近年来,以风电、光伏为代表的新能源蒸蒸日上,为社会经济的发展提供了清洁、可靠的能源,2022年1月29日国家发展改革委国家能源局关于印发《“十四五”现代能源体系规划》的通知,力争在2030年前实现碳达峰、2060年前实现碳中和。2022年12月30日,全国能源工作会议召开,国家能源局部署了2023年重点任务,以“双碳”目标为引领,大力提升非化石能源比重,2023年新增风电和光伏装机将达1.6亿千瓦(160,000MW),同比增长超33%。
同时,新能源电站电力监控系统的网络安全也面临着十分严峻的挑战,在国家能源局印发的《电力安全生产“十四五”行动计划》中就提到:电力行业网络安全暴露面持续扩大。与常规能源不同的是,新能源电站具有单场装机容量小,发电终端数量多、地域分布广、网络相互连通比传统能源需求量大等特点,恶意攻击更容易通过发电终端渗透到站控层及各类业务应用中。电力行业是关键基础设施的重要组成部分,不仅关系到民众日常生活,还关乎国家整体安全,加强电力行业内部网络安全防护显得很重要!
1)集控中心和各风电场安全Ⅰ区与安全Ⅱ区已部署防火墙,存在多余和失效的访问控制规则,管理信息大区网络边界缺乏安全防护以及访问控制措施;
2)集控中心和各风电场电力监控系统中的工控主机缺乏恶意代码防范以及对USB等外设的管控措施;
3)集控中心电力监控系统内部缺少工业流量监测审计手段,无法对电力监控系统的入侵行为、异常流量攻击、工控指令攻击和控制参数非授权篡改进行实时监测和告警。
4)集控中心缺乏对接入电力监控系统终端设备的身份认证措施,无法杜绝非法接入和非授权访问行为;
GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》;
GB/T 22239-2019《信息安全技术 网络安全等级保护基础要求》;
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》;
Q/CSG 1204009-2015《中国南方电网电力监控系统安全防护技术规范》;
本项目立足于集控中心和风电场电力监控系统网络安全现状,依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中“一个中心、三重防护”的指导思想,构筑从安全防护技术、应急备用措施、全面安全管理的三维安全防护体系,总体达到能够抵御黑客、病毒、恶意代码对电力监控系统的破坏和攻击,防止内部人员的非法访问,提高电力监控系统整体防御能力,详细部署方案如下:
首先,将部署在集控中心生产控制大区安全I区和安全II区之间的区域边界防火墙访问控制策略调优,删除多余和失效的访问控制规则,保证访问控制规则数量最小化。其次,在管理信息大区与办公网(含互联网)之间部署工业互联防火墙,将管理信息大区管理信息系统与办公网(含互联网)的天气预报系统、检修管理系统、测风塔系统等业务系统实现区域间的逻辑隔离和网络威胁防护,保证电力监控系统区域边界安全。最后,在集控中心生产控制大区的安全I区部署网络准入控制管理系统对网络中的终端进行授权管理,及时有效地发现伪造或者非法访问的终端,确保终端接入符合电力监控系统安全要求。
首先,在集控中心和各风电场生产控制大区都部署一台入侵检测系统,对电力监控系统内部的流量进行仔细的检测和分析,记录攻击事件并告警,对检测到的攻击行为溯源。其次,在集控中心部署一台的工控安全监测与审计系统单向接收流量,从硬件上杜绝报文回注的可能性,能够有很大成效避免本应相互隔离的系统之间直接连通以及攻击者控制安全设备通过镜像口往工业控制网络注入恶意报文;同时,对电力监控系统使用的工业控制协议(如IEC61850、IEC104等)的通信报文进行深度解析,实时检验测试针对工业协议的网络攻击、用户误操作、用户违规操作等,详实记录一切网络通信行为,实现全方位的监测告警能力。最后,在各风电场生产控制大区各部署一台防毒墙,主动过滤拦截病毒、木马、间谍软件等恶意软件,加强对恶意代码的防范能力。
在集控中心和各风电场生产控制大区的服务器、工控主机上部署工控主机卫士,通过工控主机卫士的文件白名单功能锁定工业主机上应用程序的运行,阻止任何白名单外的程序运行,避免恶意代码、非法程序的运行,最大限度保障服务器、工控主机等重要设备安全稳定运行。通过工控主机卫士的安全基线功能,进行基线配置管理,包括账户策略、审核策略、安全选项、IP安全、进程审计、系统日志,有效阻止操作人员异常操作带来的危害,同时可导出符合电力行业规范的加固报告以供留底检查。通过工控主机卫士的外设管控功能,避免非授权的U盘私自接入到网络当中。基于启用工控主机卫士的上述功能,最终实现集控中心和各风电场生产控制大区的服务器、工控主机等终端的安全加固及防护。
在集控中心建立安全管理区域,在安全管理区域部署统一安全管理平台、安全运维管理系统、日志审计与分析系统(各风电场也均有部署)、数据库审计系统,构建统一安全管理中心同时实现网络安全数据的可视化。
2.通过电力监控系统网络安全数据的可视化、集中化安全运营,对电力监控系统多维度进行安全风险评估,辅助运营人员实时掌握系统安全脆弱性信息及时优化安全风险,提高电力监控系统预警检测和资产管理能力,避免电力监控系统内关键控制设备遭受攻击;减轻运营人员的工作量,降低人力资源的投入,通过技术方法弥补人工管理方式上的不足,提升整体网络安全运维效率,为新能源场站安全运营中心的建设提供宝贵经验。
3.在整个项目建设中,通过深度分析《网络安全等级保护电力监控系统等级测评报告》,针对中高风险项进行整改,形成以电力监控系统安全防护为核心的电力网络安全防护体系,满足国能安全〔2015〕36号《电力监控系统安全防护总体方案》等安全防护方案、评估规范的有关要求,并以高分通过等保2.0测评,为今后新能源发电为代表的电力关键信息基础设施安全保护打下了坚实基础。
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创造新兴事物的能力成为全世界六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、人机一体化智能系统、军工等国家重要行业用户更好的提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施互联网空间安全为己任,致力成为建设网络强国的中坚力量!