三峡集团新能源电站网络安全防护思考与实践

毛 江

（三峡机电工程技术有限公司，四川 成都610042）

三峡集团新能源业务包括风电、光伏等电站的开发、建设、生产运营。截止至2016年底已投运的风/光累计总装机容量600万kW，覆盖23个省、自治区和直辖市，电站总数超过到100座，规划至2020年总装机容量达到2000万kW。

1 新能源电站运行现状

单个新能源电站装机容量较小、布局分散、地理位置偏远、现场交通和生活条件比较差，按项目配置运行管理人员的管理方式导致人员配置多，但现场有经验的运行人员流失严重，造成有经验的运行人员不足，现场设备监管和巡视困难，管理不规范等问题。另外，风电场的风机种类繁杂，数量大，统一的设备管理及运行管理存在诸多困难。

随着计算机和网络控制、视频数字化、网络电话、光纤通信等技术迅猛发展和日益普及，从技术上也保证了电站按数字化电站，网络控制的管理目标的实施。能源行业包括龙源电力、中广核风电、华电、大唐等发电集团目前都已在探索和尝试区域远方集中运行管理模式，即在电站实现“无人值班”、区域化集中监控及维护管理、集团化统一运营管理及专家指导的运行管理模式。

2 新能源电站网络安全风险

随着国家电站工业自动化、信息化技术的不断发展，电站的工业控制系统已经成为电站运行管理的重要组成部分。电站电力安全防护系统近年来开始不断加强对网络安全的防范，在技术上主要倚重“物理隔离”的方式，保障内网不受攻击。

由于电站建设过程中对电力安全防护的配置不到位，以及黑客技术、病毒技术的不断发展和蔓延，国内外越来越多的电力安全事故表明，安全事故是由于电站控制系统内部脆弱，并且通过绕过正面防护的方式来发动攻击。内部脆弱主要是指运行关键业务的服务器操作系统本身安全级别低，存在安全漏洞并未有效进行系统本体安全防护。绕过正面防护主要是以移动设备连接、非法外连、非法直连等方式绕过“物理隔离”而直接攻击内部，导致电力非法停运、电网崩溃，对工业生产造成重大的危害，对社会安全造成极大影响。

国家能源局2017年3号文《电力监控系统安全防护专项监管报告》数据显示，在体系结构安全、系统本体安全、全方位安全管理、安全应急措施、基础设施物理安全等五个方面中，系统本体安全的问题占比高达41%，是电力二次系统安全防护中最薄弱环节，建设系统本体安全综合应急响应系统对抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击，特别是抵御集团式攻击，防止电力二次系统的崩溃或瘫痪，以及由此造成的电力系统事故或大面积停电事故有着重大意义。

对安全事故调查研究得出，新能源电站的电力安全存在以下的隐患：

（1）生产控制大区违规直连或跨区互联

在能源局下发的国能安全[2015]第36号文件《电力监控系统安全防护总体方案》中，电站应划分生产大区、非生产大区，各区域之间的数据和网络必须严格隔离。

在现有的电站建设运行中，跨区互联时有发生，甚至将主机暴露于公网，发生渗透攻击的最主要原因。运维过程中，笔记本与生产控制大区服务器直连，导致恶意代码侵人生产控制大区的可能性大大增加。

（2）移动介质设备接入管控不到位

在电站计算机监控系统中，主机服务器USB、光驱、无线网卡等移动介质接口未关闭，确需保留的设备没有通过安全管理及技术措施实施严格管控，存在“摆渡”攻击风险。

对移动设备、专用调试笔记本的没有实时监视、报警及违规操作阻断，出现违规操作容易导致主机服务器被恶意代码攻击。

（3）主机操作系统口令、账户权限策略配置不当

主机操作系统存在空口令、弱口令、权限策略配置不当问题，安全策略配置不严格，容易导致未授权人员的破坏行为。

（4）主机安全加固措施不到位

主机安全加固措施不到位，未关闭生产控制大区禁止使用的网络服务和端口，网络渗透攻击主要针对通用网络服务和端口。

（5）应急响应不及时，窗口期易被攻击（补丁、端口封堵）

目前应急处置是采用人工方式进行安全补丁的升级、系统安全策略加固，需付出大量人力与时间，且不能保证在应急处置期间受到恶意代码攻击。

（6）缺乏主机实时集中监管

监管部门、上级部门的安全检查属于定期性的，不能实时统一监管，不能及时应对风险。如：

1）厂家调试过程中，U盘接入内网服务器，非法外连、非法直连。

2）缺少对恶意及未知文件进行实时控制与分析。

3）缺乏操作系统及软件高危安全漏洞、风险的实时监控。

4）无法了解防病毒软件的更新状况。

5）应用软件安装混乱（QQ、Office等），不必要的、服务开启过多，过多不必要的端口开放，过多无用账户。

6）没有主机内核级安全审计，出现事故无法查明原因。

3 新能源电站电力安全防范措施

相对于新能源场站建设快、分布广、人员少，运行管理人员上岗时间短、大量使用非安全操作系统等因素，新能源电站在安全防护工作中存在实际操作中的困难。传统安全防护方法依赖大量专业安全人员，搞运动方式，费时费力，让人望而却步。既不能自动自检，又不能自动加固，也不能持续管控。主要体现在：

1）缺少系统本体安全自查评估工具，难以发现问题，无法对系统本体安全状况全面了解。

2）需要人工手动进行系统安全检测和加固，不全面、工作量大、不稳定，易出现宕机影响业务。

3）没有自动化安全工具实时监控综合防护情况。安全防护实时情况不可视，对于安全问题难以预测、排查、快速响应。

根据以上特点，新能源电站要保证电力安全，必须从技术手段上、管理制度上加强防范。依据国家发改委[2014]14号令、国能安全[2015]36号文件的要求，发电企业应严格执行电站工业控制系统 “安全分区、网络专用、横向隔离、纵向认证、综合防护”的方针，在边界防护的同时，使用经国家权威机构认证的系统本体安全工具，定期完成自检、加固和持续管控，确保新能源电站系统安全。具体功能如下：

（1）非法外联和跨区互联的告警

在生产控制大区每台主机上部署主机加固软件，其网络实施探测功能实现了对非法外联和跨区互联实时监测、告警无盲点的技术目标。

（2）移动设备管控

移动设备管控技术，是通过系统本体安全综合应急响应平台对全网内主机I/O口进行控制，能够统一对优盘、移动硬盘、USB无线网卡、CDROM等移动设备进行控制和审计。

（3）操作系统加固措施的监控

在完成操作系统安全策略加固后，通过系统本体安全综合应急响应平台，实时了解掌握全网内主机安全加固策略是否全面完成。

（4）具备快速应急响应的技术手段

系统本体安全综合管控平台采用广域数据传送机制，满足应用跨区、跨系统推送实时消息的业务需求，将全网主机连接到系统本体安全综合应急响应平台，全网主机可包括中调、区调、集控、变电站、电厂等所有主机服务器。当重大安全漏洞被公布后，综合应急响应平台可快速自适应的推送安全补丁和配置安全策略，完成系统安全加固和补丁升级。

（5）安全U盘

采用芯片技术的安全优盘，具备病毒免疫和敏感数据保护功能，并且与系统本体安全综合应急响应平台联动，生产控制大区只允许授权的安全优盘使用，提升了日常运维时移动介质使用的安全性。

（6）全网主机进行实时监控

应急响应管理系统能够对全网主机进行实时监控，对主站、厂站侧生产控制大区非法外连、移动设备连接、安全加固策略、防毒库更新提供告警，报告及分析可视化。

4 电力安全发展方向

电力生产对社会生产和生活具有重大影响，电站工业控制系统要求可靠性高、实时性强、针对目前越来越集成化的自动发电控制系统，应有以下几点措施：

（1）严格树立电力安全需要本质安全的思想，将网络安全提升到质量安全的高度，严格执行各项制度，保证在电站建设、运行过程中做到处处不留隐患。

（2）建立一体化的电力安全平台体系。将本体安全综合管控平台采用广域数据传送机制，满足应用跨区、跨系统实时控制和信息业务需求，将全网主机连接到系统本体安全综合应急响应平台，全网主机可包括中调、区调、集控、变电站、电厂等所有主机服务器。对安全防护情况实时掌握，快速反应。

（3）发展具有核心自主知识产权的电站控制系统，随着全球网络安全威胁的日益严峻，在保证可靠性、实时性的同时，需要研发和配置高安全强度的国产实时内核操作系统。

（4）加强电站的智能化检测和预警措施。在电站配置本体安全自动检测工具，一键完成，在系统安全自检策略、移动设备连接控制、非法外连监控和实时措施下，保证在电站运行值班人员对于告警信息接收、系统本体安全检查能够及时获取。

（5）部署电站控制系统本体安全加固工具，保证在受到外部非法攻击时，能保证各服务器、工作站、网络设备的安全，保证控制流程和策略不发生非法修改，发电运行过程稳定，并自动生成报告。适合大规模推广和部署。

随着物联网、云计算和大数据等新一代信息技术的快速发展，工业控制系统智能化、网络化趋势日渐明显，病毒、木马等威胁向工业控制系统持续扩散，电力工业控制系统面临着日益严峻的安全形势。电力安全防护工作任重道远，需要引起足够的重视，并且根据实践的发展不断进步。