提升新能源電站電力二次系統(tǒng)安全防護(hù)水平的方法

協(xié)鑫新能源控股有限公司 胡海松 李發(fā)清 華電電力科學(xué)研究院有限公司 劉惠娟

電力二次系統(tǒng)是由繼電保護(hù)、安全自動(dòng)控制、系統(tǒng)通訊、調(diào)度自動(dòng)化、DCS自動(dòng)控制系統(tǒng)等組成的系統(tǒng)，是通過(guò)各級(jí)電力監(jiān)控系統(tǒng)以及數(shù)據(jù)網(wǎng)絡(luò)實(shí)現(xiàn)調(diào)度的，包括多級(jí)別管理信息系統(tǒng)，以及電力數(shù)據(jù)通信網(wǎng)絡(luò)和基礎(chǔ)設(shè)施。隨著目前電網(wǎng)和通信網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)技術(shù)也得到了廣泛的應(yīng)用，業(yè)務(wù)需求逐漸增加并接入到生產(chǎn)控制大區(qū)的電力控制系統(tǒng)之中，與此同時(shí)，光伏、風(fēng)電等各種新能源電站與電網(wǎng)各級(jí)調(diào)度主站的數(shù)據(jù)交換愈加頻繁。相比之下，新能源電站電力二次系統(tǒng)的整體安全防護(hù)水平普遍比較薄弱，尤其是區(qū)域邊界安全、內(nèi)部防護(hù)手段都需進(jìn)一步提升。

1 新能源電站電力二次系統(tǒng)現(xiàn)狀

國(guó)家電力監(jiān)管委員會(huì)第5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》及《電力二次系統(tǒng)安全防護(hù)總體方案》提出了電力二次系統(tǒng)安全防護(hù)的相關(guān)要求，即做好安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證、綜合防御的原則。電力二次系統(tǒng)架構(gòu)中，主要分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，其中生產(chǎn)控制大區(qū)又分成控制區(qū)（安全I(xiàn)區(qū)）以及非控制區(qū)（安全I(xiàn)I區(qū)）。目前新能源電站中大都應(yīng)用綜合自動(dòng)化系統(tǒng)，以及自動(dòng)化發(fā)電控制系統(tǒng)，包括自動(dòng)電壓控制和相量測(cè)量等各種不同功能的系統(tǒng)，這些系統(tǒng)均屬于控制區(qū)。

同時(shí)，新能源電站還會(huì)應(yīng)用到功率預(yù)測(cè)、狀態(tài)監(jiān)測(cè)系統(tǒng)，包括故障錄波裝置等，這些均屬于非控制區(qū)。天氣預(yù)報(bào)系統(tǒng)、生產(chǎn)管理、辦公等系統(tǒng)則屬于管理信息系統(tǒng)。相對(duì)于電力調(diào)度數(shù)據(jù)專用網(wǎng)絡(luò)，企業(yè)數(shù)據(jù)網(wǎng)、運(yùn)營(yíng)商、其他公共數(shù)據(jù)網(wǎng)絡(luò)或是遠(yuǎn)程維護(hù)的延申網(wǎng)絡(luò)一般都列為外部網(wǎng)絡(luò)，在與外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸或通信時(shí)，其邊界防護(hù)要求應(yīng)更加嚴(yán)格。不同的調(diào)度機(jī)構(gòu)、新能源電站的部署應(yīng)嚴(yán)格按照要求實(shí)行。

2 目前新能源電站二次系統(tǒng)安全防護(hù)工作中存在的問(wèn)題

邊界防護(hù)不到位。新能源電站站內(nèi)的控制區(qū)以及非控制區(qū)間需做好硬件防火墻的部署和配置，目前大多數(shù)新能源電站仍未安排要求部署，且無(wú)法滿足等保2.0的配置要求。如針對(duì)高危端口封堵和telnet、ftp等高風(fēng)險(xiǎn)服務(wù)以及低安全域主動(dòng)向高安全域發(fā)起訪問(wèn)的策略控制均沒(méi)有按照相關(guān)的要求執(zhí)行到位，以致橫向邊界防火墻并未起到實(shí)際的防護(hù)作用[1]。部分新能源電站的管理信息大區(qū)與外部網(wǎng)絡(luò)之間未部署防火墻，生產(chǎn)控制大區(qū)與管理信息大區(qū)甚至外部網(wǎng)絡(luò)之間的正反向隔離裝置未按有關(guān)規(guī)范部署，造成跨區(qū)互聯(lián)，存在極大的安全隱患。

新站驗(yàn)收不夠嚴(yán)格和規(guī)范。新能源電站在試運(yùn)行期間或現(xiàn)場(chǎng)驗(yàn)收時(shí)，對(duì)部分電力二次系統(tǒng)的安全防護(hù)設(shè)備的部署和配置把關(guān)不嚴(yán)格，如實(shí)施過(guò)程中沒(méi)有完善的安全防護(hù)方案、網(wǎng)絡(luò)安全設(shè)備配置規(guī)范不符合等保2.0以及相關(guān)調(diào)度機(jī)構(gòu)的要求；電力專用縱向加密認(rèn)證裝置未經(jīng)過(guò)權(quán)威機(jī)構(gòu)檢測(cè)，不支持硬件加密和國(guó)產(chǎn)加密算法，無(wú)法正常發(fā)揮出數(shù)據(jù)加密和解密的作用，無(wú)法保證數(shù)據(jù)穩(wěn)定有效地傳輸[2]。

技術(shù)力量薄弱。專業(yè)技術(shù)隊(duì)伍力量薄弱，缺乏網(wǎng)絡(luò)安全專業(yè)人才，無(wú)法滿足日常維護(hù)和網(wǎng)絡(luò)安全事件響應(yīng)及處置工作。無(wú)法有效定期開(kāi)展數(shù)據(jù)備份、數(shù)據(jù)遷移、日志刪存、病毒查殺、病毒庫(kù)和規(guī)則庫(kù)升級(jí)、網(wǎng)絡(luò)安全應(yīng)急演練等常態(tài)化開(kāi)展的工作。

管理欠缺。缺乏網(wǎng)絡(luò)安全相關(guān)管理制度和規(guī)范，缺少執(zhí)行管理和監(jiān)督；對(duì)國(guó)家和行業(yè)的相關(guān)要求和法律法規(guī)敏感度低，解讀不清晰，無(wú)法有效開(kāi)展相應(yīng)的承接工作。未建立健全安全防護(hù)方案和技術(shù)防護(hù)措施，針對(duì)互聯(lián)網(wǎng)攻擊、高危漏洞、風(fēng)險(xiǎn)預(yù)警反應(yīng)不夠迅速靈敏，處置措施不到位。

3 針對(duì)存在的問(wèn)題提出的解決方案及提升措施

3.1 及時(shí)完善電力二次系統(tǒng)的安全防護(hù)作業(yè)指導(dǎo)書

安防建設(shè)時(shí)嚴(yán)格按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”十六字方針執(zhí)行，制定安全防護(hù)總體方案，編制作業(yè)指導(dǎo)書，并將防火墻、電力專用加密認(rèn)證裝置、正反向隔離裝置、邊界路由器、交換機(jī)等所有涉及邊界的網(wǎng)絡(luò)安全設(shè)備配置規(guī)范均納入指導(dǎo)書；根據(jù)業(yè)務(wù)需求做好最小化訪問(wèn)控制策略[3]；其次，邊界接入時(shí)綁定設(shè)備IP和MAC，防止從內(nèi)部開(kāi)始的欺騙和惡意篡改。

3.2 新電站驗(yàn)收投運(yùn)嚴(yán)格把關(guān)

電力二次系統(tǒng)安全防護(hù)和其他工程建設(shè)過(guò)程中做到“三同步”，二次系統(tǒng)的安全防護(hù)是電站在對(duì)抗網(wǎng)絡(luò)攻擊和入侵的唯一屏障，它與業(yè)務(wù)系統(tǒng)協(xié)同工作成為一個(gè)有機(jī)的整體，因此安全防護(hù)的規(guī)劃、建設(shè)、驗(yàn)收在整個(gè)生命周期內(nèi)都是一個(gè)重要部分。驗(yàn)收時(shí)應(yīng)邀請(qǐng)專業(yè)人員參與，防止出現(xiàn)漏驗(yàn)和不驗(yàn)的情況[4]，同時(shí)能發(fā)現(xiàn)并指出安防建設(shè)過(guò)程中存在的隱患和不足，并提出相應(yīng)的解決措施。

3.3 安防設(shè)備更新?lián)Q代

隨著網(wǎng)絡(luò)安全形勢(shì)不斷變化，國(guó)家及行業(yè)對(duì)網(wǎng)絡(luò)安全的防護(hù)能力要求也隨之變高，部分電站的網(wǎng)絡(luò)安全設(shè)備也會(huì)隨著運(yùn)行年限漸漸無(wú)法滿足要求，比如設(shè)備過(guò)保、硬件老化、停產(chǎn)、軟件版本不再持續(xù)更新、不支持?jǐn)U容、不支持國(guó)產(chǎn)化要求、加密算法老舊容易被破解等問(wèn)題接踵而至，因此在條件允許的情況下，需對(duì)網(wǎng)絡(luò)安全設(shè)備進(jìn)行升級(jí)換代，如部分新能源電站的縱向加密認(rèn)證裝置屬于低端百兆的設(shè)備版本，其版本較低，需做好內(nèi)核和版本的升級(jí)工作。對(duì)于暫時(shí)無(wú)法升級(jí)或影響業(yè)務(wù)的情況下，可根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境選擇性增加防病毒網(wǎng)關(guān)、準(zhǔn)入系統(tǒng)、審計(jì)系統(tǒng)、IDS、IPS、WAF、運(yùn)維堡壘機(jī)、態(tài)勢(shì)感知系統(tǒng)、網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)等防護(hù)手段。

設(shè)備安裝、升級(jí)時(shí)，新能源電站需嚴(yán)格按照調(diào)度相關(guān)機(jī)構(gòu)中批復(fù)的電力二次系統(tǒng)安全防護(hù)方案實(shí)施，相關(guān)施工單位根據(jù)機(jī)房和設(shè)備資源，按照相應(yīng)設(shè)備資源的標(biāo)準(zhǔn)化及規(guī)范的要求做好標(biāo)準(zhǔn)化方面的建設(shè)工作，再依照要求來(lái)做好業(yè)務(wù)分區(qū)，并根據(jù)不同顏色的網(wǎng)絡(luò)線纜來(lái)做好系統(tǒng)網(wǎng)絡(luò)的標(biāo)識(shí)，并根據(jù)線纜的敷設(shè)工藝也就是標(biāo)識(shí)、標(biāo)牌來(lái)進(jìn)行張貼與懸掛（圖1）。

圖1 電站典型網(wǎng)絡(luò)連接圖

在做好相關(guān)系統(tǒng)調(diào)試時(shí)需依照“最小化”的相關(guān)原則，先將網(wǎng)絡(luò)路由配置好，再將生產(chǎn)大區(qū)的各項(xiàng)業(yè)務(wù)配置好，并在各項(xiàng)系統(tǒng)中禁止將各種方式與互聯(lián)網(wǎng)連接；關(guān)閉或拆除主機(jī)的光盤驅(qū)動(dòng)、USB接口等；系統(tǒng)或設(shè)備調(diào)試時(shí)不得旁路縱向加密認(rèn)證裝置、防火墻、橫向隔離裝置。在進(jìn)行自驗(yàn)收階段的時(shí)候，整個(gè)新能源電站需組織做好二次系統(tǒng)安全防護(hù)的自查，并根據(jù)調(diào)度機(jī)構(gòu)方面的批復(fù)對(duì)二次系統(tǒng)的安全防護(hù)情況，以及實(shí)施方案情況做好系統(tǒng)的檢查。

3.4 運(yùn)用各種安全防護(hù)措施

針對(duì)VPN用戶來(lái)說(shuō)，數(shù)據(jù)包做好折包檢測(cè)能更好的保證數(shù)據(jù)通信方面的安全。對(duì)于源于內(nèi)部網(wǎng)絡(luò)中存在的不同的各種安全威脅，內(nèi)網(wǎng)的安全需要充分保證，應(yīng)用領(lǐng)先的漏洞防護(hù)技術(shù)針對(duì)存在的漏洞提供“虛擬補(bǔ)丁”，讓各種攻擊能夠做到變形、遁形。在比較優(yōu)異的帶寬容量情況優(yōu)化電力二次系統(tǒng)的安全防護(hù)時(shí)，在相關(guān)的法規(guī)要求方面需對(duì)新能源電站的信息做好管理大區(qū)，并進(jìn)行橫向安全區(qū)域的訪問(wèn)與隔離，還要做好縱向安全區(qū)的訪問(wèn)控制，這樣能夠提供基于業(yè)務(wù)為主，應(yīng)用以IPSec VPN為主的加密隧道來(lái)確保信息管理大區(qū)之中的各種類型的業(yè)務(wù)訪問(wèn)的安全性還有可靠性，也有著一定的優(yōu)異應(yīng)用識(shí)別能力，對(duì)于主流應(yīng)用的協(xié)議采取識(shí)別控制的方式，再應(yīng)用有效的保障業(yè)務(wù)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行優(yōu)化，這樣能充分保障網(wǎng)絡(luò)資源得到有效的使用與控制，實(shí)現(xiàn)靈活配置高效的管理，可以基于用戶的情況做好訪問(wèn)控制并且進(jìn)行限流，做好網(wǎng)絡(luò)應(yīng)用控制，提升整體的內(nèi)容安全，充分的提高整個(gè)新能源電站的IT治理水平。

3.5 加強(qiáng)運(yùn)行管理，提升技術(shù)力量

制定和完善網(wǎng)絡(luò)安全相關(guān)的制度和規(guī)范，定期通過(guò)培訓(xùn)提升管理人員和維護(hù)人員的技術(shù)水平；嚴(yán)格按照要求做好日常維護(hù)和常態(tài)化工作并保存好相關(guān)記錄；定期組織開(kāi)展網(wǎng)絡(luò)安全應(yīng)急演練。

電力二次安防結(jié)構(gòu)的變更、安防設(shè)備的退運(yùn)、或者是調(diào)度業(yè)務(wù)對(duì)二次系統(tǒng)的運(yùn)維檢修工作造成影響，需要辦理工作指示，再根據(jù)相應(yīng)的履行簽署相應(yīng)的許可手續(xù)，在工作票上也需要填寫，使工作內(nèi)容更加的清晰明了，包括風(fēng)險(xiǎn)點(diǎn)、還有注意事項(xiàng)以及安全措施等，都需要考慮周全，重點(diǎn)做好系統(tǒng)的防護(hù)。還要對(duì)風(fēng)險(xiǎn)進(jìn)行分析，并應(yīng)有更加有效的應(yīng)對(duì)措施，防止由于二次設(shè)備檢修出現(xiàn)的二次安防事件。分析現(xiàn)場(chǎng)的檢修安全風(fēng)險(xiǎn)，考慮管控措施時(shí)還需參考新能源電站電力二次系統(tǒng)安防設(shè)備的現(xiàn)場(chǎng)。

綜上，目前在新能源電站電力二次系統(tǒng)的安全防護(hù)工作中，需要堅(jiān)持的原則就是做好安全分區(qū)，保證網(wǎng)絡(luò)專用，還要進(jìn)行橫向隔離并做好縱向認(rèn)證；安防系統(tǒng)建設(shè)的同步規(guī)劃、同步設(shè)計(jì)和同步實(shí)施工作；相關(guān)的調(diào)度工作也要保證維持自動(dòng)化系統(tǒng)的安全防護(hù)，嚴(yán)格按照相關(guān)調(diào)度機(jī)構(gòu)的防護(hù)規(guī)定進(jìn)行執(zhí)行，這樣才能更好地提升新能源電站電力二次安防的整體防護(hù)水平。