光伏電站網絡安全防護設備

電力二次系統安全防護設備有縱向加密裝置、橫向隔離裝置、防火牆、入侵檢測裝置、數字證書系統、防病毒系統等，本節介紹光伏電站中廣泛使用的橫向隔離裝置、縱向加密裝置、防火牆。

一、橫向隔離裝置

電力專用橫向單向安全隔離裝置作為生産控制大區與管理信息大區之間的必備邊界防護措施，是橫向防護的關鍵設備。它可以識别非法請求并阻止超越權限的數據訪問和操作，從而有效抵禦病毒、黑客等通過各種形式發起的對生産控制大區的惡意破壞和攻擊活動。橫向隔離裝置分為正向隔離裝置和反向隔離裝置。

正、反向隔離裝置接入方式如圖 8-2所示。

（一）正向隔離裝置

正向隔離裝置用于安全區Ⅰ/Ⅱ到管理信息大區的單向數據傳遞，實現兩個安全區之間的非網絡方式的安全數據交換。

（二）反向隔離裝置

反向隔離裝置用于從管理信息大區到安全區 Ⅰ/Ⅱ單向傳遞數據，是管理信息大區到安全區Ⅰ/Ⅱ的唯一數據傳遞途徑。橫向安全隔離裝置（反向）集中接收管理信息大區發向安全區Ⅰ/Ⅱ的數據，進行簽名驗證、内容過濾、有效性檢查等處理後，轉發給安全區Ⅰ/Ⅱ内部的接收程序。

反向隔離裝置的工作過程：

（1）管理信息大區内的數據發送端，首先對需發送的數據簽名，然後發給反向型隔離裝置。

（2）隔離裝置接收數據後，進行簽名驗證，并對數據進行，内容過濾、有效性檢查等處理。

（3）将處理過的數據轉發給安全區工/Ⅱ内部的接收程序。

申力專用安全隔離裝置作為安全區Ⅰ/Ⅱ與管理信息大區的以備邊界，具有最高的安全防護強度，是安全區Ⅰ/Ⅱ橫向防護的要點。

（三）橫向隔離裝置在光伏電站中的應用

光伏電站中橫向隔離裝置使用場景一般有兩種。第一種情況，一部分光伏電站将安全區Ⅰ計算機監控系統中采集的實時數據傳輸至管理信息大區的生産管理系統或直接傳輸至發電集團總部監控中心，中間須安裝1台正向隔離裝置，用于安全區Ⅰ到管理信息大區的單向數據傳輸。第二種情況，光伏電站功率預測系統中，部署在管理信息大區的氣象服務器将收集的天氣預報數據發送至安全區Ⅱ的光伏電站功率預測服務器，中間須安裝1台反向隔離裝置，用于管理信息大區到安全區Ⅱ的單向數據傳輸。

二、硬件防火牆

硬件防火牆是設置在内部網絡和外部網絡之間的一道屏障，以防止發生不可預測的、潛在的破壞性侵入。它可通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網絡内部的信息、結構和運行狀況，以此來實現網絡的安全保護。防護牆的部署方式如圖 8-3 所示。

1.防火牆的功能

（1）過濾進出網絡的數據。數據包在通過防火牆時，不符合規定的IP 地址的信息包會被過濾掉，以保證内部網絡的安全。通過過濾不安全的服務，防火牆可以極大地提高内部網絡安全和減少内部網絡中主機的風險。例如，防火牆可以禁止 NIS、NFS服務通過，同時可以拒絕源路由和 ICMP重定向封包。

（2）管理進出網絡的訪問行為。防火牆可以提供對内部網絡的訪問管理。如允許從外部網絡訪問内部網絡某些主機，同時禁止訪問另外的主機。例如，防火牆允許外部訪問特定的Mail Server 和 Web Server。防火牆對内部網絡實現集中的安全管理，防火牆定義的安全規則可以運行于整個内部網絡系統，而無須在内部網每台機器上分别設立安全策略。外部用戶也隻需要經過一次認證即可訪問内部網絡。

（3）記錄進出網絡的信息和活動，對危險行為進行檢測和告警。防火牆可以記錄和統計通過防火牆的網絡通信。提供關于外部網絡訪問内部網絡的統計數據，并且通過這些數據來判斷可能的攻擊和探測，及時對網絡攻擊進行檢測和告警。

2.防火牆在光伏電站的應用

在光伏電站電力二次系統中，防火牆作為生産控制大區或管理信息大區内部網絡之間必備的橫向邊界防護措施，如光伏電站功率預測服務器（安全Ⅱ區）與電站監控系統（安全Ⅰ區）進行數據交互須在通信鍊路中間加裝防火牆;天氣預報服務器（安全Ⅲ區）接收 Inter-net 網絡中的氣象數據，須在通信鍊路中間加裝防火牆。通信鍊路中的防火牆通過對數據來源和流向進行控制，以保證網絡安全性。它能允許你"同意"的人和數據進入你的網絡，同時将你"不同意"的人和數據拒之門外，最大限度地阻止低安全等級網絡中的非法訪問者來訪問高安全等級的網絡。

光伏電站防火牆的一般要求設備本身具有預防入侵的功能，并且自身具有較高的抗攻擊能力;外部網絡與内部網絡互相訪問的雙向數據流必須通過防火牆;隻有被安全策略允許（合法）的數據才可以通過防火牆。

三、縱向加密認證裝置

縱向加密認證裝置用于生産控制大區的廣域網邊界防護。縱向加密認證裝置為廣域網通信提供認證與加密，實現數據傳輸的機密性、完整性保護，同時具有類似防火牆的安全過濾功能。

（一）工作原理

為實現數據通信的加密和認證，須在網絡數據通信的兩端各配置1台縱向加密認證裝置，在光伏電站側通常部署于路由器與交換機之間。

（二）接入流程

（1）了解數據網絡結構，拓撲，地址規劃，路由及策略，VPN業務規劃與接入。

（2）業務系統負責人确認可能對業務引起的中斷評估，開具第二種工作票。

（3）确定縱向加密認證裝置的布署方案和布署位置。

（4）進入設備調試環節。

1）初始化∶生成裝置的設備公私鑰，并填寫必要信息;生成證書，提交本級調度證書服務系統簽發。

2）配置∶配置設備的基本信息，安全隧道信息，安全策略信息。導入對端裝置的設備證書，與對端聯調，保證隧道能夠正常建立，安全策略與對端匹配，業務能夠正常通信。導入管理中心的證書，保證縱向加密管理中心能夠對該縱向加密認證裝置進行遠程管理。

3）監控;添加縱向加密認證裝置日志傳送主站内網安全監視平台的配置，保證主站内網安全監視平台能夠監測到該縱向加密認證裝置實時的運行狀态。

（三）應急解決步驟

應對裝置異常，提出相應的應急解決方案。

（1）與相應調控機構聯系，查詢裝置的狀态。

（2）斷電重啟裝置，重啟後查看縱向加密裝置運行及業務通信是否正常。

（3）重啟後，如故障未消除，征得調控機構同意後，啟用硬旁路，同時聯系設備生産廠家進行故障處理。

（四）縱向加密認證裝置在光伏電站中的應用

光伏電站中，縱向加密認證裝置一般部署在生産控制大區縱向邊界，通常在安全Ⅰ區和安全Ⅱ區縱向邊界各部署1台，分别與主站安全Ⅰ區和安全Ⅱ區縱向加密裝置配合實現數據的加解密和認證功能，保障縱向數據通道的安全可靠。

四、安全防護設備的配置原則

各光伏電站中安裝的電力二次系統不盡相同，系統的功能和結構也存在一定的差異，因此，光伏電站二次系統安全防護設備的配置，須充分考慮站内二次系統功能和結構，按照"安全分區、網絡專用、橫向隔離、縱向認證"的十六字方針要求，進行二次系統安全防護設備的配置。

1.縱向邊界

每套調度數據網需配置 2台縱向加密認證裝置，1台安裝在實時數據通道的邊界，1 台安裝在非實時數據通道縱向邊界。

2.橫向邊界

按照現場實際情況。須在安全I區與安全Ⅱ區之間部署1台硬件防火牆∶生産控制大區與管理信息大區之間部署1台正向隔離裝置，1台反向隔離裝置;安全Ⅲ區與安全Ⅳ區之間部署1台硬件防火牆。

光伏電站電力二次系統安全防護設備技術參數可參考表8-2。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!