某風電工控網絡安全防護設計

◆李 濤

某風電工控網絡安全防護設計

◆李 濤

（農業農村部信息中心 北京 100125）

本文通過對某風電公司的風電場和集控中心的橫向邊界防護和綜合安全防護現狀分析后，按照能源局36號文附件4《發電廠監控系統安全防護方案》的要求，從橫向邊界防護、入侵檢測、監測與審計、主機與網絡設備、應用安全控制、安全管理等方面進行安全防護設計。該設計已在遼寧某風電公司進行了應用實施，經過近半年的運行情況來看，具有很好的網絡安全防護效果，因此在風電行業具有很高的推廣應用價值。

風電場；集控中心；邊界防護；監測審計；入侵檢測；主機防護；運維審計

1 系統介紹

某風電公司有5座風電場及1座區域集控中心，風電場通過電力專網與區域集控中心實時通信。其中，風電場監控系統涵蓋風機監控系統、升壓站監控系統及其他在線監測系統。風機監控系統站內部分主要由光電轉換模塊、交換機、服務器等組成，采用的通信協議主要為Modbus及OLE for Process Control；升壓站監控系統主要由各類保護測控裝置、以太網交換機、規約轉換器、后臺服務器、遠動通信裝置等組成，采用的通信協議主要為IEC103/61850。風電場與區域集控中心通過Modbus及IEC104規約傳輸數據。

各風電場具有高度相似的網絡結構，每場的電力監控系統均可以劃分為：風機控制網、升壓站控制網、功率預測網此三個主要子網，另外還包括風機狀態在線監測系統、集中監控系統、D5000二區業務系統等其他業務子網，其余業務系統直接或間接與此三個子網建立連接。風機控制網使用MODBUS TCP作為主要通信協議，功率預測網主要使用MODBUS及FTP協議，升壓站控制網使用IEC61850及IEC103作為主要通信協議，與其他子網通信使用IEC104等協議。集中監控系統連接各主要子網，負責網間通信的協議轉換。

2 安全現狀分析

2.1 橫向邊界防護

各風電場和集控中心的生產控制區（安全區I）與非控制區（安全區II）之間缺少邏輯隔離、報文過濾、訪問控制等功能[1]。一旦非控制區（安全區II）被病毒、木馬、黑客等攻擊行為入侵后作為跳板直接對生產控制區（安全區I）的監控系統進行控制、破壞。同時，防火墻作為集控中心與風電場信息交互的接口，對其間傳輸的數據進行深度協議解析，過濾不合規的數據，防止因某風電場或集控中心安全事件爆發而進行蔓延，有效減小受感染的范圍，降低損失。

2.2 綜合安全防護

（1）入侵檢測

各風電場和集控中心的生產控制區缺少相應的入侵檢測手段，無法實現對生產控制區（安全區I）的風機監控網、升壓站監控網以及非控制區（安全區II）的功率預測網等工控網絡中隱藏的入侵行為，無法杜絕因異常接入和惡意代碼入侵等造成風機大面積脫網或站內開關誤動引發的安全生產事故。

（2）監測與審計

各風電場和集控中心的生產控制大區缺失對監控系統的監測與審計措施，不能對生產控制區的工控網絡進行異常流量、攻擊行為、違規操作等非法行為的有效監測與審計[2-3]。

（3）主機與網絡設備加固

在主機與網絡設備加固方面，各風電場和集控中心缺少身份認證、訪問權限配置與管理、控制系統操作行為審計與監控、移動介質接入控制、數據安全交換與病毒防護等措施[2]；不能減少外部入侵的可能性，保障業務的連續性。

（4）應用安全控制

各風電場和集控中心在安全運維方面缺少有效的技術手段。不能實現對用戶登錄應用系統、訪問系統資源等操作進行身份認證，不能對操作行為進行安全審計，以及對第三方遠程運維進行監控、審計[2-3]。

（5）安全管理

缺乏安全管理平臺的支持，不能對各風電場和集控中心從全局角度進行安全事件實時分析和處理，不能為管理者提供事件趨勢及告警趨勢的綜合分析、展現，缺少決策依據，不能長久安全運營[4]。

3 安全防護研究

按照能源局36號文附件4《發電廠監控系統安全防護方案》的要求[5]，對集控中心和各風電場進行如下設計：

3.1 集控中心

在集控中心新增部署1臺安全管理平臺交換機，用于安全管理平臺、入侵檢測設備以及監測與審計裝置之間通訊。

在集控中心中的核心交換機1上部署1臺入侵檢測設備及1臺運維堡壘機，實現檢測所有流經集控中心控制區的業務流量，發現隱藏網絡中的入侵行為，分析潛在威脅，杜絕因異常接入、惡意代碼以及黑客等入侵造成集控中心業務中斷。同時，對日常運維過程中發生的越權訪問、違規操作以及遠程運維等安全事件，進行告警或阻斷處理。

在集控中心中的核心交換機1和2部署1臺監測與審計裝置，實時動態監測通信內容、網絡行為和網絡流量，發現和捕獲各種敏感信息，全面記錄工控網絡系統中的各種會話和事件，非法事件等，并進行告警與審計。

在集控中心中的操作員站部署1套主機防護模塊，實現對人員身份認證、訪問權限配置與管理、數據安全交換與病毒防護、移動介質接入控制等行為管控。

在集控中心中的核心交換機2上部署1套安全管理平臺，實現對各風電場和集控中心從全局角度進行安全事件實時分析和統計，為管理者提供事件趨勢及告警趨勢的綜合分析、展現，提供決策依據。

其網絡安全防護架構圖如圖1所示。

圖1 集控中心網絡安全防護架構圖

3.2 風電場側

在各風電場，對風功率預測網原有風功率預測網交換機（非網管交換機）進行更換，在新增的風功率預測交換機和集控數據網（安全I區）的交換機之間部署1臺工控防火墻，通過網線將其和監測與審計系統相聯。實現對生產控制區（安全II區）和非控制區（安全I區）之間的邏輯隔離、報文過濾、訪問控制等功能，進而實現對生產控制區（安全II區）和非控制區（安全I區）的邊界防護。同時，工控防火墻作為集控中心與風電場信息交互的接口，對其間傳輸的數據進行深度協議解析，過濾不合規的數據，實現對集控中心與該風電場的邊界防護。

在生產控制區（安全I區）風機控制網的主交換機旁路部署1臺入侵檢測設備，并通過網線將其和監測與審計系統相聯，實現對生產控制區（安全I區）的風機控制網和站內控制網以及非控制區（安全II區）風功率預測網等工控網絡的入侵識別。

在站內控制網（安全I區）中繼保室主交換A、B旁路部署1套監測與審計系統，對風機控制網主交換機、繼保室主交換A和B、集控數據網交換機以及風功率預測交換機的流量進行監控，實現對生產控制大區的工控網絡進行異常流量、攻擊行為、違規操作等非法行為的有效監測與審計。

在站內控制網（安全I區）中繼保室主交換B旁路部署1臺運維堡壘機，實現對用戶登錄應用系統、訪問系統資源等操作進行身份認證，對操作行為進行安全審計，以及第三方遠程運維監控、審計。

在站內控制網（安全I區）中站內監控操作站B部署1套主機安全防護系統，實現對主機人員身份認證、訪問權限配置與管理、控制系統操作行為審計與監控、數據安全交換與病毒防護、移動介質接入控制等主要功能，保護電力監控系統的核心數據及關鍵業務應用，減少外部入侵的可能性，保障業務的連續性。

其網絡安全防護架構圖如圖2所示。

圖2 風電場網絡安全防護架構圖

4 結語

通過對某風電公司的風電場和集控中心的橫向邊界防護和綜合安全防護現狀分析后，按照能源局36號文附件4《發電廠監控系統安全防護方案》的要求進行設計。該設計方案已在遼寧某風電公司進行了應用實施，經過近半年的運行情況來看，具有很好的網絡安全防護效果，該設計方案在風電行業具有很高的推廣應用價值。

[1]尹騫.電力行業工業控制網絡的運維和安全研究[J].信息安全研究，2019，5（8）：679-684.

[2]景延嶸.電網工控安全實驗室建設及運行管理探討[J].青海電力，2018，37（4）：22-24.

[3]郭強.風場工控系統安全漏洞自動化挖掘與檢測技術的應用研究[J].應用能源技術，2019（4）：47-49.

[4]李仲博.熱力行業工控安全防護方案設計和實踐[J].信息安全研究，2019，5（8）：715-720.

[5]發電廠監控系統安全防護方案[S].國家能源局36號文.