協(xié)鑫新能源控股有限公司 胡海松 李發(fā)清 華電電力科學(xué)研究院有限公司 劉惠娟
電力二次系統(tǒng)是由繼電保護、安全自動控制、系統(tǒng)通訊、調(diào)度自動化、DCS自動控制系統(tǒng)等組成的系統(tǒng),是通過各級電力監(jiān)控系統(tǒng)以及數(shù)據(jù)網(wǎng)絡(luò)實現(xiàn)調(diào)度的,包括多級別管理信息系統(tǒng),以及電力數(shù)據(jù)通信網(wǎng)絡(luò)和基礎(chǔ)設(shè)施。隨著目前電網(wǎng)和通信網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,互聯(lián)網(wǎng)技術(shù)也得到了廣泛的應(yīng)用,業(yè)務(wù)需求逐漸增加并接入到生產(chǎn)控制大區(qū)的電力控制系統(tǒng)之中,與此同時,光伏、風(fēng)電等各種新能源電站與電網(wǎng)各級調(diào)度主站的數(shù)據(jù)交換愈加頻繁。相比之下,新能源電站電力二次系統(tǒng)的整體安全防護水平普遍比較薄弱,尤其是區(qū)域邊界安全、內(nèi)部防護手段都需進一步提升。
國家電力監(jiān)管委員會第5號令《電力二次系統(tǒng)安全防護規(guī)定》及《電力二次系統(tǒng)安全防護總體方案》提出了電力二次系統(tǒng)安全防護的相關(guān)要求,即做好安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證、綜合防御的原則。電力二次系統(tǒng)架構(gòu)中,主要分為生產(chǎn)控制大區(qū)和管理信息大區(qū),其中生產(chǎn)控制大區(qū)又分成控制區(qū)(安全I區(qū))以及非控制區(qū)(安全II區(qū))。目前新能源電站中大都應(yīng)用綜合自動化系統(tǒng),以及自動化發(fā)電控制系統(tǒng),包括自動電壓控制和相量測量等各種不同功能的系統(tǒng),這些系統(tǒng)均屬于控制區(qū)。
同時,新能源電站還會應(yīng)用到功率預(yù)測、狀態(tài)監(jiān)測系統(tǒng),包括故障錄波裝置等,這些均屬于非控制區(qū)。天氣預(yù)報系統(tǒng)、生產(chǎn)管理、辦公等系統(tǒng)則屬于管理信息系統(tǒng)。相對于電力調(diào)度數(shù)據(jù)專用網(wǎng)絡(luò),企業(yè)數(shù)據(jù)網(wǎng)、運營商、其他公共數(shù)據(jù)網(wǎng)絡(luò)或是遠程維護的延申網(wǎng)絡(luò)一般都列為外部網(wǎng)絡(luò),在與外部網(wǎng)絡(luò)進行數(shù)據(jù)傳輸或通信時,其邊界防護要求應(yīng)更加嚴格。不同的調(diào)度機構(gòu)、新能源電站的部署應(yīng)嚴格按照要求實行。
邊界防護不到位。新能源電站站內(nèi)的控制區(qū)以及非控制區(qū)間需做好硬件防火墻的部署和配置,目前大多數(shù)新能源電站仍未安排要求部署,且無法滿足等保2.0的配置要求。如針對高危端口封堵和telnet、ftp等高風(fēng)險服務(wù)以及低安全域主動向高安全域發(fā)起訪問的策略控制均沒有按照相關(guān)的要求執(zhí)行到位,以致橫向邊界防火墻并未起到實際的防護作用[1]。部分新能源電站的管理信息大區(qū)與外部網(wǎng)絡(luò)之間未部署防火墻,生產(chǎn)控制大區(qū)與管理信息大區(qū)甚至外部網(wǎng)絡(luò)之間的正反向隔離裝置未按有關(guān)規(guī)范部署,造成跨區(qū)互聯(lián),存在極大的安全隱患。
新站驗收不夠嚴格和規(guī)范。新能源電站在試運行期間或現(xiàn)場驗收時,對部分電力二次系統(tǒng)的安全防護設(shè)備的部署和配置把關(guān)不嚴格,如實施過程中沒有完善的安全防護方案、網(wǎng)絡(luò)安全設(shè)備配置規(guī)范不符合等保2.0以及相關(guān)調(diào)度機構(gòu)的要求;電力專用縱向加密認證裝置未經(jīng)過權(quán)威機構(gòu)檢測,不支持硬件加密和國產(chǎn)加密算法,無法正常發(fā)揮出數(shù)據(jù)加密和解密的作用,無法保證數(shù)據(jù)穩(wěn)定有效地傳輸[2]。
技術(shù)力量薄弱。專業(yè)技術(shù)隊伍力量薄弱,缺乏網(wǎng)絡(luò)安全專業(yè)人才,無法滿足日常維護和網(wǎng)絡(luò)安全事件響應(yīng)及處置工作。無法有效定期開展數(shù)據(jù)備份、數(shù)據(jù)遷移、日志刪存、病毒查殺、病毒庫和規(guī)則庫升級、網(wǎng)絡(luò)安全應(yīng)急演練等常態(tài)化開展的工作。
管理欠缺。缺乏網(wǎng)絡(luò)安全相關(guān)管理制度和規(guī)范,缺少執(zhí)行管理和監(jiān)督;對國家和行業(yè)的相關(guān)要求和法律法規(guī)敏感度低,解讀不清晰,無法有效開展相應(yīng)的承接工作。未建立健全安全防護方案和技術(shù)防護措施,針對互聯(lián)網(wǎng)攻擊、高危漏洞、風(fēng)險預(yù)警反應(yīng)不夠迅速靈敏,處置措施不到位。
安防建設(shè)時嚴格按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”十六字方針執(zhí)行,制定安全防護總體方案,編制作業(yè)指導(dǎo)書,并將防火墻、電力專用加密認證裝置、正反向隔離裝置、邊界路由器、交換機等所有涉及邊界的網(wǎng)絡(luò)安全設(shè)備配置規(guī)范均納入指導(dǎo)書;根據(jù)業(yè)務(wù)需求做好最小化訪問控制策略[3];其次,邊界接入時綁定設(shè)備IP和MAC,防止從內(nèi)部開始的欺騙和惡意篡改。
電力二次系統(tǒng)安全防護和其他工程建設(shè)過程中做到“三同步”,二次系統(tǒng)的安全防護是電站在對抗網(wǎng)絡(luò)攻擊和入侵的唯一屏障,它與業(yè)務(wù)系統(tǒng)協(xié)同工作成為一個有機的整體,因此安全防護的規(guī)劃、建設(shè)、驗收在整個生命周期內(nèi)都是一個重要部分。驗收時應(yīng)邀請專業(yè)人員參與,防止出現(xiàn)漏驗和不驗的情況[4],同時能發(fā)現(xiàn)并指出安防建設(shè)過程中存在的隱患和不足,并提出相應(yīng)的解決措施。
隨著網(wǎng)絡(luò)安全形勢不斷變化,國家及行業(yè)對網(wǎng)絡(luò)安全的防護能力要求也隨之變高,部分電站的網(wǎng)絡(luò)安全設(shè)備也會隨著運行年限漸漸無法滿足要求,比如設(shè)備過保、硬件老化、停產(chǎn)、軟件版本不再持續(xù)更新、不支持擴容、不支持國產(chǎn)化要求、加密算法老舊容易被破解等問題接踵而至,因此在條件允許的情況下,需對網(wǎng)絡(luò)安全設(shè)備進行升級換代,如部分新能源電站的縱向加密認證裝置屬于低端百兆的設(shè)備版本,其版本較低,需做好內(nèi)核和版本的升級工作。對于暫時無法升級或影響業(yè)務(wù)的情況下,可根據(jù)實際的網(wǎng)絡(luò)環(huán)境選擇性增加防病毒網(wǎng)關(guān)、準(zhǔn)入系統(tǒng)、審計系統(tǒng)、IDS、IPS、WAF、運維堡壘機、態(tài)勢感知系統(tǒng)、網(wǎng)絡(luò)安全監(jiān)測平臺等防護手段。
設(shè)備安裝、升級時,新能源電站需嚴格按照調(diào)度相關(guān)機構(gòu)中批復(fù)的電力二次系統(tǒng)安全防護方案實施,相關(guān)施工單位根據(jù)機房和設(shè)備資源,按照相應(yīng)設(shè)備資源的標(biāo)準(zhǔn)化及規(guī)范的要求做好標(biāo)準(zhǔn)化方面的建設(shè)工作,再依照要求來做好業(yè)務(wù)分區(qū),并根據(jù)不同顏色的網(wǎng)絡(luò)線纜來做好系統(tǒng)網(wǎng)絡(luò)的標(biāo)識,并根據(jù)線纜的敷設(shè)工藝也就是標(biāo)識、標(biāo)牌來進行張貼與懸掛(圖1)。
圖1 電站典型網(wǎng)絡(luò)連接圖
在做好相關(guān)系統(tǒng)調(diào)試時需依照“最小化”的相關(guān)原則,先將網(wǎng)絡(luò)路由配置好,再將生產(chǎn)大區(qū)的各項業(yè)務(wù)配置好,并在各項系統(tǒng)中禁止將各種方式與互聯(lián)網(wǎng)連接;關(guān)閉或拆除主機的光盤驅(qū)動、USB接口等;系統(tǒng)或設(shè)備調(diào)試時不得旁路縱向加密認證裝置、防火墻、橫向隔離裝置。在進行自驗收階段的時候,整個新能源電站需組織做好二次系統(tǒng)安全防護的自查,并根據(jù)調(diào)度機構(gòu)方面的批復(fù)對二次系統(tǒng)的安全防護情況,以及實施方案情況做好系統(tǒng)的檢查。
針對VPN用戶來說,數(shù)據(jù)包做好折包檢測能更好的保證數(shù)據(jù)通信方面的安全。對于源于內(nèi)部網(wǎng)絡(luò)中存在的不同的各種安全威脅,內(nèi)網(wǎng)的安全需要充分保證,應(yīng)用領(lǐng)先的漏洞防護技術(shù)針對存在的漏洞提供“虛擬補丁”,讓各種攻擊能夠做到變形、遁形。在比較優(yōu)異的帶寬容量情況優(yōu)化電力二次系統(tǒng)的安全防護時,在相關(guān)的法規(guī)要求方面需對新能源電站的信息做好管理大區(qū),并進行橫向安全區(qū)域的訪問與隔離,還要做好縱向安全區(qū)的訪問控制,這樣能夠提供基于業(yè)務(wù)為主,應(yīng)用以IPSec VPN為主的加密隧道來確保信息管理大區(qū)之中的各種類型的業(yè)務(wù)訪問的安全性還有可靠性,也有著一定的優(yōu)異應(yīng)用識別能力,對于主流應(yīng)用的協(xié)議采取識別控制的方式,再應(yīng)用有效的保障業(yè)務(wù)對網(wǎng)絡(luò)帶寬進行優(yōu)化,這樣能充分保障網(wǎng)絡(luò)資源得到有效的使用與控制,實現(xiàn)靈活配置高效的管理,可以基于用戶的情況做好訪問控制并且進行限流,做好網(wǎng)絡(luò)應(yīng)用控制,提升整體的內(nèi)容安全,充分的提高整個新能源電站的IT治理水平。
制定和完善網(wǎng)絡(luò)安全相關(guān)的制度和規(guī)范,定期通過培訓(xùn)提升管理人員和維護人員的技術(shù)水平;嚴格按照要求做好日常維護和常態(tài)化工作并保存好相關(guān)記錄;定期組織開展網(wǎng)絡(luò)安全應(yīng)急演練。
電力二次安防結(jié)構(gòu)的變更、安防設(shè)備的退運、或者是調(diào)度業(yè)務(wù)對二次系統(tǒng)的運維檢修工作造成影響,需要辦理工作指示,再根據(jù)相應(yīng)的履行簽署相應(yīng)的許可手續(xù),在工作票上也需要填寫,使工作內(nèi)容更加的清晰明了,包括風(fēng)險點、還有注意事項以及安全措施等,都需要考慮周全,重點做好系統(tǒng)的防護。還要對風(fēng)險進行分析,并應(yīng)有更加有效的應(yīng)對措施,防止由于二次設(shè)備檢修出現(xiàn)的二次安防事件。分析現(xiàn)場的檢修安全風(fēng)險,考慮管控措施時還需參考新能源電站電力二次系統(tǒng)安防設(shè)備的現(xiàn)場。
綜上,目前在新能源電站電力二次系統(tǒng)的安全防護工作中,需要堅持的原則就是做好安全分區(qū),保證網(wǎng)絡(luò)專用,還要進行橫向隔離并做好縱向認證;安防系統(tǒng)建設(shè)的同步規(guī)劃、同步設(shè)計和同步實施工作;相關(guān)的調(diào)度工作也要保證維持自動化系統(tǒng)的安全防護,嚴格按照相關(guān)調(diào)度機構(gòu)的防護規(guī)定進行執(zhí)行,這樣才能更好地提升新能源電站電力二次安防的整體防護水平。