网安智库 | 云南区域山地新能源场站网络安全运管模式探索

摘　要：随着网络攻击频率持续上升，网络安全设备的部署逐渐增多，给企业网络安全运营管理带来更多挑战。通过研究，建立规范的网络安全防护体系流程，建设完善的接入场站的网络安全模式，设计详细的安全管理流程，制定细分场景的应急预案，并结合新能源场站区域广、控制复杂、物理威胁风险高等特点，探索适用于山地新能源的网络安全运营模式。

内容目录：

1　问题分析

1.1　新能源场站网络基础情况介绍

1.2　新能源场站网络安全普遍存在的问题

1.3　山地新能源场站网络安全运营需求

2　网络安全管理要点

2.1　确定网络安全管理目标

2.2　完善安全管理制度

2.3　建设项目应急能力

2.4　加强网络安全检查和考核

3　网络安全运营体系

3.1　安全运营整体框架

3.2　安全运营建设重点内容

4　结　语

2022年，我 国 风 电、 光 伏 发 电 量 已 达 到1.19 万亿千瓦时，较 2021 年增加 2 073 亿千瓦时，同比增长 21%，占全社会用电量的 13.8%，同比提高 2%，接近全国城乡居民生活用电量。随着新能源发电行业的发展，区域新能源公司需要管理的风场、风机数量显著增加。大规模的风电、光伏场站在并网后如果出现故障导致频率波动，容易发生新能源机组大面积脱网，继而引发大面积停电事故 。随着大量分散新能源节点统一接入集控管理，使黑客更易于对电力通信网络进行入侵、潜伏和攻击，如何建设完善的电力监控系统网络安全运营模式已成为新能源公司必须重视的问题。

近些年，新能源生产管理由“分散、独立运营”转向“集中管控、运维一体化”，各大能源集团均开始建立新能源区域集控中心。随着区域集控中心管理新能源场站规模的逐步扩大，网络安全的重要性也逐步增加。现有新能源场站及集控均按照国家能源局《电力监控系统安全防护总体方案》（国能安全〔2015〕36 号）的要求，坚持“安全分区、网络专用、横向隔离、纵向认证”原则，建立了电力监控系统网络安全防护体系，已能够满足网络安全防护的基础要求。

然而新能源场站面临的网络安全形势依然严峻。一方面，新能源场点设置较多，分布面积较广，暴露风险随场站数量增长逐步增高；另一方面，随着隐蔽攻击技术发展，潜伏威胁剧增，如果不能及时发现威胁，攻击将会深入至核心控制网。在专业人员方面，新能源场站面临安全运营人才短缺的问题，难以进行复杂的网络安全运维工作。从集控中心管理角度来看，需要管理的监控数据成倍增长，日常管理工作就占据大量人员精力，再难以进行完善整体网络安全的运营工作。从国家、行业政策要求来看，由于工控安全高危漏洞频现，国家及电力主管部门也逐年提高对网络安全的监管要求，2022 年国家能源局印发的《电力行业网络安全管理办法》中也提出电力企业在网络产品和服务采购、风险评估、监测预警和信息通报、应急能力建设、重要时期安全保障、事件应急处置、容灾备份、数据安全等方面应完善及加强 。

如何建立标准的网络安全运营模式，来提高新能源场站的安全防护能力，降低新能源场站的安全运营成本，建立新能源场站的安全集约化管理，并保证电力生产运行和信息网络的安全稳定运行，这将成为新能源集控中心亟须解决的问题。

1　问题分析

1.1　新能源场站网络基础情况介绍

山地新能源场站大多地处偏远，风机分布位置分散，初期采用扁平化的管理方式，单个风电场独立运行、维护和检修，随着装机规模不断增长、风电场数量不断增多，分散化管理效率低下的弊端不断被放大。为此，各发电集团开始建设区域集控中心，对区域内新能源场站进行统一调控管理。区域集控按部署位置可分为现场侧、场站侧和集控侧。其中，现场侧包含主控系统及各种可编程逻辑控制器（ProgrammableLogic Controller，PLC）传感器等；场站侧包含机组、变压、变流、储能及无功调节设备，主要是采集区域内各场站的实时运行状态信息，对现场侧下发各种控制调节指令；集控侧一般建设在独立的区域控制中心，实现区域内全部接入机组的数据监视、发电控制和设备保护控制等。

新能源集控中心一般采用独立建设模式，配套建设机房、调控大厅、调度会议室等，业务系统包括集中控制系统、故障诊断系统、功率预测系统，辅助的生产管理系统等，能够实现多个场站侧数据的采集与监控。其中，核心的集控平台主要分为远程监控和运营决策两大系统，包含实时监控、运营总览等众多功能模块。新能源集控中心主要通过租用运营商专线或电网专线实现与场站侧的通信。

新能源场站是现场侧设备汇集的中心控制点，其运行的稳定性会直接影响局部地区电网的运行稳定性。新能源场站侧网络依据业务需求分为生产控制大区和管理信息大区。生产控制大区又分为安全Ⅰ区和安全Ⅱ区，其中安全Ⅰ区主要包含风机监控系统、升压站监控系统、相量测量 装 置（Phasor Measurement Unit，PMU） 及 自动电压控制（Automatic Voltage Control，AVC）/ 自动发电控制（Automatic Generation Control，AGC）等，安全Ⅱ区主要包含故障录波、电能量采集、功率预测等。管理信息大区包含气象预报、天气预测及办公信息系统等。

新能源现场侧设备会根据风力或光伏的情况进行不同配置，如风力发电主要包括机舱、塔基和箱变。塔基控制站中部署有风机主控制器机柜，是风电机组设备控制的核心，其主要包括控制器、光纤转化器、I/O 模件等，通过现场总线与机舱控制器机柜、变桨系统、变流系统进行实时通信。通信使用的协议一般有CANopen、Profibus、Modbus、以太网等多种类型，可根据项目的实际需求进行配置。多台风机之间一般选择单模光纤组网，整场为环形架构部署。例如：光伏发电主要包括光伏组件、逆变器、并网控制系统等。光伏组件是主要的发电单元，通过串联、并联组合成光伏组件方阵，也叫光伏阵列。并网逆变器除将直流电转换为交流电外，还能够实现市电的频率及相位同步。并网控制系统是指安装于光伏电站内，自动接收调度主站下发的有功功率、电压，自动闭环调节站内逆变器、静止无功补偿装置（Static VarCompensator，SVC）、 静 止 无 功 发 生 器（StaticVar Generator，SVG）等设备的有功 / 无功功率，实时跟踪调度主站下发指令的系统。逆变器可使用无线 Wi-Fi、5G、RJ45、RS485、电力线载波等连接方式与数据采集器通过环网进行连接，并与站控层中的并网控制器进行通信。

1.2　新能源场站网络安全普遍存在的问题

由于山地新能源发电场站涵盖了多种地貌，地质环境复杂，发电单元分布不规整，存在着分布区域广、协调管理难的问题。随着接入场站的数量增长，如果不能建立标准的网络安全运营模式，最终必然会出现配置混乱、难以统一运维的问题。

在网络安全方面，发电场站一般按照国家能源局《电力监控系统安全防护总体方案》（国能安全〔2015〕36 号）的相关要求进行产品部署与实施。完成后还需要进行对应的网络安全风险评估和网络安全等级保护测评。本文梳理多份测评报告发现，新能源场站还存在以下典型网络安全问题：

（1）欠缺整体场站资产梳理。由于前期场站为分散管理，各场站设备选型、配置及部署模式均有不同，集控接入管理优先解决的是调度管理问题，在信息资产梳理方面重视程度不高，造成集控中心对各场站信息安全资产情况了解程度不足。

（2）安全策略欠完善。由于各场站缺乏专业安全人员，很多安全策略是在项目实施时建立的，随着业务需求的变化进行机械式的新增，并没有形成统一的安全策略管理，存在着策略重复、规则冲突、权限过大等问题。

（3）欠缺风险管理及应急响应。一方面，多数场站欠缺完善的漏洞扫描及修补能力，对于网络安全缺乏定期检查及整改，无法及时发现并解决潜在的安全风险，如系统漏洞修补不及时、安全意识疏忽、脆弱性防护不完善、处理流程职责不清、无人及时跟进安全事件等问题。另一方面，缺乏应急响应计划，在面临危机时无法迅速、有效地做出反应，无法准确评估事件的严重性，无法及时采取措施防止事件扩大。

（4）培训及演练准备不足。普遍网络安全培训不足，使员工缺乏信息安全事件的预警和防范措施，技术人员对应急处置步骤也不熟练，在紧急情况下无法及时正确地应对网络威胁，无法快速发现并阻止攻击的进行，从而错失防止事件扩大的关键时机。一方面，技术人员日常接触安全处置的机会较少，无法真正从实践中进行有效的协调和沟通演练，容易导致在真正面对信息安全事件时，出现操作步骤混乱和延误的情况；另一方面，技术人员容易对事件的影响范围和严重程度判断失误，导致没能及时调动和分配资源，加剧问题严重性。

（5）未形成动态网络安全保护体系。通过对场站情况的分析发现，目前场站均已完成基本的安全防护部署，但多数仍处于“被动防御”阶段，未建立专门的网络安全运维团队，无法对网络进行持续的监督与分析，缺乏结合业务实际开展的攻防演练，难以形成安全防护与业务运维紧密联动的工作机制。如未建立工控网络安全基线，就难以将安全脆弱性整体降低，威胁很容易从薄弱点突破造成全面入侵。

由此可见，形成实战化动态响应机制是当前亟待解决的问题，应建立实时监测、预警、快速响应和恢复等多个环节，确保在遭受网络攻击时能够迅速、准确地做出应对。

1.3　山地新能源场站网络安全运营需求

1.3.1　形成完善的网络安全保护体系

山地新能源场站分布面积较广，各个风电场之间保持着较远的距离，增大了网络安全运营的难度，管理人员很难全方位掌握各场站的网络安全运营实际情况。建立网络安全保护体系对于保障业务稳定运行、符合政策法规要求、提高企业管理效率等方面具有重要意义。从现有新能源场站网络安全运营状况来看，还存在着不足和缺陷。网络安全保护体系的需求主要包括如下内容：

（1）进行全面的资产梳理，建立资产清单并形成实时更新机制。

（2）针对现有系统的风险评估，发现所面临的威胁及其存在的脆弱性，评估事件一旦发生可能造成的危害程度，并根据其提出有针对性的防护对策和整改措施。

（3）依据风险平台报告，对脆弱性风险进行安全加固。

（4）进行周期性的巡检、维护、策略优化、渗透测试、应急演练、应急处置、安全培训规划设计及实施。

1.3.2　建立数字化运营管理流程

由于新能源行业近些年的迅速发展，部分场站的网络安全运营管理制度还未完善，部分是沿用传统火电厂的运维模式，不适应新能源场站的分散特点。新能源场站存在多种第三方服务公司运维，运维人员素质参差不齐，人员流动性大，难以进行综合管理，很多生产运维的信息很难准确、完整地反馈，不利于自身运维经验的积累。从网络信息安全的运营管理来看，风电场站和集控中心都很难配备对应的技术人员，一般都由机电或仪表专业人员代为管理。随着管理设备的逐步增多，已经难以应付进行日常的巡检工作，无法从运营的角度去承担更多的职责。这就需要利用数字化平台去规范完善管理流程，进行对应的记录及审核，平台功能需求主要有台账管理、流程管理、巡检管理、运维管理等模块。对运营流程和服务质量、服务过程、资料、报告、台账等全过程管理，实现网络安全运营的全面数字化管理。

2　网络安全管理要点

2.1　确定网络安全管理目标

管理目标是应对未来发生的网络安全事件，全面保障新能源场站网络安全，防御各种类型的网络攻击，加强新能源场站系统的安全保护措施，完善信息安全体系的建设，健全网络安全保障体系，满足国家相关政策法规要求。

基于已有的安全防护能力，加强对核心系统的监控，加强安全隐患排查和安全预警，并针对性地采取应对措施，及时消除隐患。在运营管理方面，加强信息安全事件和运行异常事件的信息收集、分析判断和优化调整。

2.2　完善安全管理制度

首先，根据国家、行业及单位的相关制度和标准，制定网络安全运营总体目标、安全管理策略和安全处置流程。其次，由区域公司生产安全管理部门制定配套的安全管理制度，需要集控中心结合日常实际需要制定相应的安全运维管理机制，形成集策略、流程和机制于一体的管理体系，有效规范各新能源场站开展网络安全运营工作。最后，通过制度发布、监督和考核，实现统一新能源场站网络安全标准的有效衔接和一致性。

2.3　建设项目应急能力

首先，安全事件预警、处置和恢复是网络安全运营的关键环节，在安全事件发生时能够迅速采取行动，减轻损失并恢复系统和数据。应由区域分公司生产管理部门制定安全事件应急预案，至少包括安全事件的分类、响应流程、责任分配、资源协调等。对新能源场站相关运维人员进行宣贯及培训，确保所有相关人员明确具体要求，并定期开展演练以提高其实战能力。通过可视化平台建立实时监控和告警系统，制定多层次的告警通知流程，确保在安全事件发生时分层级及时通知相关人员。告警的相关信息包括事件类型、发生时间、严重程度等。其次，相关责任人需要根据安全事件的性质和严重程度，采取适当的隔离措施，防止安全事件进一步扩散，同时尽量全面恢复受影响的系统和数据。之后还需进行安全事件的深入调查和分析，排查安全事件发生的根源、传播途径和危害范围，并根据安全事件的调查和分析结果，在技术方面，对安全防护策略和制度进行调整更新，提高网络安全防御能力。在人员方面，需要结合分析情况对运维人员开展安全培训和教育，整体增强安全意识和防护技能。最后，在安全事件处置完毕后，依据安全防护策略和制度的调整，持续监测应对状况，并进行及时优化调整。

2.4　加强网络安全检查和考核

需要加强对新能源场站的网络安全运营情况的定期检查与分析，并开展考核及问题整改。安全检查项主要包括安全设备部署应用情况、安全运维制度落实情况、存在的安全隐患、暴露的威胁漏洞、系统脆弱性风险，以及近期安全问题的整改情况、安全事故的处理情况等。区域公司安全管理部门需要明确具体的检查项及标准，如安全制度、人员分配、工具设备、工作记录、管理措施等。另外，还应对新能源场站技术人员的网络安全知识掌握情况以及应急处理能力等进行考核，并依据考核结果进行持续教育，确保新能源场站的网络安全运营能力水平达到区域公司整体的要求标准。

2.5　安全评定与持续改进

随着网络风险的逐步加强，网络安全运营工作也应持续改进，依据事件问题对管理方法、防护策略进行持续优化，从而更好地应对各类威胁，保障新能源业务的稳定运行。

3　络安全运营体系

3.1　安全运营整体框架

安全运营整体框架由数字化运营平台、运营组织、运营流程、运营支撑服务 4 个部分组成。

3.1.1　数字化运营平台

数字化运营平台作为网络安全运营中心的核心主体，承担着对全部运营对象的资产采集梳理、风险评估、安全加固、巡检维护、策略管理和分析处理的流程管控及可视化呈现。数字化运营平台应包括台账管理、流程管理、巡检管理、运维管理等模块，同时具备系统管理等常见功能。

3.1.2　运营组织

运营组织是安全运营的管理及执行单元，组织架构的完善和人员能力的高低决定了综合安全效能的好坏。新能源场站管理层需要根据现有资源情况建设组织架构和团队能力，进行权责划分和人员分组，根据人员能力可以划分为运维为主的工程师（L1）、熟悉业务或安全的对应行业专家（L2）、同时具备业务能力和安全经验的全面攻防对抗专家（L3）三级人员。

3.1.3　运营流程

需要结合数字化运营平台和运营组织建立符合组织自身情况的安全运营流程，如事件处置流程、应急响应流程等，并将运营流程与数字化运营平台相结合，得到数字化的标准化管控流程，从而实现高效安全运营。

3.1.4　运营支撑服务

由安全厂商提供安全运营工作的支撑服务，有效解决新能源场站缺乏专业的安全运营人员及运营能力的问题。安全厂商应协助新能源场站开展有效的日常安全运营、渗透测试、应急演练、应急处置及重要活动保障值守等工作。

3.2　安全运营建设重点内容

安全运营应先确定新能源场站的保护对象范围，通过部署各类安全组件及建立人员组织来实现整体安全效能的提升。核心部署组件应包括资产梳理、风险评估、安全加固、安全巡检及设备维护、渗透测试、应急演练、应急响应、网络安全培训及考核、网络安全问题整改、重大保障值守。

3.2.1　资产梳理

资产梳理主要为后续各安全运营工作提供资产基础信息和运维范围，是整个安全运营和服务工作的基础。确定资产收集需求后，由集控中心下发通知，各新能源场站自行梳理互联网上的和内网的全部 IT 资产，包括集控中心及下属场站电力监控系统和办公网范围内的系统、平台、网络设备、安全设备、网络拓扑等，形成本单位《资产清单》，系统记录各单位资产台账。

3.2.2　风险评估

风险评估主要从安全技术和安全管理的角度分析了集控中心和下属各场站当前存在的风险和安全隐患，并指导单位后续的网络安全建设工作。参照风险评估的标准规范，针对集控中心及下属场站电力监控系统的整体网络安全状况进行风险评估，评估内容包括技术层面和管理层面两个方面，分析运营系统当前所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，并针对评估中存在的问题提出对应的整改措施和防护建议。

3.2.3　安全加固

安全加固服务包括以下 2 项工作：

（1）网络安全基线检查与加固。根据上级主管单位或行业主管单位、能源局等单位下发的安全规范、安全要求文件，对集控中心及下属场站电力监控系统的网络结构、设备配置、系统配置等进行安全基线检查，对其中的不符合项进行配置修改和加固，并对整改后的安全有效性进行检测，确保系统安全。

（2）安全漏洞扫描与修复。使用专业的漏

洞扫描工具对集控中心及下属场站电力监控系统的主机系统、网络设备、数据库、中间件、应用系统等进行漏洞扫描，对所发现的高危漏洞提出针对性的修复建议和整改措施，并协助进行漏洞的整改和修复。

3.2.4　安全巡检及设备维护

定期的安全巡检有助于新能源场站及时发现长期运行的安全隐患，并进行及时修复，能够保障设备的安全性和高可用性。通过对集控中心及下属场站电力监控系统的安全设备、电力监控系统、工控安全设备和系统等进行周期性的状态检查并提交巡检报告及安全检测告警分析建议，保障单位网络安全检测、安全设备及网络安全检测平台等的正常运行。巡检内容包括但不限于 CPU 利用率、内存利用率、版本、授权时间、病毒库 / 规则库升级、设备故障维护、日志配置信息、设备安全防护日志分析及安全检测平台告警分析等网络安全日常工作保障。

3.2.5　渗透测试

渗透测试是采用可控制、非破坏性的方法和手段，通过模拟恶意黑客的攻击方法，及时发现网络中存在的安全隐患，为集控中心安全建设提供决策支撑。需要在集控中心授权的前提下，采用可控制、非破坏性的方法和手段，模拟恶意黑客的攻击方法，对集控中心及下属场站电力监控系统的目标系统的安全做深入的探测，发现网络和系统中存在的安全风险，出具安全渗透测试报告并提出合理的处置建议，处置完成后须复查以确认漏洞处置情况。

3.2.6　应急演练

开展网络安全应急演练，提升单位网络安全组织和人员应对网络安全突发事件的组织指挥能力和应急处置能力。同时，根据实际演练情况，总结单位网络安全应急演练经验，根据需要修订新能源场站网络安全应急预案，定期进行网络安全应急演练。依据网络安全应急预案和安全事件应急处置指南，设计网络安全应急演练场景并协助集控中心及下属场站组织开展网络安全应急演练。网络安全应急演练环境需以实际新能源业务为核心，搭建模拟业务系统故障、网络中断应急处理、黑客攻击、大规模病毒攻击、数据库系统故障、设备硬件故障及其他故障等多种场景。

3.2.7　应急响应

针对紧急网络安全事件或网络安全威胁，由集控中心作为总体指挥，第三方安全服务公司提供技术支持，协助开展应急响应，为集控中心及下属场站电力监控系统提供网络和电力监控系统业务数据的应急技术支持，包括现场安全处理、入侵取证分析、提供完整的安全解决方案及整改后的修复测试，当单位发生网络安全事件时，应第一时间到达现场进行安全应急响应技术支撑工作，及时消除故障，恢复系统正常运行。

3.2.8　网络安全培训及考核

通过开展安全培训，使参培人员对网络安全、信息安全及工业控制系统安全的政策法规、安全意识和技术等内容进行全面的了解与学习，提高单位网络安全相关人员的安全意识和防护水平。对集控中心及下属场站电力监控系统的网络安全相关岗位人员集中进行网络及工控安全意识宣讲、网络及工控安全法律法规解读、网络及工控安全技术知识等内容的授课，并在授课后开展问答考核及满意度调研工作。

3.2.9　网络安全问题整改

由集控中心或场站发起需求，第三方网络安全服务商提供技术支撑，依据国家和行业发布的信息安全规范性文件及标准，针对上级主管单位如电网、新能源公司、网信、公安的相关要求，以及等保测评单位出具的等保测评问题清单进行专项整改，并确保在整改完成后符合测评相应等级的基本要求。

3.2.10　重大保障值守

根据实际需求，在重大网络安全保障值守期间由第三方网络安全服务商提供网络安全保障服务，集控中心和各场站每个点应至少配置 2人开展重保期间的现场安全保障工作，第三方网络安全服务商还应提供相应的远程专家技术服务支持和指导。

4　结　语

网络安全风险逐步加强，威胁无时无处不在，要实现多分支场站统一、快速、精准的安全防护，就必须依托数字化来建立整体的网络安全运营能力。本文以数字化运营平台为核心，通过流程和数据的双轮驱动，提升网络安全运营能力，满足《中华人民共和国网络安全法》《网络安全等级保护基本要求》的相关要求，实现以“实战化、体系化、常态化”为理念，“动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控”的安全运营目标，建立对各类安全事件的精准识别、预警和分析能力。

本文所述的网络安全运营模式已在区域新能源场站进行广泛实践，取得了较好的应用效果，期待能为新能源行业网络管理者提供一些借鉴。

引用格式：李林波 , 康磊 , 钱凯 , 等 . 云南区域山地新能源场站网络安全运管模式探索 [J]. 信息安全与通信保密 ,2024(4):105-113.

作者简介 >>>

李林波，男，专科，工程师，主要研究方向为新能源电厂电力监控系统网络安全；

康　磊，男，学士，工程师，主要研究方向为新能源电厂运营管理、系统运行管理；

钱　凯，男， 学 士， 工 程 师，主要研究方向为新能源电场电力监控系统网络安全；

胡向前，男，学士，工程师，主要研究方向为新能源电厂电力监控系统网络安全；

王庆书，男，学士，工程师，主要研究方向为电力系统及其自动化。

选自《信息安全与通信保密》2024年第4期（为便于排版，已省去原文参考文献）