光伏二次系統概述光伏電站監控系統主要包括光伏電站機組運行監控系統、有功功率和無功功率自動調節系統、電量采集通訊系統、五防系統、天氣預報系統、光伏率預測系統、調度通訊系統等。隨著計算機技術的發展,計算機在各領域的應用越來越廣泛,計算機在光伏電網中的應用也越來越廣,并漸漸的成為光伏電站正常運行中不可缺少的一部分。光伏電站監控系統的安全己經成為整個光伏電站安全的重中之重,相比于其他系統,計算機監控系統更容易被破壞,遭到破壞后產生的影響也更廣泛。近年來黑客通過攻擊電網計算機監控系統而導致整個電網癱瘓的例子屢見不鮮,所以國家對電網計算機監控系統的安全問題也越來越重視,出臺了多項相關法律法規。在技術層面也出臺了相應的技術規范,來規范和指導計算機監控系統在電網中的正確、安全應用,特別是針對有組織的大規模采用計算機病毒、惡意代碼,對電網計算機監控系統的攻擊行為,國家相關部門也制定相應防護措施,建立了電網計算機監控系統二次安全防護系統。通過實踐證明電網計算機監控系統二次安全防護系統可以有效的抵御病毒、惡意代碼對電網的攻擊和破壞。計算機監控系統二次安全防護系統主要由安全審計系統、防網絡入浸系統、防惡意代碼系統、網絡安全監測系統等幾部分組成。通過以下幾點主要介紹光伏二次安防系統的結構及防護措施。
光伏系統網絡安全防護技術 1、網絡路由防護
采用虛擬網絡技術,將調度數據網絡進行分割,劃分為實時數據網絡和非實時數據網絡兩部分,實時數據網絡對應機組運行控制等業務,非實時數據網絡對應電量采集等業務,實時數據網絡和非實時數據網絡在邏輯上相對獨立。
2、網絡邊界防護
采用嚴格的接入控制措施,沒有經過授權的節點不允許接入調度數據網,各監控系統的數據網絡與業務系統邊界防護在為本系統提供一個網絡屏障的同時,也為廣域網絡的通信提供認證和加密服務,實現數據傳輸的保密性和完整性。
3、安全區之間的隔離
生產控制大區與信息管理大區之間以網絡方式相連,部署電力橫向單向安全隔離裝置。光功率預測系統部署在安全Ⅱ區,與運行在信息管理大區的天氣預報系統進行信息交換采用反向安全限離裝置。公共數據網與天氣預報系統之間的連接采用防火墻。光伏電站運行監控系統部署在安全Ⅰ區,與運行在安全Ⅱ區的光功率預測系統進行數據交換,采用防火墻對數據進行隔離,實現安全Ⅰ區數據可以發送到安全Ⅰ區,但安全Ⅱ 區不可以對安全Ⅰ區系統進行控制。
4、縱向傳輸的安全防護
光伏電站生產控制大區系統與調度系統通過電力調度數據網實現遠程通信,采用用戶認證、縱向加密、訪問限制等技術方法實現數據的遠程安全傳輸。在光伏電站設置縱向加密裝置,在調度端設置縱向解密裝置,實現雙向身份認證、數據縱向加密和訪問控制。
5、安防設備的監測監控
網絡安全監測裝置部署于變電站或電廠涉網區域,用于監測變電站站控層主機沒備、安全沒備、網絡設備的安全事件及用戶操作行為,并將監測、分析形成的告警事件上傳至調控機構的網絡安全監管平臺。
光伏二次系統安全防護實現方法 1、防火墻技術
防火墻產品部署在各安全區之間,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。根據業務流量的IP地址、協議、應用端口號、以及方向的報文過濾等安全策略實現安全區之間的邏輯隔離、報文過濾、訪問控制、IP認證加密等功能。從而達到了對電力二次系統進行安全防護的目的。
2、安全審計布署
為了保證調度數據網安令穩定運行,《電力監控系統安全防護總體方案》(國能安全[2015]號文)要求。電力監控系統安全Ⅰ區的計算機監控系統應具有安全審計功能,能夠對運行人員的各項操作進行記錄、分析,并對各種違規操作行為進行報警,同時通知相關管理人員進行糾正,根據光伏電站的業務情況擬采用物理旁路單臂部署的方式接入安全審計系統,不會改變現有網絡結構,不改變運維人員的運維習慣。在生產控制大區部著一臺安全審計系統。通過接入調度數據網的接入交換機,安全審計設備可以獲得生產控制大區網絡設備的日志信息。
3、防病毒系統應用
隨著電力一次系統規模的擴大,無人值班變電所的全面鋪開,電力生產對自動化系統的依賴性越來越大,自動化規模也越來越大,網絡越來越復雜。同時自動化系統必須保證24小時連續穩定運行,因此必須要有一個確實可行的防病毒解決方案,來確保自動化系統重要業務不受病毒侵害,保證自動化系統的安全、穩定運行。
4、入侵檢測技術
入侵檢測系統(IDS)采用深度分析技術對網絡進行不間斷監控,分析來自網絡內部和外部的入侵企圖,并進行報警、響應和防范,有效延伸了網絡安全防御層次。同時,產品提供強大的網絡信息審計功能,可對網絡的運行、使用情況進行全面的監控、記錄、審計和重放,使用戶對網絡的運行狀況一目了然。