双机热备配置纵向加密装置在风电场监控系统中的应用研究

摘要：随着电力设备智能化、电网运行自动化及网络技术的迅速发展，风电场在就地采集端与站控系统之间面临着日益严峻的安全隐患。非法入侵一旦由就地采集端进入站控系统，将对场站造成重大损失。基于传统安全防护，文章提出了一种风电场电力监控系统整改方案。该方案在就地采集端和站控系统侧部署了纵向加密认证装置，避免两者直接通信；同时，在站控系统侧的交换机上配置了Smart Link和Monitor Link技术，以防止双上行组网引发网络风暴。方案的实施实现了密文传输，保证了通信的连续性，有效阻止了安全风险向站控系统的扩散，显著提升了就地采集端与站控系统之间的通信安全性。

关键词：安全防护；电力监控系统；纵向加密装置；Smart Link与Monitor Link；网络风暴

中文图分类号：TM732；TP23 文献标识码：A

文章编号：1009-3044（2025）05-0074-04 开放科学（资源服务） 标识码（OSID） ：

0 引言

科学技术的进步，电力设备的智能化与网络技术的不断革新，使新能源电力产业的发展取得了长足进展。作为一种环保，可再生的风能也在新能源行业迎来了快速发展的机遇。经过多年的发展，陆上和海上风电建设取得了长足的进步。为了应对日益严峻的网络安全状况，风电场一般会建立一个电力监控系统[1]，该系统通常由服务器、交换机和其他硬件设备以及一系列专用监控软件组成。风电场电力监控系统可以同时远程控制和监控现场设备。监控系统的数据采集，设备控制和事故报警功能，使场站运维人员能够实时掌握风力发电系统的运行状态，快速发现系统故障，提高生产效率[2]。

随着网络攻击手段的日益多样化，提升风力发电的安全性已成为各大风电场的迫切需求。通常，风电场通过在电力监控系统中部署纵向加密认证装置来增强安全性[3-5]。然而，早期陆上风电建设中，风机的就地采集端往往缺乏有效的安全防护措施，导致整体系统存在潜在的安全隐患。纵向加密认证装置是电力二次系统安全防护的心脏设备，据其性能不同分为千兆、百兆、十兆等三种型号。纵向加密认证装置内部装有经过权威机构审核查证的电力专用密码算法和RSA公私密钥算法，用以对通信数据进行加密与认证；装置内部设置硬件看门狗，并有专用运行指示灯显示，二者实时监控系统运行情况，确保加密认证装置稳定可靠运行；装置外部设置心跳口用以实现双机热备方案。

然而，不采用或仅单一采用纵向加密认证装置的布置方案存在一定的安全隐患。一旦电力监控系统就地采集端和场站侧的纵向加密装置出现故障，既不能限制采集终端和站控侧之间的互联互通，也不能保证通信的连续性，从而使病毒、蠕虫、黑客入侵存在空间，使场站侧存在安全隐患。针对这一问题，本文提出一种新型电力监控系统设计方案，该方案除了在风机采集端部署纵向加密装置，在场站侧增加部署双机热备的纵向加密装置，以及在场站侧的交换机上部署Smart Link和Monitor Link技术。

1 风电场监控系统分析

1.1 风电场监控系统组成及功能

本文以某风电场为例，对传统风电场监控系统进行分析，找出现有监测系统的缺陷，提出改进方案。

风电场监控系统的组网与传统监控系统部署方案类似，主要由数据采集网络和数据通信网络两部分构成[6]。风力发电机等主要设备通过PLC（可编程逻辑控制器） 将收集到的运行数据传输至环网交换机。环网交换机连接至风电场的光纤以太网环路，确保场站内每台风机设备的运行数据能够顺利传输至监控中心。监控软件对接收到的数据进行分析和告警，便于运维人员集中监视与管控场站所有风机。图1为风电场数据采集网络的示意图。

图2为风电场数据通信网络拓扑图。风电场有A、B两个环网共57台风机，且每个环网的数据通信都是通过两路光纤（4芯） 相连接，整个通信方式采用光纤组环网的形式，风机就地控制终端通过接入每个环网交换机，然后将数据传到站控系统。

1.2 风电场监控系统缺陷

早期，由于地理、经济和技术等限制，许多风电场监控系统未在风机采集单元与站控系统控制端之间部署有效的安全防护措施，导致站控系统易受到风机采集单元的安全隐患入侵。如图2所示，风机采集单元与站控系统控制端之间缺乏必要的安全防护，病毒等非法攻击可轻易通过数据采集端进入站控系统，进而通过违规操作控制场站内各设备。这类安全漏洞可能导致类似于2015年乌克兰大规模停电事件的事故[7]，不仅对社会发展产生不利影响，也给人民生活带来诸多不便。此外，场站侧风机核心交换机与风机服务器交换机之间采用单链路连接，一旦链路故障，工作站与服务器将无法实时监控与收集风机侧设备的数据，给运维人员的检修工作带来困难。因此，面对日益严峻的网络安全形势，亟须解决现有监控系统的安全缺陷问题。

2 新型电力监控系统设计方案

2.1 设备选型

在分析原始风电场的网络拓扑后，本方案的改造原则是基于现有的厂站电力监控系统进行升级，旨在提升系统的安全性能，降低改造成本，并节省改造时间。调研发现，该厂站大部分设备由南瑞厂家生产，考虑到设备之间的兼容性，方案选定采购以下设备：57台南瑞微型纵向加密装置、2台南瑞千兆纵向加密装置、1套纵向加密管理后台子站以及1台H3C千兆交换机。具体型号及数量详见表1。

1） 纵向加密管理后台子站是在电脑上安装纵向加密管理软件构成，该子站主要用于管控纵向加密装置。

2） 纵向加密装置是为上下级之间的调度业务数据提供加密和认证保护，保证数据传输和远方控制的安全[8]。十兆微型纵向加密装置安装在风机侧主要对风机采集终端采集到的信息进行加密和认证保护，千兆纵向加密装置安装在场站侧对从风机采集单元传到主站的信息进行加密和认证保护。

3） 交换机功能强大主要包括物理编址、错误校验、帧序列以及流控，有些交换机甚至对VLAN（虚拟局域网） 、链路汇聚具有支持功能[9]，本次所选择的H3C交换机主要是实现数据的交换。

2.2 纵向加密认证装置部署方案设计

国家已出台多项针对电力监控系统的安全规范。《电力二次系统安全防护规定》要求细化信息分区，依据“分级管理”原则，纵向加密认证装置通常部署于各级调度中心及其下级厂站电力控制系统的内部局域网与电力调度数据网络路由器之间（见图3） 。此部署方式用于安全区Ⅰ/Ⅱ的广域网边界保护，不仅为安全区Ⅰ/Ⅱ提供网络屏障，还为上下级控制系统之间的广域网数据传输提供认证与加密服务，确保数据传输的整体性与安全性。

此外，国家电网调网安〔2018〕10号文件《并网新能源站场电力监控系统涉网安全防护补充方案》规定，风机PLC信息采集终端与站控系统之间应部署纵向加密认证装置[10]（见图4） 。通过加密装置实现数据的身份认证、加密和控制等安全操作，确保风机采集端与站控系统之间的数据传输安全。同时，要求连接终端的网络设备必须经过IP/MAC地址绑定等措施，不允许外部设备直接接入，防止安全风险从单一风机发电单元扩散至站控系统。

虽然国网相关文件要求部署纵向加密装置增强风机单元控制终端、光伏发电单元测控终端等就地采集终端的物理防护，强化就地采集端与站控系统之间的通信安全，但是并没有给出明确且典型的纵向加密装置部署网络拓扑图。根据宁夏调电网要求，并且考虑成本投入、耗时等因素，本文在不改变场站原拓扑结构的基础上进行了宁夏固原第一风电场电力监控系统方案设计，改进后的风电场监控系统拓扑图如图5所示。

改进后的风电场监控系统的主要优点分别为：

1） 风机采集终端安装十兆微型纵向加密装置微型纵向加密认证装置会对风机采集终端采集到的数据信息进行加密和认证，然后再向站控系统传递数据信息。加强了风机采集终端的数据信息安全防护，形成了风机采集终端到站控系统的第一道防护门。

2） 场站侧千兆纵向加密装置双机热备配置原理为两台千兆纵向加密装置为同一节点服务，有主-备方式（Active-Standby 方式）和双主机方式（Active- Active）两种工作模式[11]。主-备方式指的一台千兆纵向加密装置处于激活状态（即Active状态），另一台千兆纵向加密装置处于备用状态（即Standby状态）；而双主机方式指的是两台千兆纵向加密装置互为主备状态（即Active-Standby和Standby-Active状态）。此次对两台千兆纵向加密装置做的是主-备方式配置，当处于激活状态的千兆纵向加密装置出现故障时备用状态的千兆纵向加密装置被激活开始工作，待故障纵向加密装置恢复后再从备用千兆纵向加密装置上切回继续工作，这就形成了数据信息从风机采集端进入站控系统的第二道防护门。

在加密网关控制台软件对两台千兆纵向加密装置进行双机热备配置如图6所示，主纵向加密装置配置（备纵向加密装置配置同理） 时填入备装置的IP地址以及MAC地址，勾选本地设备是否设为主设备与故障恢复是否自动切回。

3） 千兆纵向接入交换机做Monitor link技术，风机服务器交换机做Smart link技术配置千兆纵向加密装置会使风机服务器出现双上行组网情况，致使网络中出现网络风暴，而常用于去除网络风暴的生成树协议由于收敛时间较长、配置条件复杂等因素不符合要求，因此，采用链路切换时间在毫秒、配置简单且便于操作的Smart link和Monitor link[12]技术。

Smart link组也称为灵活链路组，一个Smart link 组由一个被指定的主端口（Master Port） 和一个被指定的副端口（Slave Port） 组成。正常运行下，只有一个端口（主端口或副端口） 处于转发（ACTIVE） 状态，另一个端口被阻塞（BLOCK） ，处于待命（STANDBY） 状态。当处于转发状态的端口发生链路故障（链路故障目前主要是指端口状态转为DOWN、以太网OAM链路故障等） 时，Smart link组会自动将该端口阻塞，并将原阻塞的处于待命状态的端口切换到转发状态[13]；Monitor link组也称为监控链路组，由一个或多个上行和下行端口组成，下行端口的状态随上行端口状态的变化而变化。如图7所示组网环境，风机服务器的GE1/0/1 和GE1/0/2链路组成了一个Smart link组，将GE1/0/1 配置为主端口（Master Port） 与新增千兆纵向加密装置主机同时运行，GE1/0/2配置为副端口（Slave Port） 与新增千兆纵向加密装置备机同时运行；千兆纵向接入交换机做Monitor link技术配置，一旦上行端口Up link 所在链路故障将强制关闭下行链路Down link所在端口。这种配置既阻止了环路引起的广播风暴，又达到了主备链路流量在毫秒之间切换的水平，也避免Up link链路故障病毒等入侵站控系统。

将设备配置完成后按照整改后的网络拓扑图进行安装，57台微型纵向加密装置安装在每台风机的控制柜，应用于风机采集终端数据的访问、控制及加密；H3C千兆纵向接入交换机与2台千兆纵向加密装置安装在厂站侧的风机数据屏柜，然后将主纵向加密装置Eth1口连接新增H3C千兆纵向交换机的24口，主纵向加密装置Eth2口通过光纤连接原风机服务器交换机的24口，备纵向加密装置备Eth1口连接新增H3C 千兆纵向接入交换机的23口，备纵向加密装置Eth2 口通过光纤连接原风机服务器交换机的23口，主备纵向加密装置的心跳口用交叉网线连接，做好双机热备配置连接，保证数据通信的连续性；1套纵向加密管理后台子站安装在中控室，应用于管理、配置、监视与控制纵向加密装置，给运维人员的工作带来了极大的便利。

3 结束语

本文提出了一种提升电力监控系统安全防护水平的新型方案。在风机就地采集端部署了微型纵向加密认证装置，在场站侧配置了双机热备的千兆纵向加密装置和H3C交换机，并在中控室安装了一套纵向加密设备管理终端。该方案有效解决了风电场风机采集端与站控系统之间的安全隐患及故障排查困难的问题。迄今为止，宁夏固原第一风电场改造工程的各设备运行稳定，未发生任何网络安全事故，确保了数据传输的机密性、完整性、真实性和连续性，为运维人员的设备维护和故障排除提供了极大便利。

该方案的成功实施为未来多个新能源站（如风电场和太阳能发电厂） 的电力监控系统设计提供了宝贵的参考。未来，须不断完善电力监控系统，提升其安全防护水平，以建立健全的电力监控体系，最大限度地减少恶意攻击，保障电力企业的安全与稳定运行。

参考文献：

[1] 魏勇军，黎炼，张弛，等.电力系统自动化运行状态监控云平台研究[J].现代电子技术，2017，40（15）：153-158.

[2] 杨文华.风电场监控系统现状和发展趋势综述[J].宁夏电力，2011（4）：51-56.

[3] 陆子成，张铁龙，程夏.针对纵向加密装置的网络安全威胁分析[J].微型机与应用，2016，35（21）：5-7.

[4] 何天玲.电力数据通信网安全防护方案的分析和研究[J].电力信息与通信技术，2020，18（1）：74-79.

[5] 魏立，唐磊.纵向加密认证装置在海上风电场监控系统的应用[J].船舶工程，2019，41（S1）：420-422.

[6] 董定勇，杨十力，胡凯凯，等.风电场远程监控单核心网络的双机冗余备份改造[J].风能，2015（4）：108-110.

[7] 李保杰，刘岩，李洪杰，等.从乌克兰停电事故看电力信息系统安全问题[J].中国电力，2017，50（5）：71-77.

[8] 邱勇.大坝安全信息报送中网络安全隔离装置的应用[J].大坝与安全，2018（5）：10-12.

[9] 黄浩宇.基于H3C交换机的VLAN配置探究[J].科技创新与应用，2016，6（17）：100.

[10] 调网安〔2018〕10号《并网新能源场站电力监控系统涉网安全防护补充方案》.

[11] 狄添舜.双机热备软件设计分析[J].现代信息科技，2018，2（9）：56-59，62.

[12] H3C交换机SmartLink-MonitorLink配置[Z].

[13] 米娜，李家京.PON光网络OLT上行保护关键技术分析[C]// 北京通信学会信息通信网技术业务发展研讨会，2012.

【通联编辑：梁书】