增强工业网络安全的最佳实践——能量存储系统
日期:2021-12-15
随着OT系统中发生越来越多的类似网络安全事件,企业所有者和监管机构渴望寻求增强工业网络安全的解决方案
作者:Alvis Chen,全球营销项目经理,Moxa
在本文中,我们将分享保护关键基础设施的最佳实践:可再生能源部门的储能系统。
谈到可再生能源,我们经常想到太阳能或风力发电厂,它们为全球公民带来了更清洁的电力。这是一项伟大的倡议,它在减少二氧化碳排放的同时不断推动全球经济。公共和私营部门都在共同努力,朝着更健康的未来迈进。然而,可再生能源的缺点之一是供需难以匹配。当社区在高峰时段需要电力时,太阳并不总是照耀,而在非高峰时段,风也不会停止吹拂。稳定电网和提供更稳定电源的最佳方法之一是使用电池,当电源高时,电池可以存储剩余电源,当电源低时,电池可以放电。
储能系统的安全挑战
首先,我们需要回答“什么是能量存储系统(ESS)?”
储能系统可以将产生的电能转换为可储存的形式。可再生能源领域中储能的一个常见例子是可充电电池。风能或太阳能发电场中的典型ESS由能源管理系统(EMS)组成,发电厂控制器实时监控ESS的运行。发电厂控制器汇总从电源转换系统(PCS)和电池管理系统(BMS)收集的数据。所有设备都放置在通常部署在恶劣环境中的容器中,如沙漠或北极,那里有大量的可再生能源,如太阳和风能。
例如,让我们看看美国的一家储能系统供应商,该供应商受委托为太阳能行业的一个关键客户建造了一个40兆瓦时的储能系统。储能系统供应商将系统连接到网络,以便从每个电池系统收集和监控数据,如充电和放电电流值以及每个电池的温度。对这些数据的分析有助于找到改进电池充电和放电算法的方法,这有助于客户高效地管理能源,并确保电池的较长生命周期。由于能够读取每个电池的温度,他们将知道何时打开或关闭继电器,继电器连接或断开电池,使充电或放电更有效,因为不同温度下电池的充电和放电能力不同。协议网关按照IEC 62443标准设计,因此在将关键现场数据连接到IP网络时,可增强设备和连接安全性。此外,工业安全路由器被用来帮助加强网络安全,不仅形成周界保护,而且还防止恶意或未经授权的流量横向(东西)移动。
图1:能量存储系统的典型场景
安全挑战
如前所述,ESS包括多个系统,以确保整个电力存储和供应过程的稳定性。需要保护EMS、PC和BMS之间的网络通信,防止未经授权的访问和任何可能中断操作的不必要活动。因此,我们建议从两个角度考虑潜在的安全风险。第一个是整个网络安全边界:访问是否经过身份验证和授权,命令是否按预期发送?另一个是边缘的通信安全:设备的通信和访问是否得到安全保护?当容器在生产现场生产时,需要设计这些安全机制,使整个系统能够高效地交付并连接到电场和电网。
保护储能系统的最佳实践
为了深入了解这两个方面,我们将查看以下案例研究,以了解可以从边缘到网络级别保护以太网和基于串行网络的实践。
1.建立垂直和水平的安全边界
为了保护可再生能源系统、发电厂控制器、电力转换系统和变电站系统之间的通信,我们建议部署状态防火墙,并在两者之间安装Modbus深度数据包检查(DPI)。
- 垂直保护:防火墙作为保护系统间通信的守门人发挥着重要作用。
- 水平保护:Modbus深度数据包检查引擎可检查通过的命令,并丢弃未授权或未列出的数据包。
由于太阳能或风力发电场通常位于偏远地区,部署具有网络冗余功能的一体式防火墙/NAT/VPN/交换机解决方案可以帮助系统集成商在现场调试系统之前有效地设计网络架构。NAT功能还可以帮助管理每个容器中设备的IP地址的一致性,减少因IP地址冲突而产生的麻烦。
图2:防火墙和Modbus深度数据包检查引擎构建垂直和水平保护。协议网关有助于在边缘进行通信。
2.增强锂离子ESS的远程连接安全性
为了在ESS和控制中心之间开发无缝和安全的通信,我们建议在两者之间部署可靠的边缘连接解决方案。
- 促进边缘通信:在Modbus串行电池和基于以太网的RTU之间部署协议网关,以确保无缝通信。
- 确保通信安全:利用HTTPS、SNMPv3管理和可访问IP地址等安全功能,确保设备的通信和访问受到安全保护,降低风险,提高远程通信的可靠性。
图3:增强边缘的远程连接安全性
结论
安全可靠的储能系统有助于扩大可再生能源部门的电力容量,以应对增加可再生能源份额和稳定电力供应的举措。ESS在维护关键基础设施的安全方面也发挥着重要作用。鉴于整个电力生态系统,我们建议通过定义网络安全边界来确保网络和通信的安全,以确定谁可以访问网络以及他们可以通过网络传递哪些信息。此外,为了提高电力存储和管理系统的可靠性,必须确保连接容器内电池和传感器的设备之间通信的安全性。
www.moxa.com
推荐行业新闻更多
