风电场电力监控系统安全防护的探讨

0 引 言

2016-01-22日，国家电网公司安全监察质量部关于乌克兰电网遭网络黑客攻击引发大面积停电情况进行了通报。国家电网公司高度重视，组织相关部门和单位迅速开展信息搜集，分析暴露问题，吸取事故教训，研究提出公司系统相应的防范措施。

目前，“一带一路”倡议及其建设已得到很多国家认同，但仍有一些国家存在一些片面的解读和认识。因此，开展“一带一路”法学研究时，不能仅进行政策分析，还要从法理的角度、法治保障的高度去研究“一带一路”建设的重要意义及其国内国际影响和推进路径。同时，要进行多学科交叉研究，增强现有研究的深度、广度和系统性。深入推进“一带一路”建设的一项重要措施是增强沿线国家共识。如果沿线国家对彼此的法治建设及法治化水平不了解、不信任，其相互合作就困难重重。增进沿线国家共识的一个重要途径是增强法治互信，增强法治互信的有效途径包括法学研究成果转化、法治文化交流、法治人才培养等。

本文依据国家相关文件，结合安徽省内风电场实际生产和运维情况,系统阐述了在风电场电力监控系统安全防护的管理措施及技术措施。

1 风电场电力监控系统安全防护的主要原则

如图1所示，生产控制大区与管理信息大区存在业务交互的数据流或信息流时，必须加装电力专用横向单向安全隔离装置，其中数据流从高安全区往低安全区流动需要经过正向型隔离装置，数据流从低安全区往高安全区流动需要经过反向型隔离装置。电力专用横向单向安全隔离装置达到物理隔离或近似物理隔离的安全级别。

图1 风电场电力监控系统安全分区

管理信息大区的业务系统与发电企业数据网或者公共网络存在业务数据交互需经过国产硬件防火墙以及VPN网关装置，以到达安全要求。

由于新闻的时效性特点，加上灾难发生的比较突然，记者往往对于灾难事件掌握信息不全，或没有办法得到精确的信息，新闻记者借助这些模糊限制语确保实际情况准确地、客观地得以报道，使话语表述更符合客观真实。模糊限制语的使用有可能改变了原来新闻的真值，但通过限定真值的范围，却恰恰精确了新闻所传达的信息。

风电场的业务系统与所属调度机构的业务系统进行纵向交互时，必须通过电力专用纵向加密认证装置实现数据加密和身份认证功能后，才可以经由电力调度数据网实现业务数据上传和下行。

2 风电场电力监控系统安全防护存在的问题

2.1 管理方面

(1)物理安全。绝大多数风电场的通信机房未安装防盗报警装置，关键设备和磁介质未实施电磁屏蔽。

2.2 技术方面

风电场的安全管理制度建设很不完善，存在的主要问题在此不再赘述。

随着科技的进一步发展，可编程逻辑控制器逐渐取代传统的机电控制器，电气工程中的可编程逻辑控制器，人们可以借助其优势不断的协调电力工程上的优势，对电气工程的各个环节进行控制监督，提高其系统的稳定性。利用可编程的逻辑控制器，可以很好的提升电气系统的自动切换功能，不断的提升电气工程系统的稳定性和安全性，结合可编程的逻辑控制技术，保障整个电气工程和自动化的有效性，更好的实现电气工程的自动化。

(2)网络安全。风电场的网络安全问题较严重，少数风电场依然存在位于安全区I的业务系统服务器直接与互联网相连的严重违规行为。其他较普遍的安全问题诸：在与一平面和二平面连接时部分隧道未进行加密；未能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断；未在网络边界处对恶意代码进行清除等。

(5)数据安全与备份。未采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性；未提供异地数据备份功能。

风电场的电力监控系统作为关键信息基础设施，应严格按照相关法律法规，行业规范等执行并落实自身的信息安全防护工作，降低信息安全风险，为国家整体的信息安全建设添砖加瓦。

(4)应用安全。问题主要集中在应用软件未提供登录失败处理功能。

(3)主机安全。很多服务器和主机依然使用安全级别较低的windows操作系统，因此存在着诸口令未定期更换, 未配置登录失败处理功能, 未采用加密的方式进行远程管理等常见问题。

3 风电场电力监控系统安全防护工作建议

[1] 全国人民代表大会常务委员会.中华人民共和国网络安全法[Z].2016.

(1)制定管理制度。建议聘请信息安全专业咨询公司的专业人士针对自身风电场电力监控系统的实际情况和人员情况制定合规的、方便执行和操作的管理制度。

(2)防盗。通信机房防盗装置为主动防范，可以任意选用以下2种之一达到防盗的目的：①声光报警类装置，可以定位出事地点；②气体类装置，喷出的溶胶烟雾充满机房，迫使犯罪分子难以忍受环境放弃盗窃。③可以任意选用以下2种之一的改造方案到达电磁屏蔽目的：其一采用专用屏蔽机柜，防止机柜内电磁泄露导致泄密，同时防止外界电磁干扰；其二是在窗户加装电磁屏蔽窗帘。建议采用后者，其成本低，改造实施过程简单方便。④通过部署身份及访问管理系统，可以解决共享账号问题。维护人员接入IT系统进行维护操作具有接入方式多样、接入点分散的特点。身份及访问管理系统统一维护人员访问系统和设备的入口，提供访问控制功能，有效的解决运维人员的操作问题，降低相关IT系统的安全风险。⑤主机、数据库、网络设备等用户账号密码管理策略建议按照以下策略执行：口令复杂度(令长度不得小于8位，且为字母、数字或特殊字符的混合组合，用户名和口令不得相同)、口令更换周期(三个月更换一次)、登录失败次数限制(失败5-10次锁定账号)、密码加密传输及加密存储。同时也应制定账号管理相关流程、规定或制度，相关规定制度的发布应该通过信息部门、业务部门等的审批。⑥安全区之间的横向隔离方面，生产控制大区和管理信息大区之间必须部署电力专用安全横向单向隔离装置，两大区之间只能有数据的交换，其他所有访问均不能直接在两个大区之间进行。防火墙则在安全隔离的基础上，隔离控制区和非控制区、生产管理区和办公区、办公区与上级OA区、办公区和互联网区域，进行严格的访问控制，防范非授权和越权的访问。⑦建议在主机安装杀毒软件，在网络中部署入侵检测系统或防毒墙对恶意代码进行有效的防护。杀毒软件、入侵检测系统、防毒墙的特征库应及时升级，并采用离线升级的方式完成特征库的升级工作。⑧安全的技术措施需要安全的管理措施来保驾护航。建议在以下五个管理层面来完善管理措施：即安全管理制度；安全管理机构；人员安全管理；系统建设管理；系统运维管理。

4 结束语

目前，我国出版的适合高职院校的计算机类教材，都是中文教材，并不符合留学生双语教学的需求。因此，如何选择双语教材成为难点之一。

[参 考 文 献]

针对上述安全问题，提出安全防护工作建议如下：

在使用可穿戴传感设备前，每个用户的手机需要与设备借助轻量级认证协议完成用户与传感器之间的身份认证。其次，再利用区块链技术实现体域网中多方身份认证过程。在传感器端生成数据后，使用证书中心生成的公钥将数据加密，传输给路由器。这期间，为保证新加入的节点身份的正确性和真实性，账本端启用共识算法，用于验证新节点身份。新节点需经过智能合约的判断：当有半数以上的节点通过审核时，系统自动认可该节点被记入帐本，并记录到主链上；否则，本次请求视为无效，该节点不被放入主链中。本系统架构能有效地防止恶意节点的加入，确保了节点的正确性和安全性。新节点加入区块的智能合约流程如图3所示。

[2]国家能源局.电力监控系统安全防护总体方案等安全防护方案和评估规范(国能安全[2015]36号)[Z].2015.

[3]国家能源局.电力行业网络与信息安全管理办法(国能安全[2014]317号)[Z].2014.

[4] 国家能源局.电力行业信息安全等级保护管理办法(国能安全[2014]318号)[Z].2014

从当年名不见经传的代工小厂，到如今印后机械市场的领跑者，国望集团的每一步似都是对于“一流”产品的追逐，对于“一流”企业的诠释，其确实在用实际行动为“一流”下定义。