安全準(zhǔn)入技術(shù)在風(fēng)電場控制網(wǎng)絡(luò)中的應(yīng)用

劉奇

（國華能源投資有限公司 北京市 100007）

風(fēng)電場通常建設(shè)在人跡罕至的山丘、草原、戈壁或者沙漠地區(qū)，風(fēng)力發(fā)電機(jī)部署分散，場區(qū)跨越距離長，風(fēng)電場根據(jù)裝機(jī)容量通?？缍仍诜綀A幾十公里甚至上百公里，而且場內(nèi)道路多以零時修建的沙土路為主，巡檢人員一般按照提前制定的計劃到達(dá)各臺風(fēng)機(jī)，無法實(shí)現(xiàn)針對每臺風(fēng)機(jī)的7*24 小時實(shí)時監(jiān)控。風(fēng)機(jī)塔筒內(nèi)的網(wǎng)絡(luò)可以直接到達(dá)部署在風(fēng)電場升壓站內(nèi)的控制中心，一旦有人利用管理漏洞潛入風(fēng)機(jī)塔筒內(nèi)部，就可以隨意接入風(fēng)機(jī)控制網(wǎng)絡(luò)進(jìn)行惡意入侵，竊取風(fēng)電場運(yùn)行數(shù)據(jù)、破壞風(fēng)電場控制系統(tǒng)、甚至通過滲透收入侵入電力調(diào)度數(shù)據(jù)網(wǎng)對整個電網(wǎng)造成威脅，這也就是近些年提出的從塔筒側(cè)入侵電場工控系統(tǒng)的典型風(fēng)電場網(wǎng)絡(luò)安全隱患。

1 風(fēng)電場塔筒側(cè)網(wǎng)絡(luò)接入管控現(xiàn)狀

通過分析多家風(fēng)電場現(xiàn)有風(fēng)機(jī)控制網(wǎng)絡(luò)，目前絕大部分風(fēng)電場的管控措施還停留在物理管控措施上，即在塔筒入口鐵門上安裝專業(yè)鎖具的方法保障塔筒內(nèi)設(shè)備及網(wǎng)絡(luò)安全，部分風(fēng)電場目前正在改裝門禁系統(tǒng)，也有一些在塔筒入口處安裝了視頻監(jiān)控系統(tǒng)以期實(shí)現(xiàn)對塔筒入口進(jìn)行有效的管控。但此類防護(hù)措施在專業(yè)入侵人員面前就顯得捉襟見肘。

風(fēng)電場風(fēng)機(jī)控制網(wǎng)絡(luò)一般劃分為接入、匯聚兩層，接入層由部署在塔筒內(nèi)的工業(yè)接入交換機(jī)和沿集電線路布放的光纖鏈路組成，同一條集電線路的風(fēng)機(jī)光纖依次串接，首尾風(fēng)機(jī)光纖匯入升壓站通訊室形成光纖環(huán)網(wǎng)；升壓站內(nèi)部署工業(yè)匯聚交換機(jī)，不同集電線路光纖環(huán)網(wǎng)接入?yún)R聚交換機(jī)，同時風(fēng)機(jī)中央監(jiān)控系統(tǒng)的前置服務(wù)器、數(shù)據(jù)庫服務(wù)器、工程師站等主機(jī)及其他測控裝置通過雙絞線接入?yún)R聚交換機(jī)共同構(gòu)成了風(fēng)機(jī)控制系統(tǒng)網(wǎng)絡(luò)。經(jīng)過調(diào)研多家風(fēng)電場實(shí)際網(wǎng)絡(luò)構(gòu)成，此類網(wǎng)絡(luò)一般不做任何配置，部分網(wǎng)絡(luò)設(shè)備也不具備管理功能，多個業(yè)務(wù)系統(tǒng)分別規(guī)劃了IP 地址段，多網(wǎng)段間屬于同一廣播域，無需通過網(wǎng)關(guān)轉(zhuǎn)發(fā)即可完成網(wǎng)絡(luò)通信，多網(wǎng)段間未使用VLAN 隔離。入侵人員在進(jìn)入塔筒后僅需通過簡單的網(wǎng)絡(luò)監(jiān)聽與嗅探，便可獲取當(dāng)前全網(wǎng)的網(wǎng)絡(luò)與主機(jī)信息，進(jìn)而實(shí)現(xiàn)對整個風(fēng)電場控制網(wǎng)絡(luò)的入侵與破壞。

工業(yè)控制網(wǎng)絡(luò)存在私自接入控制的管理需求，需要實(shí)現(xiàn)非法終端接入自動阻斷，這將有效保證工業(yè)控制網(wǎng)絡(luò)安全。避免因為外來終端接入對工控網(wǎng)絡(luò)數(shù)據(jù)安全、設(shè)備運(yùn)行安全等造成不良影響。終端接入網(wǎng)絡(luò)的位置及時間點(diǎn)判定，是需要管理人員進(jìn)行嚴(yán)格監(jiān)視和控制的。工控設(shè)備具體接入在交換設(shè)備那個位置，是否正常開機(jī)。同時一些嚴(yán)重的安全問題往往就是由于這些任意、非法加入網(wǎng)絡(luò)終端設(shè)備引起的，因此需要采用技術(shù)手段對終端入網(wǎng)進(jìn)行管控。

隨著新能源集控中心建設(shè)的發(fā)展，一個集控中心可能涉及多個風(fēng)電場的集中控制。入侵人員侵入單個風(fēng)電場控制網(wǎng)絡(luò)后，通過進(jìn)一步滲透一旦侵入集控中心網(wǎng)絡(luò)將造成更大范圍的安全威脅，所以面對當(dāng)今日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，解決從塔筒側(cè)侵入電場的安全問題已經(jīng)迫在眉睫。

2 通過安全準(zhǔn)入技術(shù)解決風(fēng)電場塔筒側(cè)網(wǎng)絡(luò)接入管控問題

圖1：安全準(zhǔn)入系統(tǒng)部署在控制大區(qū)

圖2：安全準(zhǔn)入系統(tǒng)的分級部署模式

經(jīng)過全面分析現(xiàn)有已經(jīng)投入商用的接入管控方案，部署安全準(zhǔn)入設(shè)備無疑是解決這一問題的一種措施。圖1 為安全準(zhǔn)入系統(tǒng)部署在控制大區(qū)。

安全準(zhǔn)入設(shè)備是指通過掃描網(wǎng)絡(luò)接入設(shè)備的狀態(tài)或探測網(wǎng)絡(luò)接入邊界狀態(tài)的方式發(fā)現(xiàn)新設(shè)備接入,通過識別設(shè)備MAC 地址、開放端口、協(xié)議等方式識別設(shè)備合法身份，并對非法接入設(shè)備實(shí)現(xiàn)有效阻斷的安全控制設(shè)備。目前根據(jù)設(shè)備基礎(chǔ)原理及部署方式完成了兩類設(shè)備在風(fēng)電場控制網(wǎng)絡(luò)中的實(shí)際工程測試。

2.1 基于端口鏡像方式部署的安全準(zhǔn)入設(shè)備

此類設(shè)備的部署分為兩級，由部署在集控中心的主服務(wù)器和部署在風(fēng)電場的控制器（探針組成）?？刂破鹘尤腼L(fēng)電場匯聚交換機(jī)，基于交換機(jī)的端口鏡像功能，復(fù)制所有經(jīng)過匯聚交換機(jī)的數(shù)據(jù)流量，對流量進(jìn)行甄別與判斷任意終端在接入控制網(wǎng)絡(luò)后，若需要與工程師站、前置服務(wù)器進(jìn)行網(wǎng)絡(luò)通信，必須先通過控制器進(jìn)行身份驗證，驗證通過的終端可以正常訪問網(wǎng)絡(luò)，非法設(shè)備直接被阻斷。圖2 為安全準(zhǔn)入系統(tǒng)的分級部署模式。

（1）此類設(shè)備的優(yōu)點(diǎn)是通過端口鏡像分析數(shù)據(jù)包中網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層信息，在創(chuàng)建合法終端的時候可通過抓取終端的IP地址、MAC 地址、端口信息、協(xié)議版本、廠商信息等多種元素生產(chǎn)針對單一設(shè)備的指紋信息，可以有效降低通過IP、MAC 地址等手段仿冒合法終端進(jìn)行內(nèi)網(wǎng)入侵的風(fēng)險，增加入侵的困難程度。

（2）此類設(shè)備的缺點(diǎn)，首先此類型設(shè)備掃描網(wǎng)絡(luò)需要一個較短的掃描周期，這個周期過程中存在一個設(shè)備接入管控窗口期，即非法終端在此過程中是可以短暫接入網(wǎng)絡(luò)的。其次因為現(xiàn)有風(fēng)電場環(huán)網(wǎng)為所有接入線路、設(shè)備處于同一個廣播域，無法強(qiáng)制路由走向，所以同一條集電線路環(huán)網(wǎng)上的數(shù)據(jù)訪問將直接在環(huán)網(wǎng)內(nèi)完成交換，這種情況下準(zhǔn)入設(shè)備無法實(shí)現(xiàn)接入管控。最后，數(shù)據(jù)鏡像的阻斷方式較單一，僅支持TCP Reset 及UDP Unreachable，阻斷效果受限于工控網(wǎng)的流量大小。

2.2 基于ARP偵聽技術(shù)的安全準(zhǔn)入設(shè)備

此類設(shè)備的部署同樣是在集控中心部署主服務(wù)器，風(fēng)電場部署探針設(shè)備接入風(fēng)電場匯聚交換機(jī)，交換機(jī)無需進(jìn)行端口鏡像，準(zhǔn)入設(shè)備通過偵聽ARP、NetBios 包，配合使用SNMP 網(wǎng)絡(luò)管理協(xié)議的方式實(shí)現(xiàn)設(shè)備接入的發(fā)現(xiàn)，并進(jìn)行接入管控。

（1）此類設(shè)備的優(yōu)點(diǎn)是部署簡單，無需進(jìn)行端口鏡像配置，對風(fēng)場原有網(wǎng)絡(luò)設(shè)備要求低，可實(shí)現(xiàn)終端在接入網(wǎng)絡(luò)開始即進(jìn)行準(zhǔn)入控制，同條光纖環(huán)網(wǎng)上非法訪問也被及時阻斷，有效的阻止了終端接入網(wǎng)絡(luò)后通過滲透手段獲取內(nèi)網(wǎng)設(shè)備信息進(jìn)行身份偽造的安全風(fēng)險。

（2）此類設(shè)備的缺點(diǎn)是因不通過流量分析手段獲取設(shè)備的身份特征，只能通過主動的網(wǎng)絡(luò)掃描IP 地址、MAC 地址、端口、主機(jī)名、操作系統(tǒng)版本、廠商等信息創(chuàng)建設(shè)備指紋，此類型設(shè)備掃描網(wǎng)絡(luò)需要一個較短的掃描周期，這個周期過程中存在一個設(shè)備接入管控窗口期，即非法終端在此過程中是可以短暫接入網(wǎng)絡(luò)的。

表1 對兩種安全準(zhǔn)入系統(tǒng)部署模式在工控系統(tǒng)中的應(yīng)用進(jìn)行了列表比較。

3 結(jié)論

終端準(zhǔn)入設(shè)備在解決從塔筒側(cè)侵入風(fēng)電場安全問題上能夠起到提高侵入設(shè)備的接入難度，降低非法接入風(fēng)險的作用，但兩種不同準(zhǔn)入設(shè)備在部署之前應(yīng)先綜合評估本地網(wǎng)絡(luò)特征結(jié)合適當(dāng)?shù)墓芾泶胧┖筮M(jìn)行選型安裝。基于端口鏡像模式的安全準(zhǔn)入設(shè)備在防止前端入侵內(nèi)網(wǎng)控制中心的應(yīng)用場景下能起到有效的管控措施，如能對風(fēng)場前端網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)恼{(diào)整，如對前端劃分VLAN，在匯聚交換機(jī)設(shè)置各項業(yè)務(wù)網(wǎng)關(guān)通過強(qiáng)制路由將風(fēng)機(jī)前端所有數(shù)據(jù)訪問全部劃轉(zhuǎn)至匯聚交換機(jī)將大大提高此類設(shè)備的管控效果，但調(diào)整風(fēng)機(jī)網(wǎng)絡(luò)勢必帶來風(fēng)機(jī)停機(jī)等影響生產(chǎn)經(jīng)濟(jì)效益的問題需綜合評估后實(shí)施；基于APR、NetBios、SNMP 分析的準(zhǔn)入設(shè)備在實(shí)現(xiàn)接入即管控的應(yīng)用場景中起到了良好的管控效果，部署方便難度小，但掃描網(wǎng)絡(luò)需要一個較短的掃描周期，在選用此類型準(zhǔn)入設(shè)備的時候建議結(jié)合適當(dāng)?shù)娜斯す芾泶胧诎l(fā)現(xiàn)有設(shè)備接入告警時應(yīng)立即進(jìn)行核實(shí)，發(fā)現(xiàn)非法入侵即手工斷開前端網(wǎng)絡(luò)進(jìn)行應(yīng)急處理。