2021年10月17日-20日，2021北京國際風能大會暨展覽會（CWP 2021）在北京新國展隆重召開。作為全球風電行業年度大的盛會之一，這場由百余名演講嘉賓和數千名國內外參會代表共同參與的風能盛會，再次登陸北京。

本屆大會以“碳中和——風電發展的新機遇”為主題，歷時四天，包括開幕式、主旨發言、高峰對話、創新劇場以及關于“國際成熟風電市場發展動態及投資機會”“國際新興風電市場發展動態及投資機會”“風電設備智能運維論壇”“碳達峰碳中和加速能源轉型”等不同主題的15個分論壇。能見App全程直播本次大會。

在風電設備智能運維發展論壇上，中能電力科技開發有限公司網絡安全測評部主任王其樂發表了題為《風電場電力監控系統網絡安全防護技術研究》的主題演講。

以下為演講實錄：

王其樂：各位同仁下午好，今天分享一點干貨給大家，講一下為什么風電場搞網絡安全。我的演講，主要分成三個方面，是政策與要求，第二是目前主要的問題，第三是思路與建議。

點風電大發展，風電占比越來越高，光伏占比也越來越高，新能源已經成為主要的電源了。這是整個工控系統受網絡攻擊的統計，受網絡攻擊的情況越來越多這是毋庸置疑的。典型的是烏克蘭大停電，很多的事件都有相關的關聯性。繞不開的話題，現在都要等保測評，這個法律的第21條，是國家實行網絡安全等級保護制度，這一句話就決定了上線的應用系統都要做等保測評。

我們是新能源行業里一家網絡安全測評機構，也在給一些電場做測評工作。很多人說安全沒有辦法做，到底加多少設備才能算合規。大家就很糾結，找一些公司出一些方案，有些方案是二三十萬，有些方案是一百多萬，我到底應該怎么干？所以這個事情就成了很麻煩的一個事情。

我這邊給大家匯報一下，所有遵循的條文是這三款，款36號文，永遠繞不開的文件，據說在修訂，目前執行的是2015版。還有2019年這個，第三個是我們部門起草的，報批剛剛過會的，預計明年頒發的，早做這個事情的時候，業界沒有什么規范，只有行業的規范，所以一口氣報了六個行標，希望把等保和風電場結合起來。不要受太多別的互聯網行業的感染，因為互聯網行業好多，比如說阿里云防護等級非常高，如果風電場也參照的話，給風電帶來很大的麻煩。所以我們提一個概念，在過保護和欠保護中間達到平衡，讓既合規又不至于把大把的錢放到這上面，所以我們一直在尋求平衡的點。

這是常說的36號文，雖然大家比較熟，這是風電場建設的時候繞不開的話題，16字方針，因為真的是網絡安全的指導方針。我們首先把現場的網絡分區。第二點網絡專用，其實很多原因出在網絡專用上，因為在條文里面有一個特別嚴重的話是這樣說的：網絡應當在專用通道上使用獨立的網絡設備主網是一個必備條件。按要求來說，一般都要求用這個網，但是一般很難做到，要么自己拉光纖，但是好像逐漸在放開，是一個逐步的過程。第三條就是橫向隔離，剛才說生產和信息之間橫向隔離裝置都有相關的描述，縱向主要是出廠側，這是整個風電場網絡安全的主框架。

在之前，我們跟很多電場做等保測評，基本上滿足16字方針，大部分讓它可以過的。但是后來發現不行了，因為整個國家制度也在變化，其實現在16字方針很多場合已經變成20字方針，只是說這個條文據說后續會有，后面有四個字綜合防護，這個名詞已經開始加進去了。

大家可以看一下，哪些是橫向，哪些是縱向，綜合防護加的設備非常多，這也是風電場糾結的點。風電場究竟搞成什么樣子，有的人加一大堆，好多人說不知道加它的原因。下面給大家匯總一下，我們加哪些在等保環節上是可以過的，或者說是基本合規的。當然不排出各地的電網有一些單獨的規定，大家參考執行就可以了，但是從做測評機構角度來說，這些設備加上以后滿足國家相關的標準和行業標準的。

下面總結了一下現場經�？吹降膯栴}，可能很多電場也有這樣的痛點。點網絡架構不清晰，這是很麻煩的事，我見到的風電場大部分都是能把自己設備梳理清楚就很難。我到現場先說，你們網絡拓撲圖拿出來給我看一眼，對方很坦誠，說你要哪張？他們自己都不清楚。他說每個廠家都給留一張，都保存下來了，不知道我要哪張。有些設備資產都不知道，這是現場大的一個風險點，所以說還有很多第三廠家放了一些系統為了遠程運維的系統，放在中控室操控臺下面，到后面大家都忘了。設備一掃，大家都找不著，一天檢查過程中都在找設備，車都要開走了，才從桌子下面撈出設備，誰也不知道這是干什么用，所以資產清晰是步。

第二步是邊界防護缺失，主要是生產和信息之間有直接互聯性的情況，說白了沒有遵守36號文的要求，基本上都是出現在什么問題？第三方廠家在遠程運維時候一些情況，這個也不怪廠家的問題，因為電場太遠了，太麻煩。久而久之，會出現幾條線忘拔的情況。

第三就是遠程運維即跨區互聯的問題，漏洞是普遍存在的，但是現在有一個觀點，生產性的系統漏洞不建議貿然封堵，我們的功能性有些是比較老的，我見過早是98的系統，貿然封堵漏洞會帶來無盡的煩惱。

還有制度缺失不說了，人員制度在風電領域都是缺失的，有些人把密碼都上墻了，這是嚴重不合規的。正常來說，密碼是記在腦子里，而不是放在墻上或者是記在紙上。

下面分享建設思路與建議，我們怎么做才能合規？下面梳理了幾點，給大家拋磚引玉。點梳理資產，資產梳理的越清晰才有可能把網絡安全工作做的更好。第二點邊界防護做到實處，主要是梳理第三方的運維線，在這里不是埋怨運維商，有時候現場一出問題就去現場這種可能性太難了，兩百多個電場怎么可能一個個跑。第三個主力加固，合規的角度來說建議大家把主要系統做一下，比如說風機的監護系統等等，做完以后對測評得分和合規有很大的幫助。還有就是入侵監測的安裝，當時的描述是用了一個可字，大家可以看一下條文，入侵當時采用是可，好多廠就沒有加裝。但是目前按照，因為網絡安全歸公安系統管，不加裝過起來就比較難。還有一項是網安的集中管理平臺，這個對于風險來說絕大部分都裝了，網絡安全監測二型裝置，這個都有了，所以就具備了。所以目前來說，我們的觀點不一定完全準確，給大家一個參考，很多別的東西在生產區加裝不加裝自己選擇，但是如果做了隔離、防護墻、入侵還有日志還有網絡安全二級裝置，等保80分以上沒有問題。

（根據演講速記整理，未經演講人審核）