GBT-《光伏逆变器信息处理保护技术要求编制说明》

国家标准《光伏逆变器信息处理保护技术要求》

（征求意见稿）编制说明

一、工作简况

1、任务来源

根据《国家标准化管理委员会关于下达2024年第七批推荐性国家标准计划及相关标准外文

版计划的通知》（国标委发〔2024〕44号）,《光伏逆变器信息处理保护技术要求》国家标准(计

划号:20242963-T-339)，由中国电子技术标准化研究院、之江实验室、华为数字能源技术有限

公司、阳光电源股份有限公司牵头起草,全国太阳光伏能源系统标准化技术委员会(SAC/TC90)归

口管理。

2、制定背景

近年来，网络攻击对电力行业的造成了巨大威胁，攻击类型分为勒索病毒、DDoS攻击、APT

攻击、漏洞、恶意软件等。德国TUV莱茵实验室实验发现，针对逆变器的黑客攻击也可以对电网

运营商造成严重影响。黑客不仅可以掩盖设备的真实工作状态，还可能导致逆变器工作异常，在

最糟糕的情况下，可能会迫使电网频率骤升或骤降，从而导致停电。

各厂商的终端产品和云端平台种类多样，但没有规范的信息安全要求，光伏系统运营单位

管理困难且存在安全隐患；产品安全水平参差不齐，存在水桶效益，是系统中的安全短板，尚未

解决的安全风险体现在如下几个方面：

网络安全：接入未认证，通信未保护

数据安全：数据易泄漏，数据未加密

软件安全：相同的初始密码，远程固件升级风险

控制安全：控制协议未进行安全加固，易被重放攻击

目前，关于光伏逆变器的信息安全保护要求欠缺，相关光伏系统运营单位及个人用户、设

备研发单位、电网运营单位在对光伏逆变器进行信息安全保护时，缺乏相关的安全规范参考。

然而目前针对光伏发电的技术要求，多数集中在物理安全的方面，已有如GB/T37408《光

伏发电并网逆变器技术要求》、NB/T32004《光伏并网逆变器技术规范》、IEC62109系列标准

等各类规范提出了光伏逆变器的电击防护、能量危险保护、温度限值、机械防护、着火防护、噪

声等物理安全的相关技术要求，但未针对新型智能光伏逆变器提出明确的信息安全规定，尤其是

针对具备通信及远程监控功能的光伏逆变器，现有规范缺乏详细的、全面的规定。

1

基于上述的安全风险和标准规范现状，拟制定“光伏逆变器信息安全保护基本要求”。该标

准从网络安全、数据安全、软件安全、控制安全等角度出发，针对各类具备通讯功能的逆变器，

提出基本技术要求与规范，规范产品的安全技术指标，提升安全防护能力

3、起草过程

2024年3月，中国电子技术标准化研究院召集之江实验室、华为数字能源技术有限公司、

阳光电源股份有限公司共同编写国标申报材料，参加国标委组织的标准答辩。

2024年9月，根据《国家标准化管理委员会关于下达2024年第七批推荐性国家标准计划及

相关标准外文版计划的通知》（国标委发〔2024〕44号）要求，国家标准《光伏逆变器信息处理

保护技术要求》正式立项。

2024年10月，公开征集编制组，联合之江实验室、华为数字能源技术有限公司、阳光电源

股份有限公司、华能集团江苏分公司、华润电力技术研究院有限公司、浙江省白马湖实验室、中

认南信（江苏）检测技术有限公司、中国质量认证中心有限公司、南京邮电大学等专家代表共同

参与编制，讨论了标准制定的草案，确定了标准内容及编写分工，落实了标准的进度安排。

2024年10月-11月，标准编制组在中国光伏协会团体标准T/CPIA0070—2024《光伏逆变

器信息安全保护技术要求》的基础上，进行讨论和技术条款更新，形成了标准初稿。

2024年11月26日，在南京组织召开标准启动会，

2024年12月，开展标准试验验证。

2025年1月3日，标委会在南京华能南京电厂组织召开《标准》内部讨论会，形成征求意

见稿和相应的编制说明。

二、标准编制原则、主要内容及确定依据

1、编制原则

本标准以科学性、合理性和可行性为原则。

本标准严格遵照GB/T1.1-2020《标准化工作导则第1部分标准化文件的结构和起草规

则》的有关规定起草。

本标准规定了并网逆变器信息处理保护应满足的技术要求，包含访问控制、控制安全、应

用安全、系统安全、数据安全、安全审计，为光伏逆变器的设计和研制提供全面依据。

2、主要内容

本标准规定了晶体硅光伏组件报废评价的总则、评价技术要求、评价方法和评价报告，其

他类型的光伏组件也可参照执行。

本标准适用于光伏发电系统中在役光伏组件的报废评价，其它废弃光伏组件的评价也可参

照执行。

主要规定了逆变器按使用场景分类可分为A类、B类和C类，逆变器信息处理保护功能分

为基本要求、进阶要求和增强要求。A类逆变器应满足基本要求，B类逆变器应满足基本要求和

进阶要求，C类逆变器应同时满足基本要求、进阶要求和增强要求。后续所有的详细的技术标准

要求均按照基本要求、进阶要求和增强要求的原则进行分级规定。

第6章“访问控制”，主要规定了逆变器的边界防护、身份认证和凭据管理的要求；第7

章“控制安全”，主要规定了逆变器的控制协议安全机制、指令安全审计和时间同步的要求；第

8章“应用安全”，主要规定了软件开发安全、漏洞管理和使用说明书的要求。；第9章“系统安

全”，主要规定了安全启动和安全升级的要求；第10章“数据安全”，主要规定了安全通信、数

据加密及保护、用户数据保护的技术要求；第11、12章，主要规定了逆变器安全审计和数字证

书管理的技术要求。

3、编制过程中解决的主要问题

（1）针对存量光伏发电系统中在役光伏组件，设计精准识别故障组件的评价流程，最大程

度确保故障组件识别不遗漏，避免因光伏组件安全风险造成的系统直接性破坏损失，大幅降低因

光伏组件性能衰减造成的系统间接性收益损失。

（2）针对精准定位到的单块光伏组件，结合故障组件识别过程中的检测手段，明确存量电

站中报废组件的评价要求及评价方法，以确保应当报废及可以报废的故障组件的评价实施。

三、试验验证情况及预期的效益

1、试验验证情况

以下测试结果根据标准要求验证。

1）验证对象

此次验证主要针对光伏逆变器。

逆变器照片

2）验证依据

光伏逆变器信息处理保护技术要求

3）验证流程

按照标准要求对逆变器的信息保护能力进行验证。

4）验证结果与分析

4.1无额外的外部物理接口

4.2不使用的服务默认关闭

4.3近端无线WIFI支持关闭

4.4外部访问接口均有认证机制

5、逆变器剧本防暴力破解机制

6、逆变器首次登录强制设置新密码

7、用户修改密码需要验证旧口令

8、用户设置密码必须满足复杂度要求

9、逆变器资料中描述了通信端口相关信息

10、逆变器资料中提供了默认账号清单

11、逆变器支持软件包的完整性校验，非法软件包无法升级

12、逆变器支持版本防回退机制

13、逆变器网络通信采用安全的TLS通信协议

14、逆变器的敏感数据在界面非明文显示

15、用户对逆变器的维护操作均拥有日志记录

日志导出：

清除用户数据：

修改WiFi密码：

登录、登出

恢复出厂设置

16、证书过期有告警提示

17、逆变器支持证书更新功能

18、证书更换会校验证书格式

19、逆变器支持不同用户的权限区分

安装商

用户

20、日志中未记录用户名敏感信息

21、逆变器未提供日志删除能力

22、日志存满会循环覆盖

23、逆变器具备时间同步能力

24、逆变器软件包中不存储用于认证凭据的密码

25、提供了相关的安全配置指导

26、支持漏洞的公开查阅，及时披露

2、预期效益

（1）预期作用：有利于光伏逆变器行业形成统一的信息处理保护意识，提升中国逆变器整

体网络安全水平。进一步提升中国光伏逆变器在海外市场的竞争力。

（2）社会效益：引导企业提升光伏逆变器信息处理保护能力，保障大型电站、分布式电站

的安全运行。指导运营商进行合理选型。为第三方检测机构提供检测依据。

（3）经济效益：光伏产业的快速发展，将催生出大量的检测需求，形成光伏逆变器行业信

息处理保护检测认证市场。同时为制造商提供产品开发测试依据，提升研发效率，降低成本。

四、与国际国外同类标准对比情况

国际标准方面，IEC62443系列标准，用于规范工业控制设备如（DCS、PLC）全生命周期

的信息保护，但因需覆盖多个产品类型，对逆变器的具体实现方案不清晰。IEC62109系列标准，

规定了光伏逆变器的电击防护、能量危险保护，未涉及信息处理保护。

国外标准方面，ETSIEN303645标准，用于规范接入物联网相关设备的网络安全，但缺

乏逆变器特有的控制指令保护等方面的安全要求，UL2941是国外首个针对新能源发电信息保护

的标准，其标准的适用对象是电站本体而非逆变器。

国内标准方面，仅有中国光伏协会团体标准T/CPIA0070—2024《光伏逆变器信息安全保

护技术要求》已发布。

五、采用国际国外标准情况

无

六、与有关法律、行政法规及相关标准的协调性

《标准》与有关法律、行政法规及相关标准相协调一致。

七、重大分歧意见的处理过程及依据

无重大分歧意见。

八、涉及专利的有关说明

无。

九、实施国家标准的要求及措施

标准批复后，建议秘书处组织标准在行业内的宣贯和培训，提高标准的应用程度，扩大标准

的应用领域。建议实施日期批复后6个月。

十、其它应予说明的事项

无。

标准编制组

2025年1月

国家标准《光伏逆变器信息处理保护技术要求》

（征求意见稿）编制说明

一、工作简况

1、任务来源

根据《国家标准化管理委员会关于下达2024年第七批推荐性国家标准计划及相关标准外文

版计划的通知》（国标委发〔2024〕44号）,《光伏逆变器信息处理保护技术要求》国家标准(计

划号:20242963-T-339)，由中国电子技术标准化研究院、之江实验室、华为数字能源技术有限

公司、阳光电源股份有限公司牵头起草,全国太阳光伏能源系统标准化技术委员会(SAC/TC90)归

口管理。

2、制定背景

近年来，网络攻击对电力行业的造成了巨大威胁，攻击类型分为勒索病毒、DDoS攻击、APT

攻击、漏洞、恶意软件等。德国TUV莱茵实验室实验发现，针对逆变器的黑客攻击也可以对电网

运营商造成严重影响。黑客不仅可以掩盖设备的真实工作状态，还可能导致逆变器工作异常，在

最糟糕的情况下，可能会迫使电网频率骤升或骤降，从而导致停电。

各厂商的终端产品和云端平台种类多样，但没有规范的信息安全要求，光伏系统运营单位

管理困难且存在安全隐患；产品安全水平参差不齐，存在水桶效益，是系统中的安全短板，尚未

解决的安全风险体现在如下几个方面：

网络安全：接入未认证，通信未保护

数据安全：数据易泄漏，数据未加密

软件安全：相同的初始密码，远程固件升级风险

控制安全：控制协议未进行安全加固，易被重放攻击

目前，关于光伏逆变器的信息安全保护要求欠缺，相关光伏系统运营单位及个人用户、设

备研发单位、电网运营单位在对光伏逆变器进行信息安全保护时，缺乏相关的安全规范参考。

然而目前针对光伏发电的技术要求，多数集中在物理安全的方面，已有如GB/T37408《光

伏发电并网逆变器技术要求》、NB/T32004《光伏并网逆变器技术规范》、IEC62109系列标准

等各类规范提出了光伏逆变器的电击防护、能量危险保护、温度限值、机械防护、着火防护、噪

声等物理安全的相关技术要求，但未针对新型智能光伏逆变器提出明确的信息安全规定，尤其是

针对具备通信及远程监控功能的光伏逆变器，现有规范缺乏详细的、全面的规定。

1

基于上述的安全风险和标准规范现状，拟制定“光伏逆变器信息安全保护基本要求”。该标

准从网络安全、数据安全、软件安全、控制安全等角度出发，针对各类具备通讯功能的逆变器，

提出基本技术要求与规范，规范产品的安全技术指标，提升安全防护能力

3、起草过程

2024年3月，中国电子技术标准化研究院召集之江实验室、华为数字能源技术有限公司、

阳光电源股份有限公司共同编写国标申报材料，参加国标委组织的标准答辩。

2024年9月，根据《国家标准化管理委员会关于下达2024年第七批推荐性国家标准计划及

相关标准外文版计划的通知》（国标委发〔2024〕44号）要求，国家标准《光伏逆变器信息处理

保护技术要求》正式立项。

2024年10月，公开征集编制组，联合之江实验室、华为数字能源技术有限公司、阳光电源

股份有限公司、华能集团江苏分公司、华润电力技术研究院有限公司、浙江省白马湖实验室、中

认南信（江苏）检测技术有限公司、中国质量认证中心有限公司、南京邮电大学等专家代表共同

参与编制，讨论了标准制定的草案，确定了标准内容及编写分工，落实了标准的进度安排。

2024年10月-11月，标准编制组在中国光伏协会团体标准T/CPIA0070—2024《光伏逆变

器信息安全保护技术要求》的基础上，进行讨论和技术条款更新，形成了标准初稿。

2024年11月26日，在南京组织召开标准启动会，

2024年12月，开展标准试验验证。

2025年1月3日，标委会在南京华能南京电厂组织召开《标准》内部讨论会，形成征求意

见稿和相应的编制说明。

二、标准编制原则、主要内容及确定依据

1、编制原则

本标准以科学性、合理性和可行性为原则。

本标准严格遵照GB/T1.1-2020《标准化工作导则第1部分标准化文件的结构和起草规

则》的有关规定起草。

本标准规定了并网逆变器信息处理保护应满足的技术要求，包含访问控制、控制安全、应

用安全、系统安全、数据安全、安全审计，为光伏逆变器的设计和研制提供全面依据。

2、主要内容

本标准规定了晶体硅光伏组件报废评价的总则、评价技术要求、评价方法和评价报告，其

他类型的光伏组件也可参照执行。

本标准适用于光伏发电系统中在役光伏组件的报废评价，其它废弃光伏组件的评价也可参

照执行。

主要规定了逆变器按使用场景分类可分为A