隨著操作技術系統發生越來越多相似的網絡安全事件,企業主和監管機構都急切尋求提高工業網絡安全的解決方案,為企業正常運行保駕護航。在之前的文章中,我們介紹了“深度防御”概念,它助力企業利用現有網絡基礎設施和投資,構建網絡防御的第一道防線。在本文中,我們將分享一些最佳實踐,展示我們如何與全球客戶合作,保護客戶的關鍵基礎設施——可再生能源儲能系統。在本文中,我們將分享一些最佳實踐,展示我們如何與全球客戶合作,保護客戶的關鍵基礎設施——可再生能源儲能系統。
說起可再生能源,我們通常會想到太陽能或風力發電站,它們為全球居民帶來源源不斷的清潔電能。可再生能源意義重大,在促進全球經濟發展的同時減少了二氧化碳排放。公共部門和私營企業正通力合作,創造更加可持續的未來。然而,可再生能源有一大劣勢:無法根據電力需求發電。自然現象不受人類控制,用電高峰時不一定烈日當空,用電低谷時風也不會自覺停下。使用電池,在電力供應充足時儲存多余電能,電力供應短缺時釋放電能,是保持電網穩定、保障電力供應的最佳方式之一。
能源儲存系統的安全挑戰
什么是能源儲存系統 (ESS)?
能源儲存系統可以將電能轉換成可以儲存的形式。蓄電池便是常見的可再生能源儲存方式。典型的風力或太陽能電站儲能系統包含能源管理系統 (EMS) 和電廠控制器,用于實時監控儲能系統。電廠控制器從電源轉換系統 (PCS) 和電池管理系統 (BMS) 機柜收集并整合數據。裝載這些設施的集裝箱機柜通常部署在沙漠或北極等環境嚴苛但太陽能、風能等可再生能源豐富的地區。
圖示:能源儲存系統典型使用場景
安全挑戰
如前文所述,儲能系統包含多個系統,用以確保能源儲存和供應全過程的穩定性。未授權訪問和一切意外活動都有可能導致系統運行中斷,能源管理系統、電源轉換系統和電池管理系統之間的網絡通信需要嚴密防護。因此,我們建議從兩個角度考量潛在風險。其一是網絡安全邊界的總體情況:訪問是否經過驗證和授權?指令是否符合預期?其二是邊緣層的通信安全:設備的通信和訪問是否得到保護?集裝箱機柜還在生產階段時就應設計安全機制,確保系統高效部署,安全連接至發電站和電網。
保護能源儲存系統的最佳實踐
為了深入理解上述兩個角度,本文接下來將介紹一些個案研究,展示如何從邊緣層到網絡層全方位加護以太網和串口網絡。
建立垂直和水平的安全邊界
為保護可再生能源系統、電廠控制器、電源轉換系統和變電站之間的通信,我們建議部署支持 Modbus 深層數據包檢測 (DPI) 的狀態防火墻。
垂直防護:防火墻充當看門人角色,保護系統間的通信安全無虞。
水平防護:Modbus 深層數據包檢測引擎能檢查網絡中的指令,丟棄未授權或不在列表上的數據
圖示:防火墻和 Modbus 深層數據包檢測引擎建立垂直和水平兩道防線。協議網關保障邊緣層通信。
建議
太陽能和風力發電站通常位于偏遠地區,部署集防火墻、NAT、VPN、交換機于一體、具備網絡冗余功能的解決方案,可以幫助系統集成商在系統實地使用之前完成網絡架構設計。NAT 功能還可以讓集裝箱內各設備的 IP 地址保持一致,減少 IP 地址沖突帶來的干擾。
增強鋰電池儲能系統的遠程連接安全
為了在儲能系統和控制中心之間構建無縫安全的通信連接,我們建議部署穩定可靠的邊緣連接解決方案。
保障邊緣層通信:在 Modbus 串口電池和以太網 RTU 之間部署協議網關,實現無縫通信。
確保通信安全:利用 HTTPS、SNMPv3 管理以及可訪問的 IP 地址等功能,保障設備通信和訪問安全,降低風險,提高遠程通信的可靠性。
圖示:增強邊緣層遠程連接安全。
建議
為確保儲能系統順暢運行,需要密切關注一些實時狀況,在控制中心持續監控電池余量、電源穩定性和環境條件等信息。因此,可部署搭載便捷配置工具的協議網關,幫助運維人員從各類現場串口設備收集數據,并將數據順暢傳輸至以太網系統。此外,協議網關內置安全功能和詳細的安全強化指南助力輕松提升設備安全。
Moxa 幫助客戶在世界各地建立安全的通信和網絡。請下載個案研究了解更多成功案例。
結論
安全可靠的能源儲存系統有助于提高可再生能源的發電量,符合提高可再生能源的比重、穩定電力供應的倡議需求。儲能系統還在維護關鍵基礎設施安全方面發揮重要作用。出于對整個電力生態系統的考慮,我們建議構建網絡安全邊界,嚴格控制訪問人員和信息傳輸,從而保護網絡和通信安全。此外,保障集裝箱機柜內的電池和傳感器等設備間的通信安全,是提高能源儲存管理系統可靠性的必經之路。
The MGate 系列協議網關為儲能系統提供多種協議轉換方案。該系列協議網關根據 IEC 62443 標準設計,能在關鍵現場數據接入 IP 網絡時提升設備和連接的安全性。此外,MGate 協議網關搭載便捷易用的配置工具和故障排除工具,讓設備部署和維護更輕松簡便。
The EDR-G9010 系列工業級安全路由器助力網絡安全,不僅形成邊界防線,還能阻止惡意流量或未授權流量的橫向(東西向)移動。EDR-G9010 系列具備深層數據包檢測功能,可以識別 Modbus TCP/UDP 等工業協議以及 DNP3 流量,加固儲能系統和變電站之間的通信安全防線。