李凤龙，张浩然，赵冠华，赵东杰，李桂举

（许继电气直流输电分公司，河南 许昌 461000）

0 引 言

随着国民经济的快速增长，国内用电需求大幅增加，而国内自然条件、能源以及负荷中心的分布使得远距离、大容量、低损耗的电力传输成为必然，特高压直流输电技术正好迎合这一需求。近年来，随着直流输电电压等级的不断提高，直流换流站中电力设备在数量和容量上不断增加，导致换流站网络安全问题日益突出，对电力系统的平稳运行带来了严峻挑战。近期国家电网公司、南方电网公司相继出台各种文件，强调换流站网络安全重要性以及对存在的风险隐患进行多轮次排查[1]。面对当前严峻的电力系统网络安全形势，换流站作为电力系统行业的重要核心支柱急需加强网络安全防护，打造晴朗的换流站网络空间，筑起积极主动、攻防兼备、可管可控的换流站网络安全屏障势在必行[2]。

1 换流站常见网络安全隐患

1.1 工作人员网络安全知识积累不够

在电力系统网络安全的建设和运维过程中，通信运维相关负责人不专业，对网络安全知识掌握不够。随着信息化进程的步伐加快和信息安全防护技术的不断提升，从事换流站网络安全相关工作需要不断吸收新技术，由于日常的换流站运维工作的繁杂导致技术的提升不够，对当前网络安全现状认知不够，出现违规工作、不按既定规范作业等现象，对换流站整体网络安全带来极大隐患，严重时可导致换流站控制保护系统和VBE的跳闸。

1.2 网络病毒

网络病毒是电力系统网络运维过程中最为常见的问题。常见的网络病毒主要有木马病毒、蠕虫病毒和后门病毒等，都具有传播速度快，扩散面广，传播形式趋于复杂，清除更加困难等特征[3]。工作人员将自己的笔记本电脑接入换流站网络进行调试，或者未使用换流站专用移动存储盘工作等，一旦站内某台计算机感染病毒，就会通过网络迅速扩散，对换流站整个网络及其计算机造成极大冲击，严重时会对逆变侧换流站网络架构与计算机造成极大损害。

1.3 身份认证安全系数不高

换流站计算机系统大部分是基于电力系统行业需求开发，使用口令为用户身份认证的鉴别模式，而这种模式最容易受到黑客攻击，如果用户再使用的是“弱口令”则最容易被勒索病毒攻击。此外，一些计算机系统还用数据库或者文件将口令、用户名以及一些安全控制信息用明文方式去记录。目前，这种身份认证安全措施已不再适用于电力系统领域。

1.4 信息化网络安全体系不健全

随着电力系统的自动化程度不断深入推进，严格管控电力网络安全制度规范化，不断创新完善网络安全防护制度清晰化已迫在眉睫，这样才能从根本上提升电力系统网络安全。就当前情况而言，换流站的日常运维中仍然对网络安全体系建设不够重视和完善，很大程度上对换流站整体网络架构产生极大隐患。由于缺乏科学的、系统的网络安全体系，使得在日常运维中容易出现大漏洞。

1.5 网络管理运营的风险

网络管理运营是电力系统信息通信网络安全风险的来源之一。电力系统信息通信网络的安全离不开电力系统内外网分离措施。从实际情况来看，网络管理运营还存在一定的风险，主要是由人为导致的。在对网络进行日常管理与运营时，电网内部的管理人员以及操作人员通过移动存储介质与终端等设备进行数据通信，进而造成信息出现泄漏与失真等情况。在这种情况下，很容易受到病毒或木马的侵扰，严重时整个电力系统的正常运行将会受到一定影响。

2 换流站网络安全防范措施

2.1 提高工作人员网络安全知识水平

换流站网络安全关系区域电网的稳定，必须引起相关工作人员的高度重视。因此，为了确保换流站网络体系的安全稳定，首要任务就是加强工作人员的网络安全意识，提高网络安全技术水平。各省检公司、超高压局及其换流站应积极开展各种学习活动、网络安全知识讲座以及网络安全技能竞赛等，从而使全员均有网络安全意识，网络安全技能大幅提升，从根本上确保换流站网络结构的安全稳定。

2.2 使用防病毒系统和专用设备

在换流站，任何信息的交互大多采用了计算机，而更多的装置采用了嵌入式系统，在调试期间需接入外部计算机设备进行调试，同时为了数据及其配置备份，需要用到外部移动存储器。在此工作期间必须使用专用调试计算机和移动存储设备，严防带病毒存储设备或者将调试计算机接入外部互联网，从根源上确保换流站整个体系设备均不被网络病毒进行感染和攻击。

2.3 提高身份认证安全系数

一个安全的信息系统应当做到在保障授权用户使用系统的同时必须禁止非授权用户访问系统，而身份认证则是确保系统安全的重要保障。因为用户身份是访问控制决策的一个关键参数，不同身份的用户应被授予有相应的权限。此外，再把与安全相关的事件记录到日志中，记录用户的身份。目前，换流站常见的用户身份认证方法有口令和口令卡等，口令必须禁止弱口令，防止字典攻击等[4]。

2.4 完善网络安全体系建设

近年来，随着电力市场化进程的加快，完善电力系统网络安全体系进程刻不容缓。换流站安全系统的建设包括了网络防火墙、入侵检测、漏洞扫描、计算机防病毒、纵向加密等在内的安全系统。首先，安全管理建设与安全策略建设密不可分，有必要建立集中式、全方位、动态的安全管理中心，使其与整体安全有关的各项安全技术和产品捏合在一个规范的、集体的、集中的安全平台上。其次，安全策略实现电子化和自动化管理，遵循均衡、动态和立体性的原则。

2.5 研发安全性数据传输渠道

经研究表明，现阶段在计算机系统中建设传输渠道对提高计算机之间的传输具有明显的效果。由于各种因素的限制，电力系统中的相关数据在传输过程中无法得到安全保障。要想保证我国电力系统传输数据的真实有效性，就要对相关数据在传输过程中的安全进行保障。数据的真实性随着信息在传输过程中遇到的问题而改变，将会严重误导信息接收方，使其无法做出正确的决策，从而导致电力系统在正常运行过程中受到严重的影响。因此，研发安全性数据传输渠道是保障我国电力系统正常运行的重要基础。

2.6 加强网络管理运营

网络管理运营的质量决定了电力系统信息通信网络是否安全。在电力信息通信网络系统正常运行的背景下，要想提升网络管理运营效率，就要结合我国电力工业的特点，同时进一步完善相关人员与网络管理队伍建设工作，提升自身管理行为。在遵循相关工作流程前提下，相关专业人员应对设备下线的工作进行记录与评估，同时开展剩余信息的删除与销毁工作，并注重信息网络安全保密工作，从而保障网络与信息的安全运行。同时，相关部门要加强对电力系统网站管理与维护的规范工作，以满足网络设备的配置维护、故障分析以及收集等需求。在内网独立的背景下，相关技术人员应对其质量进行管控，以降低因技术人员误操作而出现风险隐患的情况。电力企业还应开展离线设备信息处理培训工作，以避免自身数据信息泄漏，从而保障电力系统的安全运转。

3 结 论

电力系统关系到国计民生，而换流站作为电力系统稳定可靠运行的压舱石，必须要有较高的安全需求。本文介绍了换流站常见网络安全隐患，并提出了换流站网络安全防范措施。