[发明专利]一种新能源厂站远程运维非法网络通道识别方法

说明书

本发明的目的在于针对新能源厂站普遍存在的违规外联、远程运维、厂站监控中心网络外连等安全隐患，提出一种适用于新能源厂站站域的非法网络通道识别方法，代替人工巡检，通过技术手段来有效监测、杜绝此类非法网络通道。新能源厂站的站域典型远程运维非法网络通道有三类，第一种是站域外的设备与安全区I中的风机监控系统和功率控制系统之间的运维通道，第二种是站域外的设备与安全区II中的功率预测系统之间的运维通道，第三种是站域外的设备与管理信息大区中的天气预报系统之间的运维通道。

技术领域

本发明属于信息安全技术领域，具体涉及一种新能源厂站远程运维非法网络通道识别方法。

背景技术

以风能、太阳能为代表的新能源厂站是未来电网发展的大势所趋。新能源发电不仅环保清洁，而且其储能充足，可有效应对日益严峻的环境污染和化石能源短缺问题。利用新能源来逐步代替传统的煤、石油或天然气等化石能源来进行发电，是今后电力工业发展的主要趋势。近年来，新能源产业规模的不断扩大，以光电、风电为代表的新能源厂站规模呈快速增长态势，装机容量将快速取代水电、火电等传统能源的统治地位。随着越来越多新能源厂站的建设和入网，诸如违规外联、远程运维、厂站监控中心网络外连等网络安全风险问题也日益突出。

新能源厂站相较于传统厂站来说，个体规模较小，地理位置普遍位于较为偏远的郊区甚至山区，现场维护人员配置不足。部分设备提供商为降低后期运行维护成本，建设了发电集团的集中控制中心(以下简称“集控中心”)，通过接入多个风电场生产控制大区对场站安全区I的监控系统和安全区II的功率预测系统进行远程监视、控制及维护。同时，新能源厂站普遍存在允许设备厂商通过互联网进行生产控制大区系统、设备的远程运维情况。

集控中心与新能源厂站监控系统的网络连接方式和安全防护措施差异较大，缺乏相关标准规范，普遍存在安全防护措施不到位情况。例如，某些风电集控中心连接了风电厂内管理信息大区，甚至部分集控中心直接与厂站的生产控制大区相连。在网络传输通道方面，部分集控中心与新能源厂站的通信网络采用企业自建的光纤专网，部分通过租用移动运营商的专用VPN或电力专用网络，甚至也存在部分企业采用公网传输的情况。当集控中心直接通过非电力专用网络接入新能源厂站的生产控制大区时，普遍存在未采用有效的加密认证、访问控制等安全防护措施的问题，存在生产控制网络遭受网络入侵、控制指令及数据被恶意篡改的安全隐患。此外，部分新能源厂站站域电子监控系统中的设备存在多网卡跨接电力调度数据网和企业集控专网现象，这也就使得将企业集控网络作为跳板，向电力调度数据网发起网络攻击成为可能。集控中心通过网络接入，可直接控制多个风电厂的生产控制系统，远程对风机实现启停控制。一旦集控中心遭受网络攻击，攻击者就可以通过控制指令关停集控中心管辖的所有风机，造成风电大面积脱网，导致电网内部电压不平衡，甚至出现局部或大范围电网事故。

此外，部分运维人员或设备厂家利用远程运维软件，如QQ或Teamviewer等，直接通过互联网访问厂站站域内的电力监控系统实施故障处理、程序升级等维护操作，导致生产控制系统与互联网直接相连，将控制系统完全暴露在了互联网上。部分风电场集团公司总部或第三方部门也存在绕过电力专用隔离装置直接维护风电场数据采集设备的现象。在远程运维过程中，一旦运维人员帐号被盗用、运维人员误操作或非法操作，均会给风电厂及区域电网的网络安全带来巨大的安全威胁。

集控中心与新能源厂站之间的网络通道，运维人员所使用的计算机与厂站站域内的电力监控系统之间的网络通道，都属于非法网络通道的范畴，会使得新能源厂站自身以及电力调度数据网面临严峻的网络安全威胁。目前，电力相关管理部门只能通过人工巡检的方式来发现此类非法网络通道，并监督新能源厂站进行整改。人工巡检需要安排大量人员到每个厂站现场，不仅耗时耗力，而且某些厂站可能会为了应付检查，临时拆除用于建立非法网络通道的设备，在检查结束后又进行重新安装部署。因此，亟需一种强有力的技术监测手段来识别出此类非法网络通道。

发明内容