電子發燒友App
作者:周劼英 張曉 邵立嵩 應歡
構建新型電力系統是中國國家能源戰略的重要發展方向,保障新型電力系統的網絡安全意義重大。首先,文中深入分析了新型電力系統環境下電源結構、電網形態、業務模式、技術基礎等方面的變化引入的網絡安全風險。其次,結合現有的網絡安全防護措施,從可信接入、智能感知、精準防護、聯動響應等方面提出面向新型電力系統的網絡安全防護需求。最后,對未來新型電力系統網絡安全關鍵技術涉及的接入安全、內生安全、數據安全、通信安全、安全評估與仿真驗證等重點研究應用方向進行探討和展望。
0 引言
電力系統作為國家關鍵基礎設施,不僅關系到國家經濟安全,而且與人民生活、社會穩定密切相關。電力行業歷來高度重視網絡安全工作,自2002年以來,中國大力推進網絡安全防護建設工作,經過20多年的努力,堅持“安全分區、網絡專用、橫向隔離、縱向認證”的安全方針[1],持續推進終端安全防護能力研究與建設[2-3],深化網絡安全態勢感知平臺建設與應用[4],部署應用電力可信計算平臺[5],全面落實安全技術防護措施,強化網絡安全管理,形成了以邊界防護為要點、多道防線的縱深防御體系[6]。
近年來,隨著“碳達峰·碳中和”目標的提出和大規模新能源并網、新型儲能、可調節負荷廣泛接入,電力系統的系統結構和形態正在發生深刻變革[7-8]。
相較于傳統的電力系統,新型電力系統的系統結構更加復雜,生產組織模式趨向于源網荷儲“融合互動”[9]。數字化是新型電力系統建設發展的重要支撐[10]。依托各類數字化平臺的支撐,新型電力系統實現源網荷儲各環節協同運行、智能交互,能源流、業務流、數據流多流融合,開放程度不斷提升,參與主體更加多樣化、交互方式更加智能化、融合數據更加豐富化,也給新型電力系統帶來更多網絡安全風險[11-12]。源于終端設備、網絡設備、數字化平臺的網絡安全隱患,極易傳導至電力系統本身,從而引發重大安全事件。為了應對日益突出的網絡安全問題,提升新型電力系統的安全防護能力,本文結合當前形勢深入分析了新型電力系統面臨的網絡安全風險,探討了新型電力系統網絡安全防護需求和技術發展方向,為后續防護工作提供了參考。
1 新型電力系統的特征和網絡安全形勢
能源行業是中國實現“碳達峰、碳中和”目標的主戰場,電力行業是實現“碳達峰、碳中和”目標的主力軍[13-14]。2021年3月的中央財經委員會第九次會議上首次提出構建新型電力系統。作為“碳達峰、碳中和”的重要實現途徑,新型電力系統建設上升為國家戰略[15]。新型電力系統是以確保能源電力安全為基本前提,以滿足經濟社會高質量發展的電力需求為首要目標,以大規模新能源供給消納體系建設為主線任務,以源網荷儲多向協同、靈活互動為堅強支撐,以堅強、智能、柔性電網為樞紐平臺,以技術創新和體制機制創新為基礎保障的新時代電力系統,具備安全高效、清潔低碳、柔性靈活、智慧融合四大重要特征[16]。數字化技術的運用賦能新型電力系統實現全面感知與高度智能化運行[17],強化源、網、荷、儲各環節間的靈活協調、互聯互通,同時也給新型電力系統帶來網絡安全風險,對現有技術架構和安全防護體系產生沖擊。
1)風險暴露面不斷擴大。隨著分布式電源、儲能等分布式設備終端廣泛接入,分布式能源、電動汽車、虛擬電廠、綜合能源服務等新型業務快速涌現,能源聚合商、綜合能源服務商等多元化主體廣泛參與[18],交互主體的多樣性使得電力系統整體的安全防御關口增多,外部主體的弱安全防護能力有可能會將網絡安全風險傳導至電力系統涉控核心區域,網絡空間邊界不斷延伸,邊界安全風險陡增[19]。
2)數據安全隱患急劇增加。新型電力系統引入多元主體,新業務間的交互方式豐富多樣,由傳統單向數據采集轉變為雙向互動方式,數據流通共享、交叉訪問、協同分析的需求劇增[20],數據交互呈現數據量大、次數頻繁、數據類型多等新特點,數據共享與隱私保護矛盾凸顯,在挖掘數字價值、發展數字經濟的過程中以獲取數據為目的的內、外部攻擊呈現遞增趨勢。
3)新技術安全風險持續升級。隨著5G、人工智能、大數據、區塊鏈等新興數字技術廣泛應用[21-22],新技術本身除面臨傳統網絡攻擊的風險外,還存在終端被侵入[23]、用戶被仿冒和數據被篡改的風險[24-25]。以負荷聚合商為代表的第三方主體朝著可互聯網遠程控制方向發展,一旦負荷聚合平臺被網絡攻擊入侵,攻擊者可以惡意控制大量可調節負荷進行“群體性”破壞,可能引發重大網絡安全事件,影響電網安全、用電安全,破壞電網穩定。
在新型電力系統蓬勃發展的同時,國內外網絡安全形勢也正發生著巨大而深刻的變化。一是網絡空間競爭愈發激烈。網絡與信息安全風險向政治、經濟、文化、社會、生態、國防等領域傳導滲透,網絡空間成為沒有硝煙的戰場[26]。2021年上半年公開的高級可持續威脅(advanced persistent threat,APT)研究報告[27]顯示,政府、國防軍工、科研和能源是主要目標,電力系統日益成為國內外敵對勢力、恐怖分子破壞社會穩定、干擾經濟運行、遏制國家發展的重要攻擊對象,如圖1所示。近年來,“烏克蘭大停電”“委內瑞拉大停電”“南非電力勒索攻擊”等針對電力系統的網絡攻擊事件頻發,預計未來針對新型電力系統的網絡竊密、遠程破壞、勒索病毒等攻擊會持續增加。二是新型網絡攻擊技術不斷演進[28]。國家級、集團式攻擊方式快速發展,勒索軟件、APT攻擊等新型攻擊手段層出不窮,攻防對抗強度不斷提升,結合人工智能、社會工程等手段突破邊界防護措施對電網內部系統進行攻擊的風險越來越高,傳統的邊界防護體系面臨嚴重威脅[29-30]。
圖1 2021年上半年公開的高級可持續威脅報告涉及行業分布Fig.1 Distribution of industries involved in APT report released in first half of 2021中國高度重視基礎網絡和重要系統安全保護工作,近年來,就加強網絡安全防護作出了一系列重大決策部署。《中華人民共和國網絡安全法》和《關鍵信息基礎設施保護條例》[31]明確電力行業為國家關鍵信息基礎設施領域之一,要求對電力行業關鍵信息基礎設施實行重點保護。《中華人民共和國密碼法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》及《電力安全生產“十四五”行動計劃》[32]等一系列網絡安全法律法規和行業規范性文件陸續出臺,明確了網絡安全對新型電力系統建設具有重要作用,并提出了新的、更高的要求。
2 新型電力系統面臨的網絡安全挑戰
新型電力系統的構建深刻改變了傳統電力系統的電源結構、電網形態、業務模式和技術基礎[11-12]。以風光為代表的新能源發電占比逐步提升,海量風、光、儲等小型分布式設備接入電網,微電網、虛擬電廠等新業務場景蓬勃發展,這些變化都給電力系統帶來新的網絡安全風險。1)在電源結構方面,新能源發電新增裝機容量的占比持續提升。根據國家能源局發布的2022年全國電力工業統計數據[33],截至2022年12月底,全國累計發電裝機容量約2 560 GW,同比增長7.8%,其中,風電裝機容量約370 GW,同比增長11.2%;太陽能發電裝機容量約390 GW,同比增長28.1%。隨著電源結構的變化,能源聚合商、電網企業、發電企業、節能服務商、電力用戶等參與主體數量劇增。
電源側、電網測與負荷側的業務交叉互訪頻繁,電力系統的網絡空間邊界不斷延伸。海量分布式電源終端、設備大多處于無人值守的開放、不可信的物理環境中,網絡暴露面日益擴大,網絡攻擊跳板增多,基于物理隔離的網絡邊界安全防護措施難以深入末梢,安全責任邊界超越網絡大區邊界,以邊界防護為主的安全防護策略實施難度陡然提升[34]。例如,網絡攻擊者可以利用分布式光伏終端設備的安全漏洞,破壞設備正常運行,影響光伏出力和供電可靠性。
2)在電網形態方面,由單向逐級輸配電為主的傳統電網向包括直流電網、交直流混聯大電網、微電網和可調負荷的能源互聯網轉變,電網結構更加復雜、交互更加頻繁。同時,隨著家庭光伏、小風電等終端接入電網,以及大量存量工控終端設備,新型電力系統的終端設備呈現出型號多樣、數量巨大、結構復雜、空間分布分散等特點。聯網接入方式多樣,導致數據通信方式多樣性增大,終端身份識別認證困難,安全接入難度加大。此外,新型電力系統將與熱氣管網、天然氣管網、交通網絡等能源鏈進行復雜互聯互通,形成多領域綜合能源網絡,用電負荷、負荷集成商及其他能源鏈主體的網絡安全防護措施參差不齊,網絡攻擊者可能利用其集中管控平臺漏洞竊取用戶信息,篡改運營數據,甚至批量啟停設備。
3)在業務模式方面,分布式新能源大規模并網、精準負荷控制、新型配電網保護等新業務的應用需求,對電力通信的帶寬時延、可靠性、安全性、經濟性提出了更高的要求,需要引入安全可靠的無線通信方式解決業務接入問題。同時,各類用戶、運營商、服務商等參與電力市場交易的主體越來越多。眾多電力市場交易數據、用戶隱私數據等敏感數據將存在多鏈路傳遞、存儲、使用,多方位的數據聚合導致的數據泄露、篡改風險加劇。這對新型電力系統下數據資產的完整性、保密性、可用性提出更高的要求。此外,需求側將涌現越來越多的虛擬電廠或負荷集成商等第三方新主體,各種“光伏云”“空調云”“充電云”等新型電力市場主體涌現[19],通信網絡由封閉、可信轉向開放、不可信,部分系統和設備未納入現有監測體系,部分計算、存儲資源受限的終端無法被有效監視,現存網絡安全監測范圍尚未全面覆蓋新型電力系統各類資源,安全監測能力亟須由核心網絡向邊端和各領域業務延伸。
4)在技術基礎方面,人工智能、大數據、云計算、邊緣計算、5G等新興技術在新型電力系統中充分運用,支撐電網數據綜合分析,賦能電力數據共享利用,提升電網智能化水平,同時其內在安全問題也逐步暴露。5G通信技術是支撐能源轉型的重要戰略資源和新型基礎設施,但其虛擬化基礎設施、物聯平臺等較易遭受外部攻擊;云計算的分布性削弱了安全防護措施的可控性;區塊鏈技術由于其去中心化、開放性、防篡改和可追溯的特點,廣泛應用于實時電力交易、源網荷儲互動與多能互補等方面,但自身仍存在協議安全性、智能合約安全等方面的風險。
此外,新型電力系統的電源結構、電網形態、業務模式、技術基礎的深刻改變,對網絡安全管理職責、工作機制等都提出了新的要求。
新型電力系統涉及的運營主體涵蓋了傳統的電網、發電、售電及能源鏈相關企業,將用戶、運營商、服務商等社會多方參與者納入,在業務應用中不同程度地存在用戶身份憑據管理不合規、訪問控制策略不嚴謹、技術監督手段不全面、風險防范措施不完備等問題。現有垂直業務管理模式無法適應物聯網“萬物互聯”的發展需求,簡單“三同步”網絡安全管理無法滿足新型電力系統業務安全防護需求,迫切需要完善構建網絡安全專業管理技術支撐體系。新型電力系統構建深刻改變了傳統電力系統形態,網絡結構復雜化、邊界擴大化、攻擊形態多樣化等給電力系統帶來新的網絡安全風險,亟須提升新型電力系統網絡安全防護能力,構建適應新型電力系統的網絡安全防護體系。
3 新型電力系統網絡安全防護需求
新型電力系統建設催生大量新業態發展和新技術應用,電力系統在源、網、荷、儲各個環節都將發生重大變化、產生新的安全風險并催生新的網絡安全防護需求。與之相適應,新型電力系統的網絡安全防護需要在繼承“安全分區、網絡專用、橫向隔離、縱向認證”安全方針的基礎上,進一步圍繞可信接入、智能感知、精準防護、聯動響應等方面應用先進技術,提升網絡安全防護能力,滿足新型電力系統業務與應用安全防護需求,防范網絡攻擊風險,保障新型電力系統安全穩定運行。
1)可信接入
針對新型電力系統中分布式新能源、精準負荷控制等典型業務場景存在網絡邊界動態變化、接入對象身份不確定、接入終端工作環境不可信等因素,主體接入需采用實時身份認證和動態權限管理。在整個訪問周期內,根據接入用戶以及終端的不同業務需求對用戶進行身份合規性檢查,實時管控訪問過程中的違規行為,保證業務體驗與安全需求之間的平衡。
現有認證及準入機制通常是基于用戶與設備在網絡中的位置來判斷是否安全可信,主要適用于傳統電力系統網絡空間封閉環境中各類業務應用,但對于外部接入主體身份辨識能力不足,同時缺乏有效的動態授權管理機制。因此,需要在現有邊界安全防護基礎上研究面向新型電力系統的可信接入方案。
具體實踐的關鍵在于實時身份認證方法和動態權限管理機制。實時身份認證需要針對接入主體安全運行狀況,定義一套涉及硬件、固件、軟件和應用等整個運行環境的終端完整檢測策略,從而應對各種接入設備的可信認證,并結合可信終端的合規業務需求,基于訪問控制列表等方法構建動態權限管理機制,實現接入權限的精細化管理。
2)智能感知
日漸嚴峻的網絡安全形勢,要求新型電力系統的安全防護策略從傳統被動防御向主動防護轉變。面向未知的網絡安全風險需要主動感知并快速有效地識別和發現攻擊行為,增強防御和威懾能力,提供主動有效的全方位體系化防護。新型電力系統的源、網、荷各環節運營主體都需要建立網絡安全事件智能感知手段,對網絡安全事件進行預測、預判、預警及預控,實現對網絡安全風險的主動感知。
網絡安全事件智能感知系統需要強化聚合全域網絡安全態勢監測預警能力,擴大態勢感知范圍,增強對物聯終端、新型網絡邊界、新型第三方控制主體的安全監測分析能力,整合新型電力系統中各個主體的網絡安全態勢感知能力,匯聚全域網絡安全數據并完成統一建模,建立統一指揮、多級協同、聯動處置的網絡安全監測與響應機制,構建適應新型電力系統的網絡安全態勢感知技術架構。同時,需要完善建設電力系統專用漏洞管理、惡意代碼監測功能,并與現有的網絡安全監測功能相融合,強化終端監測感知,具備面向實戰、上下貫通、全域聯動、多源情報、快速響應的全天候網絡安全風險感知能力。
在技術實現方面,網絡安全事件智能感知系統需要深化分布式部署終端的信息采集廣度和深度,面向新型電力系統海量設備特征指紋構建統一的安全模型庫,動態監測網絡設備接入和離線的狀態,全面測繪網絡空間實體資源和虛擬資源,為智能分析奠定豐富的數據基礎。同時,可基于機器學習、知識圖譜、攻擊溯源、網絡惡意入侵誘捕等技術,采用多維安全事件數據融合技術構建智能分析模塊,精準識別異常行為及攻擊事件,實現安全分析從經驗型向智能型的轉變。構建新型電力系統網絡安全事件智能感知系統框架如圖2所示。
圖2 新型電力系統網絡安全事件智能感知系統框架Fig.2 Framework of intelligent sensing system for cyber security incidents of new power system3)精準防護新型電力系統涉及眾多業務應用場景,各種應用場景安全保護需求既有共同點,也存在較大差異,因此,面向業務場景的精準防護是保障新型電力系統網絡安全“零事故”的關鍵。如圖3所示,精準防護需要根據國家、行業網絡安全防護相關合規性要求,在對源網荷儲各環節、各主體相關網絡、系統進行綜合性安全防護的基礎上,針對業務場景差異性,制定防護措施和安全配置策略,實現業務差異化、精準化防護。
圖3 新型電力系統精準防護體系框架Fig.3 Framework of precise protection for new power system安全基線防護是精準防護的基礎,需要根據國家、電力行業網絡安全等級保護標準、要求,加強重要數據和個人信息保護,利用新技術開展網絡安全保護,構建以密碼技術、可信計算、人工智能、大數據分析等為核心的新型電力系統網絡安全防護體系。對于已認定為國家關鍵信息基礎設施的網絡、系統、設備,需要參照國家、行業關于關鍵信息基礎設施安全保護標準、要求,強化檢測評估、監測預警、應急處置、數據保護等重點保護措施,強化供應鏈安全保障工作。對于重要電力信息系統、網絡設施,需要依據電力系統安全防護要求,從基礎設施安全、體系結構安全、系統本體安全和可信安全免疫等方面落實安全防護技術措施。面向新型電力系統的精準防護,需要針對分布式新能源、分布式儲能、新一代電力調度控制、新一代負荷管理等新業務應用,圍繞智能感知、安全接入部署防護措施,確保分布式設備的安全接入和全景感知,以及邊端設備網絡安全層面的可觀測、可控制,重點分析業務特點和網絡安全風險,并采取針對性的安全防護措施,實現按需防護,進一步增強新型電力系統的安全免疫能力。
4)聯動響應新型電力系統面臨的安全威脅日漸復雜,單一的防護手段難以有效應對高等級復雜威脅,亟須打破多設備、多場景之間的“信息孤島”,構建電力系統網絡攻擊協同處置體系(如圖4所示),強化新型電力系統源網荷儲各環節間的聯防聯控,提升系統整體應對網絡威脅的能力。
圖4 電力系統網絡攻擊協同處置體系Fig.4 Coordinated disposal architecture of cyber attack on power system聯動響應需要構建新型電力系統縱向、橫向數據共享聯動能力。在縱向數據共享聯動方面,需要強化企業內各部門間的信息共享,加強集團總部與下屬單位間的網絡安全事件信息通報;在橫向數據共享聯動方面,需要建立源、網、荷、儲企業之間的威脅情報共享機制。
聯動響應需要建設新型電力系統網絡攻擊協同處置體系,協同處置體系的關鍵在于構建針對電力系統的網絡安全威脅情報基礎知識庫和智能決策引擎。當網絡安全事件發生時,基于大數據、人工智能等技術結合安全事件等級研判,綜合分析安全事件,驅動安全策略的解析、生成、更新,最終通過智能決策引擎,得出最優應急處置方案、生成應急處置任務、智能下發各防御單元、自動執行協同應急處置操作,通過智能化控制技術實現多級聯動響應與快速處置,實現集攻擊溯源、智能處置、應急恢復為一體的網絡安全智能指揮調度。同時,需要為遠程決策者提供自動化協同交互服務,從被動應對向主動自動化聯動響應轉變,從單點防護向全域防護轉變,推動新型電力系統全業務環節的快速聯動響應、排查與修復。
4 新型電力系統網絡安全技術研究應用展望
“云、大、物、移、智”等新技術的快速發展應用為電力系統的網絡安全同時帶來了挑戰和契機,電力系統網絡安全發生了重大變化。5G通信技術提升了無線遠程控制安全可靠性;嵌入式技術實現了安全組件終端部署;態勢感知技術使得安全信息采集覆蓋外圍網絡;人工智能、大數據技術提升了海量安全數據處理效率;隱私保護技術保障了電力市場交易數據全生命周期安全;資產數字化技術改進了安全檢測評估模式。基于虛擬化網絡的數字化仿真技術可模擬攻防實驗驗證安全策略有效性,電力系統網絡安全正逐步形成體系化、數字化、智能化的發展趨勢。新型電力系統網絡安全在廣度和深度快速發展的同時,安全防護關鍵技術的研究仍有很多空白之處。基于前文對新型電力系統網絡安全需求的分析,以下有價值或亟須研究、應用的安全防護技術方向值得關注。
1)分布式設備安全認證接入
隨著分布式終端設備類型、數量劇增,以及更多的新型業務涌現,傳統的基于以太網、光纖和少量設備的電力終端通信網正逐漸轉變為融合以太網、移動網絡、WIFI等多種方式混合組網模式。未來新型電力系統邊界側的安全防護應轉變以傳統邊界隔離為主的防護思路,探索區塊鏈、零信任等新技術在分布式終端設備安全接入和身份認證的應用,以應對終端設備的身份不確定性、訪問權限動態變化等安全防護挑戰。
在新型電力系統終端安全接入引入基于零信任的“云邊協同”和“邊緣智能”理念,按照“保持懷疑、動態驗證”[35-36]的原則,研究面向終端運行特征的信任度計算方法。基于多因子模糊認證技術實現多類型訪問主體身份認證,通過差異化認證策略開展終端持續信任評估,驗證用戶的身份和設備的合法性,構建細粒度的動態授權管控機制實現按需調整用戶權限。同時,識別記錄異常行為數據以保證重點數據的全過程審計,并利用可信身份和可信行為重新構建虛擬安全邊界。研究設計基于零信任的分布式終端安全接入框架,實現電力終端的安全高效接入、精細化訪問控制,發現并及時阻斷電力終端惡意控制導致的電力系統網絡攻擊,從而應對電源結構變化導致網絡邊界延伸和接入對象不確定所帶來的風險。
借鑒區塊鏈去中心化、防篡改、可追溯的安全特性,通過設計專用的數據結構和共識機制,構建適應新型電力系統的網絡信任模型,具備海量分布式終端設備數字身份數據、實時運行數據等在區塊鏈賬本上發布和維護功能。同時,研究基于智能合約的身份可信度智能評估技術,實現分布式設備的可信身份認證。
2)新型業務系統內生安全防護
與傳統的安全防護相比,新型業務應用系統的網絡安全是新型電力系統的安全底座,更加注重面向差異化場景的針對性防護。因此,從防護手段角度而言內生免疫安全更加適用。通過強化內生免疫安全技術應用,例如,利用目標系統的自身架構等內源性效應而獲得可量化設計、可驗證度量等安全功能,重點研究適用于電力關鍵信息基礎設施的安全操作系統、基于分布式終端的嵌入式可信計算、適用于調度控制的量子通信密碼、內生安全光通信等技術,保障新型電力系統業務應用安全可靠運行。從可靠性理論出發,以現有的認知水平、產品設計缺陷導致的漏洞等內生安全問題無可避免[37]。因此,新形態的業務系統內生安全有必要嘗試結合新型電力系統的特點研究擬態防御技術[38],基于分布式虛擬化的云計算技術設計構造適用于電力系統的低成本動態異構冗余構造(dynamic heterogeneous redundancy,DHR)架構,研制電力網絡邊界專用的擬態防御安防產品,開發適用于新業務應用系統的擬態防御組件,發展構建電力系統網絡空間擬態防御機制。
3)全生命周期數據安全保護
新型電力系統的建設涉及多方主體進行海量、多類數據的交互和共享,數據應用場景和參與主體日趨多樣化,電力數據助力數字經濟快速發展。同時,數據安全事件頻發,數據安全問題愈加突出,需要圍繞數據生命周期研究各個階段使用的安全保護技術。在電力數據風險預警監測方面,研究數據流量異常發現、數據安全監測分析、數據安全預警和態勢感知等技術,對數據生命周期各個過程進行監控管理。在數據資源資產化管理方面,引入智能識別技術,通過構建電力數據識別模型挖掘數據隱式關系,研究關鍵數據的甄別方法和保護策略。在多方主體交互方面,針對電力市場數據共享發布、現貨交易科學研究、政府監管等應用場景,應加強交易數據隱私防泄露,建議在同態加密、安全多方計算[39]和聯邦學習、數據匿名化、數據脫敏、差分隱私等技術方面尋求突破,在發揮數據價值的同時保證數據的可信使用。在數據存儲方面,可采取數據安全隔離和訪問控制技術,防止非常規數據訪問,并采取同態加密和可搜索加密等技術保證數據存儲的機密性和可用性。在數據銷毀安全方面,研究數據安全審計、基于密鑰銷毀的可信刪除、基于時間過期機制的數據自銷毀等技術,保障數據安全銷毀。
4)5G安全防護
5G通信技術具有“大帶寬、低時延、高可靠、廣連接”等特點[40],可實現更廣闊的覆蓋率和更穩定的網絡連接,未來將成為新型電力系統無線電力通信的普遍接入方式。目前,部分電網企業、發電企業已經陸續開展5G承載電力控制業務的試點工作。相比于傳統的光纖通信和無線專網通信,5G在核心網層引入了網絡功能虛擬化、網絡切片、網絡能力開放等新技術[41],可能導致新型電力系統面臨無線通信終端身份盜用、無線頻譜數據抗干擾能力不足、網絡切片攻擊、虛擬化攻擊等安全問題。同時,數據挖掘和量子計算也可能會對5G網絡通信數據的機密性和完整性傳輸造成威脅[42-43],給電力系統二次設備以及電網調度系統等穩定運行埋下安全隱患。
未來面向新型電力系統背景下的5G安全防護應重點探索電力涉控和非涉控業務的安全需求,關注5G終端接入加密認證及安全管控、5G網絡切片安全監測及管控、5G調控業務安全防護、5G數據完整性和機密性保護等多個方面。在關鍵技術攻關方面,應重點攻克基于零知識證明、無證書密碼、同態加密、聚合簽密等新興技術在5G通信安全加密認證、數據完整性校驗等方面的應用。基于網絡功能虛擬化(network functions virtualization,NFV)等網絡虛擬化技術實現軟硬件解耦,提高網絡安全策略的可編排性;基于軟件定義網絡(software defined network,SDN)的電力系統業務管控技術,在5G網絡與上層業務應用解耦分離的同時,實現包括分組數據連接、數據包轉換在內的多種業務動態管控機制;面向網絡切片實現數據隱私保護,防止跨切片信息的非法訪問,實現切片內數據的隱私保護。通過綜合利用上述多種技術,從物理層、網絡層、應用層等方面保證5G通信的全周期安全,提升新型電力系統的網絡通信安全防護水平。
5)安全檢測與評估
新型電力系統擁有海量設備,其軟硬件可能涉及第三方開源組件、國外元器件等,存在內置后門等潛在風險,在設備研發、制造或物流等供應鏈環節可能會被攻擊者植入惡意代碼并錨定具體業務應用場景發起網絡攻擊,進而將威脅傳至電力系統核心區域。因此,應針對新型電力系統源、網、荷、儲信息網絡和重要資產、業務應用場景,開展智能化漏洞挖掘、軟件代碼成分分析與溯源、惡意代碼檢測和風險評估技術攻關。面向電力設備協議、固件、軟件等多個層面,研究基于惡意代碼演化特征的智能漏洞挖掘技術,攻克基于自學習的源代碼漏洞靜態分析技術、基于特征碼的惡意代碼檢測技術、基于代際遺傳分析的代碼溯源技術,突破基于物理場信息的芯片安全檢測技術,構建新型電力系統網絡與業務風險評估指標體系,實現無線網絡(5G等下一代通信方式)安全評估,加強面向商用密碼應用的滲透測試技術和面向等級保護的自動化測評技術研究,提升新型電力系統的網絡安全隱患發現能力。
6)網絡安全仿真與攻防試驗
網絡攻防演練是提升網絡空間攻防能力的重要手段,網絡安全仿真驗證環境是開展網絡攻防演練、網絡風險評估分析、網絡空間安全技術驗證的重要基礎設施。因此,應重點攻克終端、協議、網絡等典型電力工控系統仿真技術,研究可適用于海量終端業務場景的終端仿真技術,掌握電力網絡安全仿真驗證環境虛實資源的統一標識和建模方法,構建各類軟硬件資源和業務系統的統一調度配置策略,支撐分布式新能源、新型電力調度控制、新型電力負荷控制等新業務場景的靶標快速搭建。研究仿真驗證環境之間的自適應級聯配置技術,實現仿真驗證環境中虛實資源的互聯互通和分布式仿真驗證環境的協同調度與統一管理。攻克面向攻擊誘捕的網絡欺騙防御技術,研究未知攻擊行為的特征采集識別方法,建設新型電力系統專用的漏洞庫與網絡攻防武器裝備,支撐新型電力系統新場景、新業務的網絡安全攻防試驗。5 結 語國家能源結構轉型和新型電力系統的構建深刻改變了電力系統的組成和架構,對現有網絡安全體系帶來巨大挑戰,對安全防護技術發展提出新的要求。
本文深入分析了新型電力系統在電源結構、電網形態、業務模式、技術基礎這4個方面的變化所帶來的網絡安全風險,從可信接入、智能感知、精準防護、聯動響應等方面應用提出了新型電力系統網絡安全防護需求,對保障新型電力系統需要研究、應用的技術進行了展望,探討提出了接入安全、內生安全、數據安全、通信安全、安全評估和仿真驗證等領域的技術研究路徑和應用方向。可以說,沒有網絡安全就沒有新型電力系統的安全。下一步,需要協同開展適用于新型電力系統的網絡安全防護體系架構設計和關鍵技術攻關,研究探索分布式新能源、分布式儲能、新型負荷控制等新業務場景的網絡安全防護方案,推進重點安全防護措施的試點與推廣,全面提升源、網、荷、儲網絡安全防護能力,保障新型電力系統安全穩定運行。
審核編輯:黃飛
工商網監
評論