风电行业工控安全解决方案

一、 行业现状

     我国风能储量大、分布广、可开发的风能资源丰富，截止2017年第一季度，全国风电新增并网容量352万千瓦，累计并网容量达到1.51亿千瓦，累计并网容量同比增长13%。预计到2020年底，风电累计并网装机容量将达到210GW以上，其中海上风电并网装机容量达到5GW以上，复合年均增长率约为 10.2%。到2020年底，风电年发电量将达到4200亿度，复合年均增长率约为17.1%。到2020 年，风力发电量约占全国总发电量的6%。

二、 安全隐患

      按照国家能源局的有关要求，各风电企业已对其生产控制系统进行了控制大区、管理信息大区的划分，并分别在控制大区与管理信息大区之间、控制大区与调度数据网之间部署了正、反向隔离和纵向加密措施，实现了横向物理隔离与纵向的加密、认证，但随着“互联网+电力”的深度耦合发展，单独的大区隔离以及纵向加密措施在新型攻击面前已无法发挥关键防护作用。

结合目前各风电企业的系统特点及发展状况，风电企业工业控制系统存在以下安全风险。

● 风电企业没有对其内部不同安全级控制系统进行逻辑隔离和访问控制。 

● 风电企业没有对其内部重要控制设备进行安全防护，导致重要控制器处于无防护、无审计状态。

● 风电场采用的协议转换设备只具备协议转换功能，缺乏必要的数据安全检测措施。

● 风电企业内部控制系统及网络缺乏安全监测与审计措施，无法对生产数据、操作行为进行监测和审计。

● 风电企业内部缺乏统一的安全管理平台，无法对安全产品、安全事件进行统一管理和关联分析，无法发现控制网络的深层安全问题。

三、 遵循标准

●《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）

●《电力监控系统安全防护总体方案》(国家能源局36号文)

●《发电厂监控系统安全防护方案》(国家能源局36号文)

●《GB/T 22239-2008信息安全等级保护基本要求》

四、 解决方案

● 边界隔离

在风电企业安全一区与安全二区之间部署英赛克INS-T3工业防火墙，实现网络边界逻辑隔离。

● 区域隔离

在各控制网络与监控网络之间部署英赛克INS-T3工业防火墙，实现基于区域和功能的网络划分及隔离，对工业专有协议进行深度解析，阻止区域间的越权访问，病毒、蠕虫扩散和入侵，将危险源控制在有限范围内。

● 重要设备隔离

在风机PLC前端部署英赛克INS-T3工业防火墙，在实现普通防火墙逻辑隔离、访问控制、包过滤的基础上，利用英赛克工控协议指令级核准制的“4S”深度防护专利技术，对工控协议“数据完整性”、“功能码”、“地址范围”和“工艺参数范围”进行深度解析。

同时结合英赛克“工控业务连续性保障方法”专利技术在不影响工控业务连续性的基础上阻断异常指令、告警可疑操作、隔离威胁数据，保障重要设备可靠运行。

● 可信数据采集与协议转换

通过英赛克INS-T5可信数据采集网关对网络内的不同协议、数据进行转换。同时结合“4S”深度防护专利技术对协议、数据进行深度检测，从而实现工控协议、指令、数据的安全可信转发，做到组网安全。

● 工控网络监测与审计

采用英赛克INS-A4工控安全审计监测平台，实现工控网络从流量、协议、事件到业务的安全可视、异常行为监测，及时发现各种违规行为和病毒、黑客的攻击行为。

● 统一安全管理

通过英赛克INS-S2工控安全管控平台实现对安全设备的统一管理，如工业防火墙、工控安全审计与监测平台等，实现工控网络的拓扑管理、安全配置及安全策略管理、设备状态监控、告警日志等。