1.行业背景

储能系统响应速度快，同时能起到优化电源结构、增加调峰容量的作用，达到能源消纳、提高配电系统利用率的效果，从而减少弃风/弃光量的作用。2021年7月国家发改委、国家能源局正式印发《关于加快推动新型储能发展的指导意见》，储能行业迎来最大发展机遇期，但安全是该领域的一大挑战。

储能电站例如化学储能，含有能量高度密集的化学集成设备，组成包括锂电池、BMS（电池管理系统）、PCS（储能变流器）、电气保护设备等核心部件，但在系统整体运行中，各部件由于缺乏统一“指挥”，易使系统设备出现各类故障。储能电站一旦发生意外，极易产生火灾爆炸事故，引起人员和经济重大损失。在各种安全风险的威胁之下，储能电站对所处环境、电池状态和人员运维有着极高要求。

而在电站数字化建设中，通过大数据、云计算等技术对电池状态进行实时分析、状态预判和主动预警，提前判断运行维护过程中可能出现的故障并及时排查，可在储能电站安全保护上起到积极作用。因此针对储能电站的工控安全防护需要采取全方位的实时监测和预警手段，及时发现问题并解决，可有效保证储能电站的安全运行。

2.解决方案

2.1法规依据

电力监控系统涉及电力系统的各个环节,如通信网络、区域边界、主机、服务器以及系统运行过程中产生的数据等。这些环节中存在的漏洞及脆弱性,都有可能被黑客利用,用于发起对电力监控系统的攻击。

为应对日益增多的工控网络安全攻击,保障企业安全稳定生产,并同时满足各类政策文件及标准规范的要求,电力监控系统网络安全体系建设迫在眉睫。

2.1.1政策要求

根据我国《网络安全法》第三十一条要求:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。变电站作为电力行业及电网组成的关键环节,是典型的国家关键基础设施,应依照国家政策文件和相关标准要求加强网络安全防护。

为保障电力系统安全稳定运行,建立和完善电网、变电站计算机监控系统及调度数据网络的安全防护体系,国家和行业相关部门先后发布了多个等政策文件要求。对于电力监控系统在工控网络安全方面需要参照的政策文件及标准规范包括:

《中华人民共和国网络安全法》

《电力监控系统安全防护总体方案》(国能安全〔2015〕36号)

《国家能源局关于加强电力行业网络安全工作的指导意见》(国能发安全〔2018〕72号文)

《电力监控系统安全防护规定》(发改委令第14号)

《工业控制系统信息安全防护指南》(工信部信软〔2016〕338号)

GB/T22239-2019网络安全等级保护基本要求

GB/T30976.1-2014工业控制系统信息安全第1部分:评估规范

2.1.2电力行业防护要求

电力行业经过十多年的安全防护经验，相关单位印发了电力行业三大防护依据：《电力行业信息安全等级保护管理办法》（国家能源局国能安全2014年第318号）规定必须电力行业必须要执行信息安全等保工作；《电力监控系统安全防护规定》（国家发改委2014年第14号令）规定电力行业相关单位应坚持“安全分区、网络专用、横向隔离、纵向认证”的原则和管理建设办法以及如何开展国家信息安全等级保护工作；《电力监控系统安全防护总体方案等安全防护方案和评估规范》（国家能源局国能安全 2015年第36号文）中的《电力监控系统安全防护总体方案》、《发电厂监控系统安全防护方案》中针对XXX电厂如何做好电力监控系统安全防护、抵御黑科技恶意代码等发起的破坏和攻击、抵御其他非法操作，防止系统瘫痪和失控，均制定了详细的防护要求,依据“安全分区、网络专用、横向隔离、纵向认证、综合防护”进行防护。

2.2安全风险

储能所包含的设备繁杂，系统结构复杂，存在风险包括：

边界混乱：储能系统网络结构复杂，内部子系统之间通常采用大规模串并联的方式连接，缺乏明确的边界划分和防护，一旦发生网络安全事故可能引起非常严重的连锁反应。

智能设备风险：储能系统内的电池管理系统、工业控制系统等智能设备繁杂，系统本身可能就存在漏洞，一旦被外界利用，后果不堪设想。

运维安全风险：针对近十年来的储能事故分析发现，大多数事故发生在电站运行过程中或检修运维环节，储能系统缺乏针对人员行为审计手段和规范的流程，这使得运维过程很容易出现安全问题。

缺乏事前预警手段：储能电站一旦发生事故非常容易起火爆炸，因此事前防范才是重中之重，然而针对电站的网络安全态势却缺乏有效监测和预警手段。

2.3安全需求分析

依据《电力监控系统安全防护总体方案》、《发电厂监控系统安全防护方案》中“安全分区、网络专用、横向隔离、纵向认证、综合防护”的要求，针对储能系统的工业控制网络现状，提出如下建设需求分析：

2.3.1安全域划分

依据《电力监控系统安全防护规定》的要求，将系统划分为生产控制大区（含控制区及非控制区）和管理信息大区。针对控制区，需做出最小安全域的划分，将各个单独划分安全域，涉网（变电站相关系统）网络整体化为一个安全域。

2.3.2安全域边界防护

《发电厂监控系统安全防护方案》中要求采用不同强度的安全设备隔离各安全区，在生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施，实现逻辑隔离。

具体到储能系统的安全区I、安全区II内的安全防护要求涉及：同属安全区I的各电池监控系统之间，根据需要采取逻辑访问控制措施；同属安全区II的各系统之间、各不同位置的区域网络之间，根据需要采取逻辑访问控制措施。

根据要求，基于储能系统相关控制系统的特殊安全需求，本项目选择合适类型的工业防火墙实现系统间隔离、并通过安全策略满足不同安全级别要求的区域内边界防护。

2.3.3安全域内部防护

综合防护是结合国家信息安全等级保护工作的相关要求，对电力监控系统从主机、网络设备、恶意代码防范、审计等多个层面进行信息安全防护的要求。具体到储能系统内的生产控制大区的综合防护要求涉及：

异常检测需求：生产控制大区统一部署一套网络异常检测系统，检测发现隐藏于流经网络边界正常信息流中异常网络行为，分析潜在威胁并进行安全审计。

安全审计需求：生产控制大区的监控系统应当具备安全审计功能，能够对操作系统、数据库、业务应用的重要操作进行记录、分析，及时发现各种违规行为以及病毒和黑客的攻击行为。

主机加固需求：在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行。

恶意代码防范需求：建立防病毒和恶意软件入侵管理机制，对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。

2.4方案设计

2.4.1建设目标

2.4.1.1提高边界防护能力

充分考虑系统网络边界完整性，在办公网与生产网间、生产网各安全域间、生产网内无线网络和服务器、终端主机等各个网络边界位置，均具有较强的边界防护能力，避免“木桶效应”的发生。

2.4.1.2提高网络监测能力

对各厂区的生产网络进行全天候、全方位监测，进行流量、协议、内容、行为等多层次安全审计，针对APT攻击提供事前、事中、事后和日常运维的保护。

2.4.1.3提高恶意代码防护能力

针对服务器、终端主机等易受恶意代码攻击威胁的设备，通过白名单的方式，实现恶意代码全生命周期的防护：对USB设备进行管控，避免恶意代码的感染传播；对未知进程进行管控，避免恶意代码的运行；对关键文件进行保护，避免恶意代码的篡改破坏。

2.4.1.4提高安全运维能力

通过单一运维入口，保证各类运维过程均能达到一致的安全强度。对各类不同运维人员，设置与身份相匹配的权限；通过身份鉴别和访问控制措施，避免越权操作的发生；对运维过程中用户操作行为进行记录，便于事后追溯；定期更新用户、鉴别信息等内容，避免弱口令等低级问题的出现。

2.4.1.5提高安全管理能力

对工控网络安全各种安全设备进行统一管理、配置、授权和响应的安全平台。对目前所支持的工控安全设备的安全策略和安全事件进行集中、有效的管理，打破网络安全孤岛，使现场工控系统能主动抵御网络中的各种威胁。

安全管理平台作为“安全大脑”，能将安全策略部署到各个安全防护和安全审计等设备中，同时，它收集各个终端或数据源的安全日志和安全事件，从整体视角对全网的安全事件进行关联分析和攻击溯源，使安全人员能快速分析安全事件的真相。同时，通过安全数据的积累，通过自动的统计和报表功能，能对全网未来的安全态势进行预测。

2.4.1.6提升总体网络安全能力

提升制造业企业整体网络安全的能力，实现整体网络安全在线监控、实时预警。以工业网络资产为基础，以生产业务系统为核心，以工业用户体验为指引，从监控、审计、检测、预警四个维度建立全天候、全方位的网络威胁感知系统，帮助企业对工业生产网络潜在的安全风险和安全态势进行分析，为企业的安全建设规划提供数据支撑，最终实现企业业务的持续安全运营。

2.4.2技术架构

本方案根据“安全分区、专网专用、横向隔离、纵向加密”对储能系统整体进行安全区域划分和安全设备部署，储能系统工控网络安全建设架构示意图如下（后台系统不支持图片上传）。

2.4.2.1安全分区

按照《电力监控系统安全防护规定》，原则上将储能系统基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区（安全区I)及非控制区（安全区 II )。

控制区主要包括：各单位的储能结构和对应的控制站上位机等。

非控制区主要包括：低压保护装置、测压装置、向量装置、状态监测系统、电能量采集装置和故障录波装置等。

管理信息大区主要包括：检修管理系统、远动装置和管理信息系统（MIS）等。

2.4.2.2专网专用

电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。

2.4.2.3横向隔离

在不同安全区之间做到横向隔离，如在生产控制区域和管理信息区域之间，布置电力专用安全横向单向隔离装置实现物理隔离，让不同区域之间只能进行数据交换。

在安全隔离的基础上加强访问控制，采用防火墙实现逻辑隔离，提升访问控制力度，避免越权访问问题出现，保证边界与数据传输的安全。

2.4.2.4纵向加密

生产控制大区与调度数据网的通信通道应采用应当设置经国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制，保证系统的安全性。

2.4.2.5综合防护

《电力监控系统安全防护总体方案等安全防护方案和评估规范》（国家能源局国能安全 2015年第36号）中提出综合防护要对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护。

主机加固

在各主机和服务器上部署工控安全主机卫士，只允许系统操作或运行受信任的对象，固化安全环境。

工控安全主机卫士可以很好地适应工控环境相对固定的运行环境，并将非法程序 (已知和未知的木马、病毒等）隔离在可信运行环境外。通过签名证书的白名单，确保经过签名的可信应用程序正常升级、加载和扩展，避免因软件升级导致应用无法运行的情况发生。工控安全主机卫士还能对特定的对象（关键文件目录及应用程序、动态链接库、驱动文件等）提供保护，有效阻止恶意程序通过不同途径对关键对象的恶意改变。

访问控制

在控制区和非控制区之间部署防火墙保障系统安全，对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。

防火墙的访问控制策略应设置为白名单机制，设置仅允许授权的用户访问网络资源，禁止其他所有的网络访问行为，并支持基于会话的透明认证，未认证的用户拒绝访问，且能针对数据流进行管控。

入侵监测

在生产控制大区与外部网络连接的核心交换机处部署入侵检测装置，识别网络中发生的入侵行为并实时报警。

入侵检测系统可以对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测，提供对内部攻击、外部攻击和误操作的实时监控，提供动态保护。

恶意代码防范

在生产控制大区边界部署防病毒网关，在主机、服务器及数据库安装恶意代码防范软件，做到集中管理、统一更新。

防病毒网关可以保护数据传输的安全，支持病毒杀除、关键字过滤（如色情、反动）、垃圾邮件阻止的功能。

恶意代码防范软件功能主要包括恶意代码检测、恶意代码清除、恶意代码库的更新、恶意代码检测产品的升级、权限控制等。

应用安全控制

在管理信息大区的办公区域布置下一代防火墙，抵御来源更广泛、操作更简便、危害更明显的应用层攻击。

下一代防火墙可以应对应用层威胁，通过深入洞察网络流量中的用户、应用和内容，有效识别来自网络层和应用层的风险，为用户提供有效的应用层一体化安全防护。

安全审计

在控制大区和非控制大区的过程监控层网络分别部署工控安全监测审计平台、日志审计与分析系统，对系统的重要操作进行记录、分析，及时发现各种违规行为和攻击行为。

工控安全审计平台通过接入交换机镜像口实时动态监听工控网通讯内容，运用协议解析引擎对通讯内容进行解析，并与审计策略进行对比鉴别，发现并捕获异常指令和数据，实时告警响应。能够全面记录工控网中各种会话和事件，实现对工控网信息的风险审计和对安全事件的准确回溯定位，为工控网络安全策略的制定提供可靠的支撑。

日志审计与分析系统能够对全网海量的日志数据进行集中收集，实现日志的集中管理、实时监控、告警分析、快速检索。在系统发生故障时能及时、直观地对问题原因进行事故追溯，对网络、操作系统、数据库、业务应用日志进行自动收集分析，从而准确的定位并修正问题，从而降低风险威胁。

备份和容灾

事先通过技术手段对系统数据进行备份和容灾，提高信息可靠性和可用性。

采用备份软件对系统进行数据备份，一旦发生数据丢失，能快速准确的进行恢复。

搭建冗余站点，当生产站点受到破坏时，冗余站点可以接管用户正常的业务，并将数据备份作为灾备工程的一部分，在系统发生意外时，可将应用业务切换到灾备中心，达到业务的持续不中断。

漏洞检测

采用漏洞检测工具对各个安全区域的工控系统进行周期的漏洞检测，系统能够全面、精准地检测工控网络系统中存在的各种脆弱性问题，包括各种安全漏洞、安全配置问题、不合规行为等，在信息系统受到危害之前为管理员提供专业、有效的漏洞分析和修补建议。

2.4.3安全管理

建立虚拟的安全管理中心，打造安全管控、生产运营、共享服务等多环节智能决策数字化平台，实现统一的系统管理、审计管理、安全管理、以及安全设备的集中管控，持续运用数字技术提升资产性能。

2.4.3.1集中管控

为实现安全设备的统一管理、策略下发、日志收集，需建立安全管理中心，通过对控制网络中边界隔离安全产品进行集中管理，实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析、操作人员行为审计等，降低运维成本、提高事件响应效率，可真正实现安全技术和安全管理的结合，全面提升电力监控系统信息安全保障能力。

综合管理平台

作为“安全大脑”，它将安全策略部署到各个防护和审计终端，同时，它收集各个终端或数据源的安全日志和安全事件，从整体视角对全网的安全事件进行关联分析和攻击溯源，使安全人员能快速分析安全事件的真相。同时，通过安全数据的积累，通过自动的统计和报表功能，能对全网未来的安全态势进行预测。

在安全I区的DCS系统和BMS系统部署综合管理平台，实现针对设备的安全日志集中收集、分析、展示，形成结构化安全审计机制，及时发现各种安全威胁、异常行为事件，并通过周期性合规型和事件型报表为运维人员提供全局的视角，确保单位业务的不间断运营安全。最终完成安全设备联动，构建动态安全防护机制。

2.4.3.2安全运营

把电力监控系统的网络安全管理融入安全生产管理体系中,按照“谁主管、谁负贵；谁运营、谁负责；谁使用、谁负责”的原则,健全电力监控系统安全防护的组织保证体系和安全责任体系。落实国家行业主管部门的安全监管责任、各电力企业的安全主体责任、各级电网调度控制机构的安全技术监督责任。设置电力监控系统网络安全专责,制定安全管理规章制度。

木链科技根据电力行业要求,建议安全管理制度应包含如下几个方面:

全体人员安全管理

要加强电力监控系统安全防护人员的配套。设立安全主管、安全管理等岗位,配套安全管理员、系统管理员和安全审计员,明确各岗位职责,并指定专人负责数字证书系统等关键系统及设备的管理。

应加强对电力监控系统安全防护的管理、运行、维护、使用等全休人员的安全管理和培训教育,特別要加强对厂家维护及评估检测等第三方人员的安全管理,提高全体内部人员和相关外部人员的安全意识。

单位人才建设需求,可以参加集团人才培训或第三方安全机构的人员安全培训。

安全设备及系统的安全管理

对电力监控系统中全部业务系统软件模块和硬件设备,特別是安全防护设备,建立设备台账,实行全方位安全管理。

在安全防护设备和重要电力监控系统及设备在选型及配时,应禁止选用被同家相关部门检测通报存在漏洞和风险的特定系统及设备；相关系统、设备接入电力监控系统网络时应制定接入技术方案、采取相应安全防护措施,并经电力监控系统安全管理部门的审核、批准；应定期进行安全风险评估,针对发现的问题及时进行加固。

全生命周期安全管理

电力监控系统及设备在规划设计、研究开发、施工建设、安装调试、系统改造、运行管理、退役报废等全生命周期阶段要采取相应安全管理措施。

要采用安全、时控、时靠的软硬件产品,供应商应保证所提供的设备及系统符合本标准以及同家与行业信息系统安全等级保护的要求,并在设备及系统生命期内对此负责；重要电力监控系统及专用安全防护产品的开发、使用及供应商,应按国家有关要求做好保密工作,防止安全防护关键技术和设备的扩散。

安全运营平台

统一采集各类结构化和非结构化的数据，包括各类设备、应用日志以及网络流量和各种脆弱性，提供基于标准风险模型通过实时分析、离线分析、关联分析、统计分析、规则库、专家经验库以及外部安全情报的交换、机器学习等多方位进行风险分析。安全运营平台充分收集各类安全相关数据，通过大范围和深度地广泛检查，尽可能发现相关安全问题。并以多种安全问题管理为目标、以数据为核心、威胁情报为特色、打通安全防护中的检测、响应、预警、防御多个领域环节的完整安全体系。

2.4.4应急响应

建立电力监控系统的应急机制,制定相关制度和应急处理预案,并定期开展协同演练；当生产控制大区出现安全事件,尤其是遭到黑客、恶意代码攻击和其他人为破坏时,应按应急处理预案,立即采取安全应急措施。报告上级业务主管部门和安全主管部门,必要时可断开生产控制大区与管理信息区之间的横向边界连接,在紧急情况下可协调断开生产控制大区与下级或上级控制系统之间的纵向边界连接,以防止事态扩大,同时注意保护现场,以便进行调查取证和分析；上级业务主管部们和安全主管部门也应将安全事件及时通报相关电力企业,形成联合防护机制。

2.4.5人才培养

加强对电力监控安全防护的管理、运行、维护、使用等全全体人员的安全管理和培训教育，特別要加强对厂家维护及评估检测等第三方人员的安全管理，提高全体内部人员和相关外部人员的安全意识。针对不同岗位制定不同的培训计划，在严格的管理流程、严密的技术控制基础上，形成体系化的安全培训机制，提升内部人员的安全意识水平，才能达到综合化、一体化防范的效果。

工控网络安全靶场是集工业仿真、产品测试、教育培训、漏洞挖掘和风险评估为一体的综合仿真演练平台。网络安全靶场通过虚拟化、虚实结合组网等技术实现大型关键信息基础设施工艺仿真、工业控制系统场景复现和典型攻击事件模拟，训练网络安全人员如何防御关键网络设施受到攻击，以及如何针对假定目标实施网络攻击。为网络攻防对抗训练、应急响应演练、攻防技术培训以及网络对抗工具评测研究等需求提供安全可靠的仿真试验场地。此外工控网络安全靶场还可以针对仿真网络场景进行风险评估、攻防演练、教育培训等事件复盘、为安全产品提供测试展示平台等功能。

4.方案价值

4.1社会经济效益

储能系统安全牵一发而动全身，完善的网络安全一体化建设和服务体系有助于提升企业应对网络攻击的能力，也可以快速响应紧急事件,最大化的减少网络安全事件给企业带来的“疼痛”和“并发症”，减免因网络入侵导致社会负面影响，保障企业经济效益。

4.2满足合规性要求

本方案以条例法规为基础,遵照电力行业网络安全规范要求,考虑到变电站及集控中心网络各个层面的安全风险,在构建完整的安全防护体系,充分保证系统的安全性的同时,也满足合规性要求。

4.3提升安全防护能力

此方案引入了一套完整的工控安全防护体系，防护设备包含审计类、防护类、管理类和检测类产品，防护范围涵盖了终端设备、通讯网络、区域边界等多个方面，打造了栅格化、动态化的防护体系。降低了工控网络安全风险，提高了安全防护水平。

5.客户案例

某集团下属新能源有限公司风光储技术服务项目

某电力公司新能源工控网络安全实验室项目

某新能源有限公司工控网络安全防护能力提升改造项目

某能源集团下属公司安全技术服务项目

某集团下属公司新能源站点安装调试服务项目

某集团下属新能源公司电力监控系统网络安全防护施工项目

某能源集团新能源场站服务器主机加固技术服务项目