特高壓直流輸電系統(tǒng)換流站網(wǎng)絡(luò)安全研究

李鳳龍，張浩然，趙冠華，趙東杰，李桂舉

（許繼電氣直流輸電分公司，河南 許昌 461000）

0 引 言

隨著國民經(jīng)濟的快速增長，國內(nèi)用電需求大幅增加，而國內(nèi)自然條件、能源以及負荷中心的分布使得遠距離、大容量、低損耗的電力傳輸成為必然，特高壓直流輸電技術(shù)正好迎合這一需求。近年來，隨著直流輸電電壓等級的不斷提高，直流換流站中電力設(shè)備在數(shù)量和容量上不斷增加，導(dǎo)致?lián)Q流站網(wǎng)絡(luò)安全問題日益突出，對電力系統(tǒng)的平穩(wěn)運行帶來了嚴峻挑戰(zhàn)。近期國家電網(wǎng)公司、南方電網(wǎng)公司相繼出臺各種文件，強調(diào)換流站網(wǎng)絡(luò)安全重要性以及對存在的風險隱患進行多輪次排查[1]。面對當前嚴峻的電力系統(tǒng)網(wǎng)絡(luò)安全形勢，換流站作為電力系統(tǒng)行業(yè)的重要核心支柱急需加強網(wǎng)絡(luò)安全防護，打造晴朗的換流站網(wǎng)絡(luò)空間，筑起積極主動、攻防兼?zhèn)?、可管可控的換流站網(wǎng)絡(luò)安全屏障勢在必行[2]。

1 換流站常見網(wǎng)絡(luò)安全隱患

1.1 工作人員網(wǎng)絡(luò)安全知識積累不夠

在電力系統(tǒng)網(wǎng)絡(luò)安全的建設(shè)和運維過程中，通信運維相關(guān)負責人不專業(yè)，對網(wǎng)絡(luò)安全知識掌握不夠。隨著信息化進程的步伐加快和信息安全防護技術(shù)的不斷提升，從事?lián)Q流站網(wǎng)絡(luò)安全相關(guān)工作需要不斷吸收新技術(shù)，由于日常的換流站運維工作的繁雜導(dǎo)致技術(shù)的提升不夠，對當前網(wǎng)絡(luò)安全現(xiàn)狀認知不夠，出現(xiàn)違規(guī)工作、不按既定規(guī)范作業(yè)等現(xiàn)象，對換流站整體網(wǎng)絡(luò)安全帶來極大隱患，嚴重時可導(dǎo)致?lián)Q流站控制保護系統(tǒng)和VBE的跳閘。

1.2 網(wǎng)絡(luò)病毒

網(wǎng)絡(luò)病毒是電力系統(tǒng)網(wǎng)絡(luò)運維過程中最為常見的問題。常見的網(wǎng)絡(luò)病毒主要有木馬病毒、蠕蟲病毒和后門病毒等，都具有傳播速度快，擴散面廣，傳播形式趨于復(fù)雜，清除更加困難等特征[3]。工作人員將自己的筆記本電腦接入換流站網(wǎng)絡(luò)進行調(diào)試，或者未使用換流站專用移動存儲盤工作等，一旦站內(nèi)某臺計算機感染病毒，就會通過網(wǎng)絡(luò)迅速擴散，對換流站整個網(wǎng)絡(luò)及其計算機造成極大沖擊，嚴重時會對逆變側(cè)換流站網(wǎng)絡(luò)架構(gòu)與計算機造成極大損害。

1.3 身份認證安全系數(shù)不高

換流站計算機系統(tǒng)大部分是基于電力系統(tǒng)行業(yè)需求開發(fā)，使用口令為用戶身份認證的鑒別模式，而這種模式最容易受到黑客攻擊，如果用戶再使用的是“弱口令”則最容易被勒索病毒攻擊。此外，一些計算機系統(tǒng)還用數(shù)據(jù)庫或者文件將口令、用戶名以及一些安全控制信息用明文方式去記錄。目前，這種身份認證安全措施已不再適用于電力系統(tǒng)領(lǐng)域。

1.4 信息化網(wǎng)絡(luò)安全體系不健全

隨著電力系統(tǒng)的自動化程度不斷深入推進，嚴格管控電力網(wǎng)絡(luò)安全制度規(guī)范化，不斷創(chuàng)新完善網(wǎng)絡(luò)安全防護制度清晰化已迫在眉睫，這樣才能從根本上提升電力系統(tǒng)網(wǎng)絡(luò)安全。就當前情況而言，換流站的日常運維中仍然對網(wǎng)絡(luò)安全體系建設(shè)不夠重視和完善，很大程度上對換流站整體網(wǎng)絡(luò)架構(gòu)產(chǎn)生極大隱患。由于缺乏科學(xué)的、系統(tǒng)的網(wǎng)絡(luò)安全體系，使得在日常運維中容易出現(xiàn)大漏洞。

1.5 網(wǎng)絡(luò)管理運營的風險

網(wǎng)絡(luò)管理運營是電力系統(tǒng)信息通信網(wǎng)絡(luò)安全風險的來源之一。電力系統(tǒng)信息通信網(wǎng)絡(luò)的安全離不開電力系統(tǒng)內(nèi)外網(wǎng)分離措施。從實際情況來看，網(wǎng)絡(luò)管理運營還存在一定的風險，主要是由人為導(dǎo)致的。在對網(wǎng)絡(luò)進行日常管理與運營時，電網(wǎng)內(nèi)部的管理人員以及操作人員通過移動存儲介質(zhì)與終端等設(shè)備進行數(shù)據(jù)通信，進而造成信息出現(xiàn)泄漏與失真等情況。在這種情況下，很容易受到病毒或木馬的侵擾，嚴重時整個電力系統(tǒng)的正常運行將會受到一定影響。

2 換流站網(wǎng)絡(luò)安全防范措施

2.1 提高工作人員網(wǎng)絡(luò)安全知識水平

換流站網(wǎng)絡(luò)安全關(guān)系區(qū)域電網(wǎng)的穩(wěn)定，必須引起相關(guān)工作人員的高度重視。因此，為了確保換流站網(wǎng)絡(luò)體系的安全穩(wěn)定，首要任務(wù)就是加強工作人員的網(wǎng)絡(luò)安全意識，提高網(wǎng)絡(luò)安全技術(shù)水平。各省檢公司、超高壓局及其換流站應(yīng)積極開展各種學(xué)習(xí)活動、網(wǎng)絡(luò)安全知識講座以及網(wǎng)絡(luò)安全技能競賽等，從而使全員均有網(wǎng)絡(luò)安全意識，網(wǎng)絡(luò)安全技能大幅提升，從根本上確保換流站網(wǎng)絡(luò)結(jié)構(gòu)的安全穩(wěn)定。

2.2 使用防病毒系統(tǒng)和專用設(shè)備

在換流站，任何信息的交互大多采用了計算機，而更多的裝置采用了嵌入式系統(tǒng)，在調(diào)試期間需接入外部計算機設(shè)備進行調(diào)試，同時為了數(shù)據(jù)及其配置備份，需要用到外部移動存儲器。在此工作期間必須使用專用調(diào)試計算機和移動存儲設(shè)備，嚴防帶病毒存儲設(shè)備或者將調(diào)試計算機接入外部互聯(lián)網(wǎng)，從根源上確保換流站整個體系設(shè)備均不被網(wǎng)絡(luò)病毒進行感染和攻擊。

2.3 提高身份認證安全系數(shù)

一個安全的信息系統(tǒng)應(yīng)當做到在保障授權(quán)用戶使用系統(tǒng)的同時必須禁止非授權(quán)用戶訪問系統(tǒng)，而身份認證則是確保系統(tǒng)安全的重要保障。因為用戶身份是訪問控制決策的一個關(guān)鍵參數(shù)，不同身份的用戶應(yīng)被授予有相應(yīng)的權(quán)限。此外，再把與安全相關(guān)的事件記錄到日志中，記錄用戶的身份。目前，換流站常見的用戶身份認證方法有口令和口令卡等，口令必須禁止弱口令，防止字典攻擊等[4]。

2.4 完善網(wǎng)絡(luò)安全體系建設(shè)

近年來，隨著電力市場化進程的加快，完善電力系統(tǒng)網(wǎng)絡(luò)安全體系進程刻不容緩。換流站安全系統(tǒng)的建設(shè)包括了網(wǎng)絡(luò)防火墻、入侵檢測、漏洞掃描、計算機防病毒、縱向加密等在內(nèi)的安全系統(tǒng)。首先，安全管理建設(shè)與安全策略建設(shè)密不可分，有必要建立集中式、全方位、動態(tài)的安全管理中心，使其與整體安全有關(guān)的各項安全技術(shù)和產(chǎn)品捏合在一個規(guī)范的、集體的、集中的安全平臺上。其次，安全策略實現(xiàn)電子化和自動化管理，遵循均衡、動態(tài)和立體性的原則。

2.5 研發(fā)安全性數(shù)據(jù)傳輸渠道

經(jīng)研究表明，現(xiàn)階段在計算機系統(tǒng)中建設(shè)傳輸渠道對提高計算機之間的傳輸具有明顯的效果。由于各種因素的限制，電力系統(tǒng)中的相關(guān)數(shù)據(jù)在傳輸過程中無法得到安全保障。要想保證我國電力系統(tǒng)傳輸數(shù)據(jù)的真實有效性，就要對相關(guān)數(shù)據(jù)在傳輸過程中的安全進行保障。數(shù)據(jù)的真實性隨著信息在傳輸過程中遇到的問題而改變，將會嚴重誤導(dǎo)信息接收方，使其無法做出正確的決策，從而導(dǎo)致電力系統(tǒng)在正常運行過程中受到嚴重的影響。因此，研發(fā)安全性數(shù)據(jù)傳輸渠道是保障我國電力系統(tǒng)正常運行的重要基礎(chǔ)。

2.6 加強網(wǎng)絡(luò)管理運營

網(wǎng)絡(luò)管理運營的質(zhì)量決定了電力系統(tǒng)信息通信網(wǎng)絡(luò)是否安全。在電力信息通信網(wǎng)絡(luò)系統(tǒng)正常運行的背景下，要想提升網(wǎng)絡(luò)管理運營效率，就要結(jié)合我國電力工業(yè)的特點，同時進一步完善相關(guān)人員與網(wǎng)絡(luò)管理隊伍建設(shè)工作，提升自身管理行為。在遵循相關(guān)工作流程前提下，相關(guān)專業(yè)人員應(yīng)對設(shè)備下線的工作進行記錄與評估，同時開展剩余信息的刪除與銷毀工作，并注重信息網(wǎng)絡(luò)安全保密工作，從而保障網(wǎng)絡(luò)與信息的安全運行。同時，相關(guān)部門要加強對電力系統(tǒng)網(wǎng)站管理與維護的規(guī)范工作，以滿足網(wǎng)絡(luò)設(shè)備的配置維護、故障分析以及收集等需求。在內(nèi)網(wǎng)獨立的背景下，相關(guān)技術(shù)人員應(yīng)對其質(zhì)量進行管控，以降低因技術(shù)人員誤操作而出現(xiàn)風險隱患的情況。電力企業(yè)還應(yīng)開展離線設(shè)備信息處理培訓(xùn)工作，以避免自身數(shù)據(jù)信息泄漏，從而保障電力系統(tǒng)的安全運轉(zhuǎn)。

3 結(jié) 論

電力系統(tǒng)關(guān)系到國計民生，而換流站作為電力系統(tǒng)穩(wěn)定可靠運行的壓艙石，必須要有較高的安全需求。本文介紹了換流站常見網(wǎng)絡(luò)安全隱患，并提出了換流站網(wǎng)絡(luò)安全防范措施。