关于宁夏九彩某风电场网络安全防护问题的通报

 2018年3月28日11时45分，宁夏电力调度控制中心内网安全监视平台出现大量告警，且告警数量在急剧增加。经分析确认，告警信息为九彩某风电场省调接入网非实时纵向加密认证装置拦截的不符合安全策略的非法访问，发出非法访问的源地址为站内风功率预测服务器，观察一段时间后发现告警数量在不断增加并无减少迹象。宁夏电力调度控制中心按照网络安全防护应急处置措施，要求现场立即断开风功率预测服务器与调度数据网及站内电力监控监控系统的全部物理连接，告警信息消失。从11时45分到14时51分断网，平台共收到告警信息数量为326554条。

事件发生后，宁夏电力调度控制中心派技术人员现场调查，发现该站生产控制大区功率预测服务器主备机全部绕过横向单向隔离装置跨区互联，且运维厂家从互联网+连接到气象服务器对功率预测服务器进行远程运维，互联网入口防火墙，安全I区和安全II区之间防火墙策略没有进行最小化配置，操作系统未加固，网络接线混乱，拓扑结构没有按照分层分区要求进行部署。对气象服务器、功率预测服务器主备机系统日志进行分析，导致本次网络安全事件的原因为厂家对功率预测服务器进行远程运维，开启了文件共享等功能。该站长期将电力监控系统生产控制大区裸露于公网，给电网安全运行带来极大安全隐患，暴露出其运维单位对电力监控系统安全防护重要性认识不足，对当前国家网络安全形势认识不清，对网络攻击产生的巨大破坏存在侥幸心理等诸多问题。相关通报如下：

1.安全防护管理不到位

未严格按照《中华人民共和国网络安全法》履行相关职责，未按照国家发改委《电力监控系统安全防护规定》和国家能源局《电力监控系统安全防护总体方案和评估规范》落实安全防护措施，对近几年安全防护技术监督核查出来的问题未完成整改，未落实上级调度机构网络安全防护相关要求，安全意识淡薄，安全管理流于形式。

2.安全防护实施方案未落实

现场电力监控系统安全防护实施方案虽然通过了调度审核，但现场并没有按照方案落实安全防护措施。在2017年开展的电力监控系统安全防护现场技术监督“回头看”检查后，无视新设备接入管理要求，擅自更改现场网络连接，变更网络结构，且变更前没有及时向调度机构备案，变更后没有进行现场验收和安全评估，导致发生跨区互连、违规外联等严重安全隐患。

3.边界防护措施未落实

未按照“安全分区、横向隔离”基本原则落实安全防护措施，场站内各业务系统分区混乱，生产控制大区与管理信息大区之间的横向单向隔离装置被人为旁路。整改措施落实不到位，表现在防火墙安全策略未配置或配置不规范，各业务系统IP地址划分在同一网段进行直连互通，不同分区之间的横向隔离和访问控制措施形同虚设。

4.运维风险管控水平薄弱

站内运维人员专业技能欠缺，对本站网络结构、设备运行等情况不熟悉；系统建设和日常运维过度依赖厂商，放任技术支撑厂家长期进行远程运维，退役设备拆除不彻底，账户管理不规范，恶意代码防范、入侵检测、安全审计、安全加固等措施未落实，服务器、工作站、网络设备空闲端口未关闭。

为进一步加强电力监控系统安全防护现场管理，要求各单位对运维的电力监控系统进行自查自纠，重点核查安全防护实施方案中的安全措施落实情况，杜绝任何形式的跨区互联、违规外联、远程运维等安全体系方面的隐患，确保安全防护满足国家和行业要求。九彩某风电场即日起立即开展以下工作：

1.九彩某风电场立即断开远程集控中心的数据网络连接，取消九彩风电场电力监控系统安全防护涉网人员备案资格，重新参加培训考试。

2. 按照本次暴露出的问题进行认真分析梳理，查找网络安全管理中存在的问题，健全管理制度，完善工作体系，落实人员责任，强化日常运维安全管控，有针对性制定保证网络安全的措施，确保类似事件不再发生。

3．对自己公司所辖全部厂站开展网络安全防护自查工作，针对本次暴露的问题“举一反三”，对照近两年调控机构的规定及要求、现场检查整改通知单、等级保护测评整改建议等，从基础设施、系统本体、体系结构、安全管理、应急措施五个方面全面梳理所辖厂站电力监控系统安全防护的问题和隐患，制定整改计划和方案，立即完成整改。

4．检查所辖全部厂站是否按照调度机构已审核签字的安全防护方案落实技术及管理措施，特别要核查网络拓扑结构，安全设备清单是否与现场实际一致。重新修编各场站及集控中心电力监控系统安全防护实施方案并上报调度机构审核。

5．梳理公司所辖全部厂站生产控制大区Windows操作系统主机，按照宁夏电力调控中心下发的《Windows操作系统安全加固指导手册》进行加固并出具加固报告。制定计划，落实项目，将非安全操作系统更换为安全操作系统。九彩风电场功率预测系统本次全部更换为安全操作系统，部署完成后经调度机构验收合格方可重新接入。

6．按照《并网调度协议补充条款》第三章第六条规定，对九彩某风电场实施解网，待完成全部问题整改并经现场验收合格后，重新组织并网。