風(fēng)電企業(yè)集控中心網(wǎng)絡(luò)安全防護(hù)體系建設(shè)及管理探討

◆張樹曉

（中國大唐集團(tuán)新能源科學(xué)技術(shù)研究院有限公司 北京 100040）

風(fēng)電場的特點(diǎn)是單機(jī)容量小、地域分布廣、數(shù)量龐大、機(jī)型繁多。早期的風(fēng)電場多采用分散化的管理方式。

由于風(fēng)電場多地處偏遠(yuǎn)，氣候環(huán)境相對惡劣，信息溝通受到限制，現(xiàn)場人員受到相對孤立的工作環(huán)境制約，缺少及時有效的技術(shù)支持。加之風(fēng)力發(fā)電尚處于行業(yè)初期的高速發(fā)展階段，設(shè)備更新?lián)Q代較快，各種新技術(shù)正在不斷沖擊著我們尚未成熟的生產(chǎn)運(yùn)維管理體系，分散化管理不利于風(fēng)電場實現(xiàn)精益化管理和培養(yǎng)高水平技術(shù)人才。

風(fēng)電場集中控制中心是一套集計算機(jī)軟件技術(shù)、計算機(jī)網(wǎng)絡(luò)技術(shù)、自動監(jiān)控與遠(yuǎn)程監(jiān)控技術(shù)、通信技術(shù)及相關(guān)專業(yè)技術(shù)于一體的高效、穩(wěn)定的風(fēng)電場專業(yè)信息管理系統(tǒng)，為電站的正常運(yùn)行和管理提供技術(shù)保障[1]，實現(xiàn)區(qū)域集中運(yùn)行監(jiān)控和規(guī)?；臋z修維護(hù)，減少在惡劣環(huán)境中值守的運(yùn)行人員，實現(xiàn)人性化管理；通過先進(jìn)的信息技術(shù)能對風(fēng)機(jī)、升壓站、風(fēng)塔、視頻監(jiān)控等設(shè)備的實時數(shù)據(jù)進(jìn)行采集、處理和分析，充分發(fā)揮大數(shù)據(jù)的優(yōu)勢，進(jìn)行故障分析和診斷，及時發(fā)現(xiàn)風(fēng)電場運(yùn)行中存在的問題，為風(fēng)電場的運(yùn)行提供依據(jù)。通過對不同風(fēng)電場之間運(yùn)營數(shù)據(jù)的多維對比分析，結(jié)合天氣、人員、資金、庫存等因素，進(jìn)一步優(yōu)化風(fēng)電場運(yùn)營管理模式，實現(xiàn)生產(chǎn)移動應(yīng)用系統(tǒng)等新技術(shù)的應(yīng)用，使風(fēng)電場效益最大化[2]。

鑒于此優(yōu)勢，各大風(fēng)電企業(yè)都在開展區(qū)域風(fēng)電集控中心建設(shè)。但在風(fēng)電集控中心建設(shè)過程中，抵御日新月異的互聯(lián)網(wǎng)威脅，保護(hù)敏感信息安全，進(jìn)行監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)也是不可或缺的。

1 風(fēng)電集控中心的系統(tǒng)結(jié)構(gòu)

風(fēng)電集控中心的主要功能是實現(xiàn)對風(fēng)電場的監(jiān)視、控制和管理，實現(xiàn)“無人值班、少人值守、遠(yuǎn)程集控、統(tǒng)一調(diào)度”的科學(xué)管理模式。監(jiān)控系統(tǒng)應(yīng)具備與風(fēng)電場內(nèi)的風(fēng)電機(jī)組數(shù)據(jù)采集與建設(shè)控制（SCADA）系統(tǒng)、升壓站綜合自動化系統(tǒng)、電能量計量系統(tǒng)、風(fēng)功率預(yù)測系統(tǒng)通信的能力，并具備遙測、遙信、遙控、遙調(diào)等遠(yuǎn)動功能，以及與電網(wǎng)調(diào)度機(jī)構(gòu)交換實時信息的能力。

風(fēng)電集控中心由主站系統(tǒng)、數(shù)據(jù)通信鏈路以及子站系統(tǒng)三部分組成[3]，包括但不限于數(shù)據(jù)通信子系統(tǒng)、數(shù)據(jù)采集子系統(tǒng)、SCADA子系統(tǒng)、生產(chǎn)管理信息子系統(tǒng)、遠(yuǎn)程視頻/音頻子系統(tǒng)、高級應(yīng)用子系統(tǒng)等。其中，數(shù)據(jù)通信子系統(tǒng)、數(shù)據(jù)采集子系統(tǒng)、SCADA子系統(tǒng)為基本子系統(tǒng)，生產(chǎn)管理信息子系統(tǒng)、遠(yuǎn)程視頻/音頻子系統(tǒng)、高級應(yīng)用子系統(tǒng)等可以根據(jù)實際情況進(jìn)行刪減，亦可增加其他功能子系統(tǒng)。

主站系統(tǒng)部署在集控中心，實現(xiàn)風(fēng)電企業(yè)對所轄子站的信息采集、監(jiān)視、控制、管理，為運(yùn)行人員提供人機(jī)交互界面。一般由前置采集服務(wù)器、運(yùn)行監(jiān)控服務(wù)器、實時數(shù)據(jù)庫服務(wù)器、歷史數(shù)據(jù)庫服務(wù)器、各種監(jiān)控業(yè)務(wù)服務(wù)器、磁盤陣列、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備以及縱向加密裝置、隔離裝置、防火墻等安全防護(hù)設(shè)備組成。

數(shù)據(jù)通信鏈路是為集控中心與風(fēng)電場提供的電力專用數(shù)據(jù)網(wǎng)絡(luò)，承載場站監(jiān)控等業(yè)務(wù)。宜選擇電力專用通信網(wǎng)絡(luò)，并采用加密、單向認(rèn)證等技術(shù)保護(hù)關(guān)鍵場站及關(guān)鍵業(yè)務(wù)。當(dāng)不具備采用電力專線條件時，可采用運(yùn)營商虛擬專線。

子站系統(tǒng)部署在風(fēng)電場站，實現(xiàn)對風(fēng)電場站監(jiān)控系統(tǒng)、風(fēng)機(jī)主控系統(tǒng)、升壓監(jiān)控等數(shù)據(jù)的采集，并通過專用網(wǎng)絡(luò)上傳到主站系統(tǒng)，同時接收主站指令，完成風(fēng)機(jī)、開關(guān)等電氣設(shè)備的調(diào)節(jié)與控制。一般由數(shù)據(jù)采集服務(wù)器、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備以及縱向加密裝置，防火墻等安全防護(hù)設(shè)備組成。

2 風(fēng)電集控中心安全區(qū)域劃分

按照國家發(fā)改委2014年第14號令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》的具體要求，發(fā)電企業(yè)、電網(wǎng)企業(yè)內(nèi)部基于計算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以劃分為控制區(qū)（安全區(qū)I）和非控制區(qū)（安全區(qū)II）；管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)的不同要求劃分安全區(qū)。

控制區(qū)（安全區(qū)I）直接實現(xiàn)對電力一次系統(tǒng)的實時監(jiān)控，縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ?，是安全防護(hù)的重點(diǎn)與核心；非控制區(qū)（安全區(qū)II）在線運(yùn)行但不具備控制功能，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與控制區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊聯(lián)系緊密；管理信息大區(qū)是指生產(chǎn)控制大區(qū)以外的電力企業(yè)管理業(yè)務(wù)系統(tǒng)的集合[4]。根據(jù)風(fēng)電集控中心的功能定位，也必須按照此規(guī)定進(jìn)行安全區(qū)域劃分及建設(shè)[5]。

3 風(fēng)電集控中心網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

2015年12月23日和2016年12月18日，一年之內(nèi)烏克蘭電網(wǎng)系統(tǒng)遭受了兩起由黑客入侵而引發(fā)的嚴(yán)重停電事故。其中，前一起被認(rèn)為是世界上首起公開的針對電網(wǎng)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)信息攻擊事件[6]，直接造成70萬個家庭在圣誕前夜陷入了一片黑暗。

2017年，某省能源監(jiān)管辦對當(dāng)?shù)氐娘L(fēng)電、光伏電站進(jìn)行多次現(xiàn)場核查，經(jīng)核查發(fā)現(xiàn)，43個光伏電站、風(fēng)電場存在重大隱患，經(jīng)過數(shù)月時間后，相關(guān)問題及隱患得到及時整改。該省電力調(diào)度控制中心在2017年3月28日下午起，將這些新能源電站強(qiáng)制與電網(wǎng)解網(wǎng)，并切斷站場與調(diào)度數(shù)據(jù)網(wǎng)的連接。

2018年3月28日11時45分，某省電力調(diào)度控制中心內(nèi)網(wǎng)安全監(jiān)視平臺出現(xiàn)大量告警，且告警數(shù)量在急劇增加。經(jīng)分析確認(rèn)，告警信息為某風(fēng)電場省調(diào)接入網(wǎng)非實時縱向加密認(rèn)證裝置攔截的不符合安全策略的非法訪問，發(fā)出非法訪問的源地址為站內(nèi)風(fēng)功率預(yù)測服務(wù)器，觀察一段時間后發(fā)現(xiàn)告警數(shù)量在不斷增加并無減少跡象。從11時45分到14時51分?jǐn)嗑W(wǎng)，平臺共收到告警信息數(shù)量為326554條。

通過這些真實案例，集控中心及風(fēng)電場暴露出大量電力監(jiān)控系統(tǒng)的安全漏洞，主要有以下安全問題。

3.1 集控中心及風(fēng)電場生產(chǎn)控制大區(qū)內(nèi)缺少安全防護(hù)措施

集控中心和風(fēng)電場的信息網(wǎng)絡(luò)安全防護(hù)手段主要集中在生產(chǎn)控制大區(qū)與管理信息大區(qū)的網(wǎng)絡(luò)邊界之間，生產(chǎn)控制大區(qū)與電網(wǎng)調(diào)度系統(tǒng)網(wǎng)絡(luò)邊界之間，生產(chǎn)控制大區(qū)與第三方監(jiān)管機(jī)構(gòu)網(wǎng)絡(luò)邊界之間，通常使用網(wǎng)絡(luò)隔離產(chǎn)品與安全加密類產(chǎn)品。但是，在生產(chǎn)控制大區(qū)內(nèi)部缺少有效的網(wǎng)絡(luò)信息安全防護(hù)手段及措施。

3.2 工業(yè)控制系統(tǒng)自身存在漏洞、防護(hù)措施薄弱

集控中心和風(fēng)電場使用的工業(yè)控制系統(tǒng)在硬件設(shè)計開始時很少考慮安全問題，導(dǎo)致安全漏洞的出現(xiàn)。如施耐德公司的67160型PLC存在IP分片語法拒絕服務(wù)漏洞（CNVD-2016-07839），這些高危漏洞的存在給電力行業(yè)信息網(wǎng)絡(luò)安全帶來無法估量的安全風(fēng)險。

3.3 操作系統(tǒng)存在漏洞

目前大多數(shù)集控中心及風(fēng)電場控制系統(tǒng)的工程師站/操作員站/HMI采用的是Windows平臺，Windows平臺存在大量的安全漏洞。為保證過程控制系統(tǒng)的相對獨(dú)立性，同時考慮到系統(tǒng)的穩(wěn)定運(yùn)行，通?，F(xiàn)場工程師在系統(tǒng)運(yùn)行后不會對Windows平臺安裝任何補(bǔ)丁，安全隱患很大[7]。而且在傳統(tǒng)觀念上認(rèn)為相對安全的Linux、Unix等系統(tǒng)，近年來也爆發(fā)了大量高危漏洞，這些系統(tǒng)在使用的過程中也需要對系統(tǒng)進(jìn)行漏洞管理工作。

3.4 應(yīng)用軟件存在漏洞

由于集控中心及風(fēng)電場使用的SCADA控制軟件多為各企業(yè)定制化產(chǎn)品，在軟件開發(fā)階段缺少安全設(shè)計，導(dǎo)致這類軟件存在大量的安全漏洞[6]。

3.5 殺毒軟件自身缺陷

為了確保集控中心及風(fēng)電場工控系統(tǒng)應(yīng)用軟件的可用性，許多工控主機(jī)通常不安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，如殺毒軟件與其他應(yīng)用軟件兼容性問題、病毒庫受到網(wǎng)絡(luò)限制無法正常更新等問題，都是造成殺毒軟件無法在風(fēng)力發(fā)電行業(yè)大量使用的原因。而且殺毒軟件對新病毒的處理總是滯后的，導(dǎo)致每年都會爆發(fā)大規(guī)模的病毒攻擊，特別是新出現(xiàn)的病毒無法及時進(jìn)行查殺工作。

3.6 多種網(wǎng)絡(luò)途徑切入點(diǎn)

通過分析多個網(wǎng)絡(luò)安全事件，惡意攻擊主要源于對多種網(wǎng)絡(luò)入口接入點(diǎn)疏于防護(hù)，包括USB接口類移動存儲介質(zhì)、遠(yuǎn)程維護(hù)通道、移動便攜式設(shè)備等，都可以隨意接入到網(wǎng)絡(luò)中。這些介質(zhì)、維護(hù)通道、便攜設(shè)備的自身安全問題也會給網(wǎng)絡(luò)造成安全隱患。

3.7 安全策略和管理流程漏洞

在許多工業(yè)控制系統(tǒng)中，以犧牲安全為代價追求可用性是一種常見的現(xiàn)象。缺乏完整和有效的安全政策和管理程序也對工業(yè)控制系統(tǒng)的信息安全構(gòu)成一定的威脅。例如，工業(yè)控制系統(tǒng)中任意使用移動存儲介質(zhì)（包括筆記本電腦、USB驅(qū)動器等設(shè)備），防火墻的訪問控制策略松懈等。

4 風(fēng)電集控中心網(wǎng)絡(luò)安全防護(hù)方案

按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的建設(shè)原則，采用主動防護(hù)，綜合監(jiān)控等安全手段，對風(fēng)電集控中心監(jiān)控系統(tǒng)進(jìn)行安全防護(hù)建設(shè)工作，滿足網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫等多方面的安全要求。

風(fēng)電集控中心的網(wǎng)絡(luò)安全防護(hù)措施主要有“橫向隔離”：在控制區(qū)與非控制區(qū)之間部署國產(chǎn)硬件防火墻進(jìn)行邏輯隔離、報文過濾、訪問控制等，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間部署國產(chǎn)電力專用正向安全隔離裝置和反向安全隔離裝置作為邊界防護(hù)措施；“縱向認(rèn)證”：集控中心和風(fēng)電場的各個安全區(qū)之間通過各自的通道進(jìn)行數(shù)據(jù)傳輸，嚴(yán)防不同安全區(qū)的縱向交叉連接，并在各自的縱向連接處部署國產(chǎn)電力專用縱向加密認(rèn)證裝置。此外，還有服務(wù)器、工作站采用經(jīng)過安全加固的操作系統(tǒng)并定期升級補(bǔ)丁，在生產(chǎn)控制大區(qū)部署入侵檢測系統(tǒng)（IDS）、具有安全審計功能的運(yùn)維堡壘機(jī)以及防病毒網(wǎng)關(guān)等設(shè)備，以及定期做好關(guān)鍵數(shù)據(jù)備份等措施[8]。

風(fēng)電集控中心的網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

4.1 方案技術(shù)指導(dǎo)路線

根據(jù)集控中心以及風(fēng)電場安全現(xiàn)狀并結(jié)合工控系統(tǒng)運(yùn)行環(huán)境相對穩(wěn)定固化，系統(tǒng)更新頻率較低的特點(diǎn)，本方案依據(jù)工業(yè)和信息化部印發(fā)的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中的相關(guān)要求要求，提出了基于“白名單”機(jī)制的工業(yè)控制系統(tǒng)信息安全“白環(huán)境”解決方案，通過對工控網(wǎng)絡(luò)流量、工程師站工作狀態(tài)等進(jìn)行監(jiān)控，收集并分析工控網(wǎng)絡(luò)數(shù)據(jù)及軟件運(yùn)行狀態(tài)，建立工控系統(tǒng)正常工作環(huán)境下的安全狀態(tài)基線和模型，進(jìn)而構(gòu)筑工控安全“白環(huán)境”，確保只有可信任的設(shè)備，才能接入工控網(wǎng)絡(luò)，只有可信任的消息，才能在工控網(wǎng)絡(luò)上傳輸；只有可信任的軟件，才允許被執(zhí)行。

4.2 網(wǎng)絡(luò)安全防護(hù)技術(shù)方案[9]

集控中心作為整個風(fēng)電的控制與調(diào)度中樞，處于整個風(fēng)電的重要核心地位，同樣，其防護(hù)措施的安全等級和覆蓋程度也需要與其相符合，集控中心的網(wǎng)絡(luò)安全防護(hù)主要從以下幾個方面展開：

4.2.1 邊界安全防護(hù)

（1）橫向邊界防護(hù)

集控中心生產(chǎn)控制大區(qū)與管理信息大區(qū)邊界安全防護(hù)，部署電力專用橫向單向安全隔離裝置。將工業(yè)防火墻部署在安全I(xiàn)區(qū)與安全I(xiàn)I區(qū)之間，按照相關(guān)要求對生產(chǎn)控制大區(qū)內(nèi)不同安全等級區(qū)域進(jìn)行劃分，可以有效防止不同安全區(qū)域間病毒或攻擊行為的串?dāng)_，有效保護(hù)各區(qū)域內(nèi)部的信息安全[10]。

（2）系統(tǒng)間安全防護(hù)

同屬于安全區(qū)I的各監(jiān)控系統(tǒng)之間需要采取一定強(qiáng)度的邏輯訪問控制措施，如防火墻、VLAN等；

同屬于安全區(qū)II的各系統(tǒng)之間需要采取一定強(qiáng)度的邏輯訪問控制措施，如防火墻、VLAN等；

同屬于管理信息大區(qū)的各系統(tǒng)之間需要采取一定強(qiáng)度的邏輯訪問控制措施，如防火墻、VLAN等。

（3）第三方邊界安全防護(hù)

集控中心生產(chǎn)控制大區(qū)中的業(yè)務(wù)系統(tǒng)與環(huán)保、安全等政府部門進(jìn)行數(shù)據(jù)傳輸，其邊界防護(hù)應(yīng)當(dāng)采用生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的安全防護(hù)措施。

管理信息大區(qū)與外部網(wǎng)絡(luò)之間應(yīng)采取防火墻、VPN和租用專線等方式，保證邊界與數(shù)據(jù)傳輸?shù)陌踩?/p>

禁止設(shè)備生產(chǎn)廠商或其他外部企業(yè)（單位）通過互聯(lián)網(wǎng)遠(yuǎn)程連接生產(chǎn)控制大區(qū)中的業(yè)務(wù)系統(tǒng)及設(shè)備?？刹捎脫芴栒J(rèn)證裝置遠(yuǎn)程連接生產(chǎn)控制大區(qū)中的業(yè)務(wù)系統(tǒng)及設(shè)備。

（4）縱向邊界防護(hù)

集控中心監(jiān)控系統(tǒng)與場站端系統(tǒng)通過電力專用通信網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程通信時，采用加密、單向認(rèn)證等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。對集控中心具有遠(yuǎn)方遙控功能的業(yè)務(wù)應(yīng)采用加密、身份認(rèn)證等技術(shù)進(jìn)行安全防護(hù)。

圖1 風(fēng)電集控中心網(wǎng)絡(luò)安全防護(hù)拓?fù)鋱D

4.2.2 綜合安全防護(hù)

（1）主機(jī)系統(tǒng)加固與運(yùn)維管控

集控中心內(nèi)操作員站、各數(shù)據(jù)服務(wù)器、歷史數(shù)據(jù)庫等操作系統(tǒng)的安全性加固與人員訪問準(zhǔn)入控制。

（2）網(wǎng)絡(luò)流量監(jiān)測與安全審計

集控中心網(wǎng)絡(luò)交互層面的流量數(shù)據(jù)監(jiān)測、安全分析與審計溯源。生產(chǎn)控制大區(qū)的業(yè)務(wù)系統(tǒng)應(yīng)具備安全審計功能，可以及時發(fā)現(xiàn)各種病毒和黑客的攻擊。對遠(yuǎn)程用戶登錄到本地系統(tǒng)中的操作行為，應(yīng)進(jìn)行嚴(yán)格的安全審計。

（3）惡意代碼防護(hù)

通過工控安全監(jiān)測與審計系統(tǒng)、工控主機(jī)加固“白名單”安全管理機(jī)制，實現(xiàn)網(wǎng)絡(luò)內(nèi)惡意代碼的安全防護(hù)及入侵行為的告警。

（4）入侵檢測

通過入侵檢測系統(tǒng)對生產(chǎn)控制大區(qū)網(wǎng)絡(luò)內(nèi)入侵行為進(jìn)行探測，第一時間內(nèi)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)入侵行為并及時告警。通過對網(wǎng)絡(luò)關(guān)鍵信息收集及分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)中是否有違反安全策略的行為和被攻擊的跡象。

（5）統(tǒng)一管理

通過在集控系統(tǒng)網(wǎng)絡(luò)內(nèi)部署統(tǒng)一安全管理系統(tǒng)，實現(xiàn)對集控中心、風(fēng)電場內(nèi)所部署工控安全防護(hù)產(chǎn)品進(jìn)行統(tǒng)一安全管理，通過集中管理中心，實現(xiàn)各級工控系統(tǒng)網(wǎng)絡(luò)內(nèi)安全情況統(tǒng)一展示、告警、安全策略下發(fā)等功能，降低安全管理產(chǎn)品的操作使用難度，提升安全產(chǎn)品的防護(hù)效果。

4.2.3 通信網(wǎng)絡(luò)安全防護(hù)

為提高集控中心通信網(wǎng)絡(luò)的可靠性，風(fēng)電集控中心與各風(fēng)電場應(yīng)該用獨(dú)立雙通道通信。按照《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》的要求，考慮到電力專用通信網(wǎng)絡(luò)安全性、可靠性較高，集控中心通信網(wǎng)絡(luò)應(yīng)盡可能依托電力專用通信網(wǎng)絡(luò)構(gòu)建，備用通道的建設(shè)如條件允許也應(yīng)依托電力專用通信網(wǎng)絡(luò)構(gòu)建，如條件不允許，可依托公網(wǎng)通信網(wǎng)絡(luò)（不包括因特網(wǎng)）、無線通信網(wǎng)絡(luò)構(gòu)建，但按照《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》要求，應(yīng)設(shè)立安全接入?yún)^(qū)，并采用安全隔離、訪問控制、認(rèn)證及加密等安全措施。

4.2.4 方案技術(shù)優(yōu)勢

集控中心網(wǎng)絡(luò)安全防護(hù)技術(shù)方案采用“白名單”的機(jī)制，設(shè)備采用工業(yè)防火墻，工控安全監(jiān)測與審計系統(tǒng)、工控主機(jī)加固，同意安全管理平臺等一系列工控安全產(chǎn)品，構(gòu)建“白環(huán)境”的安全解決方案具備以下優(yōu)勢：

（1）安全設(shè)備的統(tǒng)一管理

統(tǒng)一安全管理平臺集中管理工業(yè)控制網(wǎng)絡(luò)中的所有安全設(shè)備和系統(tǒng)，減少管理人員的工作量，減少人力資源投入。

（2）化繁為簡的安全防護(hù)體系

統(tǒng)一安全管理平臺可以對工控網(wǎng)絡(luò)內(nèi)全部安全產(chǎn)品進(jìn)行集中管理、全網(wǎng)安全信息的可視化展示、安全設(shè)備的統(tǒng)一配置等功能，簡化工業(yè)控制網(wǎng)絡(luò)內(nèi)信息安全的防護(hù)工作流程，提升工控安全防護(hù)工作效率。

（3）全面體系化的方案

覆蓋工業(yè)網(wǎng)絡(luò)邊界、主機(jī)、PLC及DCS工控設(shè)備、工控組態(tài)軟件等全方位安全的縱深防護(hù)體系，覆蓋檢測、防護(hù)、響應(yīng)、審計的全過程，不留安全死角。

（4）高度適配工控系統(tǒng)

方案實施無須改造現(xiàn)有工業(yè)網(wǎng)絡(luò)和頻繁升級工控系統(tǒng)；無須頻繁升級安全特征庫；安全設(shè)備符合工控環(huán)境標(biāo)準(zhǔn)，可靠實用。

（5）深度理解工控協(xié)議和操作行為

深度理解工控系統(tǒng)廣泛使用的Modbus、DNP3、IEC104、Profinet、OPC等數(shù)十種應(yīng)用通信協(xié)議，智能學(xué)習(xí)各類操作行為和參數(shù)，更好的識別攻擊行為。

5 結(jié)論

風(fēng)電集中控制中心網(wǎng)絡(luò)安全防護(hù)建設(shè)應(yīng)嚴(yán)格按照公安部、國家能源局、電網(wǎng)公司對電力監(jiān)控系統(tǒng)安全等級的保護(hù)要求進(jìn)行。同時，根據(jù)不同風(fēng)電場和不同系統(tǒng)的特點(diǎn)，通過部署安全防護(hù)設(shè)備和采取技術(shù)措施，確保電力監(jiān)控系統(tǒng)的安全，系統(tǒng)運(yùn)行安全穩(wěn)定。此外，還應(yīng)該建立有效的網(wǎng)絡(luò)安全管理體制和監(jiān)督管理體制，做到管理制度、技術(shù)措施和監(jiān)督管理三管齊下，才能使風(fēng)電企業(yè)集控中心真正扎實網(wǎng)絡(luò)安全防護(hù)的籠子。