三峽集團(tuán)新能源電站網(wǎng)絡(luò)安全防護(hù)思考與實(shí)踐

毛 江

（三峽機(jī)電工程技術(shù)有限公司，四川 成都610042）

三峽集團(tuán)新能源業(yè)務(wù)包括風(fēng)電、光伏等電站的開(kāi)發(fā)、建設(shè)、生產(chǎn)運(yùn)營(yíng)。截止至2016年底已投運(yùn)的風(fēng)/光累計(jì)總裝機(jī)容量600萬(wàn)kW，覆蓋23個(gè)省、自治區(qū)和直轄市，電站總數(shù)超過(guò)到100座，規(guī)劃至2020年總裝機(jī)容量達(dá)到2000萬(wàn)kW。

1 新能源電站運(yùn)行現(xiàn)狀

單個(gè)新能源電站裝機(jī)容量較小、布局分散、地理位置偏遠(yuǎn)、現(xiàn)場(chǎng)交通和生活條件比較差，按項(xiàng)目配置運(yùn)行管理人員的管理方式導(dǎo)致人員配置多，但現(xiàn)場(chǎng)有經(jīng)驗(yàn)的運(yùn)行人員流失嚴(yán)重，造成有經(jīng)驗(yàn)的運(yùn)行人員不足，現(xiàn)場(chǎng)設(shè)備監(jiān)管和巡視困難，管理不規(guī)范等問(wèn)題。另外，風(fēng)電場(chǎng)的風(fēng)機(jī)種類繁雜，數(shù)量大，統(tǒng)一的設(shè)備管理及運(yùn)行管理存在諸多困難。

隨著計(jì)算機(jī)和網(wǎng)絡(luò)控制、視頻數(shù)字化、網(wǎng)絡(luò)電話、光纖通信等技術(shù)迅猛發(fā)展和日益普及，從技術(shù)上也保證了電站按數(shù)字化電站，網(wǎng)絡(luò)控制的管理目標(biāo)的實(shí)施。能源行業(yè)包括龍?jiān)措娏?、中廣核風(fēng)電、華電、大唐等發(fā)電集團(tuán)目前都已在探索和嘗試區(qū)域遠(yuǎn)方集中運(yùn)行管理模式，即在電站實(shí)現(xiàn)“無(wú)人值班”、區(qū)域化集中監(jiān)控及維護(hù)管理、集團(tuán)化統(tǒng)一運(yùn)營(yíng)管理及專家指導(dǎo)的運(yùn)行管理模式。

2 新能源電站網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

隨著國(guó)家電站工業(yè)自動(dòng)化、信息化技術(shù)的不斷發(fā)展，電站的工業(yè)控制系統(tǒng)已經(jīng)成為電站運(yùn)行管理的重要組成部分。電站電力安全防護(hù)系統(tǒng)近年來(lái)開(kāi)始不斷加強(qiáng)對(duì)網(wǎng)絡(luò)安全的防范，在技術(shù)上主要倚重“物理隔離”的方式，保障內(nèi)網(wǎng)不受攻擊。

由于電站建設(shè)過(guò)程中對(duì)電力安全防護(hù)的配置不到位，以及黑客技術(shù)、病毒技術(shù)的不斷發(fā)展和蔓延，國(guó)內(nèi)外越來(lái)越多的電力安全事故表明，安全事故是由于電站控制系統(tǒng)內(nèi)部脆弱，并且通過(guò)繞過(guò)正面防護(hù)的方式來(lái)發(fā)動(dòng)攻擊。內(nèi)部脆弱主要是指運(yùn)行關(guān)鍵業(yè)務(wù)的服務(wù)器操作系統(tǒng)本身安全級(jí)別低，存在安全漏洞并未有效進(jìn)行系統(tǒng)本體安全防護(hù)。繞過(guò)正面防護(hù)主要是以移動(dòng)設(shè)備連接、非法外連、非法直連等方式繞過(guò)“物理隔離”而直接攻擊內(nèi)部，導(dǎo)致電力非法停運(yùn)、電網(wǎng)崩潰，對(duì)工業(yè)生產(chǎn)造成重大的危害，對(duì)社會(huì)安全造成極大影響。

國(guó)家能源局2017年3號(hào)文《電力監(jiān)控系統(tǒng)安全防護(hù)專項(xiàng)監(jiān)管報(bào)告》數(shù)據(jù)顯示，在體系結(jié)構(gòu)安全、系統(tǒng)本體安全、全方位安全管理、安全應(yīng)急措施、基礎(chǔ)設(shè)施物理安全等五個(gè)方面中，系統(tǒng)本體安全的問(wèn)題占比高達(dá)41%，是電力二次系統(tǒng)安全防護(hù)中最薄弱環(huán)節(jié)，建設(shè)系統(tǒng)本體安全綜合應(yīng)急響應(yīng)系統(tǒng)對(duì)抵御黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊，特別是抵御集團(tuán)式攻擊，防止電力二次系統(tǒng)的崩潰或癱瘓，以及由此造成的電力系統(tǒng)事故或大面積停電事故有著重大意義。

對(duì)安全事故調(diào)查研究得出，新能源電站的電力安全存在以下的隱患：

（1）生產(chǎn)控制大區(qū)違規(guī)直連或跨區(qū)互聯(lián)

在能源局下發(fā)的國(guó)能安全[2015]第36號(hào)文件《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》中，電站應(yīng)劃分生產(chǎn)大區(qū)、非生產(chǎn)大區(qū)，各區(qū)域之間的數(shù)據(jù)和網(wǎng)絡(luò)必須嚴(yán)格隔離。

在現(xiàn)有的電站建設(shè)運(yùn)行中，跨區(qū)互聯(lián)時(shí)有發(fā)生，甚至將主機(jī)暴露于公網(wǎng)，發(fā)生滲透攻擊的最主要原因。運(yùn)維過(guò)程中，筆記本與生產(chǎn)控制大區(qū)服務(wù)器直連，導(dǎo)致惡意代碼侵人生產(chǎn)控制大區(qū)的可能性大大增加。

（2）移動(dòng)介質(zhì)設(shè)備接入管控不到位

在電站計(jì)算機(jī)監(jiān)控系統(tǒng)中，主機(jī)服務(wù)器USB、光驅(qū)、無(wú)線網(wǎng)卡等移動(dòng)介質(zhì)接口未關(guān)閉，確需保留的設(shè)備沒(méi)有通過(guò)安全管理及技術(shù)措施實(shí)施嚴(yán)格管控，存在“擺渡”攻擊風(fēng)險(xiǎn)。

對(duì)移動(dòng)設(shè)備、專用調(diào)試筆記本的沒(méi)有實(shí)時(shí)監(jiān)視、報(bào)警及違規(guī)操作阻斷，出現(xiàn)違規(guī)操作容易導(dǎo)致主機(jī)服務(wù)器被惡意代碼攻擊。

（3）主機(jī)操作系統(tǒng)口令、賬戶權(quán)限策略配置不當(dāng)

主機(jī)操作系統(tǒng)存在空口令、弱口令、權(quán)限策略配置不當(dāng)問(wèn)題，安全策略配置不嚴(yán)格，容易導(dǎo)致未授權(quán)人員的破壞行為。

（4）主機(jī)安全加固措施不到位

主機(jī)安全加固措施不到位，未關(guān)閉生產(chǎn)控制大區(qū)禁止使用的網(wǎng)絡(luò)服務(wù)和端口，網(wǎng)絡(luò)滲透攻擊主要針對(duì)通用網(wǎng)絡(luò)服務(wù)和端口。

（5）應(yīng)急響應(yīng)不及時(shí)，窗口期易被攻擊（補(bǔ)丁、端口封堵）

目前應(yīng)急處置是采用人工方式進(jìn)行安全補(bǔ)丁的升級(jí)、系統(tǒng)安全策略加固，需付出大量人力與時(shí)間，且不能保證在應(yīng)急處置期間受到惡意代碼攻擊。

（6）缺乏主機(jī)實(shí)時(shí)集中監(jiān)管

監(jiān)管部門(mén)、上級(jí)部門(mén)的安全檢查屬于定期性的，不能實(shí)時(shí)統(tǒng)一監(jiān)管，不能及時(shí)應(yīng)對(duì)風(fēng)險(xiǎn)。如：

1）廠家調(diào)試過(guò)程中，U盤(pán)接入內(nèi)網(wǎng)服務(wù)器，非法外連、非法直連。

2）缺少對(duì)惡意及未知文件進(jìn)行實(shí)時(shí)控制與分析。

3）缺乏操作系統(tǒng)及軟件高危安全漏洞、風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)控。

4）無(wú)法了解防病毒軟件的更新?tīng)顩r。

5）應(yīng)用軟件安裝混亂（QQ、Office等），不必要的、服務(wù)開(kāi)啟過(guò)多，過(guò)多不必要的端口開(kāi)放，過(guò)多無(wú)用賬戶。

6）沒(méi)有主機(jī)內(nèi)核級(jí)安全審計(jì)，出現(xiàn)事故無(wú)法查明原因。

3 新能源電站電力安全防范措施

相對(duì)于新能源場(chǎng)站建設(shè)快、分布廣、人員少，運(yùn)行管理人員上崗時(shí)間短、大量使用非安全操作系統(tǒng)等因素，新能源電站在安全防護(hù)工作中存在實(shí)際操作中的困難。傳統(tǒng)安全防護(hù)方法依賴大量專業(yè)安全人員，搞運(yùn)動(dòng)方式，費(fèi)時(shí)費(fèi)力，讓人望而卻步。既不能自動(dòng)自檢，又不能自動(dòng)加固，也不能持續(xù)管控。主要體現(xiàn)在：

1）缺少系統(tǒng)本體安全自查評(píng)估工具，難以發(fā)現(xiàn)問(wèn)題，無(wú)法對(duì)系統(tǒng)本體安全狀況全面了解。

2）需要人工手動(dòng)進(jìn)行系統(tǒng)安全檢測(cè)和加固，不全面、工作量大、不穩(wěn)定，易出現(xiàn)宕機(jī)影響業(yè)務(wù)。

3）沒(méi)有自動(dòng)化安全工具實(shí)時(shí)監(jiān)控綜合防護(hù)情況。安全防護(hù)實(shí)時(shí)情況不可視，對(duì)于安全問(wèn)題難以預(yù)測(cè)、排查、快速響應(yīng)。

根據(jù)以上特點(diǎn)，新能源電站要保證電力安全，必須從技術(shù)手段上、管理制度上加強(qiáng)防范。依據(jù)國(guó)家發(fā)改委[2014]14號(hào)令、國(guó)能安全[2015]36號(hào)文件的要求，發(fā)電企業(yè)應(yīng)嚴(yán)格執(zhí)行電站工業(yè)控制系統(tǒng) “安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證、綜合防護(hù)”的方針，在邊界防護(hù)的同時(shí)，使用經(jīng)國(guó)家權(quán)威機(jī)構(gòu)認(rèn)證的系統(tǒng)本體安全工具，定期完成自檢、加固和持續(xù)管控，確保新能源電站系統(tǒng)安全。具體功能如下：

（1）非法外聯(lián)和跨區(qū)互聯(lián)的告警

在生產(chǎn)控制大區(qū)每臺(tái)主機(jī)上部署主機(jī)加固軟件，其網(wǎng)絡(luò)實(shí)施探測(cè)功能實(shí)現(xiàn)了對(duì)非法外聯(lián)和跨區(qū)互聯(lián)實(shí)時(shí)監(jiān)測(cè)、告警無(wú)盲點(diǎn)的技術(shù)目標(biāo)。

（2）移動(dòng)設(shè)備管控

移動(dòng)設(shè)備管控技術(shù)，是通過(guò)系統(tǒng)本體安全綜合應(yīng)急響應(yīng)平臺(tái)對(duì)全網(wǎng)內(nèi)主機(jī)I/O口進(jìn)行控制，能夠統(tǒng)一對(duì)優(yōu)盤(pán)、移動(dòng)硬盤(pán)、USB無(wú)線網(wǎng)卡、CDROM等移動(dòng)設(shè)備進(jìn)行控制和審計(jì)。

（3）操作系統(tǒng)加固措施的監(jiān)控

在完成操作系統(tǒng)安全策略加固后，通過(guò)系統(tǒng)本體安全綜合應(yīng)急響應(yīng)平臺(tái)，實(shí)時(shí)了解掌握全網(wǎng)內(nèi)主機(jī)安全加固策略是否全面完成。

（4）具備快速應(yīng)急響應(yīng)的技術(shù)手段

系統(tǒng)本體安全綜合管控平臺(tái)采用廣域數(shù)據(jù)傳送機(jī)制，滿足應(yīng)用跨區(qū)、跨系統(tǒng)推送實(shí)時(shí)消息的業(yè)務(wù)需求，將全網(wǎng)主機(jī)連接到系統(tǒng)本體安全綜合應(yīng)急響應(yīng)平臺(tái)，全網(wǎng)主機(jī)可包括中調(diào)、區(qū)調(diào)、集控、變電站、電廠等所有主機(jī)服務(wù)器。當(dāng)重大安全漏洞被公布后，綜合應(yīng)急響應(yīng)平臺(tái)可快速自適應(yīng)的推送安全補(bǔ)丁和配置安全策略，完成系統(tǒng)安全加固和補(bǔ)丁升級(jí)。

（5）安全U盤(pán)

采用芯片技術(shù)的安全優(yōu)盤(pán)，具備病毒免疫和敏感數(shù)據(jù)保護(hù)功能，并且與系統(tǒng)本體安全綜合應(yīng)急響應(yīng)平臺(tái)聯(lián)動(dòng)，生產(chǎn)控制大區(qū)只允許授權(quán)的安全優(yōu)盤(pán)使用，提升了日常運(yùn)維時(shí)移動(dòng)介質(zhì)使用的安全性。

（6）全網(wǎng)主機(jī)進(jìn)行實(shí)時(shí)監(jiān)控

應(yīng)急響應(yīng)管理系統(tǒng)能夠?qū)θW(wǎng)主機(jī)進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)主站、廠站側(cè)生產(chǎn)控制大區(qū)非法外連、移動(dòng)設(shè)備連接、安全加固策略、防毒庫(kù)更新提供告警，報(bào)告及分析可視化。

4 電力安全發(fā)展方向

電力生產(chǎn)對(duì)社會(huì)生產(chǎn)和生活具有重大影響，電站工業(yè)控制系統(tǒng)要求可靠性高、實(shí)時(shí)性強(qiáng)、針對(duì)目前越來(lái)越集成化的自動(dòng)發(fā)電控制系統(tǒng)，應(yīng)有以下幾點(diǎn)措施：

（1）嚴(yán)格樹(shù)立電力安全需要本質(zhì)安全的思想，將網(wǎng)絡(luò)安全提升到質(zhì)量安全的高度，嚴(yán)格執(zhí)行各項(xiàng)制度，保證在電站建設(shè)、運(yùn)行過(guò)程中做到處處不留隱患。

（2）建立一體化的電力安全平臺(tái)體系。將本體安全綜合管控平臺(tái)采用廣域數(shù)據(jù)傳送機(jī)制，滿足應(yīng)用跨區(qū)、跨系統(tǒng)實(shí)時(shí)控制和信息業(yè)務(wù)需求，將全網(wǎng)主機(jī)連接到系統(tǒng)本體安全綜合應(yīng)急響應(yīng)平臺(tái)，全網(wǎng)主機(jī)可包括中調(diào)、區(qū)調(diào)、集控、變電站、電廠等所有主機(jī)服務(wù)器。對(duì)安全防護(hù)情況實(shí)時(shí)掌握，快速反應(yīng)。

（3）發(fā)展具有核心自主知識(shí)產(chǎn)權(quán)的電站控制系統(tǒng)，隨著全球網(wǎng)絡(luò)安全威脅的日益嚴(yán)峻，在保證可靠性、實(shí)時(shí)性的同時(shí)，需要研發(fā)和配置高安全強(qiáng)度的國(guó)產(chǎn)實(shí)時(shí)內(nèi)核操作系統(tǒng)。

（4）加強(qiáng)電站的智能化檢測(cè)和預(yù)警措施。在電站配置本體安全自動(dòng)檢測(cè)工具，一鍵完成，在系統(tǒng)安全自檢策略、移動(dòng)設(shè)備連接控制、非法外連監(jiān)控和實(shí)時(shí)措施下，保證在電站運(yùn)行值班人員對(duì)于告警信息接收、系統(tǒng)本體安全檢查能夠及時(shí)獲取。

（5）部署電站控制系統(tǒng)本體安全加固工具，保證在受到外部非法攻擊時(shí)，能保證各服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備的安全，保證控制流程和策略不發(fā)生非法修改，發(fā)電運(yùn)行過(guò)程穩(wěn)定，并自動(dòng)生成報(bào)告。適合大規(guī)模推廣和部署。

隨著物聯(lián)網(wǎng)、云計(jì)算和大數(shù)據(jù)等新一代信息技術(shù)的快速發(fā)展，工業(yè)控制系統(tǒng)智能化、網(wǎng)絡(luò)化趨勢(shì)日漸明顯，病毒、木馬等威脅向工業(yè)控制系統(tǒng)持續(xù)擴(kuò)散，電力工業(yè)控制系統(tǒng)面臨著日益嚴(yán)峻的安全形勢(shì)。電力安全防護(hù)工作任重道遠(yuǎn)，需要引起足夠的重視，并且根據(jù)實(shí)踐的發(fā)展不斷進(jìn)步。