[发明专利]一种用于新能源电厂的公网安全接入方法

说明书

本发明公开了一种用于新能源电厂的公网安全接入方法，包括如下步骤：对新能源电厂内的网络进行安全分区，并把各个业务系统放置在安全区内；各个安全区之间通过硬件措施进行横向隔离；将新能源电厂内安全级别最低的安全区与公网相接；通过互联网访问新能源电厂时，采用基于满意度的权限证书验证用户身份，通过验证时对新能源电厂内安全级别最低的安全区进行访问。利用本发明，不仅避免了新能源电厂的内网系统直接面临来自公网的安全风险，而且大幅提高了防范公网攻击的能力。

技术领域

本发明涉及一种公网安全接入方法，尤其涉及一种用于新能源电厂的公网安全接入方法。

背景技术

近几年，风电、光伏等新能源产业发展迅猛，电网新能源装机呈爆发式增长。随着新能源电厂业务大规模接入调度数据网络，接入的与公网连接的业务系统越来越多。而我国新能源电厂主要建设在人烟稀少，地理环境恶劣的位置，加上新能源电厂本身的地域分布很广，因此人工维护的难度很大，大都采用远程访问的方式进行控制与监测。

以风电场为例，风电公司都设在远离风电场的城市中，公司本部与风电场的管理和数据传输通过ISP专线进行连接，临时办公人员和出差人员则是通过公共互联网登入公司内部网络对风电场进行访问和管理的，风机各种采集数据与风电场之间大多通过无线网络进行通信。通过公网(互联网或无线网络)进行数据通信，在带来方便的同时，也带来了风险。互联网技术的广泛应用使病毒和黑客日益猖獗，黑客通常会对连接到公网上的计算机系统和设备进行入侵、攻击，影响网络上信息的传输，破坏软件系统和数据，盗取企业的商业秘密和机密信息，非法使用网络资源等，对电力二次系统的安全防护带来了新的挑战。一旦风电场的业务系统遭到黑客入侵，将给风电场造成巨大的损失。

目前，新能源电厂在二次安全防护方面的水平整体较弱，光伏电站和风电场等新能源电厂普遍还没有自己的一套防护方案，大都是按照《电力监控系统安全防护总体规定》，对电厂内的网络进行安全分区，将以公网形式作为数据传输载体的业务及应用放置在管理信息大区，并与生产控制大区采用物理隔离装置实现物理隔离，管理信息大区与公网接入的边界采用防火墙进行逻辑隔离。可见，目前新能源电厂在二次系统安全防护方面主要是以内网的安全防护为主，在与公网相接的网络边界，其安全防护措施大多只有一个防火墙，防护能力十分薄弱。

随着电网和通信网络技术的发展，会有越来越多的电力业务系统与公网相接，面临来自公网的安全威胁也越发严重，因此，设计一种安全可靠的公网接入方案，以加强新能源电厂相关业务系统与公网的边界防护水平，提升新能源电厂公网接入的安全性，显得尤为重要。

发明内容

针对现有技术所存在的不足，本发明所要解决的技术问题在于提供一种用于新能源电厂的公网安全接入方法。

为实现上述的发明目的，本发明采用下述的技术方案：

一种用于新能源电厂的公网安全接入方法，包括如下步骤：

对新能源电厂内的网络进行安全分区，并把各个业务系统放置在安全区内；

各个安全区之间通过硬件措施实现横向隔离；

将新能源电厂内安全级别最低的安全区与公网相接；

通过互联网访问新能源电厂时，采用基于满意度的权限证书验证用户身份，通过验证时对新能源电厂内安全级别最低的安全区进行访问。

其中较优地，当新能源电厂有新业务系统加入时，对新能源电厂内的网络进行安全分区，包括如下步骤：

根据设定指标确定特征向量值，并提取特征向量；

根据提取特征向量，计算新业务系统的安全值；

根据安全值为新业务系统分配安全区。

其中较优地，所述根据提取特征向量计算新业务系统的安全值按下式进行计算：