最佳实践 | 夯实新能源安全底座,从0到1构建新能源集控中心工控安全主动防御体系
随着全球能源需求不断增长和环境保护意识的提高,各国对可再生能源的需求不断增加。如太阳能、风能等新能源,因其具有绿色、清洁等特点,可以减少对传统化石能源的依赖,降低碳排放,推动能源结构转型和可持续发展。
太阳能光伏电站、风力发电场等生产设施通常分布在地形开阔地区,且分布稀疏,想要实时掌握发电情况、运行状态和异常情况,需要对新能源集控中心进行集中化管理和调度。如何部署新能源集控中心的网络安全防护体系,保证电力生产管理和信息网络安全稳定运行,成为新能源集控中心普遍关注的问题。
某省级发电公司主要从事电力能源的开发、建设、经营和管理。在役装机容量千万千瓦,其中新能源占比近20%,风机近千台,光伏电站近10座。为加强生产运营的统一管理,有效抵御各种网络攻击,公司启动了新能源集控中心项目建设。
图1:某省区域新能源集控中心
开展区域集控中心安全防护建设的目的,一方面是为了提高各新能源发电企业电力监控系统的信息安全防护水平,抵御恶意代码及黑客等针对电力监控系统的网络攻击及侵害,保障系统安全稳定运行,避免由于电力监控系统瘫痪或失控而导致的电厂安全事故。
另一方面也是为了履行国家《网络安全法》义务、落实《网络安全等级保护》制度和贯彻能源局36号文中电力监控系统安全防护要求。并且,2018年国家电网发布“调网安〔2018〕10号”也对并网新能源场站的电力监控系统涉网安全防护进行了补充完善,规范了新能源集控中心的安全建设,明确提出“远程集控中心监控系统严格遵守《电力监控系统安全防护规定》及其配套文件的要求,按照等保三级系统进行规划、建设、运维和管理”。
长扬科技依据国家法律和行业规范要求,结合现场实际情况,梳理出目前新能源集控和场站普遍存在以下安全风险:
新能源集控、场站网络结构庞大,设备分布分散,边界防护缺失;
工业控制系统协议缺乏足够的安全性考虑,易被攻击者利用;
集控和各场站的主机存在安全漏洞,并且未安装任何防护软件;
集控远程运维工作量大,没有统一的运维平台,违规操作、越权访问等缺乏行为审计能力;
所有场站的网络安全风险态势无法在集控中心统一展示。
一、安全可控,构建新一代主动防御体系
长扬科技为客户打造的新一代主动防御体系建设,将工控网络安全防护及态势感知平台规划与建设相融合,实现了新能源场站网络安全防护及态势感知能力全覆盖,有效抵御各种网络攻击,提高安全防护能力。项目规划设计主要以电力监控系统网络安全的“安全分区、网络专用、横向隔离、纵向认证、综合防护”二十字方针进行网络安全防护体系的详细设计,并结合集控和场站安全现状与需求分析,构建纵深网络安全防护体系。
图2:某省区域新能源集控中心/场站网络安全拓扑图
01.网络边界安全
在区域集控中心I区与II区边界处、场站侧I区与II区边界处部署工业防火墙,实现生产控制大区内部横向隔离,禁止网络数据流通到工业控制系统,并可进行工业控制协议深度检测和分析。在集控和场站侧II区到III区部署正反向隔离网闸保证数据单向传输。
02.工业流量安全
在集控侧安全I区、II区和场站侧I区核心交换机处镜像部署智能采集器,对生产控制网全网数据流量和日志进行采集及协议分析,实时监控生产控制网安全,发现异常行为及木马病毒。
03.主机安全防护
在集控中心侧I区、II区和场站侧I区工程师站、上位机及服务器上部署工控主机卫士终端安全防护产品,开启主机白名单安全防护,能使生产网中的主机抵御木马、病毒等恶意代码攻击。
04.安全管理中心
在安全I区部署安全运维管理平台对所有集控和场站设备进行统一运维和安全审计。部署工控安全管理平台对生产控制大区以及场站所有安全设备、网络设备和服务器等进行统一策略管理,并对链路状态、硬件信息等进行实时监测和预警。
05.态势感知平台
在安全I区部署工业安全流量审计与日志分析系统对数据集中和归一化处理;通过部署工业互联网安全监测分析系统,对资产情况、网络拓扑、设备状态、策略配置、漏洞分布、风险排名、攻击态势等做集中展示,同时可对照等保2.0和能源行业工控安全标准做合规分析,并提供丰富的大屏报表展示功能。
图3:集控整体监视
图4:下钻场站监视
二、合规先行,守护新能源行业数字化未来
目前,本项目已经在企业下属近30个新能源场站成功部署,实现了省内多个新能源场站的网络安全防护全覆盖,所有新能源场站的网络安全状态均可在集控中心集中展示及监控,保障了集控中心和各新能源场站网络环境健康运行。帮助客户对安全资产、事件、漏洞、攻击、异常流量、非法访问操作等进行实时监测,主动发现安全隐患,降低了安全事件发生概率,控制了事件发生扩散的范围及影响。同时,运营分析团队每周、月、季度会定时生成综合运营安全分析报告,将发生的事件、漏洞进行总结和内部宣传,提升整个运维团队的风险方法和处置能力。
集控侧统一管理
本项目针对场站数量多、分布范围广等问题,采取分布式部署、集中化管控的防护机制,通过对场站和集控中心网络安全一体化建设,实现集控中心对自身及下属场站的电力监控系统网络安全的统一管理,提高了安全管理水平,同时形成对电力监控系统的监测、预警、审计和防护的闭环安全体系。
高集成、高融合的综合性系统安全解决方案
本项目整体构建了以安全可控为目标,丰富的工业漏洞库资源为能力支撑,工控安全基础防护与态势感知主动监测相结合的新一代主动防御体系,提高了新能源集控中心的整体安全性,并且将安全解决方案融入到日常运维和运营流程中。
基于可信机制的安全防护技术更适应于新能源行业
项目中,以基于信创安全为底座的安全防护产品来设计构建安全防护体系,实现可信运行控制机制检测所有应用的完整性,同时也为各安全应用提供了可信支撑接口调用可信资源来增加应用自身安全性,基于可信机制的底层安全能力,令安全防护体系更加可信、可靠。在保证稳定性的同时,效率更强、使用价值更高,更适用于未来新能源行业的发展需求与应用推广。
以合规为基本需求,持续解决新技术、新应用的安全问题
本项目依据等保2.0和能源局36号文等相关行业标准规范设计整体安全防护体系,以网络安全数据、新基建关键基础设施行业数据为基础,以资产指纹、漏洞信息、威胁情报、网络模型等海量数据为资源支撑,充分运用大数据、人工智能及云技术,在保证合规性建设的同时,帮助新能源企业精准识别网络威胁,提升风险评估、态势感知、监测预警及智能运营一体化能力,为解决企业面临的新技术、新应用所带来的安全问题提供持续可靠的解决方案。
在“双碳”目标和技术进步的驱动下,我国大力发展风电、太阳能等多种可再生能源,并相继发布《“十四五”可再生能源发展规划》、《关于促进新时代新能源高质量发展的实施方案》等一系列政策规划。新能源的广泛应用带来的能源结构调整,将极大地改变我国社会经济的生产生活方式。在这个过程中,长扬科技将继续发挥其在工业互联网安全领域的优势,积极拥抱新技术、新应用,为行业客户提供更加高效、智能的工业网络安全保障方案和全新安全理念,为新能源行业的未来发展注入更多的活力和动力,共同迎接更加绿色、智能、高效的未来。
