文章

增强工业网络安全最佳实践:能源储存系统

2021-10-29Moxa摩莎

112阅
随着操作技术系统发生越来越多相似的网络安全事件,企业主和监管机构都急切寻求提高工业网络安全的解决方案,为企业正常运行保驾护航。在之前的文章中,我们介绍了“深度防御”概念,它助力企业利用现有网络基础设施和投资,构建网络防御的第一道防线。在本文中,Moxa将分享一些最佳实践,展示Moxa如何与全球客户合作,保护客户的关键基础设施——可再生能源储能系统。

   说起可再生能源,我们通常会想到太阳能或风力发电站,它们为全球居民带来源源不断的清洁电能。可再生能源意义重大,在促进全球经济发展的同时减少了二氧化碳排放。公共部门和私营企业正通力合作,创造更加可持续的未来。然而,可再生能源有一大劣势:无法根据电力需求发电。自然现象不受人类控制,用电高峰时不一定烈日当空,用电低谷时风也不会自觉停下。使用电池,在电力供应充足时储存多余电能,电力供应短缺时释放电能,是保持电网稳定、保障电力供应的最佳方式之一。

    能源储存系统的安全挑战

    1 什么是能源储存系统 (ESS)?

    能源储存系统可以将电能转换成可以储存的形式。蓄电池便是常见的可再生能源储存方式。典型的风力或太阳能电站储能系统包含能源管理系统 (EMS) 和电厂控制器,用于实时监控储能系统。电厂控制器从电源转换系统 (PCS) 和电池管理系统 (BMS) 机柜收集并整合数据。装载这些设施的集装箱机柜通常部署在沙漠或北极等环境严苛但太阳能、风能等可再生能源丰富的地区。

能源储存系统典型使用场景

图示:能源储存系统典型使用场景

    2 安全挑战

    如前文所述,储能系统包含多个系统,用以确保能源储存和供应全过程的稳定性。未授权访问和一切意外活动都有可能导致系统运行中断,能源管理系统、电源转换系统和电池管理系统之间的网络通信需要严密防护。因此,我们建议从两个角度考量潜在风险。其一是网络安全边界的总体情况:访问是否经过验证和授权?指令是否符合预期?其二是边缘层的通信安全:设备的通信和访问是否得到保护?集装箱机柜还在生产阶段时就应设计安全机制,确保系统高效部署,安全连接至发电站和电网。

    保护能源储存系统的最佳实践

    为了深入理解上述两个角度,本文接下来将介绍一些个案研究,展示如何从边缘层到网络层全方位加护以太网和串口网络。

    1 建立垂直和水平的安全边界

    为保护可再生能源系统、电厂控制器、电源转换系统和变电站之间的通信,我们建议部署支持 Modbus 深层数据包检测 (DPI) 的状态防火墙。

    垂直防护:防火墙充当看门人角色,保护系统间的通信安全无虞。

    水平防护:Modbus 深层数据包检测引擎能检查网络中的指令,丢弃未授权或不在列表上的数据

防火墙和 Modbus 深层数据包检测引擎建立垂直和水平两道防线。协议网关保障边缘层通信

图示:防火墙和 Modbus 深层数据包检测引擎建立垂直和水平两道防线。协议网关保障边缘层通信。

    建议

    太阳能和风力发电站通常位于偏远地区,部署集防火墙、NAT、VPN、交换机于一体、具备网络冗余功能的解决方案,可以帮助系统集成商在系统实地使用之前完成网络架构设计。NAT 功能还可以让集装箱内各设备的 IP 地址保持一致,减少 IP 地址冲突带来的干扰。

    2 增强锂电池储能系统的远程连接安全

    为了在储能系统和控制中心之间构建无缝安全的通信连接,我们建议部署稳定可靠的边缘连接解决方案。

    保障边缘层通信:在 Modbus 串口电池和以太网 RTU 之间部署协议网关,实现无缝通信。

    确保通信安全:利用 HTTPS、SNMPv3 管理以及可访问的 IP 地址等功能,保障设备通信和访问安全,降低风险,提高远程通信的可靠性。

增强边缘层远程连接安全

图示:增强边缘层远程连接安全。

    建议

    为确保储能系统顺畅运行,需要密切关注一些实时状况,在控制中心持续监控电池余量、电源稳定性和环境条件等信息。因此,可部署搭载便捷配置工具的协议网关,帮助运维人员从各类现场串口设备收集数据,并将数据顺畅传输至以太网系统。此外,协议网关内置安全功能和详细的安全强化指南助力轻松提升设备安全。

    Moxa 帮助客户在世界各地建立安全的通信和网络。请下载《增强工业网络安全,提升风险抵御能力》了解更多成功案例。

    结论       

    安全可靠的能源储存系统有助于提高可再生能源的发电量,符合提高可再生能源的比重、稳定电力供应的倡议需求。储能系统还在维护关键基础设施安全方面发挥重要作用。出于对整个电力生态系统的考虑,我们建议构建网络安全边界,严格控制访问人员和信息传输,从而保护网络和通信安全。此外,保障集装箱机柜内的电池和传感器等设备间的通信安全,是提高能源储存管理系统可靠性的必经之路。

    The MGate 系列协议网关为储能系统提供多种协议转换方案。该系列协议网关根据 IEC 62443 标准设计,能在关键现场数据接入 IP 网络时提升设备和连接的安全性。此外,MGate 协议网关搭载便捷易用的配置工具和故障排除工具,让设备部署和维护更轻松简便。

    The EDR-G9010 系列工业级安全路由器助力网络安全,不仅形成边界防线,还能阻止恶意流量或未授权流量的横向(东西向)移动。EDR-G9010 系列具备深层数据包检测功能,可以识别 Modbus TCP/UDP 等工业协议以及 DNP3 流量,加固储能系统和变电站之间的通信安全防线。

责任编辑:杨培
本文来源于互联网,e-works本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供,并以尽力标明作者与出处,如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
读者评论 (0)
请您登录/注册后再评论