-
解决方案
2024-05-24安盟信息守护关基|光伏发电工控安全项目案例背景概述
我国电力系统由发电、变电、输电、配电、用电和调度组成,其中发电企业是整个电力系统中的起始环节,是国家重点领域关键信息基础设施的核心组成,直接关系到人民生命财产安全、社会稳定甚至国家安全。
生产系统光伏发电系统是由太阳能电池方阵、蓄电池组、充放电控制器、逆变器、交流配电柜、太阳跟踪控制系统等设备组成。
分区介绍
控制区(安全区I)主要包括光伏电站运行监控系统、自动电压控制、自动发电控制、升压站监控系统。
非控制区(安全区Ⅱ)主要包括光伏功率预测系统、电能量采集装置和故障录波装置。
管理信息大区主要包括天气预报系统、生产管理系统等。
防护范围针对当前电力行业的网络安全现状,为保障光伏电站生产持续、稳定、可靠运行,按照电力行业标准规范及安全等级保护基本要求整体规划,涉及范围主要包括光伏电站运行监控系统,以及生产控制大区内部关键业务系统等。政策依据
国家发展和改革委员会《电力监控系统安全防护规定》2014 年 第14 号令公安部《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)国家能源局《电力监控系统安全防护总体方案》( 国能安全〔2015〕36 号)中国电力企业联合会《电力信息系统安全等级保护实施指南》GB/T 37138-2018
需求分析
标准合规性需求作为国家重要的基础设施,企业要加快完成安全技术体系与管理体系的建设工作,使之符合《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)、《工业控制系统信息安全防护指南》等相关安全要求。
业务安全性需求从工控网络与架构、工控系统现场控制与过程监控层及工控协议安全三个层面进行需求分析:
工控网络与架构自动化系统与信息化系统种类较多,且大多企业存在数据流向不清晰、隔离措施不完善、隔离强度不达标等问题,造成各网络子域间及跨网交换非授权访问风险和病毒横向传播风险。工控系统现场控制与过程监控层上位机、服务器存在大量漏洞,管理员对打补丁比较排斥,身份鉴别过于单一等情况;各主机未部署对已知与未知病毒的防护措施;同时存在误操作、非法攻击、勒索病毒感染等风险,生产企业迫切需要对工控主机进行加固及病毒免疫等。工控协议安全当前在工控网络中,各类安全威胁不断涌入控制系统,而企业内部缺少对工业流量监测审计的手段,更无法对工控指令攻击和控制参数篡改进行实时监测和告警,让网络入侵轻易成功,最终导致安全生产事故的发生。
新技术安全需求大数据、人工智能、云计算、物联网等新技术逐渐应用到生产业务中。各生产工艺流程高度集成的自动控制系统,使得一些非法攻击与入侵更容易进入生产控制网络,信息安全风险极高。
解决方案在满足等级保护合规要求的前提下,结合电力生产系统的特点,围绕着生产系统生命周期的高可用性,安盟信息基于“一中心、两分离、三边界”安全防护设计思想,融合工控安全设备与生产系统功能要求,解决应用场景“个性化”安全需求,提升抵御安全风险及安全事件应对能力,确保生产系统可持续运行。
光伏发电企业工控安全解决方案拓扑结构示意图
一中心解决方案
是指建设光伏发电企业生产控制大区的网络安全管理中心,对工业生产全景进行安全态势感知、分析、预警及准入控制,并对异常报警行为形成工单分配给人工进行干预处理,同时与相应防护设备进行协同防御。
两分离
为降低生产网因设备管理带来的风险,建议企业规划与业务网相对独立的安全管理网络,实现业务数据流和安全管理防护数据流的分离,互不干涉。安全管理网络实现对网络安全设备的配置管理、运行状态收集、分析数据收集等。
三边界
是指生产控制大区边界、安全一区与二区的边界、主机边界三个边界。基于三边界不同安全防护侧重点和业务连续性要求,提供不同的安全防护技术和设备。
业务保障深度结合光伏发电系统应用特点,解决系统存在的安全问题,降低安全运营风险,提高安全运维效率,为电力自动化、智能化建设提供安全保障。安全合规符合国家能源局36号文电力监控系统安全防护规定,符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)。综合防护通过强化区域内网络、主机、物理环境及数据的安全防护,增强整体安全防护能力,确保电力安全生产稳定运营,形成以边界防护为要点、多层防线构成的纵深防护体系。相关新闻
-
2025-05-24
-
2025-05-13
-
2025-04-28
-
2025-04-17
-
2025-04-17
-