翟晓佳

【摘 要】计算机技术发展迅速，并取得了很大的成功，电力监控系统的安全防护受到重视，因为计算机技术应用到了人们生产生活到许多方面，根据责任执行制度，为保证主管部门和运营单位的责任，因此，各级工作人员都明确掌握了保护工作的要点，使这一先进技术成为安全防护工作的保障。本文就风电场电力监控系统安全防护进行了研究。

【关键词】风电场；电力监控系统；安全防护

前言

工业化程度的提高增加了对能源的需求量，然而能源供应紧张的局面不断出现，为缓解国内能源紧缺的现状，新能源发电技术得到国家政策的鼓励和重点扶持，给风能、太阳能等清洁能源发展利用带来重大契机。越来越多的风电场和光伏电站不断新建和并网发电，极大的扩展了电力通信网络的节点数量，由于地理位置分散且数量巨大，易于成为黑客发起对电力通信网络进行入侵和的薄弱环节，如何保证并网新能源发电厂的监控系统信息安全成为亟待解决的重要问题。

1电力监控系统安全防护的必要性

电力二次系统是在维护电网的安全、稳定根本目标的基础上，实现电网的优化运行。电力二次系统的快速进步与近年来电网的蓬勃发展密不可分，调度中心通过电力调度数据网与厂站之间进行数据交换，厂站内部生产控制系统和管理信息网络横向结合，通过网络实现远方遥控，二次系统依靠网络新技术提高对全网监控、管理可靠性、准确性和实时性。与此同时，各级电力企业广泛使用到互联网和日益普及的计算机应用，给日益猖獗的黑客、计算机病毒、木马程序带来可乘之机。对电力系统的网络攻击借助系统漏洞进行，使监控系统或通信网络的正常运行被扰乱，由于一次设备通过监控系统遥控操作，还可借此将攻击影响放大，达到引发电力系统停电甚至连锁故障的最终目的，安全性成为计算机系统和网络不得不考虑的重要问题。在这一背景下，发改委第14号令《电力监控系统安全防护规定》和《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全2015[36]号）应运而生。

2电力监控系统安全防护总体概述

将国家信息安全等级保护制度落实到电力监控系统安全防护工作，防范黑客及恶意代码等对电力二次系统所造成的攻击侵害，避免引发电力系统事故，坚持“安全分区、网络专用、横向隔离、纵向认证”的原则。电力企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区（安全区I）和非控制区（安全区II）；管理信息大区内部在满足安全防护总体原则的前提下，可以根据业务系统实际情况，简化安全区的设置，但应避免形成不同安全区的纵向交叉连接，用不同强度的安全隔离设备对安全区之间和安全区通信通道之间进行隔离。

3电力监控系统安全防护的要求归纳

电力监控系统针对生产控制、生产管理与通信管理网络的设计，需要针对电力监控系统的安全防护所需，遵循《电力监控系统安全防护规定》（国家发改委2014年第14号令）、《电力监控系统安全防护总体方案等安全防护方案和评估规范》（国家能源局国能安全2015年第36号）和《电力行业信息安全等级保护管理办法》（国家能源局国能安全2014年第318号）的要求。《中华人民共和国网络安全法》中，把网络和信息安全由原本规章制度的级别提升到了国家法律层次。电力监控系统所实施的安全防护，要按照十六字方针的规定，及时对外部网络的边界进行隔离，并设置合适的安全防护和预警系统，运用专业的技术更快速地发现网络异常，逐步形成科学高效的安全防护体系，及时加以防护。要做好电力监控系统的安全防护工作，一定设置好三道防线——第一道防线系统边界，第二道防线网络传输边界，第三道防线业务主机。

4电力监控系统安全防护主要的业务归类和安全分区

按照电力监控系统具有的特点和其他业务系统的重要程度、运行情况等，把电力监控系统进行分类，即2个大区、3个小区以及安全接入区。对于3个安全区而言，安全区Ⅰ是控制区，主要部署了核心系统以及能够随时进行监控的系统，是进行电力生产的重点区域。系统在不间断的运行过程中，可以通过数据网络或是专用通道实现信息传输，是进行安全防护必不可少的，安全级别排在第一位。安全区Ⅱ是非控制区，是进行电力生产不可或缺的一部分。此区没有设置可以进行远方控制的系统，系统运行中通过对数据网络的运用，能够很好地传输信息内容，也是安全防护的重点环节，但它的安全等级较安全区I低。调度生产的管理区是安全区Ⅲ，能够完成电力调度，并且注重管理优化，是对管理水平与决策能力系统的优化。它可以不直接与电力生产环节闭环。安全接入区与生产控制大区中的业务连接，需经过电力专用横向反向隔离装置，然后与外部网络相连接。在设置硬件防火墙后，电源将会通过北斗星接入，然后利用配网系统连接GPRS通道。整个过程都需接触安全接入区域。

5风电场电力监控系统安全防护工作建议

5.1制定管理制度

建议聘请信息安全专业咨询公司的专业人士针对自身风电场电力监控系统的实际情况和人员情况制定合规的、方便执行和操作的管理制度。

5.2防盗

通信机房防盗装置为主动防范，可以任意选用以下2种之一达到防盗的目的：声光报警类装置，可以定位出事地点；气体类装置，喷出的溶胶烟雾充满机房，迫使犯罪分子难以忍受环境放弃盗窃。可以任意选用以下2种之一的改造方案到达电磁屏蔽目的：其一采用专用屏蔽机柜，防止机柜内电磁泄露导致泄密，同时防止外界电磁干扰；其二是在窗户加装电磁屏蔽窗帘。建议采用后者，其成本低，改造实施过程简单方便。通过部署身份及访问管理系统，可以解决共享账号问题。维护人员接人IT系统进行维护操作具有接人方式多样、接入点分散的特点。身份及访问管理系统统一维护人员访问系统和设备的入口，提供访问控制功能，有效的解决运维人员的操作问题，降低相关IT系统的安全风险。主机、数据库、网络设备等用户账号密码管理策略建议按照以下策略执行：口令复杂度（令长度不得小于8位，且为字母、数字或特殊字符的混合组合，用户名和口令不得相同）、口令更换周期（三个月更换一次）、登录失败次数限制（失败5—10次锁定账号）、密码加密传输及加密存储。

结束语：风电场的电力监控系统作为关键信息基础设施，应严格按照相关法律法规，行业规范等执行并落实自身的信息安全防护工作，降低信息安全风险，为国家整体的信息安全建设添砖加瓦。

参考文献：

[1]全国人民代表大会常务委员会.中华人民共和国网络安全法[z].2016.

[2]国家能源局.电力监控系统安全防护总体方案等安全防护方案和评估规范（国能安全[2015]36号）[z].2015.

（作者單位：国网太原供电公司）