光伏(PV)系统作为电网的重要组成部分,其运行和维护越来越依赖于标准的信息技术(IT)计算和网络基础设施。然而,这种依赖性使光伏系统面临更高的脆弱性和网络攻击风险。
近日,日本媒体《产经新闻》报道,黑客劫持了大约800个太阳能发电设施远程监控设备,其中部分设备被滥用以窃取银行账户并骗取存款。黑客在网络攻击过程中接管了这些设备,以隐藏他们的在线身份。这可能是全球首例公开证实的针对太阳能电网基础设施的网络攻击。
图1 黑客劫持了光伏电站
据电子设备制造商Contec称,该公司生产的SolarView Compact远程监控设备被滥用。该设备连接到互联网,由运营发电设施的公司用来监控发电量并检测异常情况。Contec已售出约10,000台设备,但截至2020年,其中约800台设备在应对网络攻击方面存在缺陷。
据悉,攻击者利用了Palo Alto Networks在2023年6月发现的一个漏洞(CVE-2022-29303)传播Mirai僵尸网络。攻击者甚至在Youtube上发布了如何SolarView系统上利用漏洞的“教学视频”。
黑客利用该缺陷渗透远程监控设备并设置“后门”程序,使它们能够从外部进行操纵。他们操纵设备非法连接网上银行,将资金从金融机构账户转入黑客账户,从而盗取资金。Contec随后在2023年7月18日修补了该漏洞。
2024 年5月7日,Contec确认远程监控设备遭受了最新攻击,并对由此造成的不便表示歉意。该公司向发电设施运营商通报了这一问题,并敦促他们将设备软件更新到最新版本。
图2 与电网连接的光伏电站中可能存在的与网络和物理攻击相关的漏洞
攻击者此次的主要动机似乎是财务获利,而不是破坏电网运营,对光伏电站远程监控设备的攻击并未威胁到电力系统的运行,但此类攻击的潜在风险巨大。本次攻击事件中,黑客寻找的是可以用来进行敲诈勒索的计算设备,劫持这些设备与劫持工业摄像头、家用路由器或其他联网设备并无区别。如果黑客的目标转向破坏电网,由于攻击者已经成功进入系统,完全可以利用这些未打补丁的设备实施更具破坏性的攻击,例如中断电网。
在“双碳”背景下,我国正积极构建以“以新能源为主体、常规能源为备”的新型综合发电形态。太阳能凭借其特有的安全、清洁、可靠等优点,正逐渐成为中国电力供应的“主力军”。但由于光伏电站系统核心软硬件设备无法做到自主可控,同时,光伏电站电力监控系统网络安全防护薄弱,网络接入管理混乱,安全保障能力不足,一线工业控制系统使用人员信息系统及信息安全方面的知识储备不足,没有完善的突发信息安全事件应急响应措施等弊端,快速增长的光伏发电正面临日益严重的网络安全风险及威胁,急需加大工业控制系统信息安全方面的投入,全面提升工业控制系统信息安全防护水平。
网络安全等保合规建设方案
总体安全体系架构设计
威努特结合在网络安全领域大量成功案例与实践经验,根据光伏电站电力监控系统特性,总结出贴合光热发电业务需求的、符合合规性要求的光伏电站电力监控系统网络安全等保合规建设方案。该方案按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,结合国能安全〔2015〕36号《电力监控系统安全防护总体方案》要求,遵照“安全分区、网络专用、横向隔离、纵向认证”的总体防护原则,针对新能源电力监控系统,重点强化边界防护,提升内网安全监视水平,规范网络设备、主机设备、安全设备等配置要求,健全网络安全运行机制,深化全方位安全管理要求,全面实现“外部入侵有效阻断、外部干扰有效隔离、内部介入有效遏制、安全风险有效管控”的电力监控系统安全防护体系,保障新能源电力监控系统及重要数据的安全。
安全建设依据“安全分区、纵深防护、统一监控”的原则进行建设:
-
“安全分区”
“安全分区”:安全分区是电力监控系统安全防护体系的结构基础;新能源发电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(又称安全I区)和非控制区(又称安全II区)。
-
“纵深防护”
“纵深防护”:结合安全区、安全域划分结果,在制定区域边界防护措施的同时,也要在安全区、安全域内部部署异常行为、恶意代码的检测和防护措施。
-
“统一监控”
针对各安全区、安全域的防护措施、检测及审计措施建立统一的、分级的监控系统,统一监控工业控制系统的安全状况。将各业务板块的工业控制系统安全风险进行集中的展示,以风险等级的方式给出不同工业控制系统的安全风险级别,全面了解并掌握系统动态。
安全技术方案详细设计
为解决在安全技术方面面临的典型问题,提升光伏电站电力监控系统整体安全防护能力,切实满足国家层面、行业层面、企业层面的合规建设要求,安全技术方案将从光伏电站电力监控系统网络分区分域设计、安全分域边界防护、安全通信网络防护、安全计算环境防护和安全管理中心建设规划。
光伏电站电力监控系统安全防护在满足“安全分区、网络专用、横向隔离、纵向认证”基本原则的网络安全基础上,需结合国家网络安全等级保护工作的相关要求加强对电力监控系统从主机、网络设备、恶意代码防范、审计等多个层面安全防护建设工作。解决方案立足安全合规的基础上形成以“白环境”技术为核心的纵深防御技术体系:
首先,在光伏电站生产控制大区安全I区与安全II区的网络边界、光伏电站光伏监控系统与站控系统的网络边界部署工业防火墙。通过访问控制和工控协议深度解析技术,建立业务通信白名单,强化系统安全域边界的访问控制能力。在光伏电站管理信息大区的互联网边界部署工业互联防火墙。通过开启访问控制、入侵防御和病毒阻断策略,防止来自系统外部的恶意网络攻击行为,构建电力监控系统横向多道防线,建立安全区域边界“白环境”。
其次,在光伏电站安全I区核心网络部署工控安全监测与审计系统,在光伏电站安全II区系统边界处部署入侵检测系统。工控安全监测与审计系统基于工控协议深度解析技术,智能学习建立业务系统安全通信模型,实时监测网络中异常流量和行为;入侵检测系统采用一体化检测分析技术,实现对网络内部和网络外部存在的蠕虫、后门、木马、间谍软件、Web 攻击、拒绝服务等攻击进行检测和审计报警;
再次,在光伏电站主机和服务器部署工控主机卫士,通过文件白名单技术,实现对病毒和恶意代码的防范;通过安全基线加固技术,提升主机操作系统安全等级;在光伏电站部署移动介质安检站,配套专用安全U盘,通过移动介质管控、病毒查杀标签技术,强制USB移动介质进行病毒查杀,避免通过USB移动介质引入病毒,实现业务数据备份安全,建立主机安全“白环境”;
最后,在光伏电站部署安全运维管理系统、日志审计与分析系统、统一安全管理平台构建安全管理中心。通过安全运维管理系统实现运维账户的身份鉴别、权限管理和运维行为审计,保证电力监控系统的运维管理安全;通过日志审计与分析系统实现日志数据和告警数据统一收集和关联分析,保证审计日志保存12个月以上;通过统一安全管理平台实现对所有网络安全设备的状态检测和策略配置,减轻网络安全系统的运维工作量。通过统一安全管理平台实现对所有网络安全设备的状态检测和策略配置,减轻网络安全系统的运维工作量。
3.2.1 安全区域边界防护设计方案
-
分区分域防护设计方案
分区原则:根据电力监控系统业务功能,分区原则将根据控制系统中业务的重要性、实时性、业务的关联性、对现场受控设备的影响程度等,形成不同的安全防护区,确保电力企业各安全生产子系统都应置于相应的安全区域内。
按照区域划分原则,发电厂分为生产控制大区和管理信息大区,生产控制大区又可分为安全区Ⅰ和安全区Ⅱ。
分区方案:结合分区原则,并根据实际业务情况,按照重要性,划分不同的安全区域。具体划分如下图:
-
区域边界隔离防护方案
1)访问控制技术方案
防护措施:在光伏电站光伏监控系统边界、安全I区和安全II区之间部署工业防火墙。通过访问控制和工控协议深度解析技术,建立业务通信白名单,防止非法通信,实现对光伏电板监控系统的重点保护。具体部署示意图如下:
2)入侵检测技术方案
防护措施:在光伏电站安全II区站控层交换机旁路部署入侵检测系统,实现对各种攻击行为,如端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击和ATP攻击等,防止恶意代码入侵,做到早发现早报警。
具体部署位置如下:
3)安全审计技术方案
防护措施:在光伏电站安全I区站控层交换机上旁路部署工控安全监测与审计系统,实现对电力监控系统相关安全事件及操作进行审计,应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息,并对对异常行为进行监测、现场控制层设备接入网络的识别能力,并能够监视现场总线网络中的数据读取操作、数据下载操作、程序上传操作、程序下载操作、组态操作等服务,对恶意操作行为进行报警,具体部署位置如下图所示:
3.2.2 安全通信网络防护方案
结合网络安全防护情况,按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》安全通信网络防护要求,接下来将从网络架构设计方面开展整体安全通信网络防护规划设计。
-
网络架构安全强化方案
防护措施:在光伏电站管理信息大区的互联网边界部署工业互联防火墙;根据实际业务需要,设置边界隔离和访问控制策略,同时开启IPS、WAF、工业协议检测模块,实现流量双向防护,检测内网僵尸主机,抵御病毒、木马、DDOS、工业探测等攻击行为,针对黑客攻击链所有环节均可持续检测,实现L2-L7安全检测与防护;具体部署位置如下所示:
3.2.3 安全计算环境防护方案
在光伏电站的工程师站、操作员站和服务器等主机上安装工控主机卫士。从身份鉴别、访问控制、病毒防范、外设管控、日志审计等几个方面构建主机安全业务环境;部署位置如下图所示:
-
主机安全防护技术方案
防护措施:在服务器、工程师站及操作员站上部署工控主机卫士,部署位置如下图所示:
-
移动外设管控技术方案
防护措施:移动外设管控采用“移动介质安检站 +工控主机卫士+安全U盘”的闭环管控模式,构建全生命周期的移动外设管控体系。
-
移动介质安检站:移动介质安检站不受限于网络结构,灵活部署于中控室入口处,外来人员、临时接入等多来源的多类型介质均可杀毒。 -
工控主机卫士:工控主机卫士软件部署在服务器、工程师站及操作员站上,部署位置见《工控主机防护技术方案》章节部分。 -
安全U盘:安全U盘配合主机卫士使用。
3.2.4 数据备份技术方案
防护措施:在安全管理中心部署数据备份与恢复系统,对系统中的程序、数据进行备份,制定恢复策略,异地备份时可以优先考虑分公司或者上一级单位进行备份,具体部署位置如下图所示:
3.2.5 安全管理中心防护方案
结合网络安全防护情况,按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》安全管理中心防护建设要求,接下来将从系统管理、审计管理、安全管理以及集中管控等方面开展安全管理中心整体安全防护建设规划设计。
-
集中管理技术方案
防护措施:在光伏电站的安全管理中心部署一套统一安全管理平台;实现对电力监控系统网络中的防火墙、主机卫士、监测审计系统等所有安全设备进行统一管理、设备监控、日志收集和关联分析;满足等级保护安全管理中心的统一管控要求;部署位置如下图所示:
-
日志审计技术方案
防护措施:在光伏电站的安全管理中心部署一套日志审计系统,采集并存储系统内主机设备、网络设备、控制设备、安全设备的日志,并对日志进行关联分析;满足等级保护对日志进行集中存储和分析审计要求;部署位置如下图所示:
-
安全运维技术方案
防护措施:在光伏电站的安全管理中心部署一套安全运维管理系统(堡垒机),实现对系统运维账户和对象的精细化管理,并对运维过程进行日志记录,方便日后审计;满足等级保护安全管理中心中的统一运维要求;部署位置如下图所示:
图14 安全运维管理系统部署示意图
原创文章,作者:guozi,如若转载,请注明出处:https://www.sudun.com/ask/79587.html
