2018年1月8日,黑龍江省電力調控中心一側網絡安全管理平臺發出重要告警。告警來源為安達某光伏電站。告警數量從8時起持續累積,至16時達到32條,共計告警28933條次。經查,發現告警因電廠未采取嚴格管控措施,廠家人員調試后未按要求拆除測試連接網線,導致存在業務主機違規外連、跨區互連問題。原因調查完畢后,采取了斷開外網和關閉不必要的服務功能的手段進行了整改。今年8月國家能源局東北監管局通報了這則某光伏電站網絡異常情況。
時隔幾個月后,國家能源局在9月印發了《關于加強電力行業網絡安全工作的指導意見》,《意見》提出12方面30條具體要求,旨在加強電力調度機構對并網電廠涉網部分電力監控系統安全防護技術監督,強化電網和發電企業內部網絡安全技術監督。政策的出臺旨在加強電力行業網絡安全,防止不法分子利用漏洞攻擊電力設備,面對防不勝防的漏洞,需要做到疏而不漏。
隨著信息化在全行業滲透,信息安全在各個行業都至關重要,那么在同樣邁向信息化、智能化的光伏電站,應當如何做好網絡安全的防護?
光伏電力網絡安全目前有哪些防護措施
為保障電力網絡的安全性,國家和行業相關部門相繼發布了多項規定,其中較據代表性的為“中華人民共和國國家發展和改革委員會令第14號令”《電力監控系統安全防護規定》(以下簡稱“14號令”)及“《電力監控系統安全防護總體方案》(國能安全【2015】36號)”(以下簡稱“36號文”)。
14號令,第二條要求電力監控安全防護工作應當落實國家信息安全等級保護的要去,堅持“安全分區,網絡專用,橫向隔離、縱向加密”的原則,保障電力監控系統的安全。36號文提出了綜合采用防火墻、入侵檢測、主機加固、病毒防護、日志審計、統一管理等多種手段,為二次系統的安全穩定運行提供可靠環境。
與此同時將系統劃分不同的安全區,安全區間進行“橫向隔離,縱向加密”。14號令,第六條規定“生產控制大區可以分為控制區(安全區Ⅰ)和非控制區(安全區Ⅱ);管理信息大區內部在不影響生產控制大區安全的前提下,可以根據各企業不同安全要求劃分安全區。根據應用系統實際情況,在滿足總體安全要求的前提下,可以簡化安全區的設置,但是應當避免形成不同安全區的縱向交叉聯接。”據了解,安全區Ⅱ區在實際應用中可實現可控,但從電網的法律法規、實際運行中對設備的操作習慣和安全性考慮,一般設定為不可控,關鍵區域的不可控也是提高安全的重要手段。
運維當中電力網絡存在哪些漏洞
據光伏們了解,目前光伏電力網絡安全漏洞多產生于人為疏忽或貪圖簡便導致的,而在后期運維中人員行為難于監管,成為了產生網絡漏洞首要痛點:
1、光功率預測功能外接的天氣預報數據服務及技術服務存在安全漏洞,雖然在技術上進行了物理隔離,但在實際運行或維修過程中存在人為誤操作導致漏洞產生。
光伏電站在運維中光功率預測功能必須外接天氣預報數據,外接接口的同時封閉的系統就接觸到了外網,雖然在接入同時進行了物理隔離,但正向通道是可以發送數據的。氣象服務站的天氣預報數據和發電數據需要發送到采集設備上才可實現預測,所以光伏電站有功功率、無功功率自動控制系統(光伏AGC/AVC)對氣象服務站是可控的。
所以雖然在通道上進行了物理隔離、設置了防火墻,但如果出現人為誤操作,一旦黑客入侵氣象服務站,可能會導致數據泄露、篡改、假冒或盜竊,設備也有著被控制的危險。
2、人為導致進入高危工作環境,為了追求操作方便和技術需求情況下,會出現人為接入外網或使用未隔離U盤的情況,上述黑龍江電力監控事件也是由于人為疏忽造成的。
此類情況在實際中難于管理,正因為在防火墻、正向型物理隔離裝置、反向型物理隔離裝置和專線網絡的各類制約情況下,使用和維修不便,在遠程協助和各類輔助軟件極大輔助化繁為簡的情況下,人為操作才屢禁不止。
3、垃圾軟件、程序不良服務、不必要賬戶、不必要的硬件接口和網絡服務導致的安全漏洞。
具體包括主機未關閉SNTP、mDNS、DNS、NetBIOS、DHCP、SSDP等不必要服務引發的告警,輸入法、防病毒軟件誤配互聯網更新等不良訪問行為引起的告警,電量終端網絡連通測試等無價值程序行為引起的告警等。
4、錯誤的網絡結構參數、安全防護策略、用戶權限導致的安全漏洞。
具體包括業務通道參數錯配引起的通信連接被攔截,網絡結構不規范導致的網絡報文串網,硬件設計缺陷導致的通信報文無序發送,縱向加密認證裝置證書、策略等配置不準確觸發的告警等。
人為在網絡安全漏洞中作為較大的原因,是值得反思的一件事,在實際運行管理維護中應當避免貪圖一時的“方便”而錯誤操作,同時也應當加強安全防護意識。針對各種漏洞情況,運維公司在日常工作中需要做到:
1、為了加強網絡安全,防止漏洞的出現,需要加強對人員操作的管控,也可裝配服務器,登記每一個操作人員和每一步操作信號,達到監管的效果,并進行日志審計。
2、關閉SNTP、mDNS、DNS、NetBIOS、DHCP、SSDP等不必要服務,同時關閉輸入法、防病毒軟件和辦公軟件的自動聯網更新功能。
3、定期對網絡安全進行全面檢查,消除威脅、修補漏洞。
運維在實際中如何保障二次網絡安全
實際在運行中,運維公司時是如何進行網絡安全防護工作的?優得運維表示嚴格遵守國家部委有關發電廠二次網絡安全防護的有關規定,已建立、健全接入遠程監控系統的光伏電站電力監控系統安全防護管理的組織機構;組織制定、完善各光伏電站安全防護管理分級負責的責任制以及聯合防護和應急機制。
優得運維在并網等級10kV及以上的光伏電站接入遠程監控系統項目中,將符合電力調度數據網規范要求的專用網絡安全防護設備如隔離裝置、防火墻等作為接入方案的標準硬件配置。其安全防護方案包括:
1、在生產控制大區內部控制區與非控制區之間部署防火墻(或者相應的邏輯隔離設備)。
2、同屬于某一安全內的各系統之間、各不同位置的廠站網絡之間,根據需要采取了一定強度的邏輯訪問控制措施,如防火墻、VLAN等。
3、在生產控制大區和管理信息大區間部署正向安全隔離裝置和反向安全隔離裝置,其中正向安全隔離裝置用于生產控制大區到管理信息大區的非網絡方式的單向數據傳輸。反向安全隔離裝置用于從管理信息大區到生產控制大區單向數據傳輸,是管理信息大區到生產控制大區的唯一數據傳輸途徑。
4、電站如配置光功率預測服務器,則通過專用反向物理隔離裝置與氣象數據服務器相連,氣象數據服務器經過防火墻后與internet相連,光功率服務器通過防火墻與安全I區交換機相連。
優得運維將光伏電站二次網絡安全防護工作視為重中之重,不僅在接入方案實施環節有著嚴謹、符合監管要求的防護配置,在電站運行過程中,也有相應的監管、應對措施:
1、在二次網絡安全防護方案部署前由優得專職通訊專家進行接入方案審核、查漏補缺、自查自糾,在防護設備接入過程中,積極配合電網監管部門進行驗收。
2、電站現場運維負責人兼網絡安全防護員專職,每日巡檢過程中,對網絡安全防護硬件設備如隔離裝置、加密裝置、防火墻等設備目視檢查,確認其正常運行無報警;對網絡安全防護硬件設備的組網、通訊、告警進行檢查,確認其通訊正常,本地監控后臺無相關告警。
3、對并網等級高、組網方案復雜或電網監管要求嚴格的場站,優得外聘第三方信息系統安全防護單位進行評估審查,根據其評估意見進行相應整改,直至滿防護設計、監管要求。
優得運維典型10kV并網光伏電站網絡安全防護方案
華為中國智能光伏表示目前從網絡開放性講無線和光纖面臨同樣的問題,目前無線按照要求加入了安全接入區,在14號令與36號文中,對無線專網安全要求“生產控制大區的業務系統在與其他終端的縱向連接中使用無線通信網絡,應當設立安全接入區,安全接入區不是獨立分區,與生產控制大區相連時,應當采用電力專用橫向單向安全隔離裝置進行集中互聯。”
安全接入區的典型安全防護框架結構示意圖
完善合理的總體方案才可以保證無線網絡的安全,在進行無線光伏應用組網時,采用安全I/II區與III/IV 區隔離,依據14號令與36號文要求無線網絡通過安全接入區連接內網,利用1.8G寬帶集群專用通信網達到網絡專用,并在各通信點間橫向隔離。
無線在光伏應用組網總體方案
相比傳統的無線網絡組網,LTE縱向加密安全解決方案可以提升無線網絡安全。華為中國智能光伏表示TD-LTE多媒體數字集群系統Witen/eLTE,經網絡性能測試,所檢項目:結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護,檢測室結果符合信息系統安全等級保護基本要求第三級網絡安全技術的要求。
與此同時,LTE還具備易管理易維護的特點。華為中國智能光伏表示,在方案上基于用戶的QoS控制,集中管理核心網、基站、終端,做到統一網管,簡單運維,并采用軟SIM卡,大量降低故障率。
LTE縱向加密,橫向隔離和安全分區架構圖
作者:付斌
本文由專業的金屬絲網廠家"正辰公司"發布,若轉載請注明出處
