刘奇

（国华能源投资有限公司 北京市 100007）

风电场通常建设在人迹罕至的山丘、草原、戈壁或者沙漠地区，风力发电机部署分散，场区跨越距离长，风电场根据装机容量通常跨度在方圆几十公里甚至上百公里，而且场内道路多以零时修建的沙土路为主，巡检人员一般按照提前制定的计划到达各台风机，无法实现针对每台风机的7*24 小时实时监控。风机塔筒内的网络可以直接到达部署在风电场升压站内的控制中心，一旦有人利用管理漏洞潜入风机塔筒内部，就可以随意接入风机控制网络进行恶意入侵，窃取风电场运行数据、破坏风电场控制系统、甚至通过渗透收入侵入电力调度数据网对整个电网造成威胁，这也就是近些年提出的从塔筒侧入侵电场工控系统的典型风电场网络安全隐患。

1 风电场塔筒侧网络接入管控现状

通过分析多家风电场现有风机控制网络，目前绝大部分风电场的管控措施还停留在物理管控措施上，即在塔筒入口铁门上安装专业锁具的方法保障塔筒内设备及网络安全，部分风电场目前正在改装门禁系统，也有一些在塔筒入口处安装了视频监控系统以期实现对塔筒入口进行有效的管控。但此类防护措施在专业入侵人员面前就显得捉襟见肘。

风电场风机控制网络一般划分为接入、汇聚两层，接入层由部署在塔筒内的工业接入交换机和沿集电线路布放的光纤链路组成，同一条集电线路的风机光纤依次串接，首尾风机光纤汇入升压站通讯室形成光纤环网；升压站内部署工业汇聚交换机，不同集电线路光纤环网接入汇聚交换机，同时风机中央监控系统的前置服务器、数据库服务器、工程师站等主机及其他测控装置通过双绞线接入汇聚交换机共同构成了风机控制系统网络。经过调研多家风电场实际网络构成，此类网络一般不做任何配置，部分网络设备也不具备管理功能，多个业务系统分别规划了IP 地址段，多网段间属于同一广播域，无需通过网关转发即可完成网络通信，多网段间未使用VLAN 隔离。入侵人员在进入塔筒后仅需通过简单的网络监听与嗅探，便可获取当前全网的网络与主机信息，进而实现对整个风电场控制网络的入侵与破坏。

工业控制网络存在私自接入控制的管理需求，需要实现非法终端接入自动阻断，这将有效保证工业控制网络安全。避免因为外来终端接入对工控网络数据安全、设备运行安全等造成不良影响。终端接入网络的位置及时间点判定，是需要管理人员进行严格监视和控制的。工控设备具体接入在交换设备那个位置，是否正常开机。同时一些严重的安全问题往往就是由于这些任意、非法加入网络终端设备引起的，因此需要采用技术手段对终端入网进行管控。

随着新能源集控中心建设的发展，一个集控中心可能涉及多个风电场的集中控制。入侵人员侵入单个风电场控制网络后，通过进一步渗透一旦侵入集控中心网络将造成更大范围的安全威胁，所以面对当今日益严峻的网络安全形势，解决从塔筒侧侵入电场的安全问题已经迫在眉睫。

2 通过安全准入技术解决风电场塔筒侧网络接入管控问题

图1：安全准入系统部署在控制大区

图2：安全准入系统的分级部署模式

经过全面分析现有已经投入商用的接入管控方案，部署安全准入设备无疑是解决这一问题的一种措施。图1 为安全准入系统部署在控制大区。

安全准入设备是指通过扫描网络接入设备的状态或探测网络接入边界状态的方式发现新设备接入,通过识别设备MAC 地址、开放端口、协议等方式识别设备合法身份，并对非法接入设备实现有效阻断的安全控制设备。目前根据设备基础原理及部署方式完成了两类设备在风电场控制网络中的实际工程测试。

2.1 基于端口镜像方式部署的安全准入设备

此类设备的部署分为两级，由部署在集控中心的主服务器和部署在风电场的控制器（探针组成）。控制器接入风电场汇聚交换机，基于交换机的端口镜像功能，复制所有经过汇聚交换机的数据流量，对流量进行甄别与判断任意终端在接入控制网络后，若需要与工程师站、前置服务器进行网络通信，必须先通过控制器进行身份验证，验证通过的终端可以正常访问网络，非法设备直接被阻断。图2 为安全准入系统的分级部署模式。

（1）此类设备的优点是通过端口镜像分析数据包中网络层与数据链路层信息，在创建合法终端的时候可通过抓取终端的IP地址、MAC 地址、端口信息、协议版本、厂商信息等多种元素生产针对单一设备的指纹信息，可以有效降低通过IP、MAC 地址等手段仿冒合法终端进行内网入侵的风险，增加入侵的困难程度。

（2）此类设备的缺点，首先此类型设备扫描网络需要一个较短的扫描周期，这个周期过程中存在一个设备接入管控窗口期，即非法终端在此过程中是可以短暂接入网络的。其次因为现有风电场环网为所有接入线路、设备处于同一个广播域，无法强制路由走向，所以同一条集电线路环网上的数据访问将直接在环网内完成交换，这种情况下准入设备无法实现接入管控。最后，数据镜像的阻断方式较单一，仅支持TCP Reset 及UDP Unreachable，阻断效果受限于工控网的流量大小。

2.2 基于ARP侦听技术的安全准入设备

此类设备的部署同样是在集控中心部署主服务器，风电场部署探针设备接入风电场汇聚交换机，交换机无需进行端口镜像，准入设备通过侦听ARP、NetBios 包，配合使用SNMP 网络管理协议的方式实现设备接入的发现，并进行接入管控。

（1）此类设备的优点是部署简单，无需进行端口镜像配置，对风场原有网络设备要求低，可实现终端在接入网络开始即进行准入控制，同条光纤环网上非法访问也被及时阻断，有效的阻止了终端接入网络后通过渗透手段获取内网设备信息进行身份伪造的安全风险。

（2）此类设备的缺点是因不通过流量分析手段获取设备的身份特征，只能通过主动的网络扫描IP 地址、MAC 地址、端口、主机名、操作系统版本、厂商等信息创建设备指纹，此类型设备扫描网络需要一个较短的扫描周期，这个周期过程中存在一个设备接入管控窗口期，即非法终端在此过程中是可以短暂接入网络的。

表1 对两种安全准入系统部署模式在工控系统中的应用进行了列表比较。

3 结论

终端准入设备在解决从塔筒侧侵入风电场安全问题上能够起到提高侵入设备的接入难度，降低非法接入风险的作用，但两种不同准入设备在部署之前应先综合评估本地网络特征结合适当的管理措施后进行选型安装。基于端口镜像模式的安全准入设备在防止前端入侵内网控制中心的应用场景下能起到有效的管控措施，如能对风场前端网络进行适当的调整，如对前端划分VLAN，在汇聚交换机设置各项业务网关通过强制路由将风机前端所有数据访问全部划转至汇聚交换机将大大提高此类设备的管控效果，但调整风机网络势必带来风机停机等影响生产经济效益的问题需综合评估后实施；基于APR、NetBios、SNMP 分析的准入设备在实现接入即管控的应用场景中起到了良好的管控效果，部署方便难度小，但扫描网络需要一个较短的扫描周期，在选用此类型准入设备的时候建议结合适当的人工管理措施，在发现有设备接入告警时应立即进行核实，发现非法入侵即手工断开前端网络进行应急处理。