风电场控制系统网络安全现状研究

摘要：电力网络关键基础设施信息安全保护已成为国家层面上的重要关注领域之一，因而对其信息安全问题解决方案的研究已迫在眉睫。作为电力系统网络的重要组成部分，风电场场的控制网络的安全防护也日渐受到关注。本文阐述了针对风电场工业控制网络的威胁类型，并调研了国内风电场控制网络在网络结构、物理环境、通信传输、计算环境、应用软件、管理中心、智能设备、可信计算、管理制度等多个方面的防护现状，为进一步改善风电场网络安全生态奠定研究基础。关键词：风电场；网络安全；等级保护；1前言

近年来，包括电力系统控制系统在内的工业关键基础设施信息安全事件的发生频率愈加频繁，对各国的工业生产及居民生活造成了极大影响。2019年2月7日和7月22日，委内瑞拉多次发生大规模停电，停电原因是由于古里水电站等多个电力系统关键设施遭到“电磁袭击”。2015年，“BlackEnergy”事件中，黑客攻击了乌克兰电网，造成了众多家庭的供电被中断。面对着愈加严峻的信息安全形势，电力系统工业控制系统设施的信息安全保护变得愈加重要。风电场控制网络作为国家电力网络的重要组成设施之一，其安全问题一直备受关注。其中，电站工控系统的信息安全是电站安全防护的重中之重，加强各电站的网络安全管控，能更有效地保证电力监控系统的安全运行，对于保障国家生产生活秩序稳定和工业安全发展具有重要意义。2风电工控系统的常见网络威胁类型

随着工业互联网浪潮的逐渐兴起，针对包括风电系统在内的工业控制系统的攻击事件越来越多，甚至逐步威胁到了国家安全。通过分析历年攻击事件，可以归纳出以下几种常见的工业控制系统攻击方式：(1)拒绝服务攻击。简称DOS攻击，是一种使被攻击设备或网络停止正常服务，导致丧失原有的功能的一种攻击手段。DOS攻击常见与IT信息网络，近年来逐渐被用于工业控制系统的攻击。(2)病毒攻击，主要包括远程访问木马和蠕虫病毒。远程访问木马是一种恶意计算机程序，它的主要作用是监视被感染的计算机的用户行为、访问机密信息、删除下载文件等诸多操作。(3)APT攻击。APT攻击是高级持续性威胁的简称。该种方式往往利用已知或者0Day等难以检测的漏洞，针对高价值目标进行有组织、精心准备、长期潜伏式地隐秘渗透攻击。图2-1APT攻击流程(4)重放网络攻击是指攻击者在网络通信过程中对网络数据流进行监听和分析，然后统计和识别其中重要动作控制指令，在适当时机重新释放这一条指令，造成类似误操作的事故。(5)内部恶意操作。电力系统信息网络安全问题还有一部分原因是内部人员恶意操作导致的系统故障。3风电场控制系统网络安全防护现状

电力二次系统安全防护工作自2002年起步以来，历经十余年已逐步在厂网侧形成了较为完善的防护体系，电力二次系统“安全分区、网络专用、横向隔离、纵向认证”的十六字方针安全防护策略初见成效。特别是在电网侧以及火电、水电、核电等机组容量较大的电厂，已建立相对完善的网络安全防护机制及管理制度，能够抵御一般的网络攻击事件。相比于水电、火电等大容量电厂的工业控制系统，国内大部分风电场控制网络的工业控制系统在设计、建造时并未考虑网络安全防护策略，因此，在2016年以前，风电场控制网络并不满足电力系统网络安全防护的相关标准。随着国家2014年发布了14号令，2015年发布了36号文，二者在2004年电监会5号令对火电、水电相应的安全防护提出的要求基础上，进行了范围上的扩容，对智能变电站及包括风电在内的风电场控制网络的信息系统安全防护也是提出了明确的要求。对于已完成二次安防改造的风电场控制网络，目前已逐步规范其信息安全防护技术手段与管理措施，具体表现为：落实电力监控系统动态安全防护体系要求，实现电力二次系统“安全分区、网络专用、横向隔离、纵向认证”的十六字方针。但是，由于许多工业控制系统在设计之初，更加倾向于关注生产的效率问题而疏于考虑系统的信息安全问题，大部分风电场控制网络仍然存在安全隐患。以下将从6个方面具体介绍风电场控制网络网络安全方面防护现状：风电场控制网络网络系统架构、物理安全防护、通信传输防护、安全计算环境防护、应用软件安全防护、管理制度安全防护。3.1风电场控制网络系统网络架构风电场控制网络作为电网的重要组成部分，已完成二次安防改造的，绝大多数能够严格按照国能安全〔2015〕36号文《电力监控系统安全防护总体方案》中规定的电力监控系统安全防护总体框架建设，即电力监控系统安全防护总体以“安全分区、网络专用、横向隔离、纵向认证”为原则，保障电力监控系统的安全。3.1.1安全分区业务系统必须建立在安全的网络基础设施上才能保障系统的安全稳定。电力监控系统所在的网络区域必须与办公网络进行物理隔离；监控系统网络与公共网络互通，必须设置安全接入区，做为两个不同网络的数据交互区。电力监控系统安全分区主要是根据系统对电网运行的影响以及系统数据敏感性和保密级别进行定义，根据系统的重要性安置于对应的安全区。安全区主要分为生产控制大区和管理信息大区。3.1.2网络专用电力数据网是承载电力监控系统关键数据传输的网络，必须在物理上与综合数据网、互联网或其他公用网络进行隔离，使用专用的网络设备进行组网，同时能够满足业务的流量和处理能力需求。安全区须以技术手段在专网上形成多个相互逻辑隔离的子网，采用虚拟专用网络（VPN）技术将该网络划分为实时虚拟专用网和非实时虚拟专用网，保障上下级的电力监控系统数据传输在专用的通道上进行，从而造成不同的安全区之间相互交叉。3.1.3横向隔离将不同安全程度的隔离设备部署于各安全区之间，使不同的安全区的电力监控系统在数据交互时能得到更加可靠的保障。在生产大区和管理大区之间须部署物理隔离装置实现正向、反向隔离。生产大区和管理大区内部应部署带访问控制功能的交换机或防火墙实现逻辑隔离。3.1.4

纵向认证生产控制大区在上下级之间进行数据远程通信时，必须采用认证加密、访问控制等技术措施来保证数据交互过程中的保密性和可用性的要求。生产控制大区应部署纵向加密认证装置，为电力调度控制系统主站与子站间的数据互通提供数据加密等服务，保证生产控制大区业务系统数据通信的安全性，保证用户能够进行有效的访问和数据传输的加、解密。3.1.5典型风电场控制网络网络拓扑结构如图3-1所示，典型的电力企业工业控制网络结构图图3-1电力企业典型网络结构拓扑图风电场的控制系统在上述电力网络结构的基础上，根据电站发电容量、控制设备数量、控制系统和管理系统种类等因素建立符合自身需求的控制系统网络，但由于大部分风电场网络结构较小，尚未建立完善的入侵防御机制及审计机制，无法对外部恶意入侵开展有效防御和追溯。如风电场控制系统拓扑如图3-2所示。图3-2某风电场控制系统网络拓扑结构图表3-1某风电场控制系统分类序号控制区非控制区管理信息大区1风机scada监控故障录波装置测风塔系统2无功电压控制系统电能量采集装置数字天气预报3升压站监控系统风功率预测系统管理信息系统MIS4PMU状态检测系统风电场智能管理系统5继电保护装置及管理终端自动化报表系统3.2物理安全防护物理安全主要指设备安全和环境安全,用于保证计算机网络设备、设施以及数据存储介质等免遭地震、水灾、火灾等环境事故以及人为操作失误或错误导致的破坏。设备安全主要包括存储、传输或系统运行所用设备的防盗、防毁、防磁、防止线路截获、抗电磁干扰及电源保护等。因风电场控制网络主控楼多为在偏远地区的新建建筑，极少存在老旧设施改造机房的情况，大部分的工业控制系统物理机房基本满足相关规定及要求，但由于部分电站建设较早，仍存在一些问题，例如未配备电磁防护设备；机房出入口未部署了电子门禁系统、视频监控系统、防盗报警装置、火情检测报警系统和自动灭火系统等等。3.3通信传输防护与传统信息信息网络不同，包括风电在内的工业控制系统的通信大多采用专门协议。应用广泛的工业通信协议包括Modbus、Profibus、DNP3、IEC61850以及私有协议等等。首先，出于性能上的考虑，工业通信协议大多缺乏认证措施。如Modbus协议只需要在通信网络中拥有一个构造的功能码和IP地址便可以与网络上的任何一个其他Modbus设备通信。其次，缺乏加密、明文传输的工业通信肋、议容易造成窃听、数据篡改和重放攻击。再次，私有协议的流通范围小于公有协议，在设计上的漏洞更难被披露，容易遭受0day攻击。这些协议在以往工业控制系统相对封闭的环境下，鲜有受到恶意攻击。但由于互联网的快速发展，恶意攻击逐步渗透进入工业控制领域，因此，风电场控制网络信息传输加密措施亟待加强。3.4安全计算环境防护安全计算环境防护主要为设备系统的相关安全防护配置，包括身份验证、用户权限、审计功能、漏洞修补、端口关闭等。这些配置直接影响到服务器、PLC控制设备、网络设备、安全设备、数据库等工业控制系统的组件的安全防护能力。经调研，自电网开展二次安防改造以来，部分风电场站已经完成对工业控制系统中服务器、网络设备的系统加固工作，满足了等级保护2.0对相应设备的身份验证、审计、权限设置等要求。但仍存在部分风电场控制网络在二次安防改造过程中仅对网络结构进行相关改造，使其仅满足电网要求，对工控系统的设备未开展安全加固工作，存在身份验证简单、系统长时间不更新、U盘染毒等问题，极易被外部攻击者利用，从而导致工业控制系统瘫痪。3.5

应用软件防护应用软件防护指的是工业控制系统中SCADA、电厂信息管理、升压站控制系统等软件在身份验证、访问控制、审计、通信加密等、漏洞补丁方面的防护。风电场控制网络中，应用软件多为国内厂家在消化吸收国外相应品牌技术后，开发的具有自主知识产权的应用。由于相关应用对工业控制系统的运行具有重要应用，不能随意停止运行，同时应用系统版本更新对工控系统带来的未知风险较大。因此，工控系统中应用的补丁更新频率极慢，甚至从未进行版本更新，导致存在大量XSS等高危漏洞。3.6管理制度防护管理上的疏忽是造成许多安全事件的元凶，因此建立完善的管理制度有助于提升信息系统安全防护水平，抵御外部恶意入侵事件。由于风电场控制网络在电力系统二次安防改造方面刚刚起步，各方面的管理制度并不完善，包括管理制度的制定和发布流程、培训管理、身份管理、补丁管理、行为管理和应急响应等多个部分。4结论整体上，风电