Ngày càng có nhiều sự cố an ninh mạng tương tự nhau xảy ra trong các hệ thống OT (Operation Technology), chủ doanh nghiệp và các cơ quan quản lý muốn tìm kiếm các giải pháp tăng cường an ninh mạng công nghiệp đảm bảo các hoạt động của doanh nghiệp diễn ra ổn định. Trong các bài viết trước, chúng tôi đã giới thiệu về khái niệm bảo vệ chuyên sâu cho phép bạn tận dụng cơ sở hạ tầng mạng hiện có và đầu tư để xây dựng các bước đầu tiên trong hệ thống an ninh mạng của bạn. Trong bài viết này, chúng tôi sẽ chia sẻ các phương pháp tốt nhất, mà trong đó chúng tôi đã phối hợp tích cực với các khách hàng toàn cầu của mình, để đảm an toàn cho cơ sở hạ tầng quan trọng của họ – hệ thống lưu trữ năng lượng cho lĩnh vực năng lượng tái tạo.
Khi nói đến năng lượng tái tạo, chúng ta thường nghĩ đến các trang trại năng lượng mặt trời hoặc gió mang lại điện sạch hơn cho người sử dụng. Đây là một sáng kiến tuyệt vời tiếp tục thúc đẩy nền kinh tế toàn cầu trong khi giảm lượng khí thải carbon dioxide. Cả lĩnh vực công và tư nhân đều đang nghiên cứu cùng nhau để hướng tới tương lai lành mạnh này. Tuy nhiên, một trong những bất cập của năng lượng tái tạo là khó khăn trong việc kết nối cung với cầu. Mặt trời không phải lúc nào cũng chiếu sáng khi người tiêu dùng cần điện trong thời gian cao điểm và gió không ngừng thổi trong thời gian thấp điểm. Một trong những cách tốt nhất để ổn định lưới điện và cung cấp nguồn điện ổn định hơn là sử dụng pin có thể lưu trữ năng lượng dư thừa khi nguồn cung cấp cao và có thể xả điện khi nguồn cung cấp thấp.
Một hệ thống lưu trữ năng lượng có thể chuyển đổi năng lượng điện được tạo ra thành một dạng có thể được lưu trữ. Một ví dụ phổ biến về lưu trữ năng lượng trong lĩnh vực năng lượng tái tạo là pin có thể tái sạc. Một ESS (Enenergy Storage System) điển hình trong trang trại gió hoặc năng lượng mặt trời bao gồm hệ thống quản lý năng lượng (EMS- Energy Management System) và bộ điều khiển nhà máy điện để giám sát và kiểm soát hoạt động của ESS trong thời gian thực. Bộ điều khiển nhà máy điện tổng hợp dữ liệu được thu thập từ các hệ thống chuyển đổi điện năng (PCS- Power Converstion System) và hệ thống quản lý pin (BMS- Battery Management System). Tất cả các thiết bị được đặt trong các container thường được triển khai trong môi trường khắc nghiệt như sa mạc hoặc Bắc Cực, nơi các nguồn năng lượng tái tạo như ánh sang mặt trời và gió dồi dào.
Sơ đồ: Kịch bản điển hình của một hệ thống lưu trữ năng lượng
ESS, như đã đề cập trước đó, bao gồm nhiều hệ thống để đảm bảo tính ổn định của toàn bộ quá trình lưu trữ và cung cấp điện. Giao tiếp mạng giữa EMS, PCS và BMS cần được bảo vệ khỏi sự truy cập trái phép và bất kỳ hoạt động không mong muốn nào có thể làm gián đoạn hoạt động. Do đó, chúng tôi khuyên bạn nên xem xét các rủi ro bảo mật tiềm ẩn từ hai khía cạnh. Đầu tiên là ranh giới bảo mật mạng tổng thể: quyền truy cập có được xác thực và ủy quyền không, và các lệnh có được gửi như mong đợi không? Hai là bảo mật giao tiếp ở biên: giao tiếp và truy cập của thiết bị có được bảo vệ an toàn không? Các cơ chế bảo mật này cần được thiết kế khi các container được sản xuất tại các địa điểm sản xuất, cho phép toàn bộ hệ thống được phân phối và kết nối hiệu quả với trang trại và lưới điện.
Để đi sâu hơn vào hai quan điểm này, chúng ta sẽ xem xét các trường hợp điển hình sau đây để hiểu các phương pháp có thể bảo vệ cả cho mạng Ethernet và Nối tiếp (Serial) từ biên đến cấp độ mạng truyền thông.
Để bảo vệ truyền thông thông tin giữa hệ thống năng lượng tái tạo, bộ điều khiển nhà máy điện, hệ thống chuyển đổi điện và hệ thống trạm biến áp, chúng tôi khuyên bạn nên triển khai trạng thái tường lửa với khả năng kiểm tra gói tin chuyên sâu Modbus (DPI-Deep Packet Inspection).
Sơ đồ: Tường lửa và công cụ kiểm tra gói Modbus xây dựng cả bảo vệ dọc và ngang. Cổng giao thức tạo điều kiện giao tiếp ở biên
Vì các trang trại năng lượng mặt trời hoặc gió thường được đặt ở các khu vực xa xôi, việc triển khai giải pháp tường lửa /NAT /VPN /switch tất cả trong một có tính năng dự phòng mạng, có thể giúp các nhà tích hợp hệ thống thiết kế hiệu quả kiến trúc mạng trước khi hệ thống được đưa vào vận hành tại hiện trường. Chức năng NAT cũng có thể giúp quản lý tính nhất quán của địa chỉ IP cho thiết bị trong mỗi container, giảm bớt sự phức tạp phát sinh từ các địa chỉ IP xung đột.
Để truyền thông liên tục và an toàn giữa ESS và trung tâm điều khiển, chúng tôi đề xuất một giải pháp kết nối biên đáng tin cậy được triển khai ở giữa.
Sơ đồ: Tăng cường bảo mật kết nối từ xa ở biên
Để đảm bảo hoạt động trơn tru của ESS, bạn cần chú ý đến một số điều kiện hoạt động. Thông tin như mức pin, độ ổn định nguồn điện và điều kiện môi trường yêu cầu giám sát liên tục từ trung tâm điều khiển. Do đó, một cổng giao thức có các công cụ cấu hình dễ sử dụng có thể giúp các nhà khai thác thu thập dữ liệu từ nhiều loại thiết bị trường nối tiếp(serial-based) và kết hợp nó vào các hệ thống Ethernet (Ethernet-based) một cách trơn tru. Ngoài ra, các cổng giao thức được bảo mật cứng có tính năng bảo mật cùng với hướng dẫn bảo mật cứng (security hardening) từng bước có thể tăng cường bảo mật thiết bị nỗ lực tối thiểu.
Moxa đã giúp khách hàng xây dựng các mạng truyền thông an toàn trên toàn thế giới. Tải xuống các Case study để tìm hiểu thêm thông tin.
Hệ thống lưu trữ năng lượng an toàn và tin cậy (ESS) có thể giúp mở rộng công suất điện của ngành năng lượng tái tạo để đáp ứng vấn đề tăng tỷ trọng năng lượng tái tạo và ổn định cung cấp điện. ESS cũng đóng một vai trò quan trọng để duy trì bảo mật của cơ sở hạ tầng quan trọng. Dựa trên toàn bộ hệ sinh thái điện, chúng tôi khuyên bạn nên bảo mật mạng và thông tin liên lạc bằng cách xác định ranh giới an ninh mạng để xác định ai có thể truy cập mạng và thông tin cách họ có thể xâm nhập vào mạng đó. Ngoài ra, để nâng cao độ tin cậy của hệ thống quản lý và lưu trữ điện, bắt buộc phải đảm bảo tính bảo mật của thông tin liên lạc giữa các thiết bị kết nối pin và cảm biến bên trong các container.
Các dòng sản phẩm chuyển đổi giao thức MGate cung cấp nhiều tùy chọn chuyển đổi giao thức cho các ứng dụng ESS. Các thiết bị chuyển đổi giao thức của Moxa được thiết kế dựa trên tiêu chuẩn IEC 62443 để tăng cường bảo mật thiết bị và kết nối của bạn khi bạn kết nối dữ liệu trường quan trọng với mạng IP. Ngoài ra, các thiết bị chuyển đổi giao thức MGate của có các công cụ khắc phục sự cố và dễ cấu hình, cài đặt, giúp đơn giản hóa việc triển khai thiết bị và giúp bảo trì dễ dàng hơn cho các kỹ sư.
Các bộ định tuyến công nghiệp dòng EDR-G9010 giúp tăng cường an ninh mạng không chỉ hình thành bảo vệ biên mà còn ngăn chặn sự di chuyển ngang của lưu lượng truy cập độc hại hoặc trái phép. Với công cụ kiểm tra gói tin chuyên sâu, dòng router/firewall EDR-G9010 có thể nhận diện các giao thức công nghiệp như Modbus TCP/UDP, DNP3 để bảo vệ truyền thông giữa ESS và trạm biến áp.
Tham khảo bài viết gốc tại: https://www.moxa.com/en/articles/best-practices-enhance-industrial-cybersecurity-engergy-storage-system
cc-phng-php-ti-u-gip-tng-cng-an-ninh-mng-cng-nghip-h-thng-lu-tr-nng-lng-safenergy-i-din-moxa-ti-vit-nam