发电厂电力监控系统网络安全解决方案

背景

随着国家电力系统建设的日趋完善,发电厂电力监控系统的网络问题给国家电力系统带来的安全风险越发突出,发电厂电力监控系统的网络安全事关国家安全,影响国计民生。二十一世纪以来,国际上出 现了“3.17委内瑞拉大停电”、“12.23年乌克兰电网事件”、“8.14美加大停电”、“11.4欧洲大停电”等多起大规模停电事件,造成恶劣的影响与重大的经济损失。

按照不同发电形式,发电厂主要分为火力发电厂、水力发电厂、风力发电厂等。发电厂电力监控 系统的网络安全建设应根据国家能源局在2015年发布的《电力监控系统系统安全防护总体方案》附 件4《发电厂电力监控系统安全防护方案》中要求的“安全分区、网络专用、横向隔离、纵向加密、综合 防护”以及GBT22239-2019《网络安全等级保护基本要求》的相关要求进行建设工作。

发电厂电力监控系统网络安全建设内容

为解决电厂电力监控系统的网络安全问题,需要在电厂的生产控制大区内实现,网络流量的监测与异常行为告警、系 统漏洞与各类病毒的防护、操作人员的身份认证与行为管理、各类型设备的日志留存与审计、安全防护类产品的集中管理的建设工作。具体实现方式如下:

1、 在发电厂电力监控系统安全Ⅰ区和安全Ⅱ区 的主机上部署主机防护产品,防范木马、病毒等恶意代码程序对主机系统的破坏。

2、 在发电厂电力监控系统生产控制大区的网络流量核心节点,部署监测与审计设备,实现网络流量的审计和异常行为告警。

3、 对发电厂电力监控系统生产控制大区各系统工控主机、服务器、接口机等设备进行安全加固, 启用操作系统自身的安全策略,实现操作系统 自身安全性的提升和审计、记录。

4、 在发电厂电力监控系统生产控制大区的网络边界部署入侵检测系统,实现异常检测、入侵行为的检测。

5、 在发电厂电力监控系统生产控制大区部署运维 管理系统,实现生产控制大区用户操作行为的 身份鉴别、访问控制和安全审计。

6、 在发电厂电力监控系统生产控制大区部署日志 审计与分析系统,实现生产控制大区网络设备、 安全设备、服务器、操作员站、数据库系统的 日志收集与分析,对安全事件进行监控统计、 高速查询以及关联分析。

7、 在发电厂电力监控系统生产控制大区部署统一 管理系统,实现安全防护设备、系统以及主机 安全策略的统一管理,安全设备及系统运行日 志的统一收集和存储,提高管理效率,降低运 行维护成本。

结合发电厂常规业务场景,依据国家能源局36号文、GBT22239-2019《网络安全等级保护基本要求》 等要求,提出发电厂电力监控系统网络安全建设的解决方案。

火力发电厂电力监控系统网络安全建设部署示意图

火力发电厂控制区主要包括以下业务系统和功能模块:火电机组分散控制系统(DCS)、火电机组 辅机控制系统、自动发电控制系统(AGC)、自动电压控制系统(AVC)、相量测量装置(PMU)、 继电保护、各种控制装置(调速系统、励磁系统、快关汽门装置等)、五防系统等。

火力发电厂非控制区主要包括以下业务系统和功能模块:火电厂厂级信息监控系统的优化功能、 电能量釆集装置、电力市场报价终端、故障录波装置。

需要进行电力监控系统网络安全建设的系统有火电机组分散控制(DCS)控制系统、火电厂厂级信息监控系统(SIS)系统。具体部署方案如下:

火力发电厂电力监控系统网络安全建设方案部署示意图

方案价值

通过在发电厂电力监控系统内部署相关安全防护产品实现“四管、一集中”安全防护体系。“四管、一集中”的安全建设体系在提升发电厂电力监控系统的网络安全管理防护能力之外还能满足公安部、网信办、能源局等相关监管机构的检查要求。 具体内容如下:

一管,通过应用程序“白名单”机制,实现工业主机的安全防护,解决工业网络内无法采用传统“黑 名单”机制杀毒软件进行防护所带来的安全管理缺失。

二管,通过工业安全监测系统实现对电厂生产控制大区的网络安全监测与审计。实现对病毒、恶意 代码等网络攻击行为检测及告警。

三管,通过安全运维管理系统实现人员、账号、权限的精细化分及管理。

四管,通过日志审计系统实现第三方系统、设备、安全设备的日志管理及审计。

一集中,通过统一安全管理平台实现对电力监控系统内部署的相关安全系统进行的集中管理。