新能源电站网络安全防护方案研究与实现

◆王其乐 王寅生 王栋 刘宇星 胡鹏 高小钧

（中能电力科技开发有限公司 北京 100034）

近年来，包括电站在内的关键基础设施网络安全事件频繁发生，对各国的工业生产及居民生活造成了极大影响。2015年的“BlackEnergy”事件，黑客攻击了乌克兰的电网，造成了众多家庭供电中断。2019年，委内瑞拉多次发生大规模停电，通讯及供水系统大量中断。面对更加严峻的网络安全态势，作为保障民生的关键基础设施，电力工业的网络安全保护变得越来越重要。

以风电、光伏为代表的新能源电站在全国发电量占比越来越高。随着越来越多新能源电站的投运，以及大量风电集控中心的出现，新能源行业对网络的依赖越来越强烈。新能源电站地理位置分散且数量众多，易遭受非法入侵与攻击。所以采取何种防护策略来保障新能源电站的网络安全成为亟待解决的课题。

1 新能源电站安全防护现状

电力行业安全防护工作经20年的建设，已逐步形成了较为完善的防护体系，“安全分区、网络专用、横向隔离、纵向认证”在电力行业得到有效的执行。特别是在电网以及装机容量较大的火电、水电、核电已建立起相对完善的网络安全防护机制和管理制度。

新能源电站具有单场装机容量小，地域分散等特点，网络互联互通比传统能源需求量更大，但是在安全建设方面，又落后于传统能源电站，具体表现为：许多机组控制系统在设计时只注重执行效率问题而疏于信息安全问题，大部分新能源系统通讯协议在设计之初就没有考虑到授权、身份认证等功能。而且新能源电站地域分布广，主要依赖于网络进行远程控制和管理，易受网络攻击的节点很多。

2 新能源电站安全防护方案设计

新能源电站主要运行的系统包括：机组监控、有功无功控制、变电站监控、功率预测、电能量管理、故障录波、生产管理信息系统等。

其中直接涉及电网的系统包括：有功控制、无功控制、综合自动化系统、电量计量、微机保护测控装置等，这些系统需要与远端电网调度中心直接进行通信。

2.1 新能源电站系统构成

对新能源电站网络安全建设，遵守“安全分区、网络专用、横向隔离、纵向认证、综合防护”基本原则，按照生产区和管理区对风电场的系统进行划分，其中生产区又分为控制区和非控制区，控制区的业务主要包括：机组监控、有功无功控制、变电站监控；非控制区主要包括：继电保护、相量测量装置，电能量采集、功率预测等系统。

通过部署防火墙、隔离装置、纵向加密认证，入侵检测，日志审计等安全防护设备，提升新能源电站整体防护能力。

2.2 新能源电站网络安全防护方案

2.2.1 业务区域划分

根据业务系统的主要功能、实时性要求、使用场所、业务系统的关联关系、通信方式以及对生产的影响程度，应按照以下规则将业务系统置于相应的安全区：

对新能源场站发电和输电设备直接控制的系统、有实时控制功能的业务模块以及对生产有直接关联的系统应置于生产区；

应尽量根据系统实现的功能将某个业务系统完整地置于一个安全区内。当业务系统的某些功能与此业务系统不属于同一个安全分区时，必须通过加装安全隔离装置进行通信；

禁止把高安全等级区域的业务系统或部分功能迁移到“低安全”等级区域，但允许把“低安全”等级区域的业务系统或部分功能放置于高安全等级区域；

对不存在与外部系统交互的业务系统，虽其安全分区无特殊要求，但仍需遵守所在安全区的相关防护要求。

2.2.2 边界安全防护

根据安全区的划分，网络边界主要有以下几种：生产区和信息区之间的网络边界，生产区内控制区与非控制区之间的边界，控制区/非控制区内部不同的系统之间的边界，电站生产区与电网调度数据网之间的边界，生产区的业务系统与环保、安监等其他部门的第三方边界等。

（1）生产区与管理区边界防护

生产区与管理区之间的网络通信必须加装经国家检测认证的横向单向隔离装置，达到或接近物理隔离的水平；

按照数据通信方向横向单向隔离装置分为正向型和反向型，数据由生产区流向管理区，需安装正向隔离，反之数据由管理区流向生产区，需安装反向隔离装置；

严格禁止E-mail、Web、Telnet、FTP等高风险的网络服务穿过横向单向隔离装置通讯进行系统通讯。

（2）控制区与非控制区边界安全防护

控制区与非控制区之间应采用国产的防火墙，其功能、性能、电磁兼容性须经过国家相关部门的认证和测试，且满足业务系统数据的通信要求；

对于控制区与非控制区之间采用RS485和RS232等串行方式传输数据的，视为满足网络安全要求。

（3）控制区/非控制区内部安全防护

控制区或非控制区内的系统之间应采取VLAN或访问控制方式保障系统的相对独立性，限制系统间的直接互通；

为提升生产区的安全性，除在生产区部署实时数据库外，还应在管理区建立生产实时数据库镜像服务器。

（4）纵向边界防护

新能源电站与电网调度数据网的纵向连接处应设置经国家检测认证的纵向加密认证装置，与电网调度实现双向身份认证、数据加密等功能；

生产区内个别业务系统需采用公用通信网络、无线通信网及处于非可控状态下的网络设备与终端等进行通信，必须设立安全接入区。

（5）第三方边界安全防护

生产区内业务系统向环保、安监等部门进行数据传输时，应遵守当地环保、安全部门的规定，生产区内业务系统不允许存在直接的跨区通信，如需采用网络连接，应部署经过国家指定部门检测认证的单向隔离装置；

禁止其他设备生产厂商或其他外部企业远程连接新能源行业企业生产控制大区中的业务系统及设备。

2.2.3 综合防御

（1）主机加固

新能源电站的SCADA、能量管理平台等人机交互工作站，关键应用系统的服务器，以及网络边界处的通信网关、系统服务器等，需进行主机加固，加固的技术标准符合有关要求。

（2）恶意代码防范

工作站和业务系统服务器应采用免受恶意代码攻击的技术措施，应保证恶意代码库保持定期更新，对不适宜部署恶意代码防护的主机，可通过部署主机白名单软件进行安全防护。

（3）外设管控

严格控制在生产区和管理区之间交叉使用移动存储介质和便携计算机。确需接入的外部设备，需履行相关审批手续。

（4）入侵检测

应在生产区与管理区边界处部署一套入侵检测系统，并合理设置检测规则；

（5）日志审计

生产区部署一套日志审计系统，能够对操作系统、数据库、网络设备以及业务系统应用的重要操作进行记录、分析，及时发现各种违规行为以及攻击行为。

3 结束语

新能源电站网络安全防护方案既要符合电力系统网络安全基本安全要求，又需考虑新能源投资企业的承受能力，主要体现在：具有抵御外部对网络与应用系统的破坏和攻击，防止内部人员的非法访问，同时在系统受到攻击和破坏后能及时恢复系统的能力，确保关键数据的可用性、机密性、完整性，防止电力生产业务由于网络安全产生中断。

新能源电站网络安全防护是一项复杂的系统工程，其整体安全性取决于系统的薄弱环节，因此新能源电站的安全防护应基于技术与管理两个层次分别从安全防护区划分与专用网络通道搭建、业务系统的横向隔离与纵向认证、安全态势评估与预测以及网络安全管理体制建设等多个维度出发，构建立体可信的新能源电站安全防护策略体系。