工业互联网+

智能电网解决方案


发布时间 2019-01-16  


随着电力行业构建智能电网,跨区域输电,清洁能源等趋势的发展,电网的可靠性与安全性尤为重要, 变电站作为连接发电与输配电的重要环节,逐步在从传统的变电站转换为智能变电站,已成为智能电网管理调度的灵魂与核心,也产生了诸多的信息安全问题。


国家能源局对电力行业的信息安全已明确提出相应要求,发电、输电、变电、配电行业等严格按照14号令及36号文件的要求执行,保证安全生产。

案例概述


国家能源局积极响应国家网络安全战略要求,为保障基础能源设施的安全,每年组织对系统内部进行安全大检查。检查标准参照电力行业14号令及36号文相关要求。


国家电网某市调控中心积极配合安全检测工作,对于智能变电站的信息安全风险尤为重视。客户要求对智能电站存在的风险点、风险识别与分析、风险控制等几个方面进行安全加固。主要需求如下:


(1)需要对智能电站网络通信流量进行实时呈现展示;

(2)对内外部的网络通信指令进行深度解析,并识别哪些为异常指令;

(3)能针对特定通信指令、安全事件进行溯源;

(4)需要满足14号令、36号文件要求。


典型安全风险


针对变电站的网络安全区及网络访问通信框图如下:





智能变电站是通过专线向上连接,所以安全风险主要集中在内部和运维时的风险,如下:


(1)    能够接受来自其它调度控制系统的刀闸闭合可能导致的系统中断。虽然智能变电站通过专线与调度连接,所以能够接受来自其它调度系统的指令。

(2)    可能接受错误的遥控,遥测,造成系统的失控。

(3)    机器人巡检路线被截持可能会被远程控制,远程运维的误操作导致造成控制系统跳变、错误动作、停机等事故。

安全解决方案


目前智能变电站的三层两网是目前最常见的一种网络设计架构,是指三层设备通过两层网络互联,及过程层和站控层交换机独立配置,防护系统部署如下图所示。




基于电力36号文安全防护要求结合指南,针对智能电站二次监控系统的安全防护内容包括:


(1)网络边界安全域划分和防护

在安全I区、II区网络边界各横向纵向核心交换机处,旁路部署边界工业防火墙。


(2)终端安全防护

在安全I区、II区各操作站和工程师站上部署主机加固系统,实现对各终端的安全防护。


(3)异常网络行为监控与审计

在安全I区、II区网络边界各横向纵向核心交换机处部署工控异常监测与审计产品,满足对异常通讯协议、异常指令的识别解析、异常流量、异常网络行为的实时监控,流行为的展示等需求。


(4)运维审计过程安全防护

在各安全I区II区内部署工控运维审计系统,满足对运维过程的安全审计的需求。

小结


实施完上述安全系统后,与指南对应并结合36号文要求将达到如下效果:


(1)可配合管理制度对实现对操作员站、工程师站外设的严格控制。可实现对工程师站、操作员站的USB、光驱、无线等接口进行严格外设控制。


(2)实现对工控网络设备安全配置进行审计与完善。


(3)实现了阻断来自管理网的非法行为。实现了对变电站的非法行为的访问控制。尤其是基于61850的访问控制;实现对远程访问行为的访问控制及加密。

对所有设备操作的日志进行记录可供日后溯源;强化工业控制网络设备身份认证;实时监测针对变电站监控系统的异常流量、异常指令的监测、异常指令的识别解析。


(4)实现了来自调度内部或运维时带来的病毒和恶意代表的防护;及时发现系统的问题和脆弱性,以便提前进行修补;实现了主机的强认证和避免主机的弱口令。


(5)能提前获知工控系统的安全配置现状并根据需求提前防护;加强工业控制设备的身份认证强度;对工控异常访问行为及违法操作进行安全防护;清晰了解工业控制系统的资产情况;加强组态软件身份认证强度;保证重要工业数据安全性。





相关推荐
重要看点
工业互联网
工业互联网

工业自动化控制系统,主要利用电子、电气、机械、软件组合实现,广泛用于电力、水利、能源、数据采集等关键基础设施领域,包括SCADA、DCS、PLC等工业控制系统的安全问题。