風(fēng)電場電力監(jiān)控系統(tǒng)安全防護方案

1、風(fēng)電場電力監(jiān)控系統(tǒng)安全防護方案1、風(fēng)電場電力監(jiān)控系統(tǒng)簡介風(fēng)力發(fā)電是指把風(fēng)的動能轉(zhuǎn)化為電能。風(fēng)能是一種清潔無公害的 可再生能源，很早就被人們利用，主要是通過風(fēng)車來抽水、磨面等。 而現(xiàn)在，人們感興趣的是如何利用風(fēng)來發(fā)電，風(fēng)力發(fā)電非常環(huán)保，且 風(fēng)能蘊量巨大，因此日益受到世界各國的重視。風(fēng)是沒有公害的能源 之一，而且取之不盡，用之不竭，加快風(fēng)電項目建設(shè)，對于促進地區(qū) 治理大氣污染、調(diào)整能源結(jié)構(gòu)和轉(zhuǎn)變經(jīng)濟發(fā)展方式具有重要意義。我國風(fēng)能資源豐富，開發(fā)潛力巨大，可開發(fā)利用的風(fēng)能儲量約 10億KW。其中，陸地可開發(fā)和利用的風(fēng)能儲量約為2.53億KW，海 上可開發(fā)和利用的風(fēng)能儲量約為7.5億3可。目前，我國擁有

2、規(guī)模性 的風(fēng)力發(fā)電企業(yè)數(shù)量約1000家，且處于高速增長之中，風(fēng)力發(fā)電在 整個發(fā)電行業(yè)中的比重會逐步增加。風(fēng)電場電力監(jiān)控系統(tǒng)主要用于監(jiān)控風(fēng)電場生產(chǎn)控制大區(qū)和信息 管理大區(qū)各系統(tǒng)和裝置穩(wěn)定運行，確保發(fā)電、變電、輸電等環(huán)節(jié)正常 運轉(zhuǎn)，從而向電網(wǎng)輸送穩(wěn)定的電力能源。風(fēng)電場的控制區(qū)主要包括以下業(yè)務(wù)系統(tǒng)和功能模塊:風(fēng)機監(jiān)控系 統(tǒng)、無功電壓控制、發(fā)電功率控制、升壓站監(jiān)控系統(tǒng)、繼電保護和相 量測量裝置(PMU)等。風(fēng)電場的非控制區(qū)主要包括以下業(yè)務(wù)系統(tǒng)和功能模塊:風(fēng)功率預(yù) 測系統(tǒng)、狀態(tài)監(jiān)測系統(tǒng)、電能量采集裝置和故障錄波裝置等。風(fēng)電場的信息管理大區(qū)主要包括以下業(yè)務(wù)系統(tǒng)和功能模塊：天氣 預(yù)報系統(tǒng)、檢修管理系統(tǒng)、測風(fēng)

3、塔系統(tǒng)和管理信息系統(tǒng)(MIS)等。2、風(fēng)電場電力監(jiān)控系統(tǒng)安全風(fēng)險分析風(fēng)電場電力監(jiān)控系統(tǒng)設(shè)計之初即考慮了信息安全防護需求，在網(wǎng) 絡(luò)邊界處部署電力系統(tǒng)專用網(wǎng)絡(luò)隔離裝置、縱向加密設(shè)備等安全防護 產(chǎn)品。網(wǎng)絡(luò)邊界的安全建設(shè)起到一定的防護效果，但是電力監(jiān)控系統(tǒng) 內(nèi)部仍然缺少必要的技術(shù)防護措施，無法應(yīng)對蓄意的網(wǎng)絡(luò)攻擊、惡意 代碼攻擊和黑客入侵。安全建設(shè)內(nèi)容不符合相關(guān)行業(yè)標(biāo)準(zhǔn)和規(guī)范的要 求，無法完全滿足各監(jiān)管部門的合規(guī)性檢查。目前，電力監(jiān)控系統(tǒng)主要存在的安全風(fēng)險如下：O跨區(qū)域的網(wǎng)絡(luò)攻擊:風(fēng)電場電力監(jiān)控系統(tǒng)內(nèi)部缺少有效的安全 隔離措施，受到網(wǎng)絡(luò)攻擊、感染惡意代碼后會向其他區(qū)域傳染，進而影響電力監(jiān)控系統(tǒng)正常運行。

4、惡意代碼感染工控主機:風(fēng)電場電力監(jiān)控系統(tǒng)的操作員站、服 務(wù)器等主機設(shè)備未安裝防病毒軟件，無法及時檢測和查殺惡意代碼程 序，可能導(dǎo)致主機設(shè)備運行緩慢或死機等情況發(fā)生。針對工控主機的攻擊:風(fēng)電場電力監(jiān)控系統(tǒng)的操作員站、服務(wù) 器等主機設(shè)備未進行必要的安全加固，存在緩沖區(qū)溢出、口令暴力破 解等安全風(fēng)險。O網(wǎng)絡(luò)的入侵行為:風(fēng)電場電力監(jiān)控系統(tǒng)內(nèi)部無法及時檢測和發(fā) 現(xiàn)網(wǎng)絡(luò)攻擊行為，如果遭受惡意的入侵和破壞，將會影響電力監(jiān)控系 統(tǒng)的安全、穩(wěn)定運行。關(guān)鍵日志信息的缺失:風(fēng)電場電力機監(jiān)控系統(tǒng)的主機設(shè)備、網(wǎng) 絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)軟件等未按要求開啟日志審計功能并發(fā)送至 指定的存儲設(shè)備，發(fā)生安全事件后無法追溯事件源頭

5、。O運維管理安全問題:風(fēng)電場電力監(jiān)控系統(tǒng)經(jīng)常有廠家人員進行 維護和管理工作，如果不規(guī)范運維管理行為，有可能在設(shè)備維護時反 而導(dǎo)致發(fā)生安全事件。3、安全防護方案參考依據(jù)。中華人民共和國網(wǎng)絡(luò)安全法2017年6月1日正式施行的中華人民共和國網(wǎng)絡(luò)安全法是 我國第一部全面規(guī)范網(wǎng)絡(luò)安全問題的基礎(chǔ)性法律，發(fā)電企業(yè)電力監(jiān)控 系統(tǒng)作為關(guān)鍵信息基礎(chǔ)設(shè)施，需依法進行安全防護建設(shè)。O國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全 防護方案和評估規(guī)范的通知（國能安全【2015】36號）該文件的附件4發(fā)電廠監(jiān)控系統(tǒng)安全防護方案提出了發(fā)電廠 電力監(jiān)控系統(tǒng)安全防護的20字方針，即“安全分區(qū)、網(wǎng)絡(luò)專用、橫 向隔離、縱向認(rèn)

6、證、綜合防護”，其中“綜合防護”主要指對電力監(jiān) 控系統(tǒng)從主機、網(wǎng)絡(luò)設(shè)備、惡意代碼防范、應(yīng)用安全控制、審計、備 份及容災(zāi)等多個層面進行信息安全防護的過程。該文件是網(wǎng)調(diào)對下屬 各電廠進行網(wǎng)絡(luò)安全檢查的主要依據(jù)。信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求目前，信息安全等保的定級和測評工作逐漸向工控行業(yè)滲透，新 的“等保2.0”標(biāo)準(zhǔn)即將實施，工業(yè)控制系統(tǒng)開展等級保護相關(guān)工作 更加受到重視，風(fēng)電場電力監(jiān)控系統(tǒng)的信息安全等級保護的定級和測 評工作迫在眉睫。工業(yè)控制系統(tǒng)信息安全防護指南工信部發(fā)布的工業(yè)控制系統(tǒng)信息安全防護指南充分結(jié)合了工 業(yè)控制系統(tǒng)的網(wǎng)絡(luò)特點和信息安全現(xiàn)狀，提出了十一大項、三十小項 工控信息安全建

7、設(shè)方向，在電力、煤炭、石油煉化、智能制造等工業(yè) 控制行業(yè)引起了學(xué)習(xí)熱潮。4、風(fēng)電場計算機監(jiān)控系統(tǒng)防護方案介紹根據(jù)國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安 全防護方案和評估規(guī)范的通知（國能安全【2015】36號）中附件4 發(fā)電廠監(jiān)控系統(tǒng)安全防護方案及信息安全技術(shù)網(wǎng)絡(luò)安全等級保護 基本要求中相應(yīng)的要求，在風(fēng)電場電力監(jiān)控系統(tǒng)內(nèi)部署相關(guān)安全防 護系統(tǒng)以解決目前存在的安全問題，同時滿足相關(guān)監(jiān)管部門的檢查要 求。具體安全防護方案規(guī)劃如下所示:4.1網(wǎng)絡(luò)安全玄3胰說王/安全5工皿翊田人她禽誑裁駕備霧0CM安諺Si+京才,翅t(yī)w兄如平臺。工業(yè)防火墻為解決風(fēng)電場電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)安全所面臨的安全問題

8、，在 系統(tǒng)內(nèi)部不同子系統(tǒng)或區(qū)域間，部署工業(yè)防火墻實現(xiàn)邊界防護和訪問 控制，避免在一個系統(tǒng)或區(qū)域里爆發(fā)的信息安全事件擴散到其他系統(tǒng) 或區(qū)域中。監(jiān)測與審計為解決風(fēng)電場電力監(jiān)控系統(tǒng)所面臨的網(wǎng)絡(luò)誤操作及惡意操作安 全問題，在系統(tǒng)內(nèi)部核心流量節(jié)點部署監(jiān)測與審計系統(tǒng)，實現(xiàn)異常流 量及操作行為的審計和記錄，以供信息安全事件爆發(fā)后調(diào)查、追溯。0入侵檢測為解決風(fēng)電場電力監(jiān)控系統(tǒng)內(nèi)網(wǎng)絡(luò)攻擊行為所帶來的安全問題， 在系統(tǒng)內(nèi)部關(guān)鍵區(qū)域的邊界部署入侵檢測系統(tǒng)，實現(xiàn)異常訪問及入侵 行為的檢測和告警，實時發(fā)現(xiàn)系統(tǒng)面臨的安全威脅，為系統(tǒng)的正常運 行提供檢測機制。4.2主機安全為解決風(fēng)電場電力監(jiān)控系統(tǒng)內(nèi)各類主機面臨的安全問題，

9、在系統(tǒng) 內(nèi)工控主機和服務(wù)器上部署工控主機衛(wèi)士，實現(xiàn)惡意代碼的防護及主 機外設(shè)端口的統(tǒng)一管理，實現(xiàn)主機安全基線的統(tǒng)一管理，極大提升系 統(tǒng)安全性和管理效率。4.3運維管理系統(tǒng)為解決風(fēng)電場電力監(jiān)控系統(tǒng)內(nèi)維護人員操作維護不規(guī)范所帶來 的安全問題，在系統(tǒng)內(nèi)部署運維管理系統(tǒng)，實現(xiàn)運維操作審計和記錄， 提供運維操作的身份鑒別、訪問控制、權(quán)限控制，降低因運行維護給 系統(tǒng)帶來的運行風(fēng)險。4.4集中安全管理為實現(xiàn)網(wǎng)絡(luò)內(nèi)相關(guān)安全設(shè)備的統(tǒng)一管理和安全策略的統(tǒng)一下發(fā)， 在系統(tǒng)中部署統(tǒng)一管理平臺，統(tǒng)一收集日志有助于集中管理、分析設(shè) 備運行狀態(tài)，可極大提升安全管理效率，降低運行維護成本。5、風(fēng)電場電力監(jiān)控系統(tǒng)安全防護方案收益風(fēng)電場電力監(jiān)控系統(tǒng)安全防護方案涵蓋了網(wǎng)絡(luò)安全防護、主機安 全防護、規(guī)范系統(tǒng)運維管理、集中安全管理等方面，全面提升電力監(jiān) 控系