風電企業網絡安全防護體系建設探討

導語：風電企業網絡安全防護體系建設探討一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

風電場的特點是單機容量小、地域分布廣、數量龐大、機型繁多。早期的風電場多采用分散化的管理方式。由于風電場多地處偏遠，氣候環境相對惡劣，信息溝通受到限制，現場人員受到相對孤立的工作環境制約，缺少及時有效的技術支持。加之風力發電尚處于行業初期的高速發展階段，設備更新換代較快，各種新技術正在不斷沖擊著我們尚未成熟的生產運維管理體系，分散化管理不利于風電場實現精益化管理和培養高水平技術人才。風電場集中控制中心是一套集計算機軟件技術、計算機網絡技術、自動監控與遠程監控技術、通信技術及相關專業技術于一體的高效、穩定的風電場專業信息管理系統，為電站的正常運行和管理提供技術保障[1]，實現區域集中運行監控和規?；臋z修維護，減少在惡劣環境中值守的運行人員，實現人性化管理；通過先進的信息技術能對風機、升壓站、風塔、視頻監控等設備的實時數據進行采集、處理和分析，充分發揮大數據的優勢，進行故障分析和診斷，及時發現風電場運行中存在的問題，為風電場的運行提供依據。通過對不同風電場之間運營數據的多維對比分析，結合天氣、人員、資金、庫存等因素，進一步優化風電場運營管理模式，實現生產移動應用系統等新技術的應用，使風電場效益最大化[2]。鑒于此優勢，各大風電企業都在開展區域風電集控中心建設。但在風電集控中心建設過程中，抵御日新月異的互聯網威脅，保護敏感信息安全，進行監控系統的網絡安全防護也是不可或缺的。

1風電集控中心的系統結構

風電集控中心的主要功能是實現對風電場的監視、控制和管理，實現“無人值班、少人值守、遠程集控、統一調度”的科學管理模式。監控系統應具備與風電場內的風電機組數據采集與建設控制（SCADA）系統、升壓站綜合自動化系統、電能量計量系統、風功率預測系統通信的能力，并具備遙測、遙信、遙控、遙調等遠動功能，以及與電網調度機構交換實時信息的能力。風電集控中心由主站系統、數據通信鏈路以及子站系統三部分組成[3]，包括但不限于數據通信子系統、數據采集子系統、SCADA子系統、生產管理信息子系統、遠程視頻/音頻子系統、高級應用子系統等。其中，數據通信子系統、數據采集子系統、SCADA子系統為基本子系統，生產管理信息子系統、遠程視頻/音頻子系統、高級應用子系統等可以根據實際情況進行刪減，亦可增加其他功能子系統。主站系統部署在集控中心，實現風電企業對所轄子站的信息采集、監視、控制、管理，為運行人員提供人機交互界面。一般由前置采集服務器、運行監控服務器、實時數據庫服務器、歷史數據庫服務器、各種監控業務服務器、磁盤陣列、交換機、路由器等網絡設備以及縱向加密裝置、隔離裝置、防火墻等安全防護設備組成。數據通信鏈路是為集控中心與風電場提供的電力專用數據網絡，承載場站監控等業務。宜選擇電力專用通信網絡，并采用加密、單向認證等技術保護關鍵場站及關鍵業務。當不具備采用電力專線條件時，可采用運營商虛擬專線。子站系統部署在風電場站，實現對風電場站監控系統、風機主控系統、升壓監控等數據的采集，并通過專用網絡上傳到主站系統，同時接收主站指令，完成風機、開關等電氣設備的調節與控制。一般由數據采集服務器、交換機、路由器等網絡設備以及縱向加密裝置，防火墻等安全防護設備組成。

2風電集控中心安全區域劃分

按照國家發改委2014年第14號令《電力監控系統安全防護規定》的具體要求，發電企業、電網企業內部基于計算機和網絡技術的業務系統應當劃分為生產控制大區和管理信息大區。生產控制大區可以劃分為控制區（安全區I）和非控制區（安全區II）；管理信息大區內部在不影響生產控制大區安全的前提下，可以根據各企業的不同要求劃分安全區?？刂茀^（安全區I）直接實現對電力一次系統的實時監控，縱向使用電力調度數據網絡或專用通道，是安全防護的重點與核心；非控制區（安全區II）在線運行但不具備控制功能，使用電力調度數據網絡，與控制區中的業務系統或其功能模塊聯系緊密；管理信息大區是指生產控制大區以外的電力企業管理業務系統的集合[4]。根據風電集控中心的功能定位，也必須按照此規定進行安全區域劃分及建設[5]。

3風電集控中心網絡安全防護現狀

2015年12月23日和2016年12月18日，一年之內烏克蘭電網系統遭受了兩起由黑客入侵而引發的嚴重停電事故。其中，前一起被認為是世界上首起公開的針對電網基礎設施的網絡信息攻擊事件[6]，直接造成70萬個家庭在圣誕前夜陷入了一片黑暗。2017年，某省能源監管辦對當地的風電、光伏電站進行多次現場核查，經核查發現，43個光伏電站、風電場存在重大隱患，經過數月時間后，相關問題及隱患得到及時整改。該省電力調度控制中心在2017年3月28日下午起，將這些新能源電站強制與電網解網，并切斷站場與調度數據網的連接。2018年3月28日11時45分，某省電力調度控制中心內網安全監視平臺出現大量告警，且告警數量在急劇增加。經分析確認，告警信息為某風電場省調接入網非實時縱向加密認證裝置攔截的不符合安全策略的非法訪問，發出非法訪問的源地址為站內風功率預測服務器，觀察一段時間后發現告警數量在不斷增加并無減少跡象。從11時45分到14時51分斷網，平臺共收到告警信息數量為326554條。通過這些真實案例，集控中心及風電場暴露出大量電力監控系統的安全漏洞，主要有以下安全問題。3.1集控中心及風電場生產控制大區內缺少安全防護措施。集控中心和風電場的信息網絡安全防護手段主要集中在生產控制大區與管理信息大區的網絡邊界之間，生產控制大區與電網調度系統網絡邊界之間，生產控制大區與第三方監管機構網絡邊界之間，通常使用網絡隔離產品與安全加密類產品。但是，在生產控制大區內部缺少有效的網絡信息安全防護手段及措施。3.2工業控制系統自身存在漏洞、防護措施薄弱。集控中心和風電場使用的工業控制系統在硬件設計開始時很少考慮安全問題，導致安全漏洞的出現。如施耐德公司的67160型PLC存在IP分片語法拒絕服務漏洞（CNVD-2016-07839），這些高危漏洞的存在給電力行業信息網絡安全帶來無法估量的安全風險。3.3操作系統存在漏洞。目前大多數集控中心及風電場控制系統的工程師站/操作員站/HMI采用的是Windows平臺，Windows平臺存在大量的安全漏洞。為保證過程控制系統的相對獨立性，同時考慮到系統的穩定運行，通?，F場工程師在系統運行后不會對Windows平臺安裝任何補丁，安全隱患很大[7]。而且在傳統觀念上認為相對安全的Linux、Unix等系統，近年來也爆發了大量高危漏洞，這些系統在使用的過程中也需要對系統進行漏洞管理工作。3.4應用軟件存在漏洞。由于集控中心及風電場使用的SCADA控制軟件多為各企業定制化產品，在軟件開發階段缺少安全設計，導致這類軟件存在大量的安全漏洞[6]。3.5殺毒軟件自身缺陷。為了確保集控中心及風電場工控系統應用軟件的可用性，許多工控主機通常不安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，如殺毒軟件與其他應用軟件兼容性問題、病毒庫受到網絡限制無法正常更新等問題，都是造成殺毒軟件無法在風力發電行業大量使用的原因。而且殺毒軟件對新病毒的處理總是滯后的，導致每年都會爆發大規模的病毒攻擊，特別是新出現的病毒無法及時進行查殺工作。3.6多種網絡途徑切入點通過分析多個網絡安全事件，惡意攻擊主要源于對多種網絡入口接入點疏于防護，包括USB接口類移動存儲介質、遠程維護通道、移動便攜式設備等，都可以隨意接入到網絡中。這些介質、維護通道、便攜設備的自身安全問題也會給網絡造成安全隱患。3.7安全策略和管理流程漏洞在許多工業控制系統中，以犧牲安全為代價追求可用性是一種常見的現象。缺乏完整和有效的安全政策和管理程序也對工業控制系統的信息安全構成一定的威脅。例如，工業控制系統中任意使用移動存儲介質（包括筆記本電腦、USB驅動器等設備），防火墻的訪問控制策略松懈等。

4風電集控中心網絡安全防護方案

按照“安全分區、網絡專用、橫向隔離、縱向認證”的建設原則，采用主動防護，綜合監控等安全手段，對風電集控中心監控系統進行安全防護建設工作，滿足網絡、主機、數據庫等多方面的安全要求。

作者:張樹曉 單位:中國大唐集團新能源科學技術研究院有限公司