背景
行業背景
“十三五”期間,在“四個革命、一個合作”能源安全新戰略的指引下,以風電、光伏發電等為代表的新型電力業務快速崛起,在電力總裝機中比重逐年提升,初步實現了由“補充能源”向“主流能源”的轉變;“十四五”時期處於實現“30·60”雙碳目標中“碳達峰”的關鍵期,“十四五”規劃已明確提出“大力提升風電、光伏發電規模,加快發展東中部分散式能源,有序發展海上風電”。
隨著風電和光伏發電等新能源發電行業的高速發展,新能源場站日益增多,為了降低新能源場站執行管理成本,實現新能源場站區域化、集約化、資訊化的管理,建設用於對分散的風電場、光伏電站進行遠方監視與控制的新能源集控中心成為最佳方案。新能源集控中心實現了無人值班或少人值守的管理模式,同時也帶來了新的網路安全風險,如何部署新能源集控中心的網路安全防護體系,保證電力生產管理和資訊網路的安全穩定執行,成為新能源集控中心普遍關注的問題。
政策背景
我國電力行業的網路安全工作起步較早,從2002年經貿委釋出“第30號令”啟動電力安全體系建設開始,到2015年國家能源局制定並印發了“36號文”,已基本落實“安全分割槽、網路專用、橫向隔離、縱向認證”方針為基本原則的電力監控系統安全防護體系。2018年國家電網釋出“調網安10號文”對併網新能源場站的電力監控系統涉網安全防護進行了補充完善,並規範了新能源集控中心的安全建設,明確提出“遠端集控中心監控系統嚴格遵守《電力監控系統安全防護規定》及其配套檔案的要求,並按照等保三級系統進行規劃、建設、運維和管理”。
近年來,涉及網路安全保護的新法律、法規和政策陸續出臺。其中,等保2.0對工控安全提出更高要求,關基保護在等保的基礎上實現了進一步強化。2020年《貫徹落實網路安全等級保護制度和關鍵資訊基礎設施安全保護制度的指導意見》的出臺,也意味著以貫徹“兩個制度”為基礎,以保護關鍵資訊基礎設施、重要網路和資料安全為重點的“雙保”時代來臨。
安全解決方案
安全風險
電力行業網路安全方面的工作起步較早,已取得了一定的成效,但隨著新能源行業的迅速發展,新建大量的集控中心,新的網路安全風險逐漸呈現,造成網路安全水平不平衡的現象,具體安全問題如下:
- 新能源場站與集控中心的安全區Ⅰ和安全區Ⅱ之間未進行工業級邊界隔離防護,針對工控協議的惡意攻擊檢測、審計和防護能力薄弱;
- 新能源場站與集控中心的網路安全建設過多強調邊界防禦,而安全預測、檢測及快速響應能力不足,發生問題後難定位、難追溯、難處理;
- 新能源場站和集控中心的網路安全獨立建設,集控中心難以統一掌握各場站網路安全情況,安全孤島現象嚴重;
- 網路威脅越來越嚴重,各類安全攻擊手段層出不窮,傳統的安全防護手段難以應對當下新型的各種安全威脅;
- 網路安全問題“頭痛醫頭,腳痛醫腳”,未從全域性角度考慮全網安全能力的排程及安全策略的配置;
- 傳統的安全防禦體系,管理成本持續升高,效率越來越低,網路安全政策執行情況參差不齊,安全狀態不持續、不可視。
整體架構與概述
綠盟新能源集控中心工業安全解決方案架構
上圖以風電場站(以下簡稱“場站”)和集控中心的綜合一體化解決方案為例,光伏電站和集控中心可參考同理建設。在嚴格遵循“安全分割槽、網路專用、橫向隔離、縱向認證”的電力監控系統防護原則的基礎上,基於等保2.0“一箇中心,三重防護”的縱深防禦安全防護思路,依據工業控制系統“等保三級”基本要求進行工業安全建設。
安全計算環境:在新能源場站和集控中心的工程師站、操作員站、通訊站、伺服器和介面機等主機上安裝主機衛士系統,開啟程序管控、外設管控、主機加固和白名單管控等功能,實現攔截未知病毒木馬等惡意程序的執行、主機安全加固以及外設介質管控等安全需求;按區域部署日誌審計系統,對分散在同一區域網路中的主機、網路裝置、資料庫和應用軟體等產生的日誌進行集中收集、分析併產生報表。
安全區域邊界:在新能源場站與集控中心的安全區Ⅰ和安全區Ⅱ橫向邊界以及安全區Ⅰ內部系統之間部署工業安全閘道器,對工控協議進行深層次解析,有效抵禦針對工控協議的惡意攻擊;在場站和集控中心的生產控制大區與管理資訊大區之間分別部署電力反向和正向隔離裝置,確保資料的單向傳輸;場站和集控中心的生產控制大區之間採用電力專線通訊,透過加密認證裝置進行縱向邊界防護;場站側網際網路大區與電網排程OMS業務進行資訊互動,透過防火牆進行邊界防護。
安全通訊網路:在新能源場站和集控中心的生產控制大區網路關鍵節點處部署工業安全審計系統和工業入侵檢測系統,透過機器學習技術分析網路中流量生成策略,並進一步手動調整、最佳化,對網路中的實時流量進行監測,及時發現非法操作、網路攻擊等異常行為,告警並通知安全管理員。
安全管理中心:將下屬場站的安全裝置透過管理口統一匯聚到集控中心進行集中管理,在集控中心的生產控制大區劃分出特定的安全管理區;在安全管理區中建立安全管理中心,部署工控漏洞掃描系統對全網的漏洞進行全週期管理,部署企業安全中心繫統、工業網路安全監測預警平臺和運維安全管理系統對分佈在自身和下屬場站的安全裝置進行集中管控,統一彙總自身和下屬場站的所有安全資料進行集中分析、安全態勢預警,並對所有安全裝置進行集中運維審計、安全策略管理。
規範標準
本方案參考的國家及行業相關政策、標準、法規包含但不限於如下所示檔案:
- 《中華人民共和國網路安全法》
- 《電力行業資訊系統安全等級保護基本要求》(電監資訊[2012]62號)
- 《電力監控系統安全防護規定》(國家發展和改革委[2014]第14號令)
- 《關於印發電力監控系統安全防護總體方案等安全防護方案和評估規範的通知》(國能安全[2015]36號)
- 《國家能源局關於加強電力行業網路安全工作的指導意見》(國能發安全[2018]72號)
- 國調中心關於印發《國家電網公司電力監控系統等級保護及安全評估工作規範(試行)》等3個檔案的通知(調網安[2018]10號)
- GB/T 22239-2019《資訊保安技術 網路安全等級保護基本要求》
- GB/T 28448-2019《資訊保安技術 網路安全等級保護測評要求》
客戶價值
安全合規:符合發改委14號令、國能安全〔2015〕36號文和等級保護2.0等相關政策標準,滿足合規性要求。
安全閉環:完善電力監控系統安全防護體系框架,形成對電力監控系統的監測、預警、審計和防護的閉環安全體系。
綜合防控:構建電力柵格狀立體縱深防線,實現集控中心到下屬場站電力監控系統常態化、體系化的網路安全態勢感知,構築精準防護和聯防聯控的網路安全綜合防控體系。
統一管理:透過對場站和集控中心網路安全一體化建設,實現集控中心對自身及下屬場站的電力監控系統網路安全的統一管理,提高安全管理水平。
安全運營:實現對集控中心和下屬場站的安全裝置進行集中管理和運營,提供體系化的工業安全運營方案,降低安全運營難度,減少安全運營成本。
業務保障:安全解決方案的實施落地不會對生產業務產生影響,保障集控中心和下屬場站電力監控系統的平穩執行。
