在风电设备智能运维发展论坛上,中能电力科技开发有限公司网络安全测评部主任王其乐发表了题为《风电场电力监控系统网络安全防护技术研究》的主题演讲。
以下为演讲实录:
王其乐:各位同仁下午好,今天分享一点干货给大家,讲一下为什么风电场搞网络安全。我的演讲,主要分成三个方面,第一是政策与要求,第二是目前主要的问题,第三是思路与建议。
第一点风电大发展,风电占比越来越高,光伏占比也越来越高,新能源已经成为主要的电源了。这是整个工控系统受网络攻击的统计,受网络攻击的情况越来越多这是毋庸置疑的。最典型的是乌克兰大停电,很多的事件都有相关的关联性。绕不开的话题,现在都要等保测评,这个法律的第21条,是国家实行网络安全等级保护制度,这一句话就决定了上线的应用系统都要做等保测评。
我们是新能源行业里唯一一家网络安全测评机构,也在给一些电场做测评工作。很多人说安全没有办法做,到底加多少设备才能算合规。大家就很纠结,找一些公司出一些方案,有些方案是二三十万,有些方案是一百多万,我到底应该怎么干?所以这个事情就成了很麻烦的一个事情。
我这边给大家汇报一下,所有遵循的条文是这三款,第一款36号文,永远绕不开的文件,据说在修订,目前执行的是2015版。还有2019年这个,第三个是我们部门起草的,报批刚刚过会的,预计明年颁发的,最早做这个事情的时候,业界没有什么规范,只有行业的规范,所以一口气报了六个行标,希望把等保和风电场结合起来。不要受太多别的互联网行业的感染,因为互联网行业好多,比如说阿里云防护等级非常高,如果风电场也参照的话,给风电带来很大的麻烦。所以我们提一个概念,在过保护和欠保护中间达到平衡,让既合规又不至于把大把的钱放到这上面,所以我们一直在寻求平衡的点。
这是常说的36号文,虽然大家比较熟,这是风电场建设的时候绕不开的话题,16字方针,因为真的是网络安全的指导方针。我们首先把现场的网络分区。第二点网络专用,其实很多原因出在网络专用上,因为在条文里面有一个特别严重的话是这样说的:网络应当在专用通道上使用独立的网络设备主网是一个必备条件。按要求来说,一般都要求用这个网,但是一般很难做到,要么自己拉光纤,但是好像逐渐在放开,是一个逐步的过程。第三条就是横向隔离,刚才说生产和信息之间横向隔离装置都有相关的描述,纵向主要是出厂侧,这是整个风电场网络安全的主框架。
在之前,我们跟很多电场做等保测评,基本上满足16字方针,大部分让它可以过的。但是后来发现不行了,因为整个国家制度也在变化,其实现在16字方针很多场合已经变成20字方针,只是说这个条文据说后续会有,后面有四个字综合防护,这个名词已经开始加进去了。
大家可以看一下,哪些是横向,哪些是纵向,综合防护加的设备非常多,这也是风电场纠结的点。风电场究竟搞成什么样子,有的人加一大堆,好多人说不知道加它的原因。下面给大家汇总一下,我们加哪些在等保环节上是可以过的,或者说是基本合规的。当然不排出各地的电网有一些单独的规定,大家参考执行就可以了,但是从做测评机构角度来说,这些设备加上以后满足国家相关的标准和行业标准的。
下面总结了一下现场经常看到的问题,可能很多电场也有这样的痛点。第一点网络架构不清晰,这是很麻烦的事,我见到的风电场大部分都是能把自己设备梳理清楚就很难。我到现场先说,你们网络拓扑图拿出来给我看一眼,对方很坦诚,说你要哪张?他们自己都不清楚。他说每个厂家都给留一张,都保存下来了,不知道我要哪张。有些设备资产都不知道,这是现场最大的一个风险点,所以说还有很多第三厂家放了一些系统为了远程运维的系统,放在中控室操控台下面,到后面大家都忘了。设备一扫,大家都找不着,一天检查过程中都在找设备,车都要开走了,才从桌子下面捞出设备,谁也不知道这是干什么用,所以资产清晰是第一步。
第二步是边界防护缺失,主要是生产和信息之间有直接互联性的情况,说白了没有遵守36号文的要求,基本上都是出现在什么问题?第三方厂家在远程运维时候一些情况,这个也不怪厂家的问题,因为电场太远了,太麻烦。久而久之,会出现几条线忘拔的情况。
第三就是远程运维即跨区互联的问题,漏洞是普遍存在的,但是现在有一个观点,生产性的系统漏洞不建议贸然封堵,我们的功能性有些是比较老的,我见过最早是98的系统,贸然封堵漏洞会带来无尽的烦恼。
还有制度缺失不说了,人员制度在风电领域都是缺失的,有些人把密码都上墙了,这是严重不合规的。正常来说,密码是记在脑子里,而不是放在墙上或者是记在纸上。
下面分享建设思路与建议,我们怎么做才能合规?下面梳理了几点,给大家抛砖引玉。第一点梳理资产,资产梳理的越清晰才有可能把网络安全工作做的更好。第二点边界防护做到实处,主要是梳理第三方的运维线,在这里不是埋怨运维商,有时候现场一出问题就去现场这种可能性太难了,两百多个电场怎么可能一个个跑。第三个主力加固,合规的角度来说建议大家把主要系统做一下,比如说风机的监护系统等等,做完以后对测评得分和合规有很大的帮助。还有就是入侵监测的安装,当时的描述是用了一个可字,大家可以看一下条文,入侵当时采用是可,好多厂就没有加装。但是目前按照,因为网络安全归公安系统管,不加装过起来就比较难。还有一项是网安的集中管理平台,这个对于风险来说绝大部分都装了,网络安全监测二型装置,这个都有了,所以就具备了。所以目前来说,我们的观点不一定完全准确,给大家一个参考,很多别的东西在生产区加装不加装自己选择,但是如果做了隔离、防护墙、入侵还有日志还有网络安全二级装置,等保80分以上没有问题。
(根据演讲速记整理,未经演讲人审核)
