警惕:电气自动化设备的“异常举动”
2017年6月29日,某电厂调度自动化远动装置(录波远传业务地址主机)存在扫描调度主站安防设备端口的异常行为。这种类似“乌克兰大停电”的事故不禁让电力工作者大为吃惊,仿佛“黑客入侵”、“病毒泛滥”就在眼前。 通过分析发现,电厂运维人员按照故障录波装置(非实时业务服务器)厂家要求从装置中使用专用U盘拷贝故障录波文件时,因拷贝操作前未对专用U盘进行杀毒,导致专用U盘中的病毒传染至故障录波装置中,该U盘虽为专用U盘但未进行过杀毒,且经常用于拷贝故障录波文件时会用U盘传文件至联网的办公电脑,初步判断U盘病毒由联网的办公电脑传入。
如何防范计算机病毒、“黑客”入侵电力控制系统成为广大电力者思考的问题。
一是积极开展普法用法活动。学习《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》等,防止因自己不懂法,“一个无意的动作,却成了犯法犯罪”。一般涉及企业保密、敏感的信息不要轻易上传物联网。
二是按照网络安全防护及病毒防护要求配备自带杀毒软件的专用杀毒U盘、专用主机,定期升病毒数据库。并按照网络安全防护及病毒防护要求制定U盘使用管理制度、认真执行。
三是全面开展网络安全防护及病毒防护工作。
在电网调度主管部门许可的条件下,尽可能的要求厂家人员现场技术指导,开展计算机监控系统、继电保护信息子站业务、继电保护录波业务、水情测报系统业务、行波测距业务、OMS系统等所有Windows操作系统的设备进行全盘杀毒的工作。并定期进行网络安全防护及病毒防护工作开展情况进行验收、复查,验收。
操作系统主机尽可能的升级为Linux系统,安排相关专业人员开展已断网设备的全盘病毒查杀(应使用正版杀毒软件或杀毒U盘,并更新至最新的病毒库)、安装操作系统漏洞补丁(包括MS17-010等高危漏洞补丁)、关闭高危端口(包括135、137、138、139、445、3389等端口)及不必要的服务(包括e-mail、web、telnet、rlogin、ftp等高安全风险的通用网络服务)、关闭或拆除设备主机上不必要的硬件接口(包括软盘驱动器、光盘驱动器、USB接口、串行口、Wifi、蓝牙等)、卸载各设备中不必要的软件、删除各设备操作系统中的多余账号、关闭各设备远方控制功能、按照网络安全防护要求设置各设备的操作系统登录的用户名和密码等工作。