国网黑龙江省青肯泡光伏电站发生网络异常的分析.docVIP

黑龙江省某光伏电站网络异常情况的分析 1.事件描述 2018年1月，黑龙江某光伏电站发生网络安全事件，该光伏电站积极配合省调技术监督工作，使得此次网络安全事件得到快速有效处理。具体事件过程描述如下。 2018年1月8日，省调侧网络安全管理平台发出重要告警。告警来源为某光伏电站。告警数量从8时起持续累积，至16时达到32条，共计告警28933条次。某光伏电站位于大庆。于2017年6月26日投入运行，总装机容量40MW，由110kV接入大庆中本站，为省调直调电厂。其涉网业务系统子站通过省调度数据网与省调侧主站相连，数据经大庆节点接入省调。省调立即开展告警汇总分析，梳理该电厂32条（28933条次）告警信息，总结出四种告警类型，总涉及三套电力生产业务系统。 （1）四种告警类型 NetBIOS（网络基本输入/输出协议）服务告警：该服务用于共享发布计算机关键资源信息，可导致业务主机信息对外泄露。 DNS（域名系统）解析服务告警：该服务用于互联网域名与IP地址转换，可导致外部主机以IP欺骗方式，冒充域名服务器，非法侵入生产控制大区。 互联网网页浏览服务告警：该服务用于浏览外部互联网网页，表明建立了与外部互联网的连接，是违规外联情况下的典型告警。 NetBus木马病毒：该木马常用于窃取文件、远程控制计算机。可导致业务主机数据泄漏，并被远程控制。 （2）三套电力生产业务系统 自动发电控制业务系统：该系统接收调度控制指令，自动调节发电机功率。 光功率预测系统：该系统用于预测光伏电站发电量，采集现场一次系统运行信息，并将信息转发给省调。 调度计划工作站：该系统用于接收省调下发的发电计划。 具体业务系统告警分析如下表所示。 表1 业务系统涉及告警类型表 业务系统 涉及告警类型 导致后果 自动发电控制系统 NetBIOS服务告警 可导致其主机信息对外泄露 光功率预测系统 互联网网页浏览服务告警 可导致非法攻击获取主机信息，并从外部网络侵入 NetBIOS服务告警 调度计划工作站 互联网网页浏览服务告警 可导致外部主机以IP欺骗方式非法侵入生产控制大区 DNS解析服务告警 NetBus木马病毒 2.原因分析 省调所接收告警为该光伏电站现场配置的纵向加密认证装置报出，该装置为省调控系统主站的第一道防线，其在阻断非法网络行为的同时向省调安全管理平台发出告警。省调根据告警级别（紧急、重要和一般）分别采取应对措施。对于紧急告警采取立即断网措施，对于重要和一般告警采取立即通知、限期整改、跟踪监视等措施。此次某光伏电站告警级别为重要，因此省调立即通知现场，并前往现场开展技术监督工作。 到达现场后，按照调度数据网屏柜所连接业务的顺序，依次查找连接关系，梳理网络拓扑结构，查明告警原因为：电厂未采取严格管控措施，厂家人员调试后未按要求拆除测试连接网线，导致存在业务主机违规外连、跨区互连问题。具体问题如下图所示。 图1某光伏电站现场实际网络拓扑结构 如上图所示，存在问题为： （1）功率预测交换机违规连接外网，导致整个生产控制大区业务主机全部与外网互联。 （2）控制区与非控制区业务主机违规跨区互联。 （3）安全防护设备未正确部署在网络边界上。 （4）主机设备未安装安全防护软件，感染木马病毒。 通过现场实际勘验及网络结构分析得出：一是现场业务主机未进行安全加固，未按要求停用相关系统服务，存在危险漏洞；二是现场未严格落实“安全分区，横向隔离”原则，不同安全区的业务主机网络交叉混连，网络结构无安全分区概念，无明显网络边界，导致安全防护设备形同虚设；三是现场缺乏相应技术人员，且对外来调试人员管控不到位，未执行电力安全工作规程的“工作票制度”。 3、整改措施 现场提出整改措施，要求其立即断开控制区与非控制区业务主机的违规连接；立即断开业务主机与外部网络的连接；将网络安防设备正确部署在网络边界上。具体采取的技术解决措施为： （1）立即断开所有连接外网的网线。 （2）立即断开AGC与光功率预测交换机的连接网线，关闭NetBIOS功能。 （3）立即断开气象服务器与光功率预测交换机的连接网线，关闭NetBIOS功能。 （4）立即对调度计划工作站进行病毒查杀，关闭DNS、NetBIOS功能及远程管理功能。 （5）立即断开AGC交换机与工控服务器及光功率预测交换机的连接网线。 （6）立即断开光功率预测交换机与工控服务及其他违规连接网线。 整改后，网络结构清晰，边界防护落实到位。告警全部消失，网络安全隐患得到有效抑制。 4.暴露问题及下一步工作措施 并网发电厂是电力监控系统网络安全的薄弱环节。通过并网电厂电力监控系统安全防护技术监督，发现部分并网电厂网络安全意识淡薄，缺乏相应技术人员，对有关规定掌握不充分，存在安全防护要求落实不到位、跨安全区互联、网络延伸及违规外联等情况。新能源厂站安全防护问题