新能源電站網(wǎng)絡(luò)安全防護方案研究與實現(xiàn)

◆王其樂 王寅生 王棟 劉宇星 胡鵬 高小鈞

（中能電力科技開發(fā)有限公司 北京 100034）

近年來，包括電站在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件頻繁發(fā)生，對各國的工業(yè)生產(chǎn)及居民生活造成了極大影響。2015年的“BlackEnergy”事件，黑客攻擊了烏克蘭的電網(wǎng)，造成了眾多家庭供電中斷。2019年，委內(nèi)瑞拉多次發(fā)生大規(guī)模停電，通訊及供水系統(tǒng)大量中斷。面對更加嚴峻的網(wǎng)絡(luò)安全態(tài)勢，作為保障民生的關(guān)鍵基礎(chǔ)設(shè)施，電力工業(yè)的網(wǎng)絡(luò)安全保護變得越來越重要。

以風電、光伏為代表的新能源電站在全國發(fā)電量占比越來越高。隨著越來越多新能源電站的投運，以及大量風電集控中心的出現(xiàn)，新能源行業(yè)對網(wǎng)絡(luò)的依賴越來越強烈。新能源電站地理位置分散且數(shù)量眾多，易遭受非法入侵與攻擊。所以采取何種防護策略來保障新能源電站的網(wǎng)絡(luò)安全成為亟待解決的課題。

1 新能源電站安全防護現(xiàn)狀

電力行業(yè)安全防護工作經(jīng)20年的建設(shè)，已逐步形成了較為完善的防護體系，“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”在電力行業(yè)得到有效的執(zhí)行。特別是在電網(wǎng)以及裝機容量較大的火電、水電、核電已建立起相對完善的網(wǎng)絡(luò)安全防護機制和管理制度。

新能源電站具有單場裝機容量小，地域分散等特點，網(wǎng)絡(luò)互聯(lián)互通比傳統(tǒng)能源需求量更大，但是在安全建設(shè)方面，又落后于傳統(tǒng)能源電站，具體表現(xiàn)為：許多機組控制系統(tǒng)在設(shè)計時只注重執(zhí)行效率問題而疏于信息安全問題，大部分新能源系統(tǒng)通訊協(xié)議在設(shè)計之初就沒有考慮到授權(quán)、身份認證等功能。而且新能源電站地域分布廣，主要依賴于網(wǎng)絡(luò)進行遠程控制和管理，易受網(wǎng)絡(luò)攻擊的節(jié)點很多。

2 新能源電站安全防護方案設(shè)計

新能源電站主要運行的系統(tǒng)包括：機組監(jiān)控、有功無功控制、變電站監(jiān)控、功率預測、電能量管理、故障錄波、生產(chǎn)管理信息系統(tǒng)等。

其中直接涉及電網(wǎng)的系統(tǒng)包括：有功控制、無功控制、綜合自動化系統(tǒng)、電量計量、微機保護測控裝置等，這些系統(tǒng)需要與遠端電網(wǎng)調(diào)度中心直接進行通信。

2.1 新能源電站系統(tǒng)構(gòu)成

對新能源電站網(wǎng)絡(luò)安全建設(shè)，遵守“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證、綜合防護”基本原則，按照生產(chǎn)區(qū)和管理區(qū)對風電場的系統(tǒng)進行劃分，其中生產(chǎn)區(qū)又分為控制區(qū)和非控制區(qū)，控制區(qū)的業(yè)務(wù)主要包括：機組監(jiān)控、有功無功控制、變電站監(jiān)控；非控制區(qū)主要包括：繼電保護、相量測量裝置，電能量采集、功率預測等系統(tǒng)。

通過部署防火墻、隔離裝置、縱向加密認證，入侵檢測，日志審計等安全防護設(shè)備，提升新能源電站整體防護能力。

2.2 新能源電站網(wǎng)絡(luò)安全防護方案

2.2.1 業(yè)務(wù)區(qū)域劃分

根據(jù)業(yè)務(wù)系統(tǒng)的主要功能、實時性要求、使用場所、業(yè)務(wù)系統(tǒng)的關(guān)聯(lián)關(guān)系、通信方式以及對生產(chǎn)的影響程度，應按照以下規(guī)則將業(yè)務(wù)系統(tǒng)置于相應的安全區(qū)：

對新能源場站發(fā)電和輸電設(shè)備直接控制的系統(tǒng)、有實時控制功能的業(yè)務(wù)模塊以及對生產(chǎn)有直接關(guān)聯(lián)的系統(tǒng)應置于生產(chǎn)區(qū)；

應盡量根據(jù)系統(tǒng)實現(xiàn)的功能將某個業(yè)務(wù)系統(tǒng)完整地置于一個安全區(qū)內(nèi)。當業(yè)務(wù)系統(tǒng)的某些功能與此業(yè)務(wù)系統(tǒng)不屬于同一個安全分區(qū)時，必須通過加裝安全隔離裝置進行通信；

禁止把高安全等級區(qū)域的業(yè)務(wù)系統(tǒng)或部分功能遷移到“低安全”等級區(qū)域，但允許把“低安全”等級區(qū)域的業(yè)務(wù)系統(tǒng)或部分功能放置于高安全等級區(qū)域；

對不存在與外部系統(tǒng)交互的業(yè)務(wù)系統(tǒng)，雖其安全分區(qū)無特殊要求，但仍需遵守所在安全區(qū)的相關(guān)防護要求。

2.2.2 邊界安全防護

根據(jù)安全區(qū)的劃分，網(wǎng)絡(luò)邊界主要有以下幾種：生產(chǎn)區(qū)和信息區(qū)之間的網(wǎng)絡(luò)邊界，生產(chǎn)區(qū)內(nèi)控制區(qū)與非控制區(qū)之間的邊界，控制區(qū)/非控制區(qū)內(nèi)部不同的系統(tǒng)之間的邊界，電站生產(chǎn)區(qū)與電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)之間的邊界，生產(chǎn)區(qū)的業(yè)務(wù)系統(tǒng)與環(huán)保、安監(jiān)等其他部門的第三方邊界等。

（1）生產(chǎn)區(qū)與管理區(qū)邊界防護

生產(chǎn)區(qū)與管理區(qū)之間的網(wǎng)絡(luò)通信必須加裝經(jīng)國家檢測認證的橫向單向隔離裝置，達到或接近物理隔離的水平；

按照數(shù)據(jù)通信方向橫向單向隔離裝置分為正向型和反向型，數(shù)據(jù)由生產(chǎn)區(qū)流向管理區(qū)，需安裝正向隔離，反之數(shù)據(jù)由管理區(qū)流向生產(chǎn)區(qū)，需安裝反向隔離裝置；

嚴格禁止E-mail、Web、Telnet、FTP等高風險的網(wǎng)絡(luò)服務(wù)穿過橫向單向隔離裝置通訊進行系統(tǒng)通訊。

（2）控制區(qū)與非控制區(qū)邊界安全防護

控制區(qū)與非控制區(qū)之間應采用國產(chǎn)的防火墻，其功能、性能、電磁兼容性須經(jīng)過國家相關(guān)部門的認證和測試，且滿足業(yè)務(wù)系統(tǒng)數(shù)據(jù)的通信要求；

對于控制區(qū)與非控制區(qū)之間采用RS485和RS232等串行方式傳輸數(shù)據(jù)的，視為滿足網(wǎng)絡(luò)安全要求。

（3）控制區(qū)/非控制區(qū)內(nèi)部安全防護

控制區(qū)或非控制區(qū)內(nèi)的系統(tǒng)之間應采取VLAN或訪問控制方式保障系統(tǒng)的相對獨立性，限制系統(tǒng)間的直接互通；

為提升生產(chǎn)區(qū)的安全性，除在生產(chǎn)區(qū)部署實時數(shù)據(jù)庫外，還應在管理區(qū)建立生產(chǎn)實時數(shù)據(jù)庫鏡像服務(wù)器。

（4）縱向邊界防護

新能源電站與電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處應設(shè)置經(jīng)國家檢測認證的縱向加密認證裝置，與電網(wǎng)調(diào)度實現(xiàn)雙向身份認證、數(shù)據(jù)加密等功能；

生產(chǎn)區(qū)內(nèi)個別業(yè)務(wù)系統(tǒng)需采用公用通信網(wǎng)絡(luò)、無線通信網(wǎng)及處于非可控狀態(tài)下的網(wǎng)絡(luò)設(shè)備與終端等進行通信，必須設(shè)立安全接入?yún)^(qū)。

（5）第三方邊界安全防護

生產(chǎn)區(qū)內(nèi)業(yè)務(wù)系統(tǒng)向環(huán)保、安監(jiān)等部門進行數(shù)據(jù)傳輸時，應遵守當?shù)丨h(huán)保、安全部門的規(guī)定，生產(chǎn)區(qū)內(nèi)業(yè)務(wù)系統(tǒng)不允許存在直接的跨區(qū)通信，如需采用網(wǎng)絡(luò)連接，應部署經(jīng)過國家指定部門檢測認證的單向隔離裝置；

禁止其他設(shè)備生產(chǎn)廠商或其他外部企業(yè)遠程連接新能源行業(yè)企業(yè)生產(chǎn)控制大區(qū)中的業(yè)務(wù)系統(tǒng)及設(shè)備。

2.2.3 綜合防御

（1）主機加固

新能源電站的SCADA、能量管理平臺等人機交互工作站，關(guān)鍵應用系統(tǒng)的服務(wù)器，以及網(wǎng)絡(luò)邊界處的通信網(wǎng)關(guān)、系統(tǒng)服務(wù)器等，需進行主機加固，加固的技術(shù)標準符合有關(guān)要求。

（2）惡意代碼防范

工作站和業(yè)務(wù)系統(tǒng)服務(wù)器應采用免受惡意代碼攻擊的技術(shù)措施，應保證惡意代碼庫保持定期更新，對不適宜部署惡意代碼防護的主機，可通過部署主機白名單軟件進行安全防護。

（3）外設(shè)管控

嚴格控制在生產(chǎn)區(qū)和管理區(qū)之間交叉使用移動存儲介質(zhì)和便攜計算機。確需接入的外部設(shè)備，需履行相關(guān)審批手續(xù)。

（4）入侵檢測

應在生產(chǎn)區(qū)與管理區(qū)邊界處部署一套入侵檢測系統(tǒng)，并合理設(shè)置檢測規(guī)則；

（5）日志審計

生產(chǎn)區(qū)部署一套日志審計系統(tǒng)，能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備以及業(yè)務(wù)系統(tǒng)應用的重要操作進行記錄、分析，及時發(fā)現(xiàn)各種違規(guī)行為以及攻擊行為。

3 結(jié)束語

新能源電站網(wǎng)絡(luò)安全防護方案既要符合電力系統(tǒng)網(wǎng)絡(luò)安全基本安全要求，又需考慮新能源投資企業(yè)的承受能力，主要體現(xiàn)在：具有抵御外部對網(wǎng)絡(luò)與應用系統(tǒng)的破壞和攻擊，防止內(nèi)部人員的非法訪問，同時在系統(tǒng)受到攻擊和破壞后能及時恢復系統(tǒng)的能力，確保關(guān)鍵數(shù)據(jù)的可用性、機密性、完整性，防止電力生產(chǎn)業(yè)務(wù)由于網(wǎng)絡(luò)安全產(chǎn)生中斷。

新能源電站網(wǎng)絡(luò)安全防護是一項復雜的系統(tǒng)工程，其整體安全性取決于系統(tǒng)的薄弱環(huán)節(jié)，因此新能源電站的安全防護應基于技術(shù)與管理兩個層次分別從安全防護區(qū)劃分與專用網(wǎng)絡(luò)通道搭建、業(yè)務(wù)系統(tǒng)的橫向隔離與縱向認證、安全態(tài)勢評估與預測以及網(wǎng)絡(luò)安全管理體制建設(shè)等多個維度出發(fā)，構(gòu)建立體可信的新能源電站安全防護策略體系。