关于黑龙江省某光伏电站收集异常情况的传递

2018年1月8日，黑龙江省电力调控中央一侧网络安全管理平台发出主要告警。

告警来源为安达某光伏电站。
告警数量从8时起持续累积，至16时达到32条，共计告警28933条次。
(后附 黑龙江省电力有限公司关于某光伏电站网络非常情形的剖析)。

哀求黑龙江省有关电力企业要深刻吸取此类问题的教训，举一反三，剖析网络管理漏洞，加强日常管理和检讨，戒备系统漏洞，努力营造一个安全稳定的网络环境。
发生网络安全事宜要及时上报国家能源局东北监管局。

国家能源局东北监管局

2018年8月2日

附件：关于黑龙江省电某光伏电站网络非常情形的剖析

1.事宜描述

2018年1月，黑龙江某光伏电站发生网络安全事宜，该光伏电站积极合营省调技能监督事情，使得这次网络安全事宜得到快速有效处理。
详细事宜过程描述如下。

2018年1月8日，省调侧网络安全管理平台发出主要告警。
告警来源为某光伏电站。
告警数量从8时起持续累积，至16时达到32条，共计告警28933条次。
某光伏电站位于大庆。
于2017年6月26日投入运行，总装机容量40MW，由110kV接入大庆中本站，为省调直调电厂。
其涉网业务系统子站通过省调度数据网与省调侧主站相连，数据经大庆节点接入省调。
省调立即开展告警汇总剖析，梳理该电厂32条(28933条次)告警信息，总结出四种告警类型，总涉及三套电力生产业务系统。

(1)四种告警类型

NetBIOS(网络基本输入/输出协议)做事告警：该做事用于共享发布打算机关键资源信息，可导致业务主机信息对外透露。

DNS(域名系统)解析做事告警：该做事用于互联网域名与IP地址转换，可导致外部主机以IP欺骗办法，伪装域名做事器，造孽侵入生产掌握大区。

互联网网页浏览做事告警：该做事用于浏览外部互联网网页，表明建立了与外部互联网的连接，是违规外联情形下的范例告警。

NetBus木马病毒：该木马常用于盗取文件、远程掌握打算机。
可导致业务主机数据泄露，并被远程掌握。

(2)三套电力生产业务系统

自动发电掌握业务系统：该系统吸收调度掌握指令，自动调节发电机功率。

光功率预测系统：该系统用于预测光伏电站发电量，采集现场一次系统运行信息，并将信息转发给省调。

调度操持事情站：该系统用于吸收省调下发的发电操持。

详细业务系统告警剖析如下表所示。

2.缘故原由剖析

省调所吸收告警为该光伏电站现场配置的纵向加密认证装置报出，该装置为省调控系统主站的第一道防线，其在阻断造孽网络行为的同时向省调安全管理平台发出告警。
省调根据告警级别(紧急、主要和一样平常)分别采纳应对方法。
对付紧急告警采纳立即断网方法，对付主要和一样平常告警采纳立即关照、限期整改、跟踪监视等方法。
这次某光伏电站告警级别为\"大众主要\"大众，因此省调立即关照现场，并前往现场开展技能监督事情。

到达现场后，按照调度数据网屏柜所连接业务的顺序，依次查找连接关系，梳理网络拓扑构造，查明告警缘故原由为：电厂未采纳严格管控方法，厂家职员调试后未按哀求拆除测试连接网线，导致存在业务主机违规外连、跨区互连问题。
详细问题如下图所示。

图1某光伏电站现场实际网络拓扑构造

如上图所示，存在问题为：

(1)功率预测交流机违规连接外网，导致全体生产掌握大区业务主机全部与外网互联。

(2)掌握区与非掌握区业务主机违规跨区互联。

(3)安全防护设备未精确支配在网络边界上。

(4)主机设备未安装安全防护软件，传染木马病毒。

通过现场实际勘验及网络构造剖析得出：一是现场业务主机未进行安全加固，未按哀求停用干系系统做事，存在危险漏洞;二是现场未严格落实“安全分区，横向隔离”原则，不同安全区的业务主机网络交叉混连，网络构造无安全分区观点，无明显网络边界，导致安全防护设备形同虚设;三是现场缺少相应技能职员，且对外来调试职员管控不到位，未实行电力安全事情规程的“事情票制度”。

3、整改方法

现场提出整改方法，哀求其立即断开掌握区与非掌握区业务主机的违规连接;立即断开业务主机与外部网络的连接;将网络安防设备精确支配在网络边界上。
详细采纳的技能办理方法为：

(1)立即断开所有连接外网的网线。

(2)立即断开AGC与光功率预测交流机的连接网线，关闭NetBIOS功能。

(3)立即断开气候做事器与光功率预测交流机的连接网线，关闭NetBIOS功能。

(4)立即对调度操持事情站进行病毒查杀，关闭DNS、NetBIOS功能及远程管理功能。

(5)立即断开AGC交流机与工控做事器及光功率预测交流机的连接网线。

(6)立即断开光功率预测交流机与工控做事及其他违规连接网线。

整改后，网络构造清晰，边界防护落实到位。
告警全部消逝，网络安全隐患得到有效抑制。

4.暴露问题及下一步事情方法

并网发电厂是电力监控系统网络安全的薄弱环节。
通过并网电厂电力监控系统安全防护技能监督，创造部分并网电厂网络安全意识淡薄，缺少相应技能职员，对有关规定节制不充分，存在安全防护哀求落实不到位、跨安全区互联、网络延伸及违规外联等情形。

新能源厂站安全防护问题尤其突出，光伏等分布式电源的网络安全风险较大，可能造成网络安全风险从电厂向电网蔓延的后果。
针对目前所暴露的问题，省调结合自身情形开展如下相应事情：

一是常态化开展网络安全技能监督管理并将事情关口前移，在新建电厂投产前涉网认证时即开展监督事情。
通过网络安全管理平台等技能手段，加强对并网电厂电力监控系统安全防护考察，依据并网调度协议，对并网电厂的违规行为进行警告乃至解网。

二是加强新版《电力安全事情规程》的学习，节制新版安规中新增和修正的内容，常态化开展新版《电力安全事情规程》的培训考试事情，增强厂、网系统职员的网络安全防护意识。

三是依据国家电网安质〔2018〕396号《电力安全事情规程(电力监控部分)》制订对电厂涉网安全管理哀求，实行网络安全事情票制度，由外来施工职员开展的涉及电网网络安全的事情需由电厂干系任务人监护实行。