劉奇

（國(guó)華能源投資有限公司 北京市 100007）

風(fēng)電場(chǎng)通常建設(shè)在人跡罕至的山丘、草原、戈壁或者沙漠地區(qū)，風(fēng)力發(fā)電機(jī)部署分散，場(chǎng)區(qū)跨越距離長(zhǎng)，風(fēng)電場(chǎng)根據(jù)裝機(jī)容量通?？缍仍诜綀A幾十公里甚至上百公里，而且場(chǎng)內(nèi)道路多以零時(shí)修建的沙土路為主，巡檢人員一般按照提前制定的計(jì)劃到達(dá)各臺(tái)風(fēng)機(jī)，無法實(shí)現(xiàn)針對(duì)每臺(tái)風(fēng)機(jī)的7*24 小時(shí)實(shí)時(shí)監(jiān)控。風(fēng)機(jī)塔筒內(nèi)的網(wǎng)絡(luò)可以直接到達(dá)部署在風(fēng)電場(chǎng)升壓站內(nèi)的控制中心，一旦有人利用管理漏洞潛入風(fēng)機(jī)塔筒內(nèi)部，就可以隨意接入風(fēng)機(jī)控制網(wǎng)絡(luò)進(jìn)行惡意入侵，竊取風(fēng)電場(chǎng)運(yùn)行數(shù)據(jù)、破壞風(fēng)電場(chǎng)控制系統(tǒng)、甚至通過滲透收入侵入電力調(diào)度數(shù)據(jù)網(wǎng)對(duì)整個(gè)電網(wǎng)造成威脅，這也就是近些年提出的從塔筒側(cè)入侵電場(chǎng)工控系統(tǒng)的典型風(fēng)電場(chǎng)網(wǎng)絡(luò)安全隱患。

1 風(fēng)電場(chǎng)塔筒側(cè)網(wǎng)絡(luò)接入管控現(xiàn)狀

通過分析多家風(fēng)電場(chǎng)現(xiàn)有風(fēng)機(jī)控制網(wǎng)絡(luò)，目前絕大部分風(fēng)電場(chǎng)的管控措施還停留在物理管控措施上，即在塔筒入口鐵門上安裝專業(yè)鎖具的方法保障塔筒內(nèi)設(shè)備及網(wǎng)絡(luò)安全，部分風(fēng)電場(chǎng)目前正在改裝門禁系統(tǒng)，也有一些在塔筒入口處安裝了視頻監(jiān)控系統(tǒng)以期實(shí)現(xiàn)對(duì)塔筒入口進(jìn)行有效的管控。但此類防護(hù)措施在專業(yè)入侵人員面前就顯得捉襟見肘。

風(fēng)電場(chǎng)風(fēng)機(jī)控制網(wǎng)絡(luò)一般劃分為接入、匯聚兩層，接入層由部署在塔筒內(nèi)的工業(yè)接入交換機(jī)和沿集電線路布放的光纖鏈路組成，同一條集電線路的風(fēng)機(jī)光纖依次串接，首尾風(fēng)機(jī)光纖匯入升壓站通訊室形成光纖環(huán)網(wǎng)；升壓站內(nèi)部署工業(yè)匯聚交換機(jī)，不同集電線路光纖環(huán)網(wǎng)接入?yún)R聚交換機(jī)，同時(shí)風(fēng)機(jī)中央監(jiān)控系統(tǒng)的前置服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、工程師站等主機(jī)及其他測(cè)控裝置通過雙絞線接入?yún)R聚交換機(jī)共同構(gòu)成了風(fēng)機(jī)控制系統(tǒng)網(wǎng)絡(luò)。經(jīng)過調(diào)研多家風(fēng)電場(chǎng)實(shí)際網(wǎng)絡(luò)構(gòu)成，此類網(wǎng)絡(luò)一般不做任何配置，部分網(wǎng)絡(luò)設(shè)備也不具備管理功能，多個(gè)業(yè)務(wù)系統(tǒng)分別規(guī)劃了IP 地址段，多網(wǎng)段間屬于同一廣播域，無需通過網(wǎng)關(guān)轉(zhuǎn)發(fā)即可完成網(wǎng)絡(luò)通信，多網(wǎng)段間未使用VLAN 隔離。入侵人員在進(jìn)入塔筒后僅需通過簡(jiǎn)單的網(wǎng)絡(luò)監(jiān)聽與嗅探，便可獲取當(dāng)前全網(wǎng)的網(wǎng)絡(luò)與主機(jī)信息，進(jìn)而實(shí)現(xiàn)對(duì)整個(gè)風(fēng)電場(chǎng)控制網(wǎng)絡(luò)的入侵與破壞。

工業(yè)控制網(wǎng)絡(luò)存在私自接入控制的管理需求，需要實(shí)現(xiàn)非法終端接入自動(dòng)阻斷，這將有效保證工業(yè)控制網(wǎng)絡(luò)安全。避免因?yàn)橥鈦斫K端接入對(duì)工控網(wǎng)絡(luò)數(shù)據(jù)安全、設(shè)備運(yùn)行安全等造成不良影響。終端接入網(wǎng)絡(luò)的位置及時(shí)間點(diǎn)判定，是需要管理人員進(jìn)行嚴(yán)格監(jiān)視和控制的。工控設(shè)備具體接入在交換設(shè)備那個(gè)位置，是否正常開機(jī)。同時(shí)一些嚴(yán)重的安全問題往往就是由于這些任意、非法加入網(wǎng)絡(luò)終端設(shè)備引起的，因此需要采用技術(shù)手段對(duì)終端入網(wǎng)進(jìn)行管控。

隨著新能源集控中心建設(shè)的發(fā)展，一個(gè)集控中心可能涉及多個(gè)風(fēng)電場(chǎng)的集中控制。入侵人員侵入單個(gè)風(fēng)電場(chǎng)控制網(wǎng)絡(luò)后，通過進(jìn)一步滲透一旦侵入集控中心網(wǎng)絡(luò)將造成更大范圍的安全威脅，所以面對(duì)當(dāng)今日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，解決從塔筒側(cè)侵入電場(chǎng)的安全問題已經(jīng)迫在眉睫。

2 通過安全準(zhǔn)入技術(shù)解決風(fēng)電場(chǎng)塔筒側(cè)網(wǎng)絡(luò)接入管控問題

圖1：安全準(zhǔn)入系統(tǒng)部署在控制大區(qū)

圖2：安全準(zhǔn)入系統(tǒng)的分級(jí)部署模式

經(jīng)過全面分析現(xiàn)有已經(jīng)投入商用的接入管控方案，部署安全準(zhǔn)入設(shè)備無疑是解決這一問題的一種措施。圖1 為安全準(zhǔn)入系統(tǒng)部署在控制大區(qū)。

安全準(zhǔn)入設(shè)備是指通過掃描網(wǎng)絡(luò)接入設(shè)備的狀態(tài)或探測(cè)網(wǎng)絡(luò)接入邊界狀態(tài)的方式發(fā)現(xiàn)新設(shè)備接入,通過識(shí)別設(shè)備MAC 地址、開放端口、協(xié)議等方式識(shí)別設(shè)備合法身份，并對(duì)非法接入設(shè)備實(shí)現(xiàn)有效阻斷的安全控制設(shè)備。目前根據(jù)設(shè)備基礎(chǔ)原理及部署方式完成了兩類設(shè)備在風(fēng)電場(chǎng)控制網(wǎng)絡(luò)中的實(shí)際工程測(cè)試。

2.1 基于端口鏡像方式部署的安全準(zhǔn)入設(shè)備

此類設(shè)備的部署分為兩級(jí)，由部署在集控中心的主服務(wù)器和部署在風(fēng)電場(chǎng)的控制器（探針組成）。控制器接入風(fēng)電場(chǎng)匯聚交換機(jī)，基于交換機(jī)的端口鏡像功能，復(fù)制所有經(jīng)過匯聚交換機(jī)的數(shù)據(jù)流量，對(duì)流量進(jìn)行甄別與判斷任意終端在接入控制網(wǎng)絡(luò)后，若需要與工程師站、前置服務(wù)器進(jìn)行網(wǎng)絡(luò)通信，必須先通過控制器進(jìn)行身份驗(yàn)證，驗(yàn)證通過的終端可以正常訪問網(wǎng)絡(luò)，非法設(shè)備直接被阻斷。圖2 為安全準(zhǔn)入系統(tǒng)的分級(jí)部署模式。

（1）此類設(shè)備的優(yōu)點(diǎn)是通過端口鏡像分析數(shù)據(jù)包中網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層信息，在創(chuàng)建合法終端的時(shí)候可通過抓取終端的IP地址、MAC 地址、端口信息、協(xié)議版本、廠商信息等多種元素生產(chǎn)針對(duì)單一設(shè)備的指紋信息，可以有效降低通過IP、MAC 地址等手段仿冒合法終端進(jìn)行內(nèi)網(wǎng)入侵的風(fēng)險(xiǎn)，增加入侵的困難程度。

（2）此類設(shè)備的缺點(diǎn)，首先此類型設(shè)備掃描網(wǎng)絡(luò)需要一個(gè)較短的掃描周期，這個(gè)周期過程中存在一個(gè)設(shè)備接入管控窗口期，即非法終端在此過程中是可以短暫接入網(wǎng)絡(luò)的。其次因?yàn)楝F(xiàn)有風(fēng)電場(chǎng)環(huán)網(wǎng)為所有接入線路、設(shè)備處于同一個(gè)廣播域，無法強(qiáng)制路由走向，所以同一條集電線路環(huán)網(wǎng)上的數(shù)據(jù)訪問將直接在環(huán)網(wǎng)內(nèi)完成交換，這種情況下準(zhǔn)入設(shè)備無法實(shí)現(xiàn)接入管控。最后，數(shù)據(jù)鏡像的阻斷方式較單一，僅支持TCP Reset 及UDP Unreachable，阻斷效果受限于工控網(wǎng)的流量大小。

2.2 基于ARP偵聽技術(shù)的安全準(zhǔn)入設(shè)備

此類設(shè)備的部署同樣是在集控中心部署主服務(wù)器，風(fēng)電場(chǎng)部署探針設(shè)備接入風(fēng)電場(chǎng)匯聚交換機(jī)，交換機(jī)無需進(jìn)行端口鏡像，準(zhǔn)入設(shè)備通過偵聽ARP、NetBios 包，配合使用SNMP 網(wǎng)絡(luò)管理協(xié)議的方式實(shí)現(xiàn)設(shè)備接入的發(fā)現(xiàn)，并進(jìn)行接入管控。

（1）此類設(shè)備的優(yōu)點(diǎn)是部署簡(jiǎn)單，無需進(jìn)行端口鏡像配置，對(duì)風(fēng)場(chǎng)原有網(wǎng)絡(luò)設(shè)備要求低，可實(shí)現(xiàn)終端在接入網(wǎng)絡(luò)開始即進(jìn)行準(zhǔn)入控制，同條光纖環(huán)網(wǎng)上非法訪問也被及時(shí)阻斷，有效的阻止了終端接入網(wǎng)絡(luò)后通過滲透手段獲取內(nèi)網(wǎng)設(shè)備信息進(jìn)行身份偽造的安全風(fēng)險(xiǎn)。

（2）此類設(shè)備的缺點(diǎn)是因不通過流量分析手段獲取設(shè)備的身份特征，只能通過主動(dòng)的網(wǎng)絡(luò)掃描IP 地址、MAC 地址、端口、主機(jī)名、操作系統(tǒng)版本、廠商等信息創(chuàng)建設(shè)備指紋，此類型設(shè)備掃描網(wǎng)絡(luò)需要一個(gè)較短的掃描周期，這個(gè)周期過程中存在一個(gè)設(shè)備接入管控窗口期，即非法終端在此過程中是可以短暫接入網(wǎng)絡(luò)的。

表1 對(duì)兩種安全準(zhǔn)入系統(tǒng)部署模式在工控系統(tǒng)中的應(yīng)用進(jìn)行了列表比較。

3 結(jié)論

終端準(zhǔn)入設(shè)備在解決從塔筒側(cè)侵入風(fēng)電場(chǎng)安全問題上能夠起到提高侵入設(shè)備的接入難度，降低非法接入風(fēng)險(xiǎn)的作用，但兩種不同準(zhǔn)入設(shè)備在部署之前應(yīng)先綜合評(píng)估本地網(wǎng)絡(luò)特征結(jié)合適當(dāng)?shù)墓芾泶胧┖筮M(jìn)行選型安裝。基于端口鏡像模式的安全準(zhǔn)入設(shè)備在防止前端入侵內(nèi)網(wǎng)控制中心的應(yīng)用場(chǎng)景下能起到有效的管控措施，如能對(duì)風(fēng)場(chǎng)前端網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)恼{(diào)整，如對(duì)前端劃分VLAN，在匯聚交換機(jī)設(shè)置各項(xiàng)業(yè)務(wù)網(wǎng)關(guān)通過強(qiáng)制路由將風(fēng)機(jī)前端所有數(shù)據(jù)訪問全部劃轉(zhuǎn)至匯聚交換機(jī)將大大提高此類設(shè)備的管控效果，但調(diào)整風(fēng)機(jī)網(wǎng)絡(luò)勢(shì)必帶來風(fēng)機(jī)停機(jī)等影響生產(chǎn)經(jīng)濟(jì)效益的問題需綜合評(píng)估后實(shí)施；基于APR、NetBios、SNMP 分析的準(zhǔn)入設(shè)備在實(shí)現(xiàn)接入即管控的應(yīng)用場(chǎng)景中起到了良好的管控效果，部署方便難度小，但掃描網(wǎng)絡(luò)需要一個(gè)較短的掃描周期，在選用此類型準(zhǔn)入設(shè)備的時(shí)候建議結(jié)合適當(dāng)?shù)娜斯す芾泶胧?，在發(fā)現(xiàn)有設(shè)備接入告警時(shí)應(yīng)立即進(jìn)行核實(shí)，發(fā)現(xiàn)非法入侵即手工斷開前端網(wǎng)絡(luò)進(jìn)行應(yīng)急處理。