2021年10月17日-20日,2021北京國(guó)際風(fēng)能大會(huì)暨展覽會(huì)(CWP 2021)在北京新國(guó)展隆重召開(kāi)。作為全球風(fēng)電行業(yè)年度最大的盛會(huì)之一,這場(chǎng)由百余名演講嘉賓和數(shù)千名國(guó)內(nèi)外參會(huì)代表共同參與的風(fēng)能盛會(huì),再次登陸北京。
本屆大會(huì)以“碳中和——風(fēng)電發(fā)展的新機(jī)遇”為主題,歷時(shí)四天,包括開(kāi)幕式、主旨發(fā)言、高峰對(duì)話、創(chuàng)新劇場(chǎng)以及關(guān)于“國(guó)際成熟風(fēng)電市場(chǎng)發(fā)展動(dòng)態(tài)及投資機(jī)會(huì)”“國(guó)際新興風(fēng)電市場(chǎng)發(fā)展動(dòng)態(tài)及投資機(jī)會(huì)”“風(fēng)電設(shè)備智能運(yùn)維論壇”“碳達(dá)峰碳中和加速能源轉(zhuǎn)型”等不同主題的15個(gè)分論壇。能見(jiàn)App全程直播本次大會(huì)。
在風(fēng)電設(shè)備智能運(yùn)維發(fā)展論壇上,中能電力科技開(kāi)發(fā)有限公司網(wǎng)絡(luò)安全測(cè)評(píng)部主任王其樂(lè)發(fā)表了題為《風(fēng)電場(chǎng)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)研究》的主題演講。
以下為演講實(shí)錄:
王其樂(lè):各位同仁下午好,今天分享一點(diǎn)干貨給大家,講一下為什么風(fēng)電場(chǎng)搞網(wǎng)絡(luò)安全。我的演講,主要分成三個(gè)方面,第一是政策與要求,第二是目前主要的問(wèn)題,第三是思路與建議。
第一點(diǎn)風(fēng)電大發(fā)展,風(fēng)電占比越來(lái)越高,光伏占比也越來(lái)越高,新能源已經(jīng)成為主要的電源了。這是整個(gè)工控系統(tǒng)受網(wǎng)絡(luò)攻擊的統(tǒng)計(jì),受網(wǎng)絡(luò)攻擊的情況越來(lái)越多這是毋庸置疑的。最典型的是烏克蘭大停電,很多的事件都有相關(guān)的關(guān)聯(lián)性。繞不開(kāi)的話題,現(xiàn)在都要等保測(cè)評(píng),這個(gè)法律的第21條,是國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,這一句話就決定了上線的應(yīng)用系統(tǒng)都要做等保測(cè)評(píng)。
我們是新能源行業(yè)里唯一一家網(wǎng)絡(luò)安全測(cè)評(píng)機(jī)構(gòu),也在給一些電場(chǎng)做測(cè)評(píng)工作。很多人說(shuō)安全沒(méi)有辦法做,到底加多少設(shè)備才能算合規(guī)。大家就很糾結(jié),找一些公司出一些方案,有些方案是二三十萬(wàn),有些方案是一百多萬(wàn),我到底應(yīng)該怎么干?所以這個(gè)事情就成了很麻煩的一個(gè)事情。
我這邊給大家匯報(bào)一下,所有遵循的條文是這三款,第一款36號(hào)文,永遠(yuǎn)繞不開(kāi)的文件,據(jù)說(shuō)在修訂,目前執(zhí)行的是2015版。還有2019年這個(gè),第三個(gè)是我們部門(mén)起草的,報(bào)批剛剛過(guò)會(huì)的,預(yù)計(jì)明年頒發(fā)的,最早做這個(gè)事情的時(shí)候,業(yè)界沒(méi)有什么規(guī)范,只有行業(yè)的規(guī)范,所以一口氣報(bào)了六個(gè)行標(biāo),希望把等保和風(fēng)電場(chǎng)結(jié)合起來(lái)。不要受太多別的互聯(lián)網(wǎng)行業(yè)的感染,因?yàn)榛ヂ?lián)網(wǎng)行業(yè)好多,比如說(shuō)阿里云防護(hù)等級(jí)非常高,如果風(fēng)電場(chǎng)也參照的話,給風(fēng)電帶來(lái)很大的麻煩。所以我們提一個(gè)概念,在過(guò)保護(hù)和欠保護(hù)中間達(dá)到平衡,讓既合規(guī)又不至于把大把的錢(qián)放到這上面,所以我們一直在尋求平衡的點(diǎn)。
這是常說(shuō)的36號(hào)文,雖然大家比較熟,這是風(fēng)電場(chǎng)建設(shè)的時(shí)候繞不開(kāi)的話題,16字方針,因?yàn)檎娴氖蔷W(wǎng)絡(luò)安全的指導(dǎo)方針。我們首先把現(xiàn)場(chǎng)的網(wǎng)絡(luò)分區(qū)。第二點(diǎn)網(wǎng)絡(luò)專(zhuān)用,其實(shí)很多原因出在網(wǎng)絡(luò)專(zhuān)用上,因?yàn)樵跅l文里面有一個(gè)特別嚴(yán)重的話是這樣說(shuō)的:網(wǎng)絡(luò)應(yīng)當(dāng)在專(zhuān)用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備主網(wǎng)是一個(gè)必備條件。按要求來(lái)說(shuō),一般都要求用這個(gè)網(wǎng),但是一般很難做到,要么自己拉光纖,但是好像逐漸在放開(kāi),是一個(gè)逐步的過(guò)程。第三條就是橫向隔離,剛才說(shuō)生產(chǎn)和信息之間橫向隔離裝置都有相關(guān)的描述,縱向主要是出廠側(cè),這是整個(gè)風(fēng)電場(chǎng)網(wǎng)絡(luò)安全的主框架。
在之前,我們跟很多電場(chǎng)做等保測(cè)評(píng),基本上滿足16字方針,大部分讓它可以過(guò)的。但是后來(lái)發(fā)現(xiàn)不行了,因?yàn)檎麄(gè)國(guó)家制度也在變化,其實(shí)現(xiàn)在16字方針很多場(chǎng)合已經(jīng)變成20字方針,只是說(shuō)這個(gè)條文據(jù)說(shuō)后續(xù)會(huì)有,后面有四個(gè)字綜合防護(hù),這個(gè)名詞已經(jīng)開(kāi)始加進(jìn)去了。
大家可以看一下,哪些是橫向,哪些是縱向,綜合防護(hù)加的設(shè)備非常多,這也是風(fēng)電場(chǎng)糾結(jié)的點(diǎn)。風(fēng)電場(chǎng)究竟搞成什么樣子,有的人加一大堆,好多人說(shuō)不知道加它的原因。下面給大家匯總一下,我們加哪些在等保環(huán)節(jié)上是可以過(guò)的,或者說(shuō)是基本合規(guī)的。當(dāng)然不排出各地的電網(wǎng)有一些單獨(dú)的規(guī)定,大家參考執(zhí)行就可以了,但是從做測(cè)評(píng)機(jī)構(gòu)角度來(lái)說(shuō),這些設(shè)備加上以后滿足國(guó)家相關(guān)的標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的。
下面總結(jié)了一下現(xiàn)場(chǎng)經(jīng)常看到的問(wèn)題,可能很多電場(chǎng)也有這樣的痛點(diǎn)。第一點(diǎn)網(wǎng)絡(luò)架構(gòu)不清晰,這是很麻煩的事,我見(jiàn)到的風(fēng)電場(chǎng)大部分都是能把自己設(shè)備梳理清楚就很難。我到現(xiàn)場(chǎng)先說(shuō),你們網(wǎng)絡(luò)拓?fù)鋱D拿出來(lái)給我看一眼,對(duì)方很坦誠(chéng),說(shuō)你要哪張?他們自己都不清楚。他說(shuō)每個(gè)廠家都給留一張,都保存下來(lái)了,不知道我要哪張。有些設(shè)備資產(chǎn)都不知道,這是現(xiàn)場(chǎng)最大的一個(gè)風(fēng)險(xiǎn)點(diǎn),所以說(shuō)還有很多第三廠家放了一些系統(tǒng)為了遠(yuǎn)程運(yùn)維的系統(tǒng),放在中控室操控臺(tái)下面,到后面大家都忘了。設(shè)備一掃,大家都找不著,一天檢查過(guò)程中都在找設(shè)備,車(chē)都要開(kāi)走了,才從桌子下面撈出設(shè)備,誰(shuí)也不知道這是干什么用,所以資產(chǎn)清晰是第一步。
第二步是邊界防護(hù)缺失,主要是生產(chǎn)和信息之間有直接互聯(lián)性的情況,說(shuō)白了沒(méi)有遵守36號(hào)文的要求,基本上都是出現(xiàn)在什么問(wèn)題?第三方廠家在遠(yuǎn)程運(yùn)維時(shí)候一些情況,這個(gè)也不怪廠家的問(wèn)題,因?yàn)殡妶?chǎng)太遠(yuǎn)了,太麻煩。久而久之,會(huì)出現(xiàn)幾條線忘拔的情況。
第三就是遠(yuǎn)程運(yùn)維即跨區(qū)互聯(lián)的問(wèn)題,漏洞是普遍存在的,但是現(xiàn)在有一個(gè)觀點(diǎn),生產(chǎn)性的系統(tǒng)漏洞不建議貿(mào)然封堵,我們的功能性有些是比較老的,我見(jiàn)過(guò)最早是98的系統(tǒng),貿(mào)然封堵漏洞會(huì)帶來(lái)無(wú)盡的煩惱。
還有制度缺失不說(shuō)了,人員制度在風(fēng)電領(lǐng)域都是缺失的,有些人把密碼都上墻了,這是嚴(yán)重不合規(guī)的。正常來(lái)說(shuō),密碼是記在腦子里,而不是放在墻上或者是記在紙上。
下面分享建設(shè)思路與建議,我們?cè)趺醋霾拍芎弦?guī)?下面梳理了幾點(diǎn),給大家拋磚引玉。第一點(diǎn)梳理資產(chǎn),資產(chǎn)梳理的越清晰才有可能把網(wǎng)絡(luò)安全工作做的更好。第二點(diǎn)邊界防護(hù)做到實(shí)處,主要是梳理第三方的運(yùn)維線,在這里不是埋怨運(yùn)維商,有時(shí)候現(xiàn)場(chǎng)一出問(wèn)題就去現(xiàn)場(chǎng)這種可能性太難了,兩百多個(gè)電場(chǎng)怎么可能一個(gè)個(gè)跑。第三個(gè)主力加固,合規(guī)的角度來(lái)說(shuō)建議大家把主要系統(tǒng)做一下,比如說(shuō)風(fēng)機(jī)的監(jiān)護(hù)系統(tǒng)等等,做完以后對(duì)測(cè)評(píng)得分和合規(guī)有很大的幫助。還有就是入侵監(jiān)測(cè)的安裝,當(dāng)時(shí)的描述是用了一個(gè)可字,大家可以看一下條文,入侵當(dāng)時(shí)采用是可,好多廠就沒(méi)有加裝。但是目前按照,因?yàn)榫W(wǎng)絡(luò)安全歸公安系統(tǒng)管,不加裝過(guò)起來(lái)就比較難。還有一項(xiàng)是網(wǎng)安的集中管理平臺(tái),這個(gè)對(duì)于風(fēng)險(xiǎn)來(lái)說(shuō)絕大部分都裝了,網(wǎng)絡(luò)安全監(jiān)測(cè)二型裝置,這個(gè)都有了,所以就具備了。所以目前來(lái)說(shuō),我們的觀點(diǎn)不一定完全準(zhǔn)確,給大家一個(gè)參考,很多別的東西在生產(chǎn)區(qū)加裝不加裝自己選擇,但是如果做了隔離、防護(hù)墻、入侵還有日志還有網(wǎng)絡(luò)安全二級(jí)裝置,等保80分以上沒(méi)有問(wèn)題。
|
