關(guān)于黑龍江省某光伏電站網(wǎng)絡(luò)異常情況的通報

近日，在黑龍江省光伏專項監(jiān)管座談會上獲悉某光伏電站于1月8日發(fā)生網(wǎng)絡(luò)異常。對此國家能源局東北監(jiān)管局高度重視，立即責(zé)成 黑龍江省電力有限公司調(diào)控中心就相關(guān)情況進行了詳細(xì)匯報。現(xiàn)將主要情況通報如下

2018年1月8日，黑龍江省電力調(diào)控中心一側(cè)網(wǎng)絡(luò)安全管理平臺發(fā)出重要告警。告警來源為安達(dá)某光伏電站。告警數(shù)量從8時起持續(xù)累積，至16時達(dá)到32條，共計告警28933條次。(后附 黑龍江省電力有限公司關(guān)于某光伏電站網(wǎng)絡(luò)異常情況的分析)。

要求黑龍江省有關(guān)電力企業(yè)要深刻吸取此類問題的教訓(xùn)，舉一反三，分析網(wǎng)絡(luò)管理漏洞，加強日常管理和檢查，防范系統(tǒng)漏洞，努力營造一個安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境。發(fā)生網(wǎng)絡(luò)安全事件要及時上報國家能源局東北監(jiān)管局。

國家能源局東北監(jiān)管局

2018年8月2日

附件關(guān)于黑龍江省電某光伏電站網(wǎng)絡(luò)異常情況的分析

1.事件描述

2018年1月，黑龍江某光伏電站發(fā)生網(wǎng)絡(luò)安全事件，該光伏電站積極配合省調(diào)技術(shù)監(jiān)督工作，使得此次網(wǎng)絡(luò)安全事件得到快速有效處理。具體事件過程描述如下。

2018年1月8日，省調(diào)側(cè)網(wǎng)絡(luò)安全管理平臺發(fā)出重要告警。告警來源為某光伏電站。告警數(shù)量從8時起持續(xù)累積，至16時達(dá)到32條，共計告警28933條次。某光伏電站位于大慶。于2017年6月26日投入運行，總裝機容量40MW，由110kV接入大慶中本站，為省調(diào)直調(diào)電廠。其涉網(wǎng)業(yè)務(wù)系統(tǒng)子站通過省調(diào)度數(shù)據(jù)網(wǎng)與省調(diào)側(cè)主站相連，數(shù)據(jù)經(jīng)大慶節(jié)點接入省調(diào)。省調(diào)立即開展告警匯總分析，梳理該電廠32條(28933條次)告警信息，總結(jié)出四種告警類型，總涉及三套電力生產(chǎn)業(yè)務(wù)系統(tǒng)。

(1)四種告警類型

NetBIOS(網(wǎng)絡(luò)基本輸入/輸出協(xié)議)服務(wù)告警該服務(wù)用于共享發(fā)布計算機關(guān)鍵資源信息，可導(dǎo)致業(yè)務(wù)主機信息對外泄露。

DNS(域名系統(tǒng))解析服務(wù)告警該服務(wù)用于互聯(lián)網(wǎng)域名與IP地址轉(zhuǎn)換，可導(dǎo)致外部主機以IP欺騙方式，冒充域名服務(wù)器，非法侵入生產(chǎn)控制大區(qū)。

互聯(lián)網(wǎng)網(wǎng)頁瀏覽服務(wù)告警該服務(wù)用于瀏覽外部互聯(lián)網(wǎng)網(wǎng)頁，表明建立了與外部互聯(lián)網(wǎng)的連接，是違規(guī)外聯(lián)情況下的典型告警。

NetBus木馬病毒該木馬常用于竊取文件、遠(yuǎn)程控制計算機?？蓪?dǎo)致業(yè)務(wù)主機數(shù)據(jù)泄漏，并被遠(yuǎn)程控制。

(2)三套電力生產(chǎn)業(yè)務(wù)系統(tǒng)

自動發(fā)電控制業(yè)務(wù)系統(tǒng)該系統(tǒng)接收調(diào)度控制指令，自動調(diào)節(jié)發(fā)電機功率。

光功率預(yù)測系統(tǒng)該系統(tǒng)用于預(yù)測光伏電站發(fā)電量，采集現(xiàn)場一次系統(tǒng)運行信息，并將信息轉(zhuǎn)發(fā)給省調(diào)。

調(diào)度計劃工作站該系統(tǒng)用于接收省調(diào)下發(fā)的發(fā)電計劃。

具體業(yè)務(wù)系統(tǒng)告警分析如下表所示。

2.原因分析

省調(diào)所接收告警為該光伏電站現(xiàn)場配置的縱向加密認(rèn)證裝置報出，該裝置為省調(diào)控系統(tǒng)主站的第一道防線，其在阻斷非法網(wǎng)絡(luò)行為的同時向省調(diào)安全管理平臺發(fā)出告警。省調(diào)根據(jù)告警級別(緊急、重要和一般)分別采取應(yīng)對措施。對于緊急告警采取立即斷網(wǎng)措施，對于重要和一般告警采取立即通知、限期整改、跟蹤監(jiān)視等措施。此次某光伏電站告警級別為"重要"，因此省調(diào)立即通知現(xiàn)場，并前往現(xiàn)場開展技術(shù)監(jiān)督工作。

到達(dá)現(xiàn)場后，按照調(diào)度數(shù)據(jù)網(wǎng)屏柜所連接業(yè)務(wù)的順序，依次查找連接關(guān)系，梳理網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查明告警原因為電廠未采取嚴(yán)格管控措施，廠家人員調(diào)試后未按要求拆除測試連接網(wǎng)線，導(dǎo)致存在業(yè)務(wù)主機違規(guī)外連、跨區(qū)互連問題。具體問題如下圖所示。

圖1某光伏電站現(xiàn)場實際網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

如上圖所示，存在問題為

(1)功率預(yù)測交換機違規(guī)連接外網(wǎng)，導(dǎo)致整個生產(chǎn)控制大區(qū)業(yè)務(wù)主機全部與外網(wǎng)互聯(lián)。

(2)控制區(qū)與非控制區(qū)業(yè)務(wù)主機違規(guī)跨區(qū)互聯(lián)。

(3)安全防護設(shè)備未正確部署在網(wǎng)絡(luò)邊界上。

(4)主機設(shè)備未安裝安全防護軟件，感染木馬病毒。

通過現(xiàn)場實際勘驗及網(wǎng)絡(luò)結(jié)構(gòu)分析得出一是現(xiàn)場業(yè)務(wù)主機未進行安全加固，未按要求停用相關(guān)系統(tǒng)服務(wù)，存在危險漏洞;二是現(xiàn)場未嚴(yán)格落實“安全分區(qū)，橫向隔離”原則，不同安全區(qū)的業(yè)務(wù)主機網(wǎng)絡(luò)交叉混連，網(wǎng)絡(luò)結(jié)構(gòu)無安全分區(qū)概念，無明顯網(wǎng)絡(luò)邊界，導(dǎo)致安全防護設(shè)備形同虛設(shè);三是現(xiàn)場缺乏相應(yīng)技術(shù)人員，且對外來調(diào)試人員管控不到位，未執(zhí)行電力安全工作規(guī)程的“工作票制度”。

3、整改措施

現(xiàn)場提出整改措施，要求其立即斷開控制區(qū)與非控制區(qū)業(yè)務(wù)主機的違規(guī)連接;立即斷開業(yè)務(wù)主機與外部網(wǎng)絡(luò)的連接;將網(wǎng)絡(luò)安防設(shè)備正確部署在網(wǎng)絡(luò)邊界上。具體采取的技術(shù)解決措施為

(1)立即斷開所有連接外網(wǎng)的網(wǎng)線。

(2)立即斷開AGC與光功率預(yù)測交換機的連接網(wǎng)線，關(guān)閉NetBIOS功能。

(3)立即斷開氣象服務(wù)器與光功率預(yù)測交換機的連接網(wǎng)線，關(guān)閉NetBIOS功能。

(4)立即對調(diào)度計劃工作站進行病毒查殺，關(guān)閉DNS、NetBIOS功能及遠(yuǎn)程管理功能。

(5)立即斷開AGC交換機與工控服務(wù)器及光功率預(yù)測交換機的連接網(wǎng)線。

(6)立即斷開光功率預(yù)測交換機與工控服務(wù)及其他違規(guī)連接網(wǎng)線。

整改后，網(wǎng)絡(luò)結(jié)構(gòu)清晰，邊界防護落實到位。告警全部消失，網(wǎng)絡(luò)安全隱患得到有效抑制。

4.暴露問題及下一步工作措施

并網(wǎng)發(fā)電廠是電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)。通過并網(wǎng)電廠電力監(jiān)控系統(tǒng)安全防護技術(shù)監(jiān)督，發(fā)現(xiàn)部分并網(wǎng)電廠網(wǎng)絡(luò)安全意識淡薄，缺乏相應(yīng)技術(shù)人員，對有關(guān)規(guī)定掌握不充分，存在安全防護要求落實不到位、跨安全區(qū)互聯(lián)、網(wǎng)絡(luò)延伸及違規(guī)外聯(lián)等情況。

新能源廠站安全防護問題尤其突出，光伏等分布式電源的網(wǎng)絡(luò)安全風(fēng)險較大，可能造成網(wǎng)絡(luò)安全風(fēng)險從電廠向電網(wǎng)蔓延的后果。針對目前所暴露的問題，省調(diào)結(jié)合自身情況開展如下相應(yīng)工作

一是常態(tài)化開展網(wǎng)絡(luò)安全技術(shù)監(jiān)督管理并將工作關(guān)口前移，在新建電廠投產(chǎn)前涉網(wǎng)認(rèn)證時即開展監(jiān)督工作。通過網(wǎng)絡(luò)安全管理平臺等技術(shù)手段，加強對并網(wǎng)電廠電力監(jiān)控系統(tǒng)安全防護考核，依據(jù)并網(wǎng)調(diào)度協(xié)議，對并網(wǎng)電廠的違規(guī)行為進行警告甚至解網(wǎng)。

二是加強新版《電力安全工作規(guī)程》的學(xué)習(xí)，掌握新版安規(guī)中新增和修改的內(nèi)容，常態(tài)化開展新版《電力安全工作規(guī)程》的培訓(xùn)考試工作，增強廠、網(wǎng)系統(tǒng)人員的網(wǎng)絡(luò)安全防護意識。

三是依據(jù)國家電網(wǎng)安質(zhì)〔2018〕396號《電力安全工作規(guī)程(電力監(jiān)控部分)》制定對電廠涉網(wǎng)安全管理要求，執(zhí)行網(wǎng)絡(luò)安全工作票制度，由外來施工人員開展的涉及電網(wǎng)網(wǎng)絡(luò)安全的工作需由電廠相關(guān)責(zé)任人監(jiān)護執(zhí)行。