2018年3月28日11時(shí)45分，寧夏電力調(diào)度控制中心內(nèi)網(wǎng)安全監(jiān)視平臺(tái)出現(xiàn)大量告警，且告警數(shù)量在急劇增加。經(jīng)分析確認(rèn)，告警信息為九彩某風(fēng)電場省調(diào)接入網(wǎng)非實(shí)時(shí)縱向加密認(rèn)證裝置攔截的不符合安全策略的非法訪問，發(fā)出非法訪問的源地址為站內(nèi)風(fēng)功率預(yù)測服務(wù)器，觀察一段時(shí)間后發(fā)現(xiàn)告警數(shù)量在不斷增加并無減少跡象。寧夏電力調(diào)度控制中心按照網(wǎng)絡(luò)安全防護(hù)應(yīng)急處置措施，要求現(xiàn)場立即斷開風(fēng)功率預(yù)測服務(wù)器與調(diào)度數(shù)據(jù)網(wǎng)及站內(nèi)電力監(jiān)控監(jiān)控系統(tǒng)的全部物理連接，告警信息消失。從11時(shí)45分到14時(shí)51分?jǐn)嗑W(wǎng)，平臺(tái)共收到告警信息數(shù)量為326554條。

事件發(fā)生后，寧夏電力調(diào)度控制中心派技術(shù)人員現(xiàn)場調(diào)查，發(fā)現(xiàn)該站生產(chǎn)控制大區(qū)功率預(yù)測服務(wù)器主備機(jī)全部繞過橫向單向隔離裝置跨區(qū)互聯(lián)，且運(yùn)維廠家從互聯(lián)網(wǎng)連接到氣象服務(wù)器對功率預(yù)測服務(wù)器進(jìn)行遠(yuǎn)程運(yùn)維，互聯(lián)網(wǎng)入口防火墻，安全I(xiàn)區(qū)和安全I(xiàn)I區(qū)之間防火墻策略沒有進(jìn)行最小化配置，操作系統(tǒng)未加固，網(wǎng)絡(luò)接線混亂，拓?fù)浣Y(jié)構(gòu)沒有按照分層分區(qū)要求進(jìn)行部署。對氣象服務(wù)器、功率預(yù)測服務(wù)器主備機(jī)系統(tǒng)日志進(jìn)行分析，導(dǎo)致本次網(wǎng)絡(luò)安全事件的原因?yàn)閺S家對功率預(yù)測服務(wù)器進(jìn)行遠(yuǎn)程運(yùn)維，開啟了文件共享等功能。該站長期將電力監(jiān)控系統(tǒng)生產(chǎn)控制大區(qū)裸露于公網(wǎng)，給電網(wǎng)安全運(yùn)行帶來極大安全隱患，暴露出其運(yùn)維單位對電力監(jiān)控系統(tǒng)安全防護(hù)重要性認(rèn)識(shí)不足，對當(dāng)前國家網(wǎng)絡(luò)安全形勢認(rèn)識(shí)不清，對網(wǎng)絡(luò)攻擊產(chǎn)生的巨大破壞存在僥幸心理等諸多問題。相關(guān)通報(bào)如下：

1.安全防護(hù)管理不到位

未嚴(yán)格按照《中華人民共和國網(wǎng)絡(luò)安全法》履行相關(guān)職責(zé)，未按照國家發(fā)改委《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》和國家能源局《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案和評估規(guī)范》落實(shí)安全防護(hù)措施，對近幾年安全防護(hù)技術(shù)監(jiān)督核查出來的問題未完成整改，未落實(shí)上級(jí)調(diào)度機(jī)構(gòu)網(wǎng)絡(luò)安全防護(hù)相關(guān)要求，安全意識(shí)淡薄，安全管理流于形式。

2.安全防護(hù)實(shí)施方案未落實(shí)

現(xiàn)場電力監(jiān)控系統(tǒng)安全防護(hù)實(shí)施方案雖然通過了調(diào)度審核，但現(xiàn)場并沒有按照方案落實(shí)安全防護(hù)措施。在2017年開展的電力監(jiān)控系統(tǒng)安全防護(hù)現(xiàn)場技術(shù)監(jiān)督“回頭看”檢查后，無視新設(shè)備接入管理要求，擅自更改現(xiàn)場網(wǎng)絡(luò)連接，變更網(wǎng)絡(luò)結(jié)構(gòu)，且變更前沒有及時(shí)向調(diào)度機(jī)構(gòu)備案，變更后沒有進(jìn)行現(xiàn)場驗(yàn)收和安全評估，導(dǎo)致發(fā)生跨區(qū)互連、違規(guī)外聯(lián)等嚴(yán)重安全隱患。

3.邊界防護(hù)措施未落實(shí)

未按照“安全分區(qū)、橫向隔離”基本原則落實(shí)安全防護(hù)措施，場站內(nèi)各業(yè)務(wù)系統(tǒng)分區(qū)混亂，生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的橫向單向隔離裝置被人為旁路。整改措施落實(shí)不到位，表現(xiàn)在防火墻安全策略未配置或配置不規(guī)范，各業(yè)務(wù)系統(tǒng)IP地址劃分在同一網(wǎng)段進(jìn)行直連互通，不同分區(qū)之間的橫向隔離和訪問控制措施形同虛設(shè)。

4.運(yùn)維風(fēng)險(xiǎn)管控水平薄弱

站內(nèi)運(yùn)維人員專業(yè)技能欠缺，對本站網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備運(yùn)行等情況不熟悉;系統(tǒng)建設(shè)和日常運(yùn)維過度依賴廠商，放任技術(shù)支撐廠家長期進(jìn)行遠(yuǎn)程運(yùn)維，退役設(shè)備拆除不徹底，賬戶管理不規(guī)范，惡意代碼防范、入侵檢測、安全審計(jì)、安全加固等措施未落實(shí)，服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備空閑端口未關(guān)閉。

為進(jìn)一步加強(qiáng)電力監(jiān)控系統(tǒng)安全防護(hù)現(xiàn)場管理，要求各單位對運(yùn)維的電力監(jiān)控系統(tǒng)進(jìn)行自查自糾，重點(diǎn)核查安全防護(hù)實(shí)施方案中的安全措施落實(shí)情況，杜絕任何形式的跨區(qū)互聯(lián)、違規(guī)外聯(lián)、遠(yuǎn)程運(yùn)維等安全體系方面的隱患，確保安全防護(hù)滿足國家和行業(yè)要求。九彩某風(fēng)電場即日起立即開展以下工作：

1.九彩某風(fēng)電場立即斷開遠(yuǎn)程集控中心的數(shù)據(jù)網(wǎng)絡(luò)連接，取消九彩風(fēng)電場電力監(jiān)控系統(tǒng)安全防護(hù)涉網(wǎng)人員備案資格，重新參加培訓(xùn)考試。

2. 按照本次暴露出的問題進(jìn)行認(rèn)真分析梳理，查找網(wǎng)絡(luò)安全管理中存在的問題，健全管理制度，完善工作體系，落實(shí)人員責(zé)任，強(qiáng)化日常運(yùn)維安全管控，有針對性制定保證網(wǎng)絡(luò)安全的措施，確保類似事件不再發(fā)生。

3.對自己公司所轄全部廠站開展網(wǎng)絡(luò)安全防護(hù)自查工作，針對本次暴露的問題“舉一反三”，對照近兩年調(diào)控機(jī)構(gòu)的規(guī)定及要求、現(xiàn)場檢查整改通知單、等級(jí)保護(hù)測評整改建議等，從基礎(chǔ)設(shè)施、系統(tǒng)本體、體系結(jié)構(gòu)、安全管理、應(yīng)急措施五個(gè)方面全面梳理所轄廠站電力監(jiān)控系統(tǒng)安全防護(hù)的問題和隱患，制定整改計(jì)劃和方案，立即完成整改。

4.檢查所轄全部廠站是否按照調(diào)度機(jī)構(gòu)已審核簽字的安全防護(hù)方案落實(shí)技術(shù)及管理措施，特別要核查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，安全設(shè)備清單是否與現(xiàn)場實(shí)際一致。重新修編各場站及集控中心電力監(jiān)控系統(tǒng)安全防護(hù)實(shí)施方案并上報(bào)調(diào)度機(jī)構(gòu)審核。

5.梳理公司所轄全部廠站生產(chǎn)控制大區(qū)Windows操作系統(tǒng)主機(jī)，按照寧夏電力調(diào)控中心下發(fā)的《Windows操作系統(tǒng)安全加固指導(dǎo)手冊》進(jìn)行加固并出具加固報(bào)告。制定計(jì)劃，落實(shí)項(xiàng)目，將非安全操作系統(tǒng)更換為安全操作系統(tǒng)。九彩風(fēng)電場功率預(yù)測系統(tǒng)本次全部更換為安全操作系統(tǒng)，部署完成后經(jīng)調(diào)度機(jī)構(gòu)驗(yàn)收合格方可重新接入。

6.按照《并網(wǎng)調(diào)度協(xié)議補(bǔ)充條款》第三章第六條規(guī)定，對九彩某風(fēng)電場實(shí)施解網(wǎng)，待完成全部問題整改并經(jīng)現(xiàn)場驗(yàn)收合格后，重新組織并網(wǎng)。