近日，在黑龍江省光伏專項監管座談會上獲悉某光伏電站于1月8日發生網絡異常。對此國家能源局東北監管局高度重視，立即責成 黑龍江省電力有限公司調控中心就相關情況進行了詳細匯報。現將主要情況通報如下：

2018年1月8日，黑龍江省電力調控中心一側網絡安全管理平臺發出重要告警。告警來源為安達某光伏電站。告警數量從8時起持續累積，至16時達到32條，共計告警28933條次。(后附 黑龍江省電力有限公司關于某光伏電站網絡異常情況的分析)。

要求黑龍江省有關電力企業要深刻吸取此類問題的教訓，舉一反三，分析網絡管理漏洞，加強日常管理和檢查，防范系統漏洞，努力營造一個安全穩定的網絡環境。發生網絡安全事件要及時上報國家能源局東北監管局。

國家能源局東北監管局

2018年8月2日

附件：關于黑龍江省電某光伏電站網絡異常情況的分析

1.事件描述

2018年1月，黑龍江某光伏電站發生網絡安全事件，該光伏電站積極配合省調技術監督工作，使得此次網絡安全事件得到快速有效處理。具體事件過程描述如下。

2018年1月8日，省調側網絡安全管理平臺發出重要告警。告警來源為某光伏電站。告警數量從8時起持續累積，至16時達到32條，共計告警28933條次。某光伏電站位于大慶。于2017年6月26日投入運行，總裝機容量40MW，由110kV接入大慶中本站，為省調直調電廠。其涉網業務系統子站通過省調度數據網與省調側主站相連，數據經大慶節點接入省調。省調立即開展告警匯總分析，梳理該電廠32條(28933條次)告警信息，總結出四種告警類型，總涉及三套電力生產業務系統。

(1)四種告警類型

NetBIOS(網絡基本輸入/輸出協議)服務告警：該服務用于共享發布計算機關鍵資源信息，可導致業務主機信息對外泄露。

DNS(域名系統)解析服務告警：該服務用于互聯網域名與IP地址轉換，可導致外部主機以IP欺騙方式，冒充域名服務器，非法侵入生產控制大區。

互聯網網頁瀏覽服務告警：該服務用于瀏覽外部互聯網網頁，表明建立了與外部互聯網的連接，是違規外聯情況下的典型告警。

NetBus木馬病毒：該木馬常用于竊取文件、遠程控制計算機。可導致業務主機數據泄漏，并被遠程控制。

(2)三套電力生產業務系統

自動發電控制業務系統：該系統接收調度控制指令，自動調節發電機功率。

光功率預測系統：該系統用于預測光伏電站發電量，采集現場一次系統運行信息，并將信息轉發給省調。

調度計劃工作站：該系統用于接收省調下發的發電計劃。

具體業務系統告警分析如下表所示。

2.原因分析

省調所接收告警為該光伏電站現場配置的縱向加密認證裝置報出，該裝置為省調控系統主站的第一道防線，其在阻斷非法網絡行為的同時向省調安全管理平臺發出告警。省調根據告警級別(緊急、重要和一般)分別采取應對措施。對于緊急告警采取立即斷網措施，對于重要和一般告警采取立即通知、限期整改、跟蹤監視等措施。此次某光伏電站告警級別為"重要"，因此省調立即通知現場，并前往現場開展技術監督工作。

到達現場后，按照調度數據網屏柜所連接業務的順序，依次查找連接關系，梳理網絡拓撲結構，查明告警原因為：電廠未采取嚴格管控措施，廠家人員調試后未按要求拆除測試連接網線，導致存在業務主機違規外連、跨區互連問題。具體問題如下圖所示。

圖1某光伏電站現場實際網絡拓撲結構

如上圖所示，存在問題為：

(1)功率預測交換機違規連接外網，導致整個生產控制大區業務主機全部與外網互聯。

(2)控制區與非控制區業務主機違規跨區互聯。

(3)安全防護設備未正確部署在網絡邊界上。

(4)主機設備未安裝安全防護軟件，感染木馬病毒。

通過現場實際勘驗及網絡結構分析得出：一是現場業務主機未進行安全加固，未按要求停用相關系統服務，存在危險漏洞;二是現場未嚴格落實“安全分區，橫向隔離”原則，不同安全區的業務主機網絡交叉混連，網絡結構無安全分區概念，無明顯網絡邊界，導致安全防護設備形同虛設;三是現場缺乏相應技術人員，且對外來調試人員管控不到位，未執行電力安全工作規程的“工作票制度”。

3、整改措施

現場提出整改措施，要求其立即斷開控制區與非控制區業務主機的違規連接;立即斷開業務主機與外部網絡的連接;將網絡安防設備正確部署在網絡邊界上。具體采取的技術解決措施為：

(1)立即斷開所有連接外網的網線。

(2)立即斷開AGC與光功率預測交換機的連接網線，關閉NetBIOS功能。

(3)立即斷開氣象服務器與光功率預測交換機的連接網線，關閉NetBIOS功能。

(4)立即對調度計劃工作站進行病毒查殺，關閉DNS、NetBIOS功能及遠程管理功能。

(5)立即斷開AGC交換機與工控服務器及光功率預測交換機的連接網線。

(6)立即斷開光功率預測交換機與工控服務及其他違規連接網線。

整改后，網絡結構清晰，邊界防護落實到位。告警全部消失，網絡安全隱患得到有效抑制。

4.暴露問題及下一步工作措施

并網發電廠是電力監控系統網絡安全的薄弱環節。通過并網電廠電力監控系統安全防護技術監督，發現部分并網電廠網絡安全意識淡薄，缺乏相應技術人員，對有關規定掌握不充分，存在安全防護要求落實不到位、跨安全區互聯、網絡延伸及違規外聯等情況。

新能源廠站安全防護問題尤其突出，光伏等分布式電源的網絡安全風險較大，可能造成網絡安全風險從電廠向電網蔓延的后果。針對目前所暴露的問題，省調結合自身情況開展如下相應工作：

一是常態化開展網絡安全技術監督管理并將工作關口前移，在新建電廠投產前涉網認證時即開展監督工作。通過網絡安全管理平臺等技術手段，加強對并網電廠電力監控系統安全防護考核，依據并網調度協議，對并網電廠的違規行為進行警告甚至解網。

二是加強新版《電力安全工作規程》的學習，掌握新版安規中新增和修改的內容，常態化開展新版《電力安全工作規程》的培訓考試工作，增強廠、網系統人員的網絡安全防護意識。

三是依據國家電網安質〔2018〕396號《電力安全工作規程(電力監控部分)》制定對電廠涉網安全管理要求，執行網絡安全工作票制度，由外來施工人員開展的涉及電網網絡安全的工作需由電廠相關責任人監護執行。