新闻中心
NEWS CENTER
风电篇|工控流量审计行业应用研究
电是当今社会最重要的能源,关系着我们生产生活的方方面面,电力供应的稳定牵系着国计民生与国家安全。据国家能源局数据,2020年,全国风电新增并网装机7167万千瓦,其中陆上风电新增装机6861万千瓦、海上风电新增装机306万千瓦,截止2020年底,全国风电累计装机2.81亿千瓦,规模居世界首位。
全国新能源消纳监测预警中心数据显示,2020年全国风电累计发电量4665亿千瓦时,全社会用电量75110亿千瓦时,占比在6.21%,预计2021年占比将再提高1.3个百分点,新能源发电在国家电力结构占比逐年提升,风电场二次监控系统的安全防护已成为风电运维单位的一项重要工作。
风力发电作为国家电力来源的重要构成部分,其运维监控系统都有哪些构成部分,又是如何进行网络安全防护的,下面请跟随笔者一起一探究竟。
风场电力监控系统构成
风场电力监控系统即对电气设备进行监视、测量、控制和保护作用的辅助设备,又称二次系统。主要由综合自动化系统、风机监控系统、继电保护装置、同步相量测量装置(PMU)、自动发电控制系统(AGC)、自动电压控制系统(AVC)、远动装置、五防系统、故障录波、风功率预测系统、电能采集装置、测风塔等部分构成。
通信协议层一次设备多采用Modbus TCP/RTU等工业控制协议、二次系统间主要采用IEC-60870-5-104规约、线路保护及测控装置、故障录波等采用IEC-60870-5-103规约、风功率预测系统采用IEC-60870-5-102规约、FTP/SFTP等协议,目前各省功率预测主站基本采用问答式规约IEC-60870-5-102,部分省份二平面及大型风电企业集控中心保留有FTP/SFTP方式。
风电监控系统现有安全防护方案
电力监控系统作为电网的中枢神经系统,其安全和稳定是保障国家供电稳定的重中之重。为切实提高电力监控系统网络安全防护水平,保障电力行业关键信息基础设施安全可靠运行,国家能源局2015年印发《电力监控系统安全防护总体方案》(国能安全〔2015〕36号),提出了“安全分区,网络专用,横向隔离,纵向认证”十六字方针。根据该指导方针,我们将风电二次系统划分为4个分区:
· 生产控制大区控制区(安全一区):综合自动化系统、风机监控系统、继电保护装置、同步相量测量装置(PMU)、自动发电控制系统(AGC)、自动电压控制系统(AVC)、远动装置、五防系统。
· 生产控制大区非控制区(安全二区):故障录波、风功率预测系统、电能采集装置、测风塔等。
· 信息管理大区生产管理区(安全三区):企业MIS、集控系统等。
· 管理信息区(安全四区):企业OA,电子邮箱系统等办公自动化系统。
安全防护上安全一区和二区与电网调度系统互联,采用专用设备组网,在调度数据网路由设备入口处部署电力专用纵向加密装置,调度数据网设备风电场侧部署入侵检测装置。安全一区和二区间部署防火墙设备进行网间逻辑隔离,部署网络防病毒系统,进行网络恶意软件检测。安全一、二区与三、四区间部署电力专用隔离网闸,进行横向物理隔离。同时根据电网统一要求部署Ⅱ型场站侧网络安全监测装置,对风电场二次系统主机和安全设备状态进行集中监控和态势预警。
现有方案的不足和全流量审计的应用
1、政策合规,审计性措施缺失
2017年6月1日《网络安全法》正式施行,第21条规定:国家实施网络安全等级保护制度。依据《GB/T22239-2019 信息安全技术网络安全等级保护基本要求》:
· 安全区域边界-安全审计条款:
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
· 工业扩展条款-过程监控层安全要求:
a)应生成安全相关审计记录,类别有:访问控制、请求错误、潜在的侦察活动和审计日志事件。单个审计记录应包括时间戳、来源(源设备、软件进程或人员用户帐户)、分类、类型、事件。
从风电场现有安全防护方案看缺少网络层和过程监控层审计措施,在合规性上存在一定的不足。工控安全监测审计对工控网络进行全流量审计,能提供会话级和功能码级审计精度,完全覆盖单个用户、进程和事件类别审计需求,完整匹配等级保护最新要求,帮助风电企业避免潜在合规性风险。
2、现有安全防护措施不适应工控
风电场电力监控系统现有安全防护方案制定时间早于网络安全法及等级保护2.0标准的出台,制定时由于缺少标准性依据,现有方案存在一定的疏漏。我们现有的方案中部署了入侵检测设备和网络防病毒设备,此类设备多为信息安全通用设备,入侵特征库为通用互联网威胁特征,而风电场电力监控系统为专用网络,与公共互联网完全物理隔离,来自公共互联网的威胁并不常见,安全防护设备无法发挥应有的作用,且通用入侵检测设备多侧重于威胁检测,对非攻击性行为、异常访问等行为缺少检测和审计手段。
工控安全监测审计系统针对工业控制系统设计,内置工控漏洞库、关键事件特征库、自定义的白名单链路基线、流量基线、服务基线,可以快速识别网络中的异常、攻击行为和异常访问行为,并提供实时告警,同时可以完整记录整个工控网络通信会话,为异常事件分析和事故调查提供依据。
3、管理上的漏洞
风电行业发展历程中,一直是一个政策补贴性行业,我国在新能源发电补贴政策中曾长期存在6.30、12.30等抢装并网补贴政策,导致大量的风电场二次系统的调试在时间极其紧张的状态下完成,安全防护策略不完整。
风电是一个靠天吃饭的行业,相较于传统发电企业,风电出力功率具有随机性、不稳定性。为了保证出线功率的可控性,减少对电网功率波动的影响,风功率预测系统应运而生,相较于其他二次设备,风功率预测系统需要连接互联网获取数值天气预报用于预测发电功率,潜在威胁也随之而来。尽管电力监控系统安全防护方案设置了物理隔离网闸,但人为疏漏带来的风险也不可忽视。
在国家电网最近几年组织的二次系统安全防护专项检查中,不少风场出现了风功率预测系统三区防火墙形同虚设,任意连接互联网;反向隔离设备策略设置松散,未对传输的文件类型进行校验,可执行程序也能通过隔离设备传入生产控制大区;地形条件限制,部分测风设备通过无线、4G等技术接入电力监控系统;更有甚者,个别厂商为了维护方便,绕过反向隔离设备私自联通功率预测主机与互联网用于远程维护;除了来自互联网的威胁,内部人员私接设备也是安全风险的潜在来源。
针对上述现象,工控安全监测审计流量白名单功能可以有效监测上述问题,通过机器学习技术和大数据算法,建立一套网络流量层的安全基线。当有设备私自接入网络、设备间流量超出阈值、出现非授权访问链路、出现非法控制指令等行为时,可以实时提供白名单告警,提示运维人员出现非授权访问行为,并显示违规设备的地址、端口等。
4、风电二次系统的暗网
电力监控系统设计上具有实时遥测、遥信监控,操作事件,SOE事件顺序记录等功能,但这些功能仅能监控电气设备自身的状态和故障信息。测控环网的状态对运维人员仍然是一个未知的暗网。当入侵发生,病毒在网内传播,运维人员往往并不能及时发现,事后也缺少查询的手段和途径。
立思辰工控安全监测审计奉行“可知、可管、可控”理念,基于流量的会话级通信拓扑图,可以直观展示风电二次系统中的各个设备的通信连接情况,异常资产高亮提示。基于“DPI深度包检测”技术的工控流量分析,支持电力系统常用Modubs-TCP、IEC-60870-5-104、IEC-61850等通信规约,可以深度解析和记录生产过程的每一条报文,实现IP、端口、功能码,信息体阈值级别检测,对非授权规约,设备异常数值超限及时告警,让整个生产过程透明呈现。
5、工控监测审计的有效实践
文章的最后我们回顾一个小故事,2019年蒙西某新建风场,并网前夕。二次系统的调试工作正紧锣密鼓的进行,综自与风机厂家的工程师按照对点计划忙碌着。突然间风机实时数据出现延迟,遥调指令无法下发,按照往常经验判断,应该是网络出现了不稳定,工程师开始检查网络配置、网线、水晶头、交换机等均未发现异常,通过软件检测规约报文存在丢帧问题,ping命令网络未发现丢包。从配置、链路、硬件、软件一层层排查,均未找到原因,问题似乎陷入了无解。
次日,立思辰售后工程师进场调试工控安全设备,当网络流量镜像至工控监测审计设备的刹那,“一朵异样的蒲公英出现在电脑屏幕上”,问题找到了,10.101.24.3存在大量访问公网IP行为,带宽占用将近百 兆。
经查是某设备厂商工程师临时调试的个人电脑,中了挖矿木马,矿机程序不停的请求外部IP占用了网络带宽,经隔离和杀毒处理,调试恢复了正常,一个并网调试的小插曲告一段落。
相关新闻
版权所有 © 2021 杭州中电安科现代科技有限公司