本發明提供一種新能源廠站發電單元采集終端數據安全保障方法及系統，主要從采集終端接入安全、采集數據安全傳輸和站控層數據安全使用三方面考慮，針對數據采集、傳輸、使用三個環節增加安全防護措施，保障數據安全，形成一套完整的方法和系統。本發明通過對采集終端進行軟硬件安全加固保障終端安全接入，通過合理利用基于數字證書技術的雙向身份認證技術和基于SM2的ECDH安全密鑰交換協議保障數據安全傳輸，同時通過利用數據過濾技術和網絡隔離技術實現站控層數據的安全，形成一套完整的實現新能源廠站發電單元采集數據安全的方法及系統，對新能源廠站數據安全的防護具有普適性，具有廣泛的應用前景。

技術領域

本發明涉及新能源廠站發電單元的數據采集，具體為一種新能源廠站發電單元采集終端數據安全保障方法及系統。

背景技術

新能源是指傳統能源之外的各種能源形勢，主要包括風能、太陽能、生物質能等，是未來電網發展的大趨勢。利用新能源逐步取代傳統能源進行發電將是今后電力工業發展的趨勢，新能源發電具有良好的發展前景和實用價值。以新能源為支點的能源轉型成為當前我國能源發展的新趨勢，國家戰略明確提出大力發展新能源，并制定了階段性發展目標。

隨著越來越多的新能源廠站的建設和入網，新能源廠站的網絡安全風險也日益突出。新能源廠站主要存在終端接入風險、遠程運維風險、場站監控中心網絡外連、物理安全風險、系統本體安全風險、人員安全管理風險等。終端接入風險主要是由于風電場覆蓋面積大，一般相鄰風機之間距離較遠，風機之間組成多個局域環網與控制室總控和監控主機進行通信。風機之間通過光纖交換機互聯，缺乏身份認證、數據加密、訪問控制等必要的網絡安全防護手段，存在假冒/非授權無線終端接入、無線通信被劫持、竊聽，進而遭受指令篡改和網絡侵入的隱患。遠程運維風險是因為能源廠站數量眾多、分布地域廣泛、地理位置偏遠等特點，運營方為降低成本，常采取租用公共網絡進行遠程運維管理，通過接入多個風電場生產控制大區對場站安全Ⅰ區的監控系統和安全Ⅱ區的功率預測系統進行遠程監視控制。同時，場站監控中心網絡未嚴格落實橫向隔離措施，直接或間接與互聯網連接。

新能源廠站的安全防護問題可能會對整個電網的安全造成威脅，一方面，來自新能源廠站端網絡的攻擊可能向上滲透，嚴重威脅整個電網端調度控制系統安全和穩定性，例如，如果新能源廠站受到網絡攻擊，將可能導致機組大規模脫網事故，最終影響電網系統電壓和頻率的穩定；另一方面，新能源廠站網絡雖然具備防火墻、加密機、隔離裝置等必要的安全防護能力，但其監控系統、控制系統和網絡化信息系統也極有可能受到來自網絡縱向邊界的滲透和攻擊，導致難以預料的雙向安全后果。

隨著新能源廠站規模的不斷擴大，構造的復雜性日益增加，選址程度逐漸偏遠，為了確保新能源廠站的安全穩定運行，實現對所有發電機組有效監控控制，目前主要采用廠站監控系統來對發電機組數據進行現場或遠程監控控制，并通過發電機組采集單元來收集發電機組內部各組件的監控信息，從而具體分析新能源廠站運行情況和報告發電機組發電狀況。

現有新能源廠站的風電數據采集主要分為升壓站上送信息和風電場上送信息，如圖1所示，升壓站的信息由升壓站傳送，風電場信息由風電場傳送，因此風電采集的數據范圍包括升壓站的數據信息和風電場的數據信息。風電場升壓站計算機監控系統(或遠動裝置)直采信息傳送包括遙測信息和遙信信息。數據采集應用通過網絡傳輸負責采集子站系統的數據信息并進行規約處理，將實時數據提供給后臺應用。數據采集應用系統由數據采集通信網關、數據采集子網段和數據采集接口設備組成。數據采集與交換系統構成獨立的數據采集子網。數據采集通信網關的前端和連接采集通道的接口設備均連接到數據采集子網上，數據采集通信網關的后端連接到調度技術支持系統的主干網上。

現有的新能源廠站的安全防護要求主要包括生產控制大區與管理信息大區之間采用電力專用橫向單向安全隔離裝置，生產控制大區與電力調度數據網之間采用電力專用縱向加密認證裝置，廠站域各系統之間設置防火墻，VLAN等，以及入侵檢測、惡意代碼防范等綜合安全防護，實現廠站域的安全分區、橫向隔離和網絡專用，以及與電力調度網的縱向認證和邊界防護。