光伏防護網公司(光伏防護網公司排名)

光伏防護網公司(光伏防護網公司排名)

光伏電站網絡安全防護設備

電力二次系統安全防護設備有縱向加密裝置、橫向隔離裝置、防火墻、入侵檢測裝置、數字證書系統、防病毒系統等，本節介紹光伏電站中廣泛使用的橫向隔離裝置、縱向加密裝置、防火墻。

一、橫向隔離裝置

電力專用橫向單向安全隔離裝置作為生產控制大區與管理信息大區之間的必備邊界防護措施，是橫向防護的關鍵設備。它可以識別非法請求并阻止超越權限的數據訪問和操作，從而有效抵御病毒、黑客等通過各種形式發起的對生產控制大區的惡意破壞和攻擊活動。橫向隔離裝置分為正向隔離裝置和反向隔離裝置。

正、反向隔離裝置接入方式如圖 8-2所示。

（一）正向隔離裝置

正向隔離裝置用于安全區Ⅰ/Ⅱ到管理信息大區的單向數據傳遞，實現兩個安全區之間的非網絡方式的安全數據交換。

（二）反向隔離裝置

反向隔離裝置用于從管理信息大區到安全區 Ⅰ/Ⅱ單向傳遞數據，是管理信息大區到安全區Ⅰ/Ⅱ的唯一數據傳遞途徑。橫向安全隔離裝置（反向）集中接收管理信息大區發向安全區Ⅰ/Ⅱ的數據，進行簽名驗證、內容過濾、有效性檢查等處理后，轉發給安全區Ⅰ/Ⅱ內部的接收程序。

反向隔離裝置的工作過程：

（1）管理信息大區內的數據發送端，首先對需發送的數據簽名，然后發給反向型隔離裝置。

（2）隔離裝置接收數據后，進行簽名驗證，并對數據進行，內容過濾、有效性檢查等處理。

（3）將處理過的數據轉發給安全區工/Ⅱ內部的接收程序。

申力專用安全隔離裝置作為安全區Ⅰ/Ⅱ與管理信息大區的以備邊界，具有較高的安全防護強度，是安全區Ⅰ/Ⅱ橫向防護的要點。

（三）橫向隔離裝置在光伏電站中的應用

光伏電站中橫向隔離裝置使用場景一般有兩種。第一種情況，一部分光伏電站將安全區Ⅰ計算機監控系統中采集的實時數據傳輸至管理信息大區的生產管理系統或直接傳輸至發電集團總部監控中心，中間須安裝1臺正向隔離裝置，用于安全區Ⅰ到管理信息大區的單向數據傳輸。第二種情況，光伏電站功率預測系統中，部署在管理信息大區的氣象服務器將收集的天氣預報數據發送至安全區Ⅱ的光伏電站功率預測服務器，中間須安裝1臺反向隔離裝置，用于管理信息大區到安全區Ⅱ的單向數據傳輸。

二、硬件防火墻

硬件防火墻是設置在內部網絡和外部網絡之間的一道屏障，以防止發生不可預測的、潛在的破壞性侵入。它可通過監測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護。防護墻的部署方式如圖 8-3 所示。

1.防火墻的功能

（1）過濾進出網絡的數據。數據包在通過防火墻時，不符合規定的IP 地址的信息包會被過濾掉，以保證內部網絡的安全。通過過濾不安全的服務，防火墻可以極大地提高內部網絡安全和減少內部網絡中主機的風險。例如，防火墻可以禁止 NIS、NFS服務通過，同時可以拒絕源路由和 ICMP重定向封包。

（2）管理進出網絡的訪問行為。防火墻可以提供對內部網絡的訪問管理。如允許從外部網絡訪問內部網絡某些主機，同時禁止訪問另外的主機。例如，防火墻允許外部訪問特定的Mail Server 和 Web Server。防火墻對內部網絡實現集中的安全管理，防火墻定義的安全規則可以運行于整個內部網絡系統，而無須在內部網每臺機器上分別設立安全策略。外部用戶也只需要經過一次認證即可訪問內部網絡。

（3）記錄進出網絡的信息和活動，對危險行為進行檢測和告警。防火墻可以記錄和統計通過防火墻的網絡通信。提供關于外部網絡訪問內部網絡的統計數據，并且通過這些數據來判斷可能的攻擊和探測，及時對網絡攻擊進行檢測和告警。

2.防火墻在光伏電站的應用

在光伏電站電力二次系統中，防火墻作為生產控制大區或管理信息大區內部網絡之間必備的橫向邊界防護措施，如光伏電站功率預測服務器（安全Ⅱ區）與電站監控系統（安全Ⅰ區）進行數據交互須在通信鏈路中間加裝防火墻;天氣預報服務器（安全Ⅲ區）接收 Inter-net 網絡中的氣象數據，須在通信鏈路中間加裝防火墻。通信鏈路中的防火墻通過對數據來源和流向進行控制，以保證網絡安全性。它能允許你"同意"的人和數據進入你的網絡，同時將你"不同意"的人和數據拒之門外，較大限度地阻止低安全等級網絡中的非法訪問者來訪問高安全等級的網絡。

光伏電站防火墻的一般要求設備本身具有預防入侵的功能，并且自身具有較高的抗攻擊能力;外部網絡與內部網絡互相訪問的雙向數據流必須通過防火墻;只有被安全策略允許（合法）的數據才可以通過防火墻。

三、縱向加密認證裝置

縱向加密認證裝置用于生產控制大區的廣域網邊界防護?？v向加密認證裝置為廣域網通信提供認證與加密，實現數據傳輸的機密性、完整性保護，同時具有類似防火墻的安全過濾功能。

（一）工作原理

為實現數據通信的加密和認證，須在網絡數據通信的兩端各配置1臺縱向加密認證裝置，在光伏電站側通常部署于路由器與交換機之間。

（二）接入流程

（1）了解數據網絡結構，拓撲，地址規劃，路由及策略，VPN業務規劃與接入。

（2）業務系統負責人確認可能對業務引起的中斷評估，開具第二種工作票。

（3）確定縱向加密認證裝置的布署方案和布署位置。

（4）進入設備調試環節。

1）初始化∶生成裝置的設備公私鑰，并填寫必要信息;生成證書，提交本級調度證書服務系統簽發。

2）配置∶配置設備的基本信息，安全隧道信息，安全策略信息。導入對端裝置的設備證書，與對端聯調，保證隧道能夠正常建立，安全策略與對端匹配，業務能夠正常通信。導入管理中心的證書，保證縱向加密管理中心能夠對該縱向加密認證裝置進行遠程管理。

3）監控;添加縱向加密認證裝置日志傳送主站內網安全監視平臺的配置，保證主站內網安全監視平臺能夠監測到該縱向加密認證裝置實時的運行狀態。

（三）應急解決步驟

應對裝置異常，提出相應的應急解決方案。

（1）與相應調控機構聯系，查詢裝置的狀態。

（2）斷電重啟裝置，重啟后查看縱向加密裝置運行及業務通信是否正常。

（3）重啟后，如故障未消除，征得調控機構同意后，啟用硬旁路，同時聯系設備生產廠家進行故障處理。

（四）縱向加密認證裝置在光伏電站中的應用

光伏電站中，縱向加密認證裝置一般部署在生產控制大區縱向邊界，通常在安全Ⅰ區和安全Ⅱ區縱向邊界各部署1臺，分別與主站安全Ⅰ區和安全Ⅱ區縱向加密裝置配合實現數據的加解密和認證功能，保障縱向數據通道的安全可靠。

四、安全防護設備的配置原則

各光伏電站中安裝的電力二次系統不盡相同，系統的功能和結構也存在一定的差異，因此，光伏電站二次系統安全防護設備的配置，須充分考慮站內二次系統功能和結構，按照"安全分區、網絡專用、橫向隔離、縱向認證"的十六字方針要求，進行二次系統安全防護設備的配置。

1.縱向邊界

每套調度數據網需配置 2臺縱向加密認證裝置，1臺安裝在實時數據通道的邊界，1 臺安裝在非實時數據通道縱向邊界。

2.橫向邊界

按照現場實際情況。須在安全I區與安全Ⅱ區之間部署1臺硬件防火墻∶生產控制大區與管理信息大區之間部署1臺正向隔離裝置，1臺反向隔離裝置;安全Ⅲ區與安全Ⅳ區之間部署1臺硬件防火墻。

光伏電站電力二次系統安全防護設備技術參數可參考表8-2。