近日，在黑龍江省光伏專項監(jiān)管座談會上獲悉某光伏電站于1月8日發(fā)生網絡異常。對此國家能源局東北監(jiān)管局高度重視，立即責成 黑龍江省電力有限公司調控中心就相關情況進行了詳細匯報。現(xiàn)將主要情況通報如下：

2018年1月8日，黑龍江省電力調控中心一側網絡安全管理平臺發(fā)出重要告警。告警來源為安達某光伏電站。告警數量從8時起持續(xù)累積，至16時達到32條，共計告警28933條次。(后附 黑龍江省電力有限公司關于某光伏電站網絡異常情況的分析)。

要求黑龍江省有關電力企業(yè)要深刻吸取此類問題的教訓，舉一反三，分析網絡管理漏洞，加強日常管理和檢查，防范系統(tǒng)漏洞，努力營造一個安全穩(wěn)定的網絡環(huán)境。發(fā)生網絡安全事件要及時上報國家能源局東北監(jiān)管局。

國家能源局東北監(jiān)管局

2018年8月2日

附件：關于黑龍江省電某光伏電站網絡異常情況的分析

1.事件描述

2018年1月，黑龍江某光伏電站發(fā)生網絡安全事件，該光伏電站積極配合省調技術監(jiān)督工作，使得此次網絡安全事件得到快速有效處理。具體事件過程描述如下。

2018年1月8日，省調側網絡安全管理平臺發(fā)出重要告警。告警來源為某光伏電站。告警數量從8時起持續(xù)累積，至16時達到32條，共計告警28933條次。某光伏電站位于大慶。于2017年6月26日投入運行，總裝機容量40MW，由110kV接入大慶中本站，為省調直調電廠。其涉網業(yè)務系統(tǒng)子站通過省調度數據網與省調側主站相連，數據經大慶節(jié)點接入省調。省調立即開展告警匯總分析，梳理該電廠32條(28933條次)告警信息，總結出四種告警類型，總涉及三套電力生產業(yè)務系統(tǒng)。

(1)四種告警類型

NetBIOS(網絡基本輸入/輸出協(xié)議)服務告警：該服務用于共享發(fā)布計算機關鍵資源信息，可導致業(yè)務主機信息對外泄露。

DNS(域名系統(tǒng))解析服務告警：該服務用于互聯(lián)網域名與IP地址轉換，可導致外部主機以IP欺騙方式，冒充域名服務器，非法侵入生產控制大區(qū)。

互聯(lián)網網頁瀏覽服務告警：該服務用于瀏覽外部互聯(lián)網網頁，表明建立了與外部互聯(lián)網的連接，是違規(guī)外聯(lián)情況下的典型告警。

NetBus木馬病毒：該木馬常用于竊取文件、遠程控制計算機。可導致業(yè)務主機數據泄漏，并被遠程控制。

(2)三套電力生產業(yè)務系統(tǒng)

自動發(fā)電控制業(yè)務系統(tǒng)：該系統(tǒng)接收調度控制指令，自動調節(jié)發(fā)電機功率。

光功率預測系統(tǒng)：該系統(tǒng)用于預測光伏電站發(fā)電量，采集現(xiàn)場一次系統(tǒng)運行信息，并將信息轉發(fā)給省調。

調度計劃工作站：該系統(tǒng)用于接收省調下發(fā)的發(fā)電計劃。

具體業(yè)務系統(tǒng)告警分析如下表所示。

2.原因分析

省調所接收告警為該光伏電站現(xiàn)場配置的縱向加密認證裝置報出，該裝置為省調控系統(tǒng)主站的第一道防線，其在阻斷非法網絡行為的同時向省調安全管理平臺發(fā)出告警。省調根據告警級別(緊急、重要和一般)分別采取應對措施。對于緊急告警采取立即斷網措施，對于重要和一般告警采取立即通知、限期整改、跟蹤監(jiān)視等措施。此次某光伏電站告警級別為"重要"，因此省調立即通知現(xiàn)場，并前往現(xiàn)場開展技術監(jiān)督工作。

到達現(xiàn)場后，按照調度數據網屏柜所連接業(yè)務的順序，依次查找連接關系，梳理網絡拓撲結構，查明告警原因為：電廠未采取嚴格管控措施，廠家人員調試后未按要求拆除測試連接網線，導致存在業(yè)務主機違規(guī)外連、跨區(qū)互連問題。具體問題如下圖所示。

圖1某光伏電站現(xiàn)場實際網絡拓撲結構

如上圖所示，存在問題為：

(1)功率預測交換機違規(guī)連接外網，導致整個生產控制大區(qū)業(yè)務主機全部與外網互聯(lián)。

(2)控制區(qū)與非控制區(qū)業(yè)務主機違規(guī)跨區(qū)互聯(lián)。

(3)安全防護設備未正確部署在網絡邊界上。

(4)主機設備未安裝安全防護軟件，感染木馬病毒。

通過現(xiàn)場實際勘驗及網絡結構分析得出：一是現(xiàn)場業(yè)務主機未進行安全加固，未按要求停用相關系統(tǒng)服務，存在危險漏洞;二是現(xiàn)場未嚴格落實“安全分區(qū)，橫向隔離”原則，不同安全區(qū)的業(yè)務主機網絡交叉混連，網絡結構無安全分區(qū)概念，無明顯網絡邊界，導致安全防護設備形同虛設;三是現(xiàn)場缺乏相應技術人員，且對外來調試人員管控不到位，未執(zhí)行電力安全工作規(guī)程的“工作票制度”。

3、整改措施

現(xiàn)場提出整改措施，要求其立即斷開控制區(qū)與非控制區(qū)業(yè)務主機的違規(guī)連接;立即斷開業(yè)務主機與外部網絡的連接;將網絡安防設備正確部署在網絡邊界上。具體采取的技術解決措施為：

(1)立即斷開所有連接外網的網線。

(2)立即斷開AGC與光功率預測交換機的連接網線，關閉NetBIOS功能。

(3)立即斷開氣象服務器與光功率預測交換機的連接網線，關閉NetBIOS功能。

(4)立即對調度計劃工作站進行病毒查殺，關閉DNS、NetBIOS功能及遠程管理功能。

(5)立即斷開AGC交換機與工控服務器及光功率預測交換機的連接網線。

(6)立即斷開光功率預測交換機與工控服務及其他違規(guī)連接網線。

整改后，網絡結構清晰，邊界防護落實到位。告警全部消失，網絡安全隱患得到有效抑制。

4.暴露問題及下一步工作措施

并網發(fā)電廠是電力監(jiān)控系統(tǒng)網絡安全的薄弱環(huán)節(jié)。通過并網電廠電力監(jiān)控系統(tǒng)安全防護技術監(jiān)督，發(fā)現(xiàn)部分并網電廠網絡安全意識淡薄，缺乏相應技術人員，對有關規(guī)定掌握不充分，存在安全防護要求落實不到位、跨安全區(qū)互聯(lián)、網絡延伸及違規(guī)外聯(lián)等情況。

新能源廠站安全防護問題尤其突出，光伏等分布式電源的網絡安全風險較大，可能造成網絡安全風險從電廠向電網蔓延的后果。針對目前所暴露的問題，省調結合自身情況開展如下相應工作：

一是常態(tài)化開展網絡安全技術監(jiān)督管理并將工作關口前移，在新建電廠投產前涉網認證時即開展監(jiān)督工作。通過網絡安全管理平臺等技術手段，加強對并網電廠電力監(jiān)控系統(tǒng)安全防護考核，依據并網調度協(xié)議，對并網電廠的違規(guī)行為進行警告甚至解網。

二是加強新版《電力安全工作規(guī)程》的學習，掌握新版安規(guī)中新增和修改的內容，常態(tài)化開展新版《電力安全工作規(guī)程》的培訓考試工作，增強廠、網系統(tǒng)人員的網絡安全防護意識。

三是依據國家電網安質〔2018〕396號《電力安全工作規(guī)程(電力監(jiān)控部分)》制定對電廠涉網安全管理要求，執(zhí)行網絡安全工作票制度，由外來施工人員開展的涉及電網網絡安全的工作需由電廠相關責任人監(jiān)護執(zhí)行。