三峽集團新能源電站網絡安全防護思考與實踐

毛 江

（三峽機電工程技術有限公司，四川 成都610042）

三峽集團新能源業務包括風電、光伏等電站的開發、建設、生產運營。截止至2016年底已投運的風/光累計總裝機容量600萬kW，覆蓋23個省、自治區和直轄市，電站總數超過到100座，規劃至2020年總裝機容量達到2000萬kW。

1 新能源電站運行現狀

單個新能源電站裝機容量較小、布局分散、地理位置偏遠、現場交通和生活條件比較差，按項目配置運行管理人員的管理方式導致人員配置多，但現場有經驗的運行人員流失嚴重，造成有經驗的運行人員不足，現場設備監管和巡視困難，管理不規范等問題。另外，風電場的風機種類繁雜，數量大，統一的設備管理及運行管理存在諸多困難。

隨著計算機和網絡控制、視頻數字化、網絡電話、光纖通信等技術迅猛發展和日益普及，從技術上也保證了電站按數字化電站，網絡控制的管理目標的實施。能源行業包括龍源電力、中廣核風電、華電、大唐等發電集團目前都已在探索和嘗試區域遠方集中運行管理模式，即在電站實現“無人值班”、區域化集中監控及維護管理、集團化統一運營管理及專家指導的運行管理模式。

2 新能源電站網絡安全風險

隨著國家電站工業自動化、信息化技術的不斷發展，電站的工業控制系統已經成為電站運行管理的重要組成部分。電站電力安全防護系統近年來開始不斷加強對網絡安全的防范，在技術上主要倚重“物理隔離”的方式，保障內網不受攻擊。

由于電站建設過程中對電力安全防護的配置不到位，以及黑客技術、病毒技術的不斷發展和蔓延，國內外越來越多的電力安全事故表明，安全事故是由于電站控制系統內部脆弱，并且通過繞過正面防護的方式來發動攻擊。內部脆弱主要是指運行關鍵業務的服務器操作系統本身安全級別低，存在安全漏洞并未有效進行系統本體安全防護。繞過正面防護主要是以移動設備連接、非法外連、非法直連等方式繞過“物理隔離”而直接攻擊內部，導致電力非法停運、電網崩潰，對工業生產造成重大的危害，對社會安全造成極大影響。

國家能源局2017年3號文《電力監控系統安全防護專項監管報告》數據顯示，在體系結構安全、系統本體安全、全方位安全管理、安全應急措施、基礎設施物理安全等五個方面中，系統本體安全的問題占比高達41%，是電力二次系統安全防護中最薄弱環節，建設系統本體安全綜合應急響應系統對抵御黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊，特別是抵御集團式攻擊，防止電力二次系統的崩潰或癱瘓，以及由此造成的電力系統事故或大面積停電事故有著重大意義。

對安全事故調查研究得出，新能源電站的電力安全存在以下的隱患：

（1）生產控制大區違規直連或跨區互聯

在能源局下發的國能安全[2015]第36號文件《電力監控系統安全防護總體方案》中，電站應劃分生產大區、非生產大區，各區域之間的數據和網絡必須嚴格隔離。

在現有的電站建設運行中，跨區互聯時有發生，甚至將主機暴露于公網，發生滲透攻擊的最主要原因。運維過程中，筆記本與生產控制大區服務器直連，導致惡意代碼侵人生產控制大區的可能性大大增加。

（2）移動介質設備接入管控不到位

在電站計算機監控系統中，主機服務器USB、光驅、無線網卡等移動介質接口未關閉，確需保留的設備沒有通過安全管理及技術措施實施嚴格管控，存在“擺渡”攻擊風險。

對移動設備、專用調試筆記本的沒有實時監視、報警及違規操作阻斷，出現違規操作容易導致主機服務器被惡意代碼攻擊。

（3）主機操作系統口令、賬戶權限策略配置不當

主機操作系統存在空口令、弱口令、權限策略配置不當問題，安全策略配置不嚴格，容易導致未授權人員的破壞行為。

（4）主機安全加固措施不到位

主機安全加固措施不到位，未關閉生產控制大區禁止使用的網絡服務和端口，網絡滲透攻擊主要針對通用網絡服務和端口。

（5）應急響應不及時，窗口期易被攻擊（補丁、端口封堵）

目前應急處置是采用人工方式進行安全補丁的升級、系統安全策略加固，需付出大量人力與時間，且不能保證在應急處置期間受到惡意代碼攻擊。

（6）缺乏主機實時集中監管

監管部門、上級部門的安全檢查屬于定期性的，不能實時統一監管，不能及時應對風險。如：

1）廠家調試過程中，U盤接入內網服務器，非法外連、非法直連。

2）缺少對惡意及未知文件進行實時控制與分析。

3）缺乏操作系統及軟件高危安全漏洞、風險的實時監控。

4）無法了解防病毒軟件的更新狀況。

5）應用軟件安裝混亂（QQ、Office等），不必要的、服務開啟過多，過多不必要的端口開放，過多無用賬戶。

6）沒有主機內核級安全審計，出現事故無法查明原因。

3 新能源電站電力安全防范措施

相對于新能源場站建設快、分布廣、人員少，運行管理人員上崗時間短、大量使用非安全操作系統等因素，新能源電站在安全防護工作中存在實際操作中的困難。傳統安全防護方法依賴大量專業安全人員，搞運動方式，費時費力，讓人望而卻步。既不能自動自檢，又不能自動加固，也不能持續管控。主要體現在：

1）缺少系統本體安全自查評估工具，難以發現問題，無法對系統本體安全狀況全面了解。

2）需要人工手動進行系統安全檢測和加固，不全面、工作量大、不穩定，易出現宕機影響業務。

3）沒有自動化安全工具實時監控綜合防護情況。安全防護實時情況不可視，對于安全問題難以預測、排查、快速響應。

根據以上特點，新能源電站要保證電力安全，必須從技術手段上、管理制度上加強防范。依據國家發改委[2014]14號令、國能安全[2015]36號文件的要求，發電企業應嚴格執行電站工業控制系統 “安全分區、網絡專用、橫向隔離、縱向認證、綜合防護”的方針，在邊界防護的同時，使用經國家權威機構認證的系統本體安全工具，定期完成自檢、加固和持續管控，確保新能源電站系統安全。具體功能如下：

（1）非法外聯和跨區互聯的告警

在生產控制大區每臺主機上部署主機加固軟件，其網絡實施探測功能實現了對非法外聯和跨區互聯實時監測、告警無盲點的技術目標。

（2）移動設備管控

移動設備管控技術，是通過系統本體安全綜合應急響應平臺對全網內主機I/O口進行控制，能夠統一對優盤、移動硬盤、USB無線網卡、CDROM等移動設備進行控制和審計。

（3）操作系統加固措施的監控

在完成操作系統安全策略加固后，通過系統本體安全綜合應急響應平臺，實時了解掌握全網內主機安全加固策略是否全面完成。

（4）具備快速應急響應的技術手段

系統本體安全綜合管控平臺采用廣域數據傳送機制，滿足應用跨區、跨系統推送實時消息的業務需求，將全網主機連接到系統本體安全綜合應急響應平臺，全網主機可包括中調、區調、集控、變電站、電廠等所有主機服務器。當重大安全漏洞被公布后，綜合應急響應平臺可快速自適應的推送安全補丁和配置安全策略，完成系統安全加固和補丁升級。

（5）安全U盤

采用芯片技術的安全優盤，具備病毒免疫和敏感數據保護功能，并且與系統本體安全綜合應急響應平臺聯動，生產控制大區只允許授權的安全優盤使用，提升了日常運維時移動介質使用的安全性。

（6）全網主機進行實時監控

應急響應管理系統能夠對全網主機進行實時監控，對主站、廠站側生產控制大區非法外連、移動設備連接、安全加固策略、防毒庫更新提供告警，報告及分析可視化。

4 電力安全發展方向

電力生產對社會生產和生活具有重大影響，電站工業控制系統要求可靠性高、實時性強、針對目前越來越集成化的自動發電控制系統，應有以下幾點措施：

（1）嚴格樹立電力安全需要本質安全的思想，將網絡安全提升到質量安全的高度，嚴格執行各項制度，保證在電站建設、運行過程中做到處處不留隱患。

（2）建立一體化的電力安全平臺體系。將本體安全綜合管控平臺采用廣域數據傳送機制，滿足應用跨區、跨系統實時控制和信息業務需求，將全網主機連接到系統本體安全綜合應急響應平臺，全網主機可包括中調、區調、集控、變電站、電廠等所有主機服務器。對安全防護情況實時掌握，快速反應。

（3）發展具有核心自主知識產權的電站控制系統，隨著全球網絡安全威脅的日益嚴峻，在保證可靠性、實時性的同時，需要研發和配置高安全強度的國產實時內核操作系統。

（4）加強電站的智能化檢測和預警措施。在電站配置本體安全自動檢測工具，一鍵完成，在系統安全自檢策略、移動設備連接控制、非法外連監控和實時措施下，保證在電站運行值班人員對于告警信息接收、系統本體安全檢查能夠及時獲取。

（5）部署電站控制系統本體安全加固工具，保證在受到外部非法攻擊時，能保證各服務器、工作站、網絡設備的安全，保證控制流程和策略不發生非法修改，發電運行過程穩定，并自動生成報告。適合大規模推廣和部署。

隨著物聯網、云計算和大數據等新一代信息技術的快速發展，工業控制系統智能化、網絡化趨勢日漸明顯，病毒、木馬等威脅向工業控制系統持續擴散，電力工業控制系統面臨著日益嚴峻的安全形勢。電力安全防護工作任重道遠，需要引起足夠的重視，并且根據實踐的發展不斷進步。