近日，在黑龍江省光伏專項(xiàng)監(jiān)管座談會(huì)上獲悉某光伏電站于1月8日發(fā)生網(wǎng)絡(luò)異常。對(duì)此國(guó)家能源局東北監(jiān)管局高度重視，立即責(zé)成 黑龍江省電力有限公司調(diào)控中心就相關(guān)情況進(jìn)行了詳細(xì)匯報(bào)。現(xiàn)將主要情況通報(bào)如下：

2018年1月8日，黑龍江省電力調(diào)控中心一側(cè)網(wǎng)絡(luò)安全管理平臺(tái)發(fā)出重要告警。告警來(lái)源為安達(dá)某光伏電站。告警數(shù)量從8時(shí)起持續(xù)累積，至16時(shí)達(dá)到32條，共計(jì)告警28933條次。(后附 黑龍江省電力有限公司關(guān)于某光伏電站網(wǎng)絡(luò)異常情況的分析)。

要求黑龍江省有關(guān)電力企業(yè)要深刻吸取此類問(wèn)題的教訓(xùn)，舉一反三，分析網(wǎng)絡(luò)管理漏洞，加強(qiáng)日常管理和檢查，防范系統(tǒng)漏洞，努力營(yíng)造一個(gè)安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境。發(fā)生網(wǎng)絡(luò)安全事件要及時(shí)上報(bào)國(guó)家能源局東北監(jiān)管局。

國(guó)家能源局東北監(jiān)管局

2018年8月2日

附件：關(guān)于黑龍江省電某光伏電站網(wǎng)絡(luò)異常情況的分析

1.事件描述

2018年1月，黑龍江某光伏電站發(fā)生網(wǎng)絡(luò)安全事件，該光伏電站積極配合省調(diào)技術(shù)監(jiān)督工作，使得此次網(wǎng)絡(luò)安全事件得到快速有效處理。具體事件過(guò)程描述如下。

2018年1月8日，省調(diào)側(cè)網(wǎng)絡(luò)安全管理平臺(tái)發(fā)出重要告警。告警來(lái)源為某光伏電站。告警數(shù)量從8時(shí)起持續(xù)累積，至16時(shí)達(dá)到32條，共計(jì)告警28933條次。某光伏電站位于大慶。于2017年6月26日投入運(yùn)行，總裝機(jī)容量40MW，由110kV接入大慶中本站，為省調(diào)直調(diào)電廠。其涉網(wǎng)業(yè)務(wù)系統(tǒng)子站通過(guò)省調(diào)度數(shù)據(jù)網(wǎng)與省調(diào)側(cè)主站相連，數(shù)據(jù)經(jīng)大慶節(jié)點(diǎn)接入省調(diào)。省調(diào)立即開(kāi)展告警匯總分析，梳理該電廠32條(28933條次)告警信息，總結(jié)出四種告警類型，總涉及三套電力生產(chǎn)業(yè)務(wù)系統(tǒng)。

(1)四種告警類型

NetBIOS(網(wǎng)絡(luò)基本輸入/輸出協(xié)議)服務(wù)告警：該服務(wù)用于共享發(fā)布計(jì)算機(jī)關(guān)鍵資源信息，可導(dǎo)致業(yè)務(wù)主機(jī)信息對(duì)外泄露。

DNS(域名系統(tǒng))解析服務(wù)告警：該服務(wù)用于互聯(lián)網(wǎng)域名與IP地址轉(zhuǎn)換，可導(dǎo)致外部主機(jī)以IP欺騙方式，冒充域名服務(wù)器，非法侵入生產(chǎn)控制大區(qū)。

互聯(lián)網(wǎng)網(wǎng)頁(yè)瀏覽服務(wù)告警：該服務(wù)用于瀏覽外部互聯(lián)網(wǎng)網(wǎng)頁(yè)，表明建立了與外部互聯(lián)網(wǎng)的連接，是違規(guī)外聯(lián)情況下的典型告警。

NetBus木馬病毒：該木馬常用于竊取文件、遠(yuǎn)程控制計(jì)算機(jī)。可導(dǎo)致業(yè)務(wù)主機(jī)數(shù)據(jù)泄漏，并被遠(yuǎn)程控制。

(2)三套電力生產(chǎn)業(yè)務(wù)系統(tǒng)

自動(dòng)發(fā)電控制業(yè)務(wù)系統(tǒng)：該系統(tǒng)接收調(diào)度控制指令，自動(dòng)調(diào)節(jié)發(fā)電機(jī)功率。

光功率預(yù)測(cè)系統(tǒng)：該系統(tǒng)用于預(yù)測(cè)光伏電站發(fā)電量，采集現(xiàn)場(chǎng)一次系統(tǒng)運(yùn)行信息，并將信息轉(zhuǎn)發(fā)給省調(diào)。

調(diào)度計(jì)劃工作站：該系統(tǒng)用于接收省調(diào)下發(fā)的發(fā)電計(jì)劃。

具體業(yè)務(wù)系統(tǒng)告警分析如下表所示。

2.原因分析

省調(diào)所接收告警為該光伏電站現(xiàn)場(chǎng)配置的縱向加密認(rèn)證裝置報(bào)出，該裝置為省調(diào)控系統(tǒng)主站的第一道防線，其在阻斷非法網(wǎng)絡(luò)行為的同時(shí)向省調(diào)安全管理平臺(tái)發(fā)出告警。省調(diào)根據(jù)告警級(jí)別(緊急、重要和一般)分別采取應(yīng)對(duì)措施。對(duì)于緊急告警采取立即斷網(wǎng)措施，對(duì)于重要和一般告警采取立即通知、限期整改、跟蹤監(jiān)視等措施。此次某光伏電站告警級(jí)別為"重要"，因此省調(diào)立即通知現(xiàn)場(chǎng)，并前往現(xiàn)場(chǎng)開(kāi)展技術(shù)監(jiān)督工作。

到達(dá)現(xiàn)場(chǎng)后，按照調(diào)度數(shù)據(jù)網(wǎng)屏柜所連接業(yè)務(wù)的順序，依次查找連接關(guān)系，梳理網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，查明告警原因?yàn)椋弘姀S未采取嚴(yán)格管控措施，廠家人員調(diào)試后未按要求拆除測(cè)試連接網(wǎng)線，導(dǎo)致存在業(yè)務(wù)主機(jī)違規(guī)外連、跨區(qū)互連問(wèn)題。具體問(wèn)題如下圖所示。

圖1某光伏電站現(xiàn)場(chǎng)實(shí)際網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

如上圖所示，存在問(wèn)題為：

(1)功率預(yù)測(cè)交換機(jī)違規(guī)連接外網(wǎng)，導(dǎo)致整個(gè)生產(chǎn)控制大區(qū)業(yè)務(wù)主機(jī)全部與外網(wǎng)互聯(lián)。

(2)控制區(qū)與非控制區(qū)業(yè)務(wù)主機(jī)違規(guī)跨區(qū)互聯(lián)。

(3)安全防護(hù)設(shè)備未正確部署在網(wǎng)絡(luò)邊界上。

(4)主機(jī)設(shè)備未安裝安全防護(hù)軟件，感染木馬病毒。

通過(guò)現(xiàn)場(chǎng)實(shí)際勘驗(yàn)及網(wǎng)絡(luò)結(jié)構(gòu)分析得出：一是現(xiàn)場(chǎng)業(yè)務(wù)主機(jī)未進(jìn)行安全加固，未按要求停用相關(guān)系統(tǒng)服務(wù)，存在危險(xiǎn)漏洞;二是現(xiàn)場(chǎng)未嚴(yán)格落實(shí)“安全分區(qū)，橫向隔離”原則，不同安全區(qū)的業(yè)務(wù)主機(jī)網(wǎng)絡(luò)交叉混連，網(wǎng)絡(luò)結(jié)構(gòu)無(wú)安全分區(qū)概念，無(wú)明顯網(wǎng)絡(luò)邊界，導(dǎo)致安全防護(hù)設(shè)備形同虛設(shè);三是現(xiàn)場(chǎng)缺乏相應(yīng)技術(shù)人員，且對(duì)外來(lái)調(diào)試人員管控不到位，未執(zhí)行電力安全工作規(guī)程的“工作票制度”。

3、整改措施

現(xiàn)場(chǎng)提出整改措施，要求其立即斷開(kāi)控制區(qū)與非控制區(qū)業(yè)務(wù)主機(jī)的違規(guī)連接;立即斷開(kāi)業(yè)務(wù)主機(jī)與外部網(wǎng)絡(luò)的連接;將網(wǎng)絡(luò)安防設(shè)備正確部署在網(wǎng)絡(luò)邊界上。具體采取的技術(shù)解決措施為：

(1)立即斷開(kāi)所有連接外網(wǎng)的網(wǎng)線。

(2)立即斷開(kāi)AGC與光功率預(yù)測(cè)交換機(jī)的連接網(wǎng)線，關(guān)閉NetBIOS功能。

(3)立即斷開(kāi)氣象服務(wù)器與光功率預(yù)測(cè)交換機(jī)的連接網(wǎng)線，關(guān)閉NetBIOS功能。

(4)立即對(duì)調(diào)度計(jì)劃工作站進(jìn)行病毒查殺，關(guān)閉DNS、NetBIOS功能及遠(yuǎn)程管理功能。

(5)立即斷開(kāi)AGC交換機(jī)與工控服務(wù)器及光功率預(yù)測(cè)交換機(jī)的連接網(wǎng)線。

(6)立即斷開(kāi)光功率預(yù)測(cè)交換機(jī)與工控服務(wù)及其他違規(guī)連接網(wǎng)線。

整改后，網(wǎng)絡(luò)結(jié)構(gòu)清晰，邊界防護(hù)落實(shí)到位。告警全部消失，網(wǎng)絡(luò)安全隱患得到有效抑制。

4.暴露問(wèn)題及下一步工作措施

并網(wǎng)發(fā)電廠是電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)。通過(guò)并網(wǎng)電廠電力監(jiān)控系統(tǒng)安全防護(hù)技術(shù)監(jiān)督，發(fā)現(xiàn)部分并網(wǎng)電廠網(wǎng)絡(luò)安全意識(shí)淡薄，缺乏相應(yīng)技術(shù)人員，對(duì)有關(guān)規(guī)定掌握不充分，存在安全防護(hù)要求落實(shí)不到位、跨安全區(qū)互聯(lián)、網(wǎng)絡(luò)延伸及違規(guī)外聯(lián)等情況。

新能源廠站安全防護(hù)問(wèn)題尤其突出，光伏等分布式電源的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)較大，可能造成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)從電廠向電網(wǎng)蔓延的后果。針對(duì)目前所暴露的問(wèn)題，省調(diào)結(jié)合自身情況開(kāi)展如下相應(yīng)工作：

一是常態(tài)化開(kāi)展網(wǎng)絡(luò)安全技術(shù)監(jiān)督管理并將工作關(guān)口前移，在新建電廠投產(chǎn)前涉網(wǎng)認(rèn)證時(shí)即開(kāi)展監(jiān)督工作。通過(guò)網(wǎng)絡(luò)安全管理平臺(tái)等技術(shù)手段，加強(qiáng)對(duì)并網(wǎng)電廠電力監(jiān)控系統(tǒng)安全防護(hù)考核，依據(jù)并網(wǎng)調(diào)度協(xié)議，對(duì)并網(wǎng)電廠的違規(guī)行為進(jìn)行警告甚至解網(wǎng)。

二是加強(qiáng)新版《電力安全工作規(guī)程》的學(xué)習(xí)，掌握新版安規(guī)中新增和修改的內(nèi)容，常態(tài)化開(kāi)展新版《電力安全工作規(guī)程》的培訓(xùn)考試工作，增強(qiáng)廠、網(wǎng)系統(tǒng)人員的網(wǎng)絡(luò)安全防護(hù)意識(shí)。

三是依據(jù)國(guó)家電網(wǎng)安質(zhì)〔2018〕396號(hào)《電力安全工作規(guī)程(電力監(jiān)控部分)》制定對(duì)電廠涉網(wǎng)安全管理要求，執(zhí)行網(wǎng)絡(luò)安全工作票制度，由外來(lái)施工人員開(kāi)展的涉及電網(wǎng)網(wǎng)絡(luò)安全的工作需由電廠相關(guān)責(zé)任人監(jiān)護(hù)執(zhí)行。