从风电挖矿案看发电厂等级保护的必要性与紧迫性

近日，荷兰一名前风力发电机技术经理利用职务便利，在公司风电场内部工业网络中部署加密货币矿机及Helium节点进行“风电挖矿”并被判刑的事件，为我们敲响了警钟。这起案件不仅揭示了能源行业在物理安全、供应链管理方面存在的潜在风险，更在企业遭受勒索软件攻击的敏感恢复期发生，引发了对关键基础设施内部威胁管理的深刻反思。作为专业的网络安全等级保护测评机构，我们认为，该事件的发生充分印证了中国发电厂开展等级保护测评工作的必要性和紧迫性，也为我们深化风险评估工作提供了生动案例。

一、事件回溯：风机里的“寄生虫”与关键基础设施的脆弱性

这起案件中，被告利用其技术经理的身份和通行权限，在吉特芬风电场的变电站路由器上接入了传统加密货币矿机，在瓦尔德波尔德风电场的风力涡轮机内部安装了Helium热点设备。这种隐蔽的“搭便车”挖矿行为，表面是窃取电力，实则更深层次地暴露了工业控制系统（ICS）和运营技术（OT）网络的脆弱性。被告将未经授权的外部设备直接挂载到关键基础设施的内部网络上，形成了一个不受控的“影子IT”，其风险远超单纯的电力盗窃。更令人忧虑的是，该事件发生在Nordex公司刚刚遭受Conti勒索软件攻击的恢复期，内部威胁与外部攻击的双重压力，使得公司的应急响应成本飙升，运营恐慌加剧。法院虽未认定区块链流量为“非法添加数据”，但计算机入侵和盗窃电力的罪名已足以说明问题的严重性。

二、政策法规支撑：发电厂等级保护是强制要求

在中国，风力发电厂作为重要的能源基础设施，其网络安全建设和管理受到国家的高度重视。根据《中华人民共和国网络安全法》第二十三条规定： “国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。”
第三十三条规定： “国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。” 发电厂无疑属于关键信息基础设施范畴。

具体到等级保护测评，一系列政策法规都明确了发电厂开展等级保护工作的要求：

《电力行业网络与信息安全管理办法》（国家能源局2014年第2号令）：该办法明确了电力企业是网络与信息安全责任主体，要求按照国家网络安全等级保护制度要求，开展定级备案、测评整改等工作，建立健全网络与信息安全保障体系。
《网络安全等级保护基本要求》（GB/T 22239-2019）：该国家标准详细规定了不同等级信息系统的安全要求，是开展等级保护测评的核心依据。发电厂的工业控制系统、生产管理系统等都需要参照该标准进行安全建设和测评。
《信息安全技术网络安全等级保护定级指南》（GB/T 22240-2020）：为发电厂等关键信息基础设施提供了明确的定级指导，帮助企业正确评估自身信息系统的安全保护等级。
《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）：规定了等级保护测评的具体内容、方法和流程，确保测评工作的规范性和有效性。
《国家关键信息基础设施安全保护条例》：进一步细化了关键信息基础设施的安全保护责任，强调了运营者在安全风险评估、监测预警、应急处置等方面的义务。

这些法规政策共同构建了中国发电厂网络安全等级保护的法律框架，明确要求发电厂必须进行定级备案、安全建设和常态化测评，以有效防范网络安全风险。

三、风险评估视角：内部威胁不容忽视

本次“风电挖矿案”深刻提醒我们，在进行等级保护测评和风险评估时，绝不能忽视“内部威胁”。传统上，我们可能更多关注外部黑客攻击、恶意软件侵入等风险，但内部人员利用职务便利进行违规操作的危害同样巨大，甚至更具隐蔽性和破坏性。

物理安全与访问控制风险：风电场地理位置偏远，设备内部空间封闭，技术人员的日常维护权限为其提供了作案便利。等级保护测评应重点评估物理访问控制的有效性，包括对机房、变电站、风机塔筒等关键区域的准入机制、监控措施以及钥匙、凭证的管理。
供应链与设备管理风险：案件中，风力涡轮机内部的工业路由器和网络链路被滥用。这提示我们，在供应链采购、设备入网、资产管理环节，要加强对工业设备的安全性评估，并对其配置进行严格管理，防止“影子IT”的滋生。
工业控制网络安全风险：私接大功率矿机可能干扰风机控制电压，产生谐波，影响并网质量，对ICS精密元件造成物理威胁。而Helium热点更是直接在OT和公共互联网之间架设了不受控的桥梁，为横向移动和反向渗透提供了潜在通道。等级保护测评必须深入评估工业控制网络的分区隔离、访问控制、网络边界防护以及异常流量检测能力。
人员管理与安全意识风险：本案被告因“职业倦怠”而作案，凸显了人员背景审查、定期安全教育、内部审计以及离职管理的重要性。等级保护测评要关注人员安全管理制度的落实情况，提升全员的网络安全意识，筑牢“人”这道防线。
安全事件应急响应风险：Nordex公司在勒索攻击后仍未能及时发现并处置内部挖矿行为，说明其安全监测和应急响应机制存在短板。等级保护测评需检验企业的安全运营能力，包括日志审计、异常行为分析、威胁情报共享以及应急预案的有效性。

四、展望未来：等级保护测评是发电厂安全生产的基石

“风电挖矿案”并非孤例，它警示我们，随着工业互联网、物联网技术在能源领域的广泛应用，发电厂面临的网络安全挑战日益复杂。在新的技术背景下，等级保护测评不再是简单的合规性检查，而是发电厂保障安全生产、稳定运行、提升抗风险能力的必然选择和核心抓手。

我们作为专业的网络安全等级保护测评机构，将持续秉承严谨、客观、专业的态度，为全国各地的发电厂提供全面的等级保护测评服务，包括：

定级备案支持：协助发电厂准确识别关键信息系统，科学定级，并完成备案工作。
差距分析与风险评估：深入分析现有安全状况与等级保护要求的差距，识别内外部安全风险，特别是针对OT/IT融合环境的特殊风险。
安全设计与建设咨询：结合测评结果，为发电厂提供符合国家标准和行业特点的安全建设建议。
符合性测评与整改验证：依据测评要求，对发电厂的信息系统进行全面测评，并协助其完成安全整改，确保达到等级保护要求。
常态化安全运营服务：提供威胁监测、应急演练、安全审计等服务，帮助发电厂建立完善的常态化安全运营体系。

“大风刮来的钱”的诱惑可能难以抵挡，但通过严格的等级保护测评和持续的安全管理，我们可以有效防范“影子IT”和“内部威胁”，确保绿色能源的安全稳定输出，让风力真正为国家和人民带来福祉，而非成为不法分子牟利的工具。筑牢网络安全防线，护航能源基础设施安全，我们责无旁贷。