新能源電站網絡安全防護方案研究與實現

◆王其樂 王寅生 王棟 劉宇星 胡鵬 高小鈞

（中能電力科技開發有限公司 北京 100034）

近年來，包括電站在內的關鍵基礎設施網絡安全事件頻繁發生，對各國的工業生產及居民生活造成了極大影響。2015年的“BlackEnergy”事件，黑客攻擊了烏克蘭的電網，造成了眾多家庭供電中斷。2019年，委內瑞拉多次發生大規模停電，通訊及供水系統大量中斷。面對更加嚴峻的網絡安全態勢，作為保障民生的關鍵基礎設施，電力工業的網絡安全保護變得越來越重要。

以風電、光伏為代表的新能源電站在全國發電量占比越來越高。隨著越來越多新能源電站的投運，以及大量風電集控中心的出現，新能源行業對網絡的依賴越來越強烈。新能源電站地理位置分散且數量眾多，易遭受非法入侵與攻擊。所以采取何種防護策略來保障新能源電站的網絡安全成為亟待解決的課題。

1 新能源電站安全防護現狀

電力行業安全防護工作經20年的建設，已逐步形成了較為完善的防護體系，“安全分區、網絡專用、橫向隔離、縱向認證”在電力行業得到有效的執行。特別是在電網以及裝機容量較大的火電、水電、核電已建立起相對完善的網絡安全防護機制和管理制度。

新能源電站具有單場裝機容量小，地域分散等特點，網絡互聯互通比傳統能源需求量更大，但是在安全建設方面，又落后于傳統能源電站，具體表現為：許多機組控制系統在設計時只注重執行效率問題而疏于信息安全問題，大部分新能源系統通訊協議在設計之初就沒有考慮到授權、身份認證等功能。而且新能源電站地域分布廣，主要依賴于網絡進行遠程控制和管理，易受網絡攻擊的節點很多。

2 新能源電站安全防護方案設計

新能源電站主要運行的系統包括：機組監控、有功無功控制、變電站監控、功率預測、電能量管理、故障錄波、生產管理信息系統等。

其中直接涉及電網的系統包括：有功控制、無功控制、綜合自動化系統、電量計量、微機保護測控裝置等，這些系統需要與遠端電網調度中心直接進行通信。

2.1 新能源電站系統構成

對新能源電站網絡安全建設，遵守“安全分區、網絡專用、橫向隔離、縱向認證、綜合防護”基本原則，按照生產區和管理區對風電場的系統進行劃分，其中生產區又分為控制區和非控制區，控制區的業務主要包括：機組監控、有功無功控制、變電站監控；非控制區主要包括：繼電保護、相量測量裝置，電能量采集、功率預測等系統。

通過部署防火墻、隔離裝置、縱向加密認證，入侵檢測，日志審計等安全防護設備，提升新能源電站整體防護能力。

2.2 新能源電站網絡安全防護方案

2.2.1 業務區域劃分

根據業務系統的主要功能、實時性要求、使用場所、業務系統的關聯關系、通信方式以及對生產的影響程度，應按照以下規則將業務系統置于相應的安全區：

對新能源場站發電和輸電設備直接控制的系統、有實時控制功能的業務模塊以及對生產有直接關聯的系統應置于生產區；

應盡量根據系統實現的功能將某個業務系統完整地置于一個安全區內。當業務系統的某些功能與此業務系統不屬于同一個安全分區時，必須通過加裝安全隔離裝置進行通信；

禁止把高安全等級區域的業務系統或部分功能遷移到“低安全”等級區域，但允許把“低安全”等級區域的業務系統或部分功能放置于高安全等級區域；

對不存在與外部系統交互的業務系統，雖其安全分區無特殊要求，但仍需遵守所在安全區的相關防護要求。

2.2.2 邊界安全防護

根據安全區的劃分，網絡邊界主要有以下幾種：生產區和信息區之間的網絡邊界，生產區內控制區與非控制區之間的邊界，控制區/非控制區內部不同的系統之間的邊界，電站生產區與電網調度數據網之間的邊界，生產區的業務系統與環保、安監等其他部門的第三方邊界等。

（1）生產區與管理區邊界防護

生產區與管理區之間的網絡通信必須加裝經國家檢測認證的橫向單向隔離裝置，達到或接近物理隔離的水平；

按照數據通信方向橫向單向隔離裝置分為正向型和反向型，數據由生產區流向管理區，需安裝正向隔離，反之數據由管理區流向生產區，需安裝反向隔離裝置；

嚴格禁止E-mail、Web、Telnet、FTP等高風險的網絡服務穿過橫向單向隔離裝置通訊進行系統通訊。

（2）控制區與非控制區邊界安全防護

控制區與非控制區之間應采用國產的防火墻，其功能、性能、電磁兼容性須經過國家相關部門的認證和測試，且滿足業務系統數據的通信要求；

對于控制區與非控制區之間采用RS485和RS232等串行方式傳輸數據的，視為滿足網絡安全要求。

（3）控制區/非控制區內部安全防護

控制區或非控制區內的系統之間應采取VLAN或訪問控制方式保障系統的相對獨立性，限制系統間的直接互通；

為提升生產區的安全性，除在生產區部署實時數據庫外，還應在管理區建立生產實時數據庫鏡像服務器。

（4）縱向邊界防護

新能源電站與電網調度數據網的縱向連接處應設置經國家檢測認證的縱向加密認證裝置，與電網調度實現雙向身份認證、數據加密等功能；

生產區內個別業務系統需采用公用通信網絡、無線通信網及處于非可控狀態下的網絡設備與終端等進行通信，必須設立安全接入區。

（5）第三方邊界安全防護

生產區內業務系統向環保、安監等部門進行數據傳輸時，應遵守當地環保、安全部門的規定，生產區內業務系統不允許存在直接的跨區通信，如需采用網絡連接，應部署經過國家指定部門檢測認證的單向隔離裝置；

禁止其他設備生產廠商或其他外部企業遠程連接新能源行業企業生產控制大區中的業務系統及設備。

2.2.3 綜合防御

（1）主機加固

新能源電站的SCADA、能量管理平臺等人機交互工作站，關鍵應用系統的服務器，以及網絡邊界處的通信網關、系統服務器等，需進行主機加固，加固的技術標準符合有關要求。

（2）惡意代碼防范

工作站和業務系統服務器應采用免受惡意代碼攻擊的技術措施，應保證惡意代碼庫保持定期更新，對不適宜部署惡意代碼防護的主機，可通過部署主機白名單軟件進行安全防護。

（3）外設管控

嚴格控制在生產區和管理區之間交叉使用移動存儲介質和便攜計算機。確需接入的外部設備，需履行相關審批手續。

（4）入侵檢測

應在生產區與管理區邊界處部署一套入侵檢測系統，并合理設置檢測規則；

（5）日志審計

生產區部署一套日志審計系統，能夠對操作系統、數據庫、網絡設備以及業務系統應用的重要操作進行記錄、分析，及時發現各種違規行為以及攻擊行為。

3 結束語

新能源電站網絡安全防護方案既要符合電力系統網絡安全基本安全要求，又需考慮新能源投資企業的承受能力，主要體現在：具有抵御外部對網絡與應用系統的破壞和攻擊，防止內部人員的非法訪問，同時在系統受到攻擊和破壞后能及時恢復系統的能力，確保關鍵數據的可用性、機密性、完整性，防止電力生產業務由于網絡安全產生中斷。

新能源電站網絡安全防護是一項復雜的系統工程，其整體安全性取決于系統的薄弱環節，因此新能源電站的安全防護應基于技術與管理兩個層次分別從安全防護區劃分與專用網絡通道搭建、業務系統的橫向隔離與縱向認證、安全態勢評估與預測以及網絡安全管理體制建設等多個維度出發，構建立體可信的新能源電站安全防護策略體系。