摘要 风电机组的异地监控对加强风电场的远程管理降低机组运维成本和检查、排除机组安全隐患至关重要。通过虚拟专用网络(VPN)建立异地监控中心,既能达到节约成本的目的,又能满足国家电力监管委员会《电力二次系统安全防护规定》的要求。本文就通过VPN登陆方式建立风电机组的异地监控及其安全性进行分析和论述。
关键词 虚拟专用网络;远程异地监控;风电机组;网络安全;SCADA软件
风电机组都有各自的本地监控系统,通过机组控制器监测其运行状态,并进行实时控制。在风电场集中控制室的集中监控系统主要由监控软件和服务器组成,风电场的集中监控系统通过SCADA监控软件及通讯,从机组控制器获得每台信息,不仅可以获得每台机组的发电量,故障信息和可利用率等,而且,还可以对每台机组进行独立控制,控制机组启停,对机组功率大小、有功和无功实施控制等[1]。
异地的集中监控中心通过通讯连接到风电场。在世界各地的异地的集中监控中心则可以SCADA监控软件监测到每台机组的各种信息,实现风电机组的远程管理。即 通过修改参数等多种手段,判断机组故障和运行状态,实现机组远程检查、诊断和远程故障处理等。通过互联网,手机APP或远程监控系统登陆机组,将极大地方便管理。技术人员可对现场进行指导,远程诊断和处理机组故障,将最大限度地利用社会资源,降低风电机组营运成本。
陆上机组一般都分布在风资源丰富的偏远地区,随着我国风电行业发展的深入,海上机组和机组出口不断增多,而风电公司的总部及大部分的专业技术人员大都工作、生活在离风电场很远的城市,无论是实现“集中监控,区域维修”,降低度电成本,组织生产,还是,及时监控和了解机组的运行状况处理机组故障,产改进品质量等。在原理风电场的城市建立异地集中监控中心,无论是对整机生产厂家,还是风电场业主均具有重要的意义。
为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故,保障电力系统的安全稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》和国家有关规定,制定了《电力二次系统安全防护规定》。规定要求 电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电力监控系统和电力调度数据网络的安全[2]。
由于通过Internet远程访问很有可能造成泄密和被黑客攻击。按照电力二次安全防护要求,中间链路层的实现主要采用以下2种方式 数据专网和 VPN 虚拟专用网。而租用专线费用太大,利用VPN(虚拟专用网络,Virtual Private Network)是理想的选择[1]。
另外,由于异地的集中监控系统要实现控制和参数修改功能[3],需对异地监控中心的操作进行存储记录,或提示指导。异地集中监控系统的通讯设计,登陆的SCADA软件以及机组控制器设计必须考虑人身、机组及电网安全等问题;为保证人身、机组及电网安全,异地、风电场和本地的三级控制,应制定优先顺序 现场控制级别最高,其次是风电场集中监控室控制,最后是异地集中监控中心的主站控制。
VPN指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。VPN网络具有投资小、安全性、稳定性及接口与结构多样化的特性。
但在VPN中,用安全机制来保障机密型,真实可靠行,完整性严格的访问控制。这样就建立了一个逻辑上虚拟的私有网络。虚拟局域网提供了一个经济有效的手段来解决通过公用网络安全的交换私有信息。
2.1 VPN的安全保障
目前,VPN虚拟专用网主要采用四项技术 隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术,保障远程登陆风电机组、风电场、风电公司及用户的数据安全。
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术;如何在公用数据网上安全地传递密钥而不被窃取是密钥管理技术的主要任务。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
网络隧道技术涉及了三种网络协议,即 网络隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。 网络隧道是指在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。简单地说,就是利用一种网络协议来传输另一种网络协议。
构建远程访问虚拟专网(Access VPN)通常采用二层隧道协议。用于传输二层网络协议实现全国范围(甚至全世界范围)内风电场的集中监控和数据传输、可视化在线数据的获取;实现机组的远程控制、调节以及上级调度的控制与调节;机组的所有操作和运行产生的数据等则可由系统自动报告给数据库服务器;在不同地点的多个用户可登录进人。为保证机组操控及数据安全,只能允许少数用户对机组能进行远程操控及相关数据的修改[4],还应制定相关的管理制度及措施与之配套。
VPN连接方式是利用现有的网络,在风电场集控室与异地集中监视中心的计算机上各安装一套VPN设备,两端同时连接到以太网上,通过以太网建立VPN网络连接。该连接方式的数据安全性较低,但由于数据是通过以太网传输的,因此费用较低。如图1所示,VPN网络物理连接图。
图1 VPN网络物理连接图
在数据安全性方面,按照VPN技术要求,在网络中传输时,首先要对数据进行加密和压缩,这为被传输的每条信息提供了安全保证,确保用户的信息传输安全。在通讯两端安装防火墙设备,以防止病毒和其他一些有害信息对监管系统的破坏,进一步提高系统的安全性。
利用上述的远程VPN风电机组登陆方式,一方面可实现机组数据在互联网上的安全传输;另一方面,可以将特定的计算机和服务器同风电场集控室的计算机和服务器组建成为一个虚拟内部网[5]。
VPN 网络的建立,不仅可以解决风电场机组信息传输瓶颈问题,而且降低了整个风场的营运费用,提高了整个企业的管理效率[6]。
2.2 通过SCADA软件加密狗提高安全性
虽然加密狗的基本功能是防止软件盗版,保护软件代码安全,但在以安全为基础的前提下,可通过给SCADA监控软件设置加密狗的方法,进一步提高风电场集中监控和异地集中监控系统的安全性。
USB加密狗是目前流行的一种身份认证安全工具,大小类似U盘,可直接在电脑的USB接口插拔,每只狗有独立的产品识别码,独立最新加密算法,用户在登陆平台时,只有检测到特定的加密狗和准确的物理验证后,才允许正常登陆。
由于加密狗的特殊算法、唯一性,在用户登陆后台的同时,再次验证身份,给登录管理又加了一道防盗门,更好的看管机组的监控平台;加密狗可以随身携带,简单方便,即插即用,员工只有在授权的情况下才可以登陆系统。给内部管理带来了可靠和方便;即便帐号被病毒和黑客截取,但因为没有硬件狗也无法运行SCADA监控软件,对风电机组实施操控。从而达到提高网络安全的目的。
2.3 VPN在银行中得到普遍应用
VPN技术在现代银行网络系统中有着十分广泛的应用,对银行工作的进行有着很大帮助,同时对银行进步及发展有着很大促进作用。
从某种程度来讲,银行系统与电网系统相比,其安全性并不比电网系统的安全要求低。银行属于当前社会比较重要的金融机构,其内部信息一旦发生泄漏或者出现混乱,将会严重影响到银行自身信誉、国家安全以及社会稳定。在当前银行发展过程中,在应用VPN技术方面十分重要的一个方面就是数据的安全传输。在银行内部网络中,具备强度较高的加密技术,从而对敏感信息进行保护,在进行远程访问时,具备可靠的用户认证机制。另外,利用合理安全技术对银行内部的网络拓扑机构进行隐藏,防止外联服务器以及密钥中心受到攻击[7]。所有这些要求,与执行《电力二次系统安全防护规定》类似。
随着行业的深入和不断发展,行业规定及思维观念也需不断更新。这正如银行存款、取款业务,在现代通信和互联网出现之前,存取款业务只能通过柜台办理,随着网络技术和互联网的发展,人们的存取款等各种金融业务均可通过网络在世界各地办理,极大地方便了顾客,减少了运营成本。风电机组大都分布于人迹罕至的偏远地区,状态不定,与银行顾客有着相似之处。可借鉴银行发展的成功经验,搞好远程管理和远程技术服务,以提高服务的有效性和及时性[8]。
因此,在风电的异地集中监控中心的建设中,吸收VPN在银行系统应用中的成功经验,保证风电场及机组信息安全,提高风电场管理的有效性和现场服务的及时性,使VNP技术在风电行业中得到应用和发展。
2.4 VPN在风电机组远程监控的发展趋势
如今,VPN不能在我国风电机组异地集中监控中起到应有的作用,究其原因。害怕风电监控尤其是远程操控在Internet上传输不安全。通过前面介绍可知,VPN技术已经能够提供足够安全的保障。
VPN发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的信息安全体系中发挥着重要的作用[7]。
国外知名的风电整机厂家通过VPN实现全球机组的远程集中监控多年,可以借鉴国外先进厂家的经验保证机组集中监控的网络安全。同时,Internet已成为全社会的信息基础设施,在Internet上构筑应用系统已成为必然趋势。
2.5 通过VPN建立异地集中监控中心应用举例
某异地集中监控中心的监控方案,以3期风电场为例,如图2所示。该方案的机组生产厂家异地集中监控中心可通过VPN通道对3期风电场的监控电脑与集控室监控服务器进行访问。具体实施步骤如下
图2 VPN网络应用实例
(1)选用安全可靠的知名品牌VPN防火墙设备,如“CISCO”、“华伟”等。
(2) 为VPN通道申请一个静态IP地址,客户端可通过固定IP地址搭建VPN通道,这样,一方面,可以避免动态IP地址冲突造成的VPN通道连接不稳定性;另一方面,保证VPN通道建立的便利性与安全性。
(3) 根据选定VPN防火墙设备的配置说明对防火墙设备进行配置,划分防火墙的内部端口与外部端口并设定权限、设置外部端口IP地址等信息、设置内部与外部端口之间访问规则、设置VPN通道、设置VPN客户端访问用户名与密码。
(4) 在客户端电脑安装VPN防火墙设备的客户端软件、风电场监控软件客户端软件或VNC远程桌面监控客户端软件。
(5) 在客户端电脑通过VPN客户端软件建立VPN访问隧道,之后通过客户端风电场监控软件或VNC远程桌面监控软件实现对风电场SCADA服务器的数据访问或SCADA监控画面信息监控。
利用VPN虚拟专用通道,使异地监控中心实现对偏远地区各个风场风电机组运行状态和运行数据的集中监控。可以保证远程监控中心通讯的快速型性、稳定性与可靠性。机组及监控的安全性得到了保障。另一方面由于该结构的VPN监控系统投资小,结构简单及配置方便快捷的特点,因此,具有很高的实际应用性。同时建立风电场异地远程VPN监控系统,可以方便风电业主及时掌握风电场机组运行情况;方便风电机组制造商收集风电机组运行数据,对后期产品的改进与开发起到推动作用。
参考文献
[1]肖一卓,张天鸿.风电场远程监控技术应用研究[J].机械与自动化.2014(3):137
[2]电力二次系统安全防护规定.2005
[3]金红,等.风电场远程监控系统的设计与应用[J].河北电力技术.2014,32(6):23-25
[4]宋晓萍,等.基于Internet 的风电场SCADA系统框架设计[J].电力系玩自动.2006,30(17):89-93
[5]张可可,程占伟.基于IPSecVPN的机组远程监控系统设计[J].电子设计工程. 2014,22(20): 139-141, 145
[6]丁巧林,等.基于VPN 技术的风电场远程监控系统[J].机电信息.2011(3):30-31
[7]马辉.银行网络系统中VPN技术的有效运用[J].中国新通信.2015(19):81
[8]王明军.风电机组远程故障处理及容错运行[J].风能.2018(9):68-71
作者 酒泉职业技术学院新能源学院 王明军,东方电气自动控制工程有限公司 李盛儒
来源 《风能产业》2021.06
