◆王其樂 王寅生 王棟 劉宇星 胡鵬 高小鈞

（中能電力科技開發(fā)有限公司 北京 100034）

近年來，包括電站在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件頻繁發(fā)生，對各國的工業(yè)生產(chǎn)及居民生活造成了極大影響。2015年的“BlackEnergy”事件，黑客攻擊了烏克蘭的電網(wǎng)，造成了眾多家庭供電中斷。2019年，委內(nèi)瑞拉多次發(fā)生大規(guī)模停電，通訊及供水系統(tǒng)大量中斷。面對更加嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢，作為保障民生的關(guān)鍵基礎(chǔ)設(shè)施，電力工業(yè)的網(wǎng)絡(luò)安全保護(hù)變得越來越重要。

以風(fēng)電、光伏為代表的新能源電站在全國發(fā)電量占比越來越高。隨著越來越多新能源電站的投運(yùn)，以及大量風(fēng)電集控中心的出現(xiàn)，新能源行業(yè)對網(wǎng)絡(luò)的依賴越來越強(qiáng)烈。新能源電站地理位置分散且數(shù)量眾多，易遭受非法入侵與攻擊。所以采取何種防護(hù)策略來保障新能源電站的網(wǎng)絡(luò)安全成為亟待解決的課題。

1 新能源電站安全防護(hù)現(xiàn)狀

電力行業(yè)安全防護(hù)工作經(jīng)20年的建設(shè)，已逐步形成了較為完善的防護(hù)體系，“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”在電力行業(yè)得到有效的執(zhí)行。特別是在電網(wǎng)以及裝機(jī)容量較大的火電、水電、核電已建立起相對完善的網(wǎng)絡(luò)安全防護(hù)機(jī)制和管理制度。

新能源電站具有單場裝機(jī)容量小，地域分散等特點(diǎn)，網(wǎng)絡(luò)互聯(lián)互通比傳統(tǒng)能源需求量更大，但是在安全建設(shè)方面，又落后于傳統(tǒng)能源電站，具體表現(xiàn)為：許多機(jī)組控制系統(tǒng)在設(shè)計(jì)時(shí)只注重執(zhí)行效率問題而疏于信息安全問題，大部分新能源系統(tǒng)通訊協(xié)議在設(shè)計(jì)之初就沒有考慮到授權(quán)、身份認(rèn)證等功能。而且新能源電站地域分布廣，主要依賴于網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程控制和管理，易受網(wǎng)絡(luò)攻擊的節(jié)點(diǎn)很多。

2 新能源電站安全防護(hù)方案設(shè)計(jì)

新能源電站主要運(yùn)行的系統(tǒng)包括：機(jī)組監(jiān)控、有功無功控制、變電站監(jiān)控、功率預(yù)測、電能量管理、故障錄波、生產(chǎn)管理信息系統(tǒng)等。

其中直接涉及電網(wǎng)的系統(tǒng)包括：有功控制、無功控制、綜合自動(dòng)化系統(tǒng)、電量計(jì)量、微機(jī)保護(hù)測控裝置等，這些系統(tǒng)需要與遠(yuǎn)端電網(wǎng)調(diào)度中心直接進(jìn)行通信。

2.1 新能源電站系統(tǒng)構(gòu)成

對新能源電站網(wǎng)絡(luò)安全建設(shè)，遵守“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證、綜合防護(hù)”基本原則，按照生產(chǎn)區(qū)和管理區(qū)對風(fēng)電場的系統(tǒng)進(jìn)行劃分，其中生產(chǎn)區(qū)又分為控制區(qū)和非控制區(qū)，控制區(qū)的業(yè)務(wù)主要包括：機(jī)組監(jiān)控、有功無功控制、變電站監(jiān)控；非控制區(qū)主要包括：繼電保護(hù)、相量測量裝置，電能量采集、功率預(yù)測等系統(tǒng)。

通過部署防火墻、隔離裝置、縱向加密認(rèn)證，入侵檢測，日志審計(jì)等安全防護(hù)設(shè)備，提升新能源電站整體防護(hù)能力。

2.2 新能源電站網(wǎng)絡(luò)安全防護(hù)方案

2.2.1 業(yè)務(wù)區(qū)域劃分

根據(jù)業(yè)務(wù)系統(tǒng)的主要功能、實(shí)時(shí)性要求、使用場所、業(yè)務(wù)系統(tǒng)的關(guān)聯(lián)關(guān)系、通信方式以及對生產(chǎn)的影響程度，應(yīng)按照以下規(guī)則將業(yè)務(wù)系統(tǒng)置于相應(yīng)的安全區(qū)：

對新能源場站發(fā)電和輸電設(shè)備直接控制的系統(tǒng)、有實(shí)時(shí)控制功能的業(yè)務(wù)模塊以及對生產(chǎn)有直接關(guān)聯(lián)的系統(tǒng)應(yīng)置于生產(chǎn)區(qū)；

應(yīng)盡量根據(jù)系統(tǒng)實(shí)現(xiàn)的功能將某個(gè)業(yè)務(wù)系統(tǒng)完整地置于一個(gè)安全區(qū)內(nèi)。當(dāng)業(yè)務(wù)系統(tǒng)的某些功能與此業(yè)務(wù)系統(tǒng)不屬于同一個(gè)安全分區(qū)時(shí)，必須通過加裝安全隔離裝置進(jìn)行通信；

禁止把高安全等級區(qū)域的業(yè)務(wù)系統(tǒng)或部分功能遷移到“低安全”等級區(qū)域，但允許把“低安全”等級區(qū)域的業(yè)務(wù)系統(tǒng)或部分功能放置于高安全等級區(qū)域；

對不存在與外部系統(tǒng)交互的業(yè)務(wù)系統(tǒng)，雖其安全分區(qū)無特殊要求，但仍需遵守所在安全區(qū)的相關(guān)防護(hù)要求。

2.2.2 邊界安全防護(hù)

根據(jù)安全區(qū)的劃分，網(wǎng)絡(luò)邊界主要有以下幾種：生產(chǎn)區(qū)和信息區(qū)之間的網(wǎng)絡(luò)邊界，生產(chǎn)區(qū)內(nèi)控制區(qū)與非控制區(qū)之間的邊界，控制區(qū)/非控制區(qū)內(nèi)部不同的系統(tǒng)之間的邊界，電站生產(chǎn)區(qū)與電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)之間的邊界，生產(chǎn)區(qū)的業(yè)務(wù)系統(tǒng)與環(huán)保、安監(jiān)等其他部門的第三方邊界等。

（1）生產(chǎn)區(qū)與管理區(qū)邊界防護(hù)

生產(chǎn)區(qū)與管理區(qū)之間的網(wǎng)絡(luò)通信必須加裝經(jīng)國家檢測認(rèn)證的橫向單向隔離裝置，達(dá)到或接近物理隔離的水平；

按照數(shù)據(jù)通信方向橫向單向隔離裝置分為正向型和反向型，數(shù)據(jù)由生產(chǎn)區(qū)流向管理區(qū)，需安裝正向隔離，反之?dāng)?shù)據(jù)由管理區(qū)流向生產(chǎn)區(qū)，需安裝反向隔離裝置；

嚴(yán)格禁止E-mail、Web、Telnet、FTP等高風(fēng)險(xiǎn)的網(wǎng)絡(luò)服務(wù)穿過橫向單向隔離裝置通訊進(jìn)行系統(tǒng)通訊。

（2）控制區(qū)與非控制區(qū)邊界安全防護(hù)

控制區(qū)與非控制區(qū)之間應(yīng)采用國產(chǎn)的防火墻，其功能、性能、電磁兼容性須經(jīng)過國家相關(guān)部門的認(rèn)證和測試，且滿足業(yè)務(wù)系統(tǒng)數(shù)據(jù)的通信要求；

對于控制區(qū)與非控制區(qū)之間采用RS485和RS232等串行方式傳輸數(shù)據(jù)的，視為滿足網(wǎng)絡(luò)安全要求。

（3）控制區(qū)/非控制區(qū)內(nèi)部安全防護(hù)

控制區(qū)或非控制區(qū)內(nèi)的系統(tǒng)之間應(yīng)采取VLAN或訪問控制方式保障系統(tǒng)的相對獨(dú)立性，限制系統(tǒng)間的直接互通；

為提升生產(chǎn)區(qū)的安全性，除在生產(chǎn)區(qū)部署實(shí)時(shí)數(shù)據(jù)庫外，還應(yīng)在管理區(qū)建立生產(chǎn)實(shí)時(shí)數(shù)據(jù)庫鏡像服務(wù)器。

（4）縱向邊界防護(hù)

新能源電站與電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處應(yīng)設(shè)置經(jīng)國家檢測認(rèn)證的縱向加密認(rèn)證裝置，與電網(wǎng)調(diào)度實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密等功能；

生產(chǎn)區(qū)內(nèi)個(gè)別業(yè)務(wù)系統(tǒng)需采用公用通信網(wǎng)絡(luò)、無線通信網(wǎng)及處于非可控狀態(tài)下的網(wǎng)絡(luò)設(shè)備與終端等進(jìn)行通信，必須設(shè)立安全接入?yún)^(qū)。

（5）第三方邊界安全防護(hù)

生產(chǎn)區(qū)內(nèi)業(yè)務(wù)系統(tǒng)向環(huán)保、安監(jiān)等部門進(jìn)行數(shù)據(jù)傳輸時(shí)，應(yīng)遵守當(dāng)?shù)丨h(huán)保、安全部門的規(guī)定，生產(chǎn)區(qū)內(nèi)業(yè)務(wù)系統(tǒng)不允許存在直接的跨區(qū)通信，如需采用網(wǎng)絡(luò)連接，應(yīng)部署經(jīng)過國家指定部門檢測認(rèn)證的單向隔離裝置；

禁止其他設(shè)備生產(chǎn)廠商或其他外部企業(yè)遠(yuǎn)程連接新能源行業(yè)企業(yè)生產(chǎn)控制大區(qū)中的業(yè)務(wù)系統(tǒng)及設(shè)備。

2.2.3 綜合防御

（1）主機(jī)加固

新能源電站的SCADA、能量管理平臺(tái)等人機(jī)交互工作站，關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器，以及網(wǎng)絡(luò)邊界處的通信網(wǎng)關(guān)、系統(tǒng)服務(wù)器等，需進(jìn)行主機(jī)加固，加固的技術(shù)標(biāo)準(zhǔn)符合有關(guān)要求。

（2）惡意代碼防范

工作站和業(yè)務(wù)系統(tǒng)服務(wù)器應(yīng)采用免受惡意代碼攻擊的技術(shù)措施，應(yīng)保證惡意代碼庫保持定期更新，對不適宜部署惡意代碼防護(hù)的主機(jī)，可通過部署主機(jī)白名單軟件進(jìn)行安全防護(hù)。

（3）外設(shè)管控

嚴(yán)格控制在生產(chǎn)區(qū)和管理區(qū)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)和便攜計(jì)算機(jī)。確需接入的外部設(shè)備，需履行相關(guān)審批手續(xù)。

（4）入侵檢測

應(yīng)在生產(chǎn)區(qū)與管理區(qū)邊界處部署一套入侵檢測系統(tǒng)，并合理設(shè)置檢測規(guī)則；

（5）日志審計(jì)

生產(chǎn)區(qū)部署一套日志審計(jì)系統(tǒng)，能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備以及業(yè)務(wù)系統(tǒng)應(yīng)用的重要操作進(jìn)行記錄、分析，及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及攻擊行為。

3 結(jié)束語

新能源電站網(wǎng)絡(luò)安全防護(hù)方案既要符合電力系統(tǒng)網(wǎng)絡(luò)安全基本安全要求，又需考慮新能源投資企業(yè)的承受能力，主要體現(xiàn)在：具有抵御外部對網(wǎng)絡(luò)與應(yīng)用系統(tǒng)的破壞和攻擊，防止內(nèi)部人員的非法訪問，同時(shí)在系統(tǒng)受到攻擊和破壞后能及時(shí)恢復(fù)系統(tǒng)的能力，確保關(guān)鍵數(shù)據(jù)的可用性、機(jī)密性、完整性，防止電力生產(chǎn)業(yè)務(wù)由于網(wǎng)絡(luò)安全產(chǎn)生中斷。

新能源電站網(wǎng)絡(luò)安全防護(hù)是一項(xiàng)復(fù)雜的系統(tǒng)工程，其整體安全性取決于系統(tǒng)的薄弱環(huán)節(jié)，因此新能源電站的安全防護(hù)應(yīng)基于技術(shù)與管理兩個(gè)層次分別從安全防護(hù)區(qū)劃分與專用網(wǎng)絡(luò)通道搭建、業(yè)務(wù)系統(tǒng)的橫向隔離與縱向認(rèn)證、安全態(tài)勢評估與預(yù)測以及網(wǎng)絡(luò)安全管理體制建設(shè)等多個(gè)維度出發(fā)，構(gòu)建立體可信的新能源電站安全防護(hù)策略體系。