浅谈水电厂二次系统安全防护存在的风险及防控策略

浅谈水电厂二次系统安全防护存在的风险及防控策略

王君

大唐陈村水力发电厂 安徽省宣城市 242500

摘要：我国的网络通信技术在近些年得到了快速发展，其在水电厂中的应用也已逐渐广泛，信息技术对水电厂的现代化管理提供了非常大的助益，但信息安全也成为了新的关注焦点。本文着重讨论水电厂二次系统安全防护中存在的风险以及防控策略，就现状和相关防范技术及措施进行浅析，力图为该项工作提供更多可参考的现实依据。

关键词：水电厂；二次系统；安全防护；防控策略

1. 浅析水电厂二次系统防护的技术及意义

1. 相关防护技术

近些年我国的信息技术也得到了快速发展，目前水电厂二次系统的安全防护技术较多，主要有VLAN技术、数字证书技术、MPLS-VPN技术、数据备份技术及病毒防控技术等。VLAN技术为一种虚拟的局域网络，该技术对网络资源的利用率较高，可以根据实际情况对整个网络模块进行划分，实现信息互通并设置不同的访问层级，具有较高的安全性和实用性。数字证书技术具有数字认证和网络操作审查及加密等应用功能，对数据本身的安全性有较高保障。MPLS-VPN技术对于核心路由器的工作方式可以进行调整和转变，将目前的IP网络进行模块划分，便于安全防护和管理。数据备份可在实际运营中将各项运营数据及时备份，确保数据的完整性和及时性，若系统遭遇攻击，可在第一时间完成数据回档，对于恢复整个系统的正常运营意义重大。病毒防控技术可对病毒进行快速分析和判断，不断提升病毒防控等级，具有及时诊断的功能，对于预防病毒攻击具有实际应用价值，可将病毒扼杀在萌芽期。

2. 安全防护的意义及必要

二次系统作为整个电力系统中的重要节点阵地，其自身的安全性需要受到高效保障，才能确保整个系统顺利安全运营。在信息化高速发展的当下，为实现现代化管理和适应当下的实际发展需求，目前水电厂的各项业务都已基本转为信息化网络模式，大幅度提升了运营效率，但同时也让水电厂的网络安全遭遇了潜在威胁，为维护自身的安全和稳定，需要高效的安全防护措施及技术才能确保其正常高效的稳定运行。此外，随着各项防护技术的不断拓展和迭代，对水电厂内部的信息数据管理也带来了较大帮助，使得内部数据的模块化管理更为规范和有效，便于数据的快速调用和分析，这种高效率、高灵活度的数据调配功能为业务管理和发展策略的制定具有重大意义，可为决策提供详实、准确的参考依据。

2. 安全防护总则及规范要求

1. 防范总则

在水电厂二次系统安全防护中需要严格遵照国家发改委颁发的相关制度管理规定，对网络信息进行安全维护。在相关防护技术的实际应用中应该首先明确具体的要求和准则，主要包括抵御网络黑客恶意攻击和病毒侵袭、分级授权管理及灵活调用等^[2]。在黑客攻击和病毒侵袭中要确保时刻保持稳定性，尤其在大规模攻击中要应对得力，确保内部数据不受侵袭。在实际运用中应该按照要求实施分级授权管理，根据不同的管理内容设置相应的安全等级，最大限度防范越权违规操作的可能性。此外，有些特殊人员需要一定的灵活调用功能，包括技术和管理等，便于维护和确保整个数据网络的安全运行，竭尽全力维护二次系统免受侵扰和侵袭，避免出现系统瘫痪等不良事件。

2. 防护规范与要求

1. 分区管理

按照国家相关规定对水电厂二次系统进行分区管理，主要分为生产控制区及管理信息区，生产控制区中主要由控制区和非控制区构成，管理信息区则又划分为生产管理和管理信息两个区域。

2. 指定网络

水电厂在日常工作中需要与上级单位及调度中心进行网络通信，这种纵向通讯可遵照分区管理原则选用制定的专属通道进行信息传递。二次系统中的生产控制区可以选用实时子网实现与其他部门之间的信息传输，而管理信息区可选用非实时子网与其他部门之间实现信息传输，不仅可以在物理层面中完成与其他相关单位的数据隔离，同时与外部网络之间也保持了相对安全的距离。

3. 横向式隔离

横向式隔离中的正向隔离技术可让生产控制区至管理信息区之间实现单项数据传递，为非网络式信息互通；而反向隔离技术可让管理信息区至生产控制区之间实现单项数据传递，而且这种信息传递具有单一途径的特点，可确保唯一性和安全性。

3. 二次系统的相关风险评估

目前的网络通信技术正在不断迭代升级，同时也加剧了其自身的复杂性。水电厂的日常管理和运营也已实现高度自动化和信息化，接入的设备网络越来越多其安全性就越容易受到威胁。

1. 寄生旁路回路

寄生旁路回路的风险等级较高，具有极大危害性，恶意攻击者会运用各种技术手段来查询水电厂网络系统中存在的漏洞或防范薄弱区，再利用这些缺点问题绕过防护墙发起进攻，可对内部系统进行非法控制，导致系统错误及功能受损，严重时可引发系统瘫痪及其他不良事件。

2. 完整性受损

水电厂的整个监控系统数据具有自身的完整性和条理性，但在遭遇外部侵袭时其内部的功能配置和原始代码及重要信息都有可能遭受到非法篡改或增删等，导致数据系统的完整性受损，可引发水电厂遭遇各种事故，严重时或可导致停运。

4. 水电厂二次系统防护的相关策略

1. 相关保障措施

在水电厂二次系统安全防护中，首先要关注相应的保障措施，才能让各项技术发挥更好的应用价值。首先，二次系统的安全防护工作需要受到水电厂主要领导及管理者的充分认识和重视，关注相关技术的发展和应用，将先进技术和现代管理理念融入水电厂的日常运营及战略发展规划中去，尽快完成系统建模和各项技术的应用落地。只有在高层领导的关注下才能为安全防护工作和技术带来极大促进作用，加速实现并得以高效运用，与企业自身的发展相融合，也能实现更为切实的应用价值，发挥最大效用。其次，安全防护技术在实际应用中需要进行定期检查和维护，确保技术的实用效能，水电厂需要积极引进相关技术人才并关注当下的技术发展趋势，了解技术的前沿信息，为系统运营提供安全保障。最后，水电厂还应不断完善安全管理制度，根据实际情况不断更新和完备其中的管理细节，实现更好的防范和预防，避免个别人员为了自身利益而做出不利于系统安全的违规行为，为系统安全做好制度保障。

2. 二次系统的安全防护技术策略

1. 边界防护技术

水电厂分为两个主要大区，生产控制区和管理信息区，这两个大区完全可以实现物理层面上的隔离，之间不存在连接，符合边界防护的技术要求。实际运营中，管理信息区需从生产控制区获取相应的信息数据，同时需要防控信息数据反向流回，因此在系统管理中需要设置横向、单向式的专用信息通道，采用安全隔离技术实现边界防护，形成保护机制。在生产控制区的内部系统中应设置访问控制，采用网络设备和防火墙等完成隔离，注意隔离中的逻辑性需要与实际情况相符。对于电子邮箱、Web和FTP等具有风险因素的网络服务要进行严格管制，包括防止B/S、C/S等数据库的违规访问和穿越，仅可允准纯数据进行单向的安全传输，避免边界防护不力导致系统出现风险^[3]。

5. 小结

随着信息化的不断深入发展，网络通讯中的复杂性不断增加，信息技术随时可能更新迭代，面对这一情况，水电厂二次系统的安全防护需要引起足够的重视，才能确保水电厂的安全、高效运营。水电厂应积极引进先进技术人才，并加强对现有人才的培训，积极学习相关防护技术知识，主动找寻国内外的先进经验及应对案例，完成自我知识更新，才能更好的应对工作需要。

参考文献：

[1] 张验科,刘源,纪昌明,等.考虑水流时滞的梯级水电站水库群短期发电优化 调度 [J]. 电力系统自动化,2020,44(6):45-51.

[2] 杨可,谈超,王民昆,等.高比例水电多直流弱送端电网自动发电控制的优化 方法 [J]. 电力系统自动化,2019,43(11):166-173

[3] 宁剑,谈超,江长明,等.区域电网省级 AGC 控制区的灵活组合控制策略[J].电力系统自动化,2019,43(10):171-176.