毛 江
(三峡机电工程技术有限公司,四川 成都610042)
三峡集团新能源业务包括风电、光伏等电站的开发、建设、生产运营。截止至2016年底已投运的风/光累计总装机容量600万kW,覆盖23个省、自治区和直辖市,电站总数超过到100座,规划至2020年总装机容量达到2000万kW。
单个新能源电站装机容量较小、布局分散、地理位置偏远、现场交通和生活条件比较差,按项目配置运行管理人员的管理方式导致人员配置多,但现场有经验的运行人员流失严重,造成有经验的运行人员不足,现场设备监管和巡视困难,管理不规范等问题。另外,风电场的风机种类繁杂,数量大,统一的设备管理及运行管理存在诸多困难。
随着计算机和网络控制、视频数字化、网络电话、光纤通信等技术迅猛发展和日益普及,从技术上也保证了电站按数字化电站,网络控制的管理目标的实施。能源行业包括龙源电力、中广核风电、华电、大唐等发电集团目前都已在探索和尝试区域远方集中运行管理模式,即在电站实现“无人值班”、区域化集中监控及维护管理、集团化统一运营管理及专家指导的运行管理模式。
随着国家电站工业自动化、信息化技术的不断发展,电站的工业控制系统已经成为电站运行管理的重要组成部分。电站电力安全防护系统近年来开始不断加强对网络安全的防范,在技术上主要倚重“物理隔离”的方式,保障内网不受攻击。
由于电站建设过程中对电力安全防护的配置不到位,以及黑客技术、病毒技术的不断发展和蔓延,国内外越来越多的电力安全事故表明,安全事故是由于电站控制系统内部脆弱,并且通过绕过正面防护的方式来发动攻击。内部脆弱主要是指运行关键业务的服务器操作系统本身安全级别低,存在安全漏洞并未有效进行系统本体安全防护。绕过正面防护主要是以移动设备连接、非法外连、非法直连等方式绕过“物理隔离”而直接攻击内部,导致电力非法停运、电网崩溃,对工业生产造成重大的危害,对社会安全造成极大影响。
国家能源局2017年3号文《电力监控系统安全防护专项监管报告》数据显示,在体系结构安全、系统本体安全、全方位安全管理、安全应急措施、基础设施物理安全等五个方面中,系统本体安全的问题占比高达41%,是电力二次系统安全防护中最薄弱环节,建设系统本体安全综合应急响应系统对抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击,特别是抵御集团式攻击,防止电力二次系统的崩溃或瘫痪,以及由此造成的电力系统事故或大面积停电事故有着重大意义。
对安全事故调查研究得出,新能源电站的电力安全存在以下的隐患:
(1)生产控制大区违规直连或跨区互联
在能源局下发的国能安全[2015]第36号文件《电力监控系统安全防护总体方案》中,电站应划分生产大区、非生产大区,各区域之间的数据和网络必须严格隔离。
在现有的电站建设运行中,跨区互联时有发生,甚至将主机暴露于公网,发生渗透攻击的最主要原因。运维过程中,笔记本与生产控制大区服务器直连,导致恶意代码侵人生产控制大区的可能性大大增加。
(2)移动介质设备接入管控不到位
在电站计算机监控系统中,主机服务器USB、光驱、无线网卡等移动介质接口未关闭,确需保留的设备没有通过安全管理及技术措施实施严格管控,存在“摆渡”攻击风险。
对移动设备、专用调试笔记本的没有实时监视、报警及违规操作阻断,出现违规操作容易导致主机服务器被恶意代码攻击。
(3)主机操作系统口令、账户权限策略配置不当
主机操作系统存在空口令、弱口令、权限策略配置不当问题,安全策略配置不严格,容易导致未授权人员的破坏行为。
(4)主机安全加固措施不到位
主机安全加固措施不到位,未关闭生产控制大区禁止使用的网络服务和端口,网络渗透攻击主要针对通用网络服务和端口。
(5)应急响应不及时,窗口期易被攻击(补丁、端口封堵)
目前应急处置是采用人工方式进行安全补丁的升级、系统安全策略加固,需付出大量人力与时间,且不能保证在应急处置期间受到恶意代码攻击。
(6)缺乏主机实时集中监管
监管部门、上级部门的安全检查属于定期性的,不能实时统一监管,不能及时应对风险。如:
1)厂家调试过程中,U盘接入内网服务器,非法外连、非法直连。
2)缺少对恶意及未知文件进行实时控制与分析。
3)缺乏操作系统及软件高危安全漏洞、风险的实时监控。
4)无法了解防病毒软件的更新状况。
5)应用软件安装混乱(QQ、Office等),不必要的、服务开启过多,过多不必要的端口开放,过多无用账户。
6)没有主机内核级安全审计,出现事故无法查明原因。
相对于新能源场站建设快、分布广、人员少,运行管理人员上岗时间短、大量使用非安全操作系统等因素,新能源电站在安全防护工作中存在实际操作中的困难。传统安全防护方法依赖大量专业安全人员,搞运动方式,费时费力,让人望而却步。既不能自动自检,又不能自动加固,也不能持续管控。主要体现在:
1)缺少系统本体安全自查评估工具,难以发现问题,无法对系统本体安全状况全面了解。
2)需要人工手动进行系统安全检测和加固,不全面、工作量大、不稳定,易出现宕机影响业务。
3)没有自动化安全工具实时监控综合防护情况。安全防护实时情况不可视,对于安全问题难以预测、排查、快速响应。
根据以上特点,新能源电站要保证电力安全,必须从技术手段上、管理制度上加强防范。依据国家发改委[2014]14号令、国能安全[2015]36号文件的要求,发电企业应严格执行电站工业控制系统 “安全分区、网络专用、横向隔离、纵向认证、综合防护”的方针,在边界防护的同时,使用经国家权威机构认证的系统本体安全工具,定期完成自检、加固和持续管控,确保新能源电站系统安全。具体功能如下:
(1)非法外联和跨区互联的告警
在生产控制大区每台主机上部署主机加固软件,其网络实施探测功能实现了对非法外联和跨区互联实时监测、告警无盲点的技术目标。
(2)移动设备管控
移动设备管控技术,是通过系统本体安全综合应急响应平台对全网内主机I/O口进行控制,能够统一对优盘、移动硬盘、USB无线网卡、CDROM等移动设备进行控制和审计。
(3)操作系统加固措施的监控
在完成操作系统安全策略加固后,通过系统本体安全综合应急响应平台,实时了解掌握全网内主机安全加固策略是否全面完成。
(4)具备快速应急响应的技术手段
系统本体安全综合管控平台采用广域数据传送机制,满足应用跨区、跨系统推送实时消息的业务需求,将全网主机连接到系统本体安全综合应急响应平台,全网主机可包括中调、区调、集控、变电站、电厂等所有主机服务器。当重大安全漏洞被公布后,综合应急响应平台可快速自适应的推送安全补丁和配置安全策略,完成系统安全加固和补丁升级。
(5)安全U盘
采用芯片技术的安全优盘,具备病毒免疫和敏感数据保护功能,并且与系统本体安全综合应急响应平台联动,生产控制大区只允许授权的安全优盘使用,提升了日常运维时移动介质使用的安全性。
(6)全网主机进行实时监控
应急响应管理系统能够对全网主机进行实时监控,对主站、厂站侧生产控制大区非法外连、移动设备连接、安全加固策略、防毒库更新提供告警,报告及分析可视化。
电力生产对社会生产和生活具有重大影响,电站工业控制系统要求可靠性高、实时性强、针对目前越来越集成化的自动发电控制系统,应有以下几点措施:
(1)严格树立电力安全需要本质安全的思想,将网络安全提升到质量安全的高度,严格执行各项制度,保证在电站建设、运行过程中做到处处不留隐患。
(2)建立一体化的电力安全平台体系。将本体安全综合管控平台采用广域数据传送机制,满足应用跨区、跨系统实时控制和信息业务需求,将全网主机连接到系统本体安全综合应急响应平台,全网主机可包括中调、区调、集控、变电站、电厂等所有主机服务器。对安全防护情况实时掌握,快速反应。
(3)发展具有核心自主知识产权的电站控制系统,随着全球网络安全威胁的日益严峻,在保证可靠性、实时性的同时,需要研发和配置高安全强度的国产实时内核操作系统。
(4)加强电站的智能化检测和预警措施。在电站配置本体安全自动检测工具,一键完成,在系统安全自检策略、移动设备连接控制、非法外连监控和实时措施下,保证在电站运行值班人员对于告警信息接收、系统本体安全检查能够及时获取。
(5)部署电站控制系统本体安全加固工具,保证在受到外部非法攻击时,能保证各服务器、工作站、网络设备的安全,保证控制流程和策略不发生非法修改,发电运行过程稳定,并自动生成报告。适合大规模推广和部署。
随着物联网、云计算和大数据等新一代信息技术的快速发展,工业控制系统智能化、网络化趋势日渐明显,病毒、木马等威胁向工业控制系统持续扩散,电力工业控制系统面临着日益严峻的安全形势。电力安全防护工作任重道远,需要引起足够的重视,并且根据实践的发展不断进步。