风电场电力监控系统网络安全防护方案 - 行业资讯 - 工业控制系统信息安全产业联盟

1 引言

风力发电因环保、能量储蓄大、资源丰富等特点，受到全球各国的广泛重视。随着大量的风力发电并网技术的成熟^[1]，风力发电不仅解决了日益增产的能源需求，同时有效保护了我国的自然生态环境。

国家电网作为我国最重要的关键基础设施^[2]，大量风力发电并网的同时，给电网的信息安全保障工作在管理和技术上同时提出了更高的挑战^[3]，国家能源局于2015年出台的《电力监控系统安全防护总体方案》（国能安全【2015】36号)以“安全分区、网络专用、横向隔离、纵向认证”的纵深防御原则，提出了省级以上调度中心、地县级调度中心、发电厂、变电站、配电等的二次系统安全防护方案，综合采用防火墙、入侵检测、主机加固、病毒防护、日志审计、统一管理等多种手段，为二次系统的安全稳定运行提供了明确的技术指导方案。

2 风电场电力监控的网络安全威胁和防护技术难点

2.1 风力发电系统网络结构的构成

从网络相关性来看，风力发电分成两部分，一部分是发电生产相关的生产过程控制、监控系统以及相关的企业运营和决策信息系统，另一部分为和电网并网业务关联的控制I区、控制II区和电力调度系统。

虽然风力发电和输、变、配、用电由不同的公司运营，且各自的网络大小、规模和使用人群等复杂度和专业各有不同，但均涉及传感、控、调和生产调度、办公运营各部门组成，故从整体上看，不管是风电场还是电网公司的网络业务系统，都能参照工控系统普渡参考模型^[4]对具体业务间的逻辑来进行分层理解。

在调度的视角看，风力发电系统网络结构上分为涉网和非涉网两部分。控制网络的生产区间的系统由风场内控制系统和基于风场集控中心电力监控运营决策的典型跨物理区域的分布式工业监控系统组成，这些系统网络上与电力并网的电力调度并不直接存在网络耦合关系，以下简称非涉网区域。和电力调度并网相关的系统包含远动子站、AVC子站、保信子站等和电网中变电站相关的子系统，均属于国家能源局《电力监控系统安全防护总体方案》所定义的控制大区范畴，以下简称涉网区域。常见的涉网区域和非涉网的网络元素如表1、表2所示。

表1 涉网区域典型网络元素

表2 非涉网区域典型网络元素

2.2 风力发电网络安全防护的常见的问题

风力发电因生产占地区域广，具备涉网和非涉网两大功能网络，同时，非涉网区域存在大量的互联网接入，引入了安全风险，在分析问题前，可对安全脆弱性电力行业工业控制系统风险评估工作流程^[5，6]进行工业控制系统的威胁分析，经过现场调查，监控系统常见有如下安全问题：

2.2.1 涉网区域常见的安全问题

（1）缺少信息加密手段^[7]

调度数据网和非实时控制区（II区）之间采取纵向防火墙进行防护而缺乏纵向加密装置，存在网络传输过程被窃听和篡改的可能。

（2）控制I区缺乏安全防护和逻辑隔离措施

远动系统（控制I区）与风功率预测系统（控制II区）连接，并没有安全防护和逻辑隔离措施。

（3）控制I/II区缺少隔离装置或存在装置故障

风功率预测服务器出口反向隔离装置故障。

（4）未采取入侵检测措施和安全审计设备

（5）缺乏防范恶意代码的技术设备

（6）上位机缺乏病毒管控措施

控制区大量的上位机系统暂未安装防病毒软件，且部分主机已感染病毒和木马。

（7）上位机外围接口缺乏监管

现场的上位机USB端口无有效监管。

2.2.2 非涉网区域常见的安全问题

因非涉网区域独立运营的特殊性，风电场和集控中心在非涉网区域，除了涉网区域提到的上述问题，还存在如下的问题：

（1）工作站和服务器缺少有效监管；

（2）与外网存在广泛交互，且缺少相关安全措施，存在跨网攻击的可能；

（3）纵向加密装置普遍缺失。

3 风电场电力监控网络安全防护方案

2015年出台的《电力监控系统安全防护总体方案》（国能安全【2015】36号）以“安全分区、网络专用、横向隔离、纵向认证”^[8]的纵深防御原则，引入工业系统在线集中管理和监测平台精准地通知企业整改，在企业的纵深防御中加入相应防护，防患于未然。^[9]

3.1 网络安全防护方案

（1）网络分区

划分控制区和非控制区，在非涉网的区域内，增加工业防火墙进行逻辑分区隔离。

（2）纵向加密

网络至调度的上行边界处，部署支持国密加密算法的纵向加密装置。

（3）横向隔离

在控制区域内，部署正反向装置进行横向隔离。

（4）入侵检测

风电场内部旁路部署工控入侵检测审计一体化设备，实现基于业务行为和流量白名单的常见恶意攻击行为和异常流量检测告警，并且能够实现网络行为和流量审计，提供异常行为和流量日志回溯。

（5）日志管理

搜集并存储日志，用于安全事件追溯还原，以及业务运维和预警。

（6）安全集中管理监测

部署统一管理平台，相关安全设备的统一管理和安全策略的统一下发集中管理、分析设备运行状态，提升安全管理效率，降低运行维护成本。

3.2 主机安全防护方案

（1）主机加固

主机安装工控专用的主机和服务器防护软件，抵抗病毒、木马等恶意程序攻击。

（2）外设管控

主机安装对USB端口进行防护和监管的软件，抵抗U盘、外设摆渡攻击。

3.3 整体防护方案一览

首先，按照控制I区、控制II区，以及管理大区对风电场场内和集控中心网络系统进行分区。其次，基于方案设计阶段对整体网络进行的脆弱性分析，结合前两节所述的安全防护方案，分别部署正反向隔离装置、工业防火墙、工业监测审计系统、工控主机卫士和统一安全管理平台，达到监控系统网络纵深防御的效果。整体如图1所示。

图1 风电场电力监控系统整体防护方案

4 防护方案的验收

在方案设计和实施前后，可参照《 GB/T 36047-2018电力信息系统安全检查规范》进行安全细粒度的检查，实施后，可遵照《GB/T 30976.2-2014工业控制系统信息安全第2部分：验收规范》所述环节组织验收。

未知攻焉知防，在方案设计和实施后，需要对整改后的风电场电力监测系统进行攻防验证，以尽可能地覆盖解决已知的安全威胁。攻防验证可以采用第三方的渗透测试、工控风险评估来完成，通过模拟黑客远程和内部恶意用户的入侵的手段和方法，测试并发掘该网络中存在的安全问题，主动暴露整体系统在安全防护方案实施后可能存在的安全脆弱盲点和漏洞，进一步进行消除和弥补，避免已知安全脆弱性遭受攻击带来损失。比如工控环境主机漏洞进一步的检测、工控组态软件漏洞分析、工控协议漏洞的识别与利用分析、弱口令探测和扫描、网络分区连接的进一步排查，从而优化防护设施和装置的安全策略。

5 结论

以具备大量风力发电的某公司的风电场安全整改为例，依据方案在某公司下辖6个风电场进行安全整改和实施，对涉及到的安全事项一一进行了整改，为该风电场建设系统整体安全运行提供有力保障，同时提高了设备自动化水平和人工使用效率，实现集团资源优化配置，保障电力监控安全稳定运行，减少网络安全事故带来的经济损失及社会负面影响，得到了用户的好评。

随着电力能源消耗的逐年增多，传统发电对生态环境带来的恶劣影响，为保护自然生态环境，光、风、地、气等各种清洁无污染的新能源面临着广泛并网的趋势，《电力信息系统安全等级保护实施指南》也已于2019年7月开始正式实行，该指南在技术和管理能力两方面均提出了更详尽的要求。本项目作为新能源板块的工控安全示范项目，不仅满足了示范性、合规性的需求，还极大保障了风电场信息系统的安全运行，在其它新能源领域并入国家电网时也具备一定的参考价值。

作者简介

汪义舟（1979-），男，硕士，现任长扬科技（北京）有限公司副总裁，主要研究方向为工业网络安全、网络安全相关的技术和标准。

参考文献：

[1] 许晓艳, 石文辉, 李岩春. 风电场集中接入对区域电网的影响分析[J]. 中国电力, 2009, (1) : 93 - 97.

[2] 崔聪聪. 网络关键信息基础设施范围研究[J]. 东北师大学报（哲学社会科学版）, 2017, (4) : 121 - 125.

[3] 陈悦. 浅谈电力系统信息网络安全防护及措施[J]. 广东科技, 2012, 21 (9) : 32.

[4] 克林特E.博顿金. 黑客大曝光：工业控制系统安全[M]. 北京: 机械工业出版社, 2017.

[5] 卢慧康. 工业控制系统脆弱性测试与风险评估研究[D]. 上海: 华东理工大学, 2014.

[6] 魏晓雷, 刘龙涛. 电力行业工业控制系统信息安全风险评估研究[J]. 信息安全研究, 2018, 4 (10) : 38 - 47.

[7] 陈悦. 浅谈电力系统信息网络安全防护及措施[J]. 广东科技, 2012, 21 (9) : 32.

[8] 国家能源局. 电力监控系统安全防护总体方案[R]. 北京: 国家能源局, 2015.

[9] 李辉. 在线安全监测及纵深防御系统对工业控制系统安全防护的意义[J]. 科学技术创新, 2018, (5) : 20 - 21.

摘自《工业控制系统信息安全专刊（第七辑）》

成员展示