中能电力王其乐:风电场电力监控系统网络安全防护技术研究

能加App 2021年10月18日 4102

2021年10月17日-20日,2021北京国际风能大会暨展览会(CWP 2021)在北京新国展隆重召开。作为全球风电行业年度最大的盛会之一,这场由百余名演讲嘉宾和数千名国内外参会代表共同参与的风能盛会,再次登陆北京。

本届大会以“碳中和——风电发展的新机遇”为主题,历时四天,包括开幕式、主旨发言、高峰对话、创新剧场以及关于“国际成熟风电市场发展动态及投资机会”“国际新兴风电市场发展动态及投资机会”“风电设备智能运维论坛”“碳达峰碳中和加速能源转型”等不同主题的15个分论坛。能见App全程直播本次大会。

在风电设备智能运维发展论坛上,中能电力科技开发有限公司网络安全测评部主任王其乐发表了题为《风电场电力监控系统网络安全防护技术研究》的主题演讲。

以下为演讲实录:

王其乐:各位同仁下午好,今天分享一点干货给大家,讲一下为什么风电场搞网络安全。我的演讲,主要分成三个方面,第一是政策与要求,第二是目前主要的问题,第三是思路与建议。

第一点风电大发展,风电占比越来越高,光伏占比也越来越高,新能源已经成为主要的电源了。这是整个工控系统受网络攻击的统计,受网络攻击的情况越来越多这是毋庸置疑的。最典型的是乌克兰大停电,很多的事件都有相关的关联性。绕不开的话题,现在都要等保测评,这个法律的第21条,是国家实行网络安全等级保护制度,这一句话就决定了上线的应用系统都要做等保测评。

我们是新能源行业里唯一一家网络安全测评机构,也在给一些电场做测评工作。很多人说安全没有办法做,到底加多少设备才能算合规。大家就很纠结,找一些公司出一些方案,有些方案是二三十万,有些方案是一百多万,我到底应该怎么干?所以这个事情就成了很麻烦的一个事情。

我这边给大家汇报一下,所有遵循的条文是这三款,第一款36号文,永远绕不开的文件,据说在修订,目前执行的是2015版。还有2019年这个,第三个是我们部门起草的,报批刚刚过会的,预计明年颁发的,最早做这个事情的时候,业界没有什么规范,只有行业的规范,所以一口气报了六个行标,希望把等保和风电场结合起来。不要受太多别的互联网行业的感染,因为互联网行业好多,比如说阿里云防护等级非常高,如果风电场也参照的话,给风电带来很大的麻烦。所以我们提一个概念,在过保护和欠保护中间达到平衡,让既合规又不至于把大把的钱放到这上面,所以我们一直在寻求平衡的点。

这是常说的36号文,虽然大家比较熟,这是风电场建设的时候绕不开的话题,16字方针,因为真的是网络安全的指导方针。我们首先把现场的网络分区。第二点网络专用,其实很多原因出在网络专用上,因为在条文里面有一个特别严重的话是这样说的:网络应当在专用通道上使用独立的网络设备主网是一个必备条件。按要求来说,一般都要求用这个网,但是一般很难做到,要么自己拉光纤,但是好像逐渐在放开,是一个逐步的过程。第三条就是横向隔离,刚才说生产和信息之间横向隔离装置都有相关的描述,纵向主要是出厂侧,这是整个风电场网络安全的主框架。

在之前,我们跟很多电场做等保测评,基本上满足16字方针,大部分让它可以过的。但是后来发现不行了,因为整个国家制度也在变化,其实现在16字方针很多场合已经变成20字方针,只是说这个条文据说后续会有,后面有四个字综合防护,这个名词已经开始加进去了。

大家可以看一下,哪些是横向,哪些是纵向,综合防护加的设备非常多,这也是风电场纠结的点。风电场究竟搞成什么样子,有的人加一大堆,好多人说不知道加它的原因。下面给大家汇总一下,我们加哪些在等保环节上是可以过的,或者说是基本合规的。当然不排出各地的电网有一些单独的规定,大家参考执行就可以了,但是从做测评机构角度来说,这些设备加上以后满足国家相关的标准和行业标准的。

下面总结了一下现场经常看到的问题,可能很多电场也有这样的痛点。第一点网络架构不清晰,这是很麻烦的事,我见到的风电场大部分都是能把自己设备梳理清楚就很难。我到现场先说,你们网络拓扑图拿出来给我看一眼,对方很坦诚,说你要哪张?他们自己都不清楚。他说每个厂家都给留一张,都保存下来了,不知道我要哪张。有些设备资产都不知道,这是现场最大的一个风险点,所以说还有很多第三厂家放了一些系统为了远程运维的系统,放在中控室操控台下面,到后面大家都忘了。设备一扫,大家都找不着,一天检查过程中都在找设备,车都要开走了,才从桌子下面捞出设备,谁也不知道这是干什么用,所以资产清晰是第一步。

第二步是边界防护缺失,主要是生产和信息之间有直接互联性的情况,说白了没有遵守36号文的要求,基本上都是出现在什么问题?第三方厂家在远程运维时候一些情况,这个也不怪厂家的问题,因为电场太远了,太麻烦。久而久之,会出现几条线忘拔的情况。

第三就是远程运维即跨区互联的问题,漏洞是普遍存在的,但是现在有一个观点,生产性的系统漏洞不建议贸然封堵,我们的功能性有些是比较老的,我见过最早是98的系统,贸然封堵漏洞会带来无尽的烦恼。

还有制度缺失不说了,人员制度在风电领域都是缺失的,有些人把密码都上墙了,这是严重不合规的。正常来说,密码是记在脑子里,而不是放在墙上或者是记在纸上。

下面分享建设思路与建议,我们怎么做才能合规?下面梳理了几点,给大家抛砖引玉。第一点梳理资产,资产梳理的越清晰才有可能把网络安全工作做的更好。第二点边界防护做到实处,主要是梳理第三方的运维线,在这里不是埋怨运维商,有时候现场一出问题就去现场这种可能性太难了,两百多个电场怎么可能一个个跑。第三个主力加固,合规的角度来说建议大家把主要系统做一下,比如说风机的监护系统等等,做完以后对测评得分和合规有很大的帮助。还有就是入侵监测的安装,当时的描述是用了一个可字,大家可以看一下条文,入侵当时采用是可,好多厂就没有加装。但是目前按照,因为网络安全归公安系统管,不加装过起来就比较难。还有一项是网安的集中管理平台,这个对于风险来说绝大部分都装了,网络安全监测二型装置,这个都有了,所以就具备了。所以目前来说,我们的观点不一定完全准确,给大家一个参考,很多别的东西在生产区加装不加装自己选择,但是如果做了隔离、防护墙、入侵还有日志还有网络安全二级装置,等保80分以上没有问题。

 

(根据演讲速记整理,未经演讲人审核)