关于黑龙江省某光伏电站网络异常情况的通报

电力18讯：

 近日，在黑龙江省光伏专项监管座谈会上获悉某光伏电站于1月8日发生网络异常。对此国家能源局东北监管局高度重视，立即责成  黑龙江省电力有限公司调控中心就相关情况进行了详细汇报。现将主要情况通报如下：

2018年1月8日，黑龙江省电力调控中心一侧网络安全管理平台发出重要告警。告警来源为安达某光伏电站。告警数量从8时起持续累积，至16时达到32条，共计告警28933条次。（后附  黑龙江省电力有限公司关于某光伏电站网络异常情况的分析）。

要求黑龙江省有关电力企业要深刻吸取此类问题的教训，举一反三，分析网络管理漏洞，加强日常管理和检查，防范系统漏洞，努力营造一个安全稳定的网络环境。发生网络安全事件要及时上报国家能源局东北监管局。

 

国家能源局东北监管局

2018年8月2日

 

附件：关于黑龙江省电某光伏电站网络异常情况的分析

1.事件描述

2018年1月，黑龙江某光伏电站发生网络安全事件，该光伏电站积极配合省调技术监督工作，使得此次网络安全事件得到快速有效处理。具体事件过程描述如下。

2018年1月8日，省调侧网络安全管理平台发出重要告警。告警来源为某光伏电站。告警数量从8时起持续累积，至16时达到32条，共计告警28933条次。某光伏电站位于大庆。于2017年6月26日投入运行，总装机容量40MW，由110kV接入大庆中本站，为省调直调电厂。其涉网业务系统子站通过省调度数据网与省调侧主站相连，数据经大庆节点接入省调。省调立即开展告警汇总分析，梳理该电厂32条（28933条次）告警信息，总结出四种告警类型，总涉及三套电力生产业务系统。

（1）四种告警类型

NetBIOS（网络基本输入/输出协议）服务告警：该服务用于共享发布计算机关键资源信息，可导致业务主机信息对外泄露。

DNS（域名系统）解析服务告警：该服务用于互联网+域名与IP地址转换，可导致外部主机以IP欺骗方式，冒充域名服务器，非法侵入生产控制大区。

互联网网页浏览服务告警：该服务用于浏览外部互联网网页，表明建立了与外部互联网的连接，是违规外联情况下的典型告警。

NetBus木马病毒：该木马常用于窃取文件、远程控制计算机。可导致业务主机数据泄漏，并被远程控制。

（2）三套电力生产业务系统

自动发电控制业务系统：该系统接收调度控制指令，自动调节发电机功率。

光功率预测系统：该系统用于预测光伏电站发电量，采集现场一次系统运行信息，并将信息转发给省调。

调度计划工作站：该系统用于接收省调下发的发电计划。

具体业务系统告警分析如下表所示。 

 

表1 业务系统涉及告警类型表

业务系统	涉及告警类型	导致后果
自动发电控制系统	NetBIOS服务告警	可导致其主机信息对外泄露
光功率预测系统	互联网网页浏览服务告警	可导致非法攻击获取主机信息，并从外部网络侵入
	NetBIOS服务告警
调度计划工作站	互联网网页浏览服务告警	可导致外部主机以IP欺骗方式非法侵入生产控制大区
	DNS解析服务告警
	NetBus木马病毒

2.原因分析

省调所接收告警为该光伏电站现场配置的纵向加密认证装置报出，该装置为省调控系统主站的第一道防线，其在阻断非法网络行为的同时向省调安全管理平台发出告警。省调根据告警级别（紧急、重要和一般）分别采取应对措施。对于紧急告警采取立即断网措施，对于重要和一般告警采取立即通知、限期整改、跟踪监视等措施。此次某光伏电站告警级别为"重要"，因此省调立即通知现场，并前往现场开展技术监督工作。

到达现场后，按照调度数据网屏柜所连接业务的顺序，依次查找连接关系，梳理网络拓扑结构，查明告警原因为：电厂未采取严格管控措施，厂家人员调试后未按要求拆除测试连接网线，导致存在业务主机违规外连、跨区互连问题。具体问题如下图所示。

图1某光伏电站现场实际网络拓扑结构

如上图所示，存在问题为：

（1）功率预测交换机违规连接外网，导致整个生产控制大区业务主机全部与外网互联。

（2）控制区与非控制区业务主机违规跨区互联。

（3）安全防护设备未正确部署在网络边界上。

（4）主机设备未安装安全防护软件，感染木马病毒。

通过现场实际勘验及网络结构分析得出：一是现场业务主机未进行安全加固，未按要求停用相关系统服务，存在危险漏洞；二是现场未严格落实“安全分区，横向隔离”原则，不同安全区的业务主机网络交叉混连，网络结构无安全分区概念，无明显网络边界，导致安全防护设备形同虚设；三是现场缺乏相应技术人员，且对外来调试人员管控不到位，未执行电力安全工作规程的“工作票制度”。

3、整改措施

现场提出整改措施，要求其立即断开控制区与非控制区业务主机的违规连接；立即断开业务主机与外部网络的连接；将网络安防设备正确部署在网络边界上。具体采取的技术解决措施为：

（1）立即断开所有连接外网的网线。

（2）立即断开AGC与光功率预测交换机的连接网线，关闭NetBIOS功能。

（3）立即断开气象服务器与光功率预测交换机的连接网线，关闭NetBIOS功能。

（4）立即对调度计划工作站进行病毒查杀，关闭DNS、NetBIOS功能及远程管理功能。

（5）立即断开AGC交换机与工控服务器及光功率预测交换机的连接网线。

（6）立即断开光功率预测交换机与工控服务及其他违规连接网线。

整改后，网络结构清晰，边界防护落实到位。告警全部消失，网络安全隐患得到有效抑制。

4.暴露问题及下一步工作措施

并网发电厂是电力监控系统网络安全的薄弱环节。通过并网电厂电力监控系统安全防护技术监督，发现部分并网电厂网络安全意识淡薄，缺乏相应技术人员，对有关规定掌握不充分，存在安全防护要求落实不到位、跨安全区互联、网络延伸及违规外联等情况。新能源厂站安全防护问题尤其突出，光伏等分布式电源的网络安全风险较大，可能造成网络安全风险从电厂向电网蔓延的后果。针对目前所暴露的问题，省调结合自身情况开展如下相应工作：

一是常态化开展网络安全技术监督管理并将工作关口前移，在新建电厂投产前涉网认证时即开展监督工作。通过网络安全管理平台等技术手段，加强对并网电厂电力监控系统安全防护考核，依据并网调度协议，对并网电厂的违规行为进行警告甚至解网。

二是加强新版《电力安全工作规程》的学习，掌握新版安规中新增和修改的内容，常态化开展新版《电力安全工作规程》的培训考试工作，增强厂、网系统人员的网络安全防护意识。

三是依据国家电网安质〔2018〕396号《电力安全工作规程（电力监控部分）》制定对电厂涉网安全管理要求，执行网络安全工作票制度，由外来施工人员开展的涉及电网网络安全的工作需由电厂相关责任人监护执行。