器、风功率预测系统服务器、在线振动监测系统服务器以及中控室内的各操作员站主机内。存在的主要问题是:①系统账户多为默认账户或弱口令账户,导致暴力破解或入侵难度较低,进入后容易获取风机等设备的控制权限;②服务器未开展主机加固工作,对操作系统安全漏洞的补丁未及时更新,配置有杀毒软件或安全防护软件的服务器也未及时更新病毒库,系统高风险通用服务未禁用,防火墙未开启;③系统设计时未考虑冗余配置,使得系统容灾能力大幅降低,各系统的软件及历史数据未定期备份至独立介质异地保存,有可能永久丢失所有历史数据;④空闲端口未封闭,服务器及操作员站还留有调试、维护使用的远程控制软件,安全意识淡薄,涉及的朋友、家人包括个人的敏感信息模糊代替,不要泄露真实信息。
四、远程监控系统安全防护原则
远程监控中心网络安全防护的总体目标是确保实时闭环运行的监控系统及调度数据网络的安全,抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是抵御集团式攻击,防止由此导致远程监控中心系统的崩溃或瘫痪,继而造成一次系统事故或大面积停电事故。其安全防护原则为:
1.安全分区:根据远程监控中心系统各业务系统的特性和对一次系统的影响程度进行分区,原则上划分为生产控制大区和管理信息大区,所有系统都必须分置于相应的安全区内,重点保护实时控制等关键业务。
2.网络专用:建立专用电力调度数据网络,与电力企业数据网络实现物理隔离,在调度数据网上形成相互逻辑隔离的实时子网和非实时子网,各级安全区在纵向上应在相同安全区进行互连。
3.横向隔离:采用不同强度的安全设备隔离各安全区,尤其是在生产控制大区与管理信息大区之间实行有效安全隔离,隔离强度应接近或达到物理隔离。
4.纵向认证:采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。
随着《网络安全法》的颁布实施,近年国家能源局对电力监控二次安全防护和涉网安全进行了排查整改,风电安全防护工作的重要性日益凸显。
参考文献
[1]丁海.基于VPN技术的风电场远程监控系统.2014
[2]周志民.远程监控系统在风力发电中的应用.2014
[3]赵毅.风电场远程监控系统的设计与应用.2014
论文作者:杨帅
论文发表刊物:《新材料·新装饰》2018年8月上
论文发表时间:2019/3/13
标签:监控系统论文; 数据论文; 设备论文; 系统论文; 安全防护论文; 风机论文; 网络论文; 《新材料·新装饰》2018年8月上论文;