新型电力系统之下须加强网络安全防护能力
推进绿色低碳发展,能源电力行业承担着主力军作用。新型电力系统具有清洁低碳、安全可控、灵活高效、智能友好、开放互动等特征。总体上看,新型电力系统不再是一个单一封闭系统,而是开放、互联的网络,面临更多安全风险。而电力基础设施是国家关键基础设施的重要组成部分之一,亟需针对新情况、新问题加强网络安全防护能力。
随着新型电力系统建设的推进,在电力系统转型和重塑的进程中,新型电力系统网络安全主要面临以下风险挑战:
(一)“新电气化”公共设施平台网络安全风险
新型电力系统下终端能源消费“新电气化”进程加快,工业、建筑、交通三大领域终端用能电气化水平将从目前的30%、30%、5%提升至2060年的50%、75%、50%。从单一电力系统向综合能源系统演变,现有的电力系统将与热气管网、天然气管网、交通网络等能源链进行互联互通,形成多领域综合能源网络。
此时,新型电力系统的市场格局、市场机制、交易方式等将重塑,参与电力市场交易的主体越来越多,由于公共设施平台数据共享和交互的需要,一是对电力市场交易数据、用户隐私数据等敏感数据的完整性、保密性、可用性保护将进一步加大,存在泄密、篡改的风险;二是用电负荷以及负荷集成商、其他能源链缺乏有效的网络安全防护措施,存在安全隐患,利用其集中管控平台漏洞可操控集成商下辖的所有可调节负荷资源,进而造成电力系统故障。
(二)“智能化”分布式终端网络安全风险
新能源发展呈现出集中式与分布式并举的态势,不同投资主体的配电网、风电、光伏及电动汽车充电设施等设备接入电网,新能源、电力电子装备将出现爆炸式增长和海量接入。
电力监控系统安全边界模糊不清,如电动充电桩、智能楼宇、虚拟电厂、储能集成等新能源可调节负荷的多样化接入,新型电力系统网络空间更加庞大和复杂,分布式设备多处于无人值守的开放物理环境中,容易遭受物理利用、固件篡改等,网络暴露面日益扩大,攻击跳板增多;新型分布式终端类型繁多,数据传输方式尚未标准化,接入以无线公网为主,缺乏统一的安全防护技术标准,存在带病入网等问题;不同业务的分布式终端对电网基于分区隔离的安全防护架构带来冲击,管理难度进一步增大。
(三)“数字化”新系统、新技术网络安全风险
随着电网数字化转型,云计算、大数据、物联网、5G等新技术在电网行业中发挥越来越重要的作用。
5G、IPv6技术实现新能源及电力电子设备高速、友好接入;边缘计算、物联网等技术支撑实现就地决策与增值服务;大数据、云计算、人工智能等技术,实现可赋能生产管理和生产决策,新技术下的电力监控系统为支撑电网安全稳定运行,推进新能源及系统调节资源的可观、可测、可控能力体系建设提供技术基础。而新技术的网络安全内生隐患,如网络融合、传输安全、漏洞缺陷等,在与新型电力系统融合应用中将带来新的风险。
解决新型电力系统网络安全问题,我们应该如何来构建新型电力系统网络安全防护体系?
传统的网络安全防护体系由下至上分为管理层安全、物理层安全、网络层安全、应用层安全,针对新型电力系统风险特征,建议从常态化攻防安全、物联网安全、数据安全、新技术安全四大层面,以零事故的目标去推进,建立一体化网络安全防护体系,筑起新型电力系统网络安全防护“金钟罩”。
(一)常态化攻防安全
建立常态化攻防机制,开展技战法研究,提升系统主动防御能力。针对电力交易系统等重要对外开放系统开展常态化层层攻防。在设计阶段进行第三方组件选型、安全架构审查;在开发阶段进行源代码审计;在测试阶段进行入网安全测评;在投运阶段进行安全众测;在运行阶段进行攻防渗透、专项评估;在总结提升阶段进行技战法研究。
常态化开展网络安全监测工作,强化网络安全专业运行机制,通过电力系统网络安全监控中心开展7×24小时值班,落实网络安全异常监测和应急处置机制,确保网络安全。
(二)物联网安全
针对新型电力系统多样化业务,首先要历清职责界面,研究分布式终端统一网络安全技术标准和网络安全分区原则,构建责权清晰、高效协同的管理机制。
其次基于源代码审计、网络安全审查、入网检测的供应链管控,通过工控设备、物联网设备及协议漏洞的挖掘,防范新型电力系统终端侧漏洞、协议脆弱性等安全风险,提升系统本质安全水平。
再次要开展物联网可信计算体系的研究,基于可信计算、态势感知、工控流量基线等技术,从身份可信、程序可信、配置可信、行为可信多个层面进行检查和主动防御,保证分布式终端的可信接入,加强安全威胁智能分析和异常自动处置。
最后通过覆盖各个环节,开展“感知层防御、接入层防御、平台层防御”的多重防护手段建设,打造“精准防护、高效防护”的新型电力系统全场景网络安全防护体系,实现智能主动防御。
(三)数据安全
建立数据全生命周期安全保障体系,制定电力数据运营制度、分级分类标准和数据使用规范,贯穿数据接入安全、数据传输安全、数据存储安全、数据共享安全、数据运营安全、数据开发安全各环节。
建立并优化跨网络分区的数据安全交换通道,完善数据交换策略,通过敏感数据保护、安全审计、数据安全治理等方式智能化保障电力数据在各能源链间的安全、合规流动。
重点做好数据规划阶段、数据建设阶段、数据使用阶段的安全管控。在数据规划阶段,从信息系统的可研阶段从统一模型、数据标准和技术路线进行审查,确保符合技术要求和安全要求。在数据建设阶段,进行数据接入管控,明确数据类别、安全等级、共享条件、数据责任部门、数据责任岗位等内容。数据接入大数据平台、数据商场和统一指标库进行统一管理。在数据使用阶段,建设数据资产管理平台,针对数据使用安全,落实谁申请、谁使用、谁负责的原则;在数据汇聚数据共享、数据开放环节加强保护、加强授权审计、加强敏感数据控制保护等。
(四)新技术安全
南方电网公司以数字电网“4321+”为基础,融合“云大物移智链”等新一代技术推动数字电网业务和应用深度融合,打造新型电力系统新场景新应用。同时也进行了基于网络切片的5G物联网关键技术研究及应用等一批优秀数字新技术实践。以人工智能支撑的强大算力和先进算法,重塑数据形态,辅助智能决策,发挥数据价值,助力数字电网和新型电力系统建设。
大力推进数字新技术安全技术攻关和安全标准研究,推动建立“云大物移智链”等新技术安全检测体系。
融合新技术构建和提升相应的安全能力,统筹做好网络设施安全、应用安全、数据安全等工作。
健全新技术网络威胁信息共享联动机制,实现威胁信息共享、共治。
结语
没有网络安全就没有国家安全,没有网络安全就没有电网安全。在“双碳”战略目标的引领下,新业务、新场景、新模式层出不穷,电力系统网络安全风险不断加大。通过管理和技术层面构建新型电力系统网络安全风险管控体系,实现电力系统本质安全,为新型电力系统建设和安全稳定运行保驾护航。