电力能源是现代社会运转的基础,也是推动社会进步和发展的重要力量。随着技术的不断进步和环保要求的提高,电力能源的发展更加注重高效、清洁和可持续性。风能作为一种清洁无公害的可再生能源能源,日益受到重视,在能源结构中所占比重不断上升。
在此背景下,数字化与智能化成为风电产业发展的重要抓手。风电场站大量采用高度自动化的生产技术装备和高度信息化的运营管理手段,以提升生产效率、降低资源消耗和成本开支。?随着风电行业向数字化和智能化方向发展,数据采集、传输、存储和处理等环节的增加,使得风电企业成为了网络攻击的目标,对风电场站的正常运营和客户信任造成严重影响。
本文将围绕风电场站数字化转型、智能化建设中的安全问题进行分析,针对现实场景的真实需求提出切实可行的防护建议和解决方案,以强化风电场站工控网络安全防护能力,保障电力能源供应安全。
珞安科技深耕工控安全领域多年,与国家主要电力企业建立深入合作,结合自身多年实践经验,对风电场站网络信息防护需求全面总结:
病毒攻击防护需求
电力监控系统对于病毒和木马应建立有效的安全防护,应对工程师站、操作员站、应建立有效的安全保障和主机防护措施,经过溯源分析,发现管理网及生产网防护措施不到位、终端主机没有安装安全防护专用软件。
操作系统安全需求
风电场电力监控系统中充斥着大量的终端,对于操作系统版本以及操作系统的使用和检查应建立有效的安全管控和防护措施,避免主机系统出现安全事件而造成电力监控系统网络安全威胁事件,应对木马病毒进行有效的管控和拦截措施。
协议安全需求
由于风电场电力监控系统中充斥着大量工艺组件以及工业协议,对于工控协议安全检测和防护应进行有效的安全管控和防护措施,对于异常通信协议应进行有效的安全审计和拦截,以保障电力监控系统安全防护为目标。
边界安全需求
一区、二区之间的逻辑隔离强度不够;针对与生产无关的协议没有禁止,对OPC、Modbus的读写操作没有有效管控和记录;生产子系统之间有互联,没有进行有效分域隔离。
安全审计需求
发电系统缺少必要的网络审计手段和针对工业级恶意代码的入侵检测,缺乏对系统日常流量数据的实时监控,同时对于操作指令下发、操作行为等没有进行安全审计管理,无法溯源。
安全管理需求
保证所有安全设备、系统、配置、数据,以及安全中间件能够被集中、高效、安全管控,安全策略能够动态配置,并且不影响现有生产网的运行。
珞安科技依据《电力监控系统安全防护规定》、《电力监控系统安全防护总体方案》、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》等规定和标准要求,针对风电场站在边界安全、计算环境安全、运维安全和管理安全等方面的防护需求,提出如下解决方案:
·安全区域边界
为保障风电场生产控制大区安全防护标准已满足行业防护需求和建设原则,秉承安全分区网络专用原则生产控制大区安全一区和二区通过建立工控防火墙实现边界业务逻辑隔离,生产网和管理信息大区部署电力专用隔离装置实现边界物理隔离防护标准。
·安全计算环境
为保证风力发电生产网络中工业主机的运行安全,在各生产网络区域内上位机及服务器上部署工业主机安全防护系统,加强主机安全防护标准和电力监控系统安全保障措施。
·安全监测审计
在各区网络流量汇聚交换机或核心交换机处,采用旁路方式,部署工控网络安全审计系统,实现人员异常操作行为挂空、安全事件实时审计、入侵行为实时告警,提供安全追述,以及电力监控系统全局化安全运营。
·安全管理中心
根据等保标准“安全管理中心”相关要求,部署安全集中管理平台,采集生产网络中各工控安全设备及系统的数据,实现全局化安全管控,加强电力监控系统安全管理水平,和监管能力。
·安全运维管控
为保证电力监控系统生产网络的安全运维,部署运维安全审计系统,通过账号集中管理、细粒度访问权限、操作审计,让运维人员的操作处于可管、可控的状态下,规范运维操作。
·日志审计分析
电力监控系统通过建立日志审计系统,满足电力监控系统防护标准以及网络安全法要求,通过日志审计实现全网资产统一管理,提供处理和关联分析,及时对安全事件进行追溯。
在“双碳”目标指引下,我国风电产业正迈向高质量跃升发展新阶段。珞安科技将充分发挥自主研发与技术创新优势,持续完善产品体系及行业解决方案,进一步提高风电场站网络安全防护能力,以安全助力风电产业高质量发展,保障国家电力能源安全稳定。