地方电厂和用户站并网的网络安全风险分析及防范措施

冯 志，陈 刚

（中山供电局，广东 中山 528400）

0 引 言

近年来，随着国家限制发展高耗能、高污染行业，发展节能环保型产业，鼓励支持开发和利用新能源以及可再生能源政策的出台，在“碳达峰、碳中和”的目标背景下，大量不同投资主体的风电和光伏电厂等用户站接入电网，小型发电企业与新能源站点占比变得越来越高[1]。截止2021年，中山地区110 kV及以下电压等级小型电厂和用户站并网已达十多座。未来几年内，各类小型电站与新能源站点接入中山电网的数量将会进一步增加，在一定程度上增加了电力通信网络的节点数量。而在实际中，这类型厂站在地理上较为分散，为攻击者入侵电力通信网络埋下了隐患[2]。因此，针对这类小型电厂及用户站制定有效的安全防护措施显得十分迫切和必要。

1 业务现状

电力通信网承载的电力生产控制大区业务主要包括能量管理系统（远动）、发电计划曲线下发系统、相量测量系统、安全自动控制系统、继电保护系统、网络发令系统、电力市场运营系统、温控管理信息系统、故障信息管理系统、电力市场运营系统、水电管理系统、节能减排监测系统、风功率预测系统、光伏功率预测系统、计量自动化系统以及态势感知系统等[3]。这些生产控制大区业务的通信方式主要采用专线通道和调度数据网络通道，其中能量管理系统业务的通信方式分别如图1和图2所示。一般地说，相对于采用专线通道，调度数据网络通道方式容易受到网络攻击。

图1 专线通道方式

图2 调度数据网通道方式

2 网络安全风险分析

受财力、物力及人力运维方面的制约，小型电厂或用户站在网络安全防护方面的实力与系统内大型电厂或变电站存在较大的差距，因此这些小型厂站是网络安全防护的薄弱节点，容易遭受网络攻击。一旦受到攻击，攻击者容易通过这些网络安全薄弱节点攻击网络其他节点，给电力系统带来严重的后果。因此，做好相应的安全防护就显得十分必要。以下列举两种常见的网络安全风险。

2.1 横向攻击其他厂站

目前，调度数据网架构中，各电压等级电厂与变电站混合组网，拓扑结构如图3所示。使用多协议标签交换（Multiprotocol Label Switching，MPLS）对其实现标签式的交换通信，其每1个IP都有1个标签，主要是根据标签值进而转发数据包来实现，确保各类节点只能与调度端通信[4]。但小型并网电厂与用户站在安全防护方面并不完善，存在人为修改PE路由器配置的风险。配置一旦被修改便可实现与其他厂站路由的互通，为网络攻击提供有利条件。

图3 地区调度数据网拓扑

2.2 纵向攻击主站

由于电厂至调度前置网络的整个完整路径中仅存在加密装置，而加密装置是进入变电站监控系统的必经之路，因此其往往成为黑客或不法分子攻击的重点对象[5]。但加密装置仅能做4层以下的网络防护，无法对应用层起到防护作用，从而导致攻击者除针对网络层进行攻击外，还可以对4层以上协议进行攻击。攻击者可以通过厂站内设备沿网络路径直接攻击主站设备，主站设备一旦被控制将会对整个电力系统带来严重后果。

3 网络安全防范措施

3.1 物理剥离、专网专用

为应对横向风险，将110 kV及以下电压等级电厂和用户站从现有调度数据网中剥离，进行独立组网，与系统内变电站和大型电厂进行端到端物理隔离，确保不与网络其他节点发生路由信息和业务流交互，最大程度减少安全风险。改造方案如图4所示。

图4 改造方案

新组建网络架构采用分层汇聚组网方式，在汇聚层侧新增电厂专用汇聚路由器，原有的电厂和用户站通过传输网通道统一接入该汇聚路由器，并为“双碳”背景下不断涌现的新能源电厂接入预留空间，同时在专用汇聚路由器侧统一设置相关策略禁止电厂及用户站与系统内其他变电站的互访，消除横向风险。

3.2 主站设置安全接入区

为解决电厂至主站可能面临的纵向传播风险，采取如图5所示的解决方案。

图5 主站安全接入区示意

在电厂汇聚路由器与主站服务器之间设置安全接入区，与现有系统内厂站前置部分完全分开，通过设置安全接入区实现电厂调度数据网网络数据的隔离认证。根据《电力监控系统安全防护规定》的要求，生产控制大区与广域网的纵向连接处应设置国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，纵向加密装置实现主站与厂站间通道加密，只允许指定IP和端口间的通信[6]。

加密装置与接入交换机之间的防火墙主要实现访问控制功能，通过自上而下建立通信连接拒绝电厂侧主动发起的访问，只允许主站侧主动发起的访问。同时，防火墙通过网络地址转换（Network Address Translation，NAT）转换，将前置局域网私有地址转换为公有地址，屏蔽内部网络结构[7]。应用层防火墙具有正反向通信代理功能，可以分析主站与厂站间的通信流量，对电力专用协议进行内容检测和验证，确保其安全性与合法性，帮助主站抵御来自应用层的攻击[8]。另外，态势感知可以实现对网络流量实时在线检测分析识别、理解及预测，及时发现网络入侵[9]。而通信代理服务器拥有主站与电厂间业务数据处理和转发，并进行协议转换，实现内外隔离，提供监控网络和记录传输信息的功能[10]。通过设置安全接入区，可以有效实现电厂至主站数据网络的安全接入。

4 结 论

本文对地方电厂及用户站并网接入地方电网，其网络安全设施配置不足给电网带来新的网络安全风险进行了详细分析，并对相关网络安全风险提出了具体的防范措施，为地方电厂及用户站接入电力监控系统的网络安全防护提供参考。