以新能源為主體的新型電力系統網絡安全保護技術研究

白彪，肖鵬

（云南電網有限責任公司信息中心，云南 昆明 650000）

0 前言

隨著能源需求的不斷增長和環境問題的日益嚴重，新能源作為一種綠色、清潔、可持續的能源形式，已經成為人們研究和使用的重點之一。建設新型電力系統是消納新能源的重要舉措，南方電網提出以智能、數字電網承載建設新型電力系統，通過能量流、信息流的交互保證新能源的安全、可靠、經濟消納。由于新型電力系統對信息交互提出了更高要求，因此網絡安全成為新型電力系統建設和運行的重要挑戰。因此，本文旨在探討面向新能源的新型電力系統網絡安全防護研究方案，以確保其可靠、安全、高效地運行。

1 新型電力系統的發展現狀和面臨的網絡安全威脅

在新型電力系統的建設和運行過程中，面臨的網絡安全威脅主要有以下幾個方面：

1）物理安全威脅：新型電力系統使用了更加先進的設備和技術，如智能傳感器、可編程控制器等，這些設備和技術的安全性對系統的穩定運行至關重要。然而，這些設備和技術也面臨著被物理攻擊、惡意破壞的風險。

2）網絡安全威脅：新型電力系統基于信息化技術，將傳統電力系統與網絡技術相結合，提高了電網的可靠性和智能化程度。然而，這也意味著電網面臨著來自網絡的安全威脅，如黑客攻擊、網絡病毒等。

3）數據安全威脅：新型電力系統需要大量的數據交換和處理，這些數據包括電力數據、用戶數據、設備狀態數據等。這些數據的安全性對于新型電力系統的運行至關重要，但這些數據也面臨著被竊取、篡改、破壞的風險。

4）供應鏈安全風險：新型電力系統的設備和技術需要從供應商處獲得，供應商的安全性也對系統的安全性產生著直接影響。如果供應商的設備或技術存在漏洞，那么就會導致整個電力系統面臨著安全威脅。

5）人為因素威脅：無論是傳統電力系統還是新型電力系統，人為因素都是電網安全的重要組成部分。員工的錯誤操作、管理人員的疏忽大意、惡意內部人員等都會對新型電力系統的安全性產生影響。

2 新型電力系統網絡安全防護研究方案

新型電力系統建設催生大量新業態發展和新技術應用，電力系統在源、網、荷、儲各個環節都將發生重大變化、產生新的安全風險并催生新的網絡安全保護需求。為了適應廣泛互聯、融合共享的網絡形勢，新型電力系統的網絡安全防護需要在繼承“安全分區、網絡專用、橫向隔離、縱向認證”十六字安全方針的基礎上，圍繞可信接入、智能感知、精準防護、聯動響應等方面提升網絡安全防護能力，滿足新型電力系統業務與應用安全保護需求，防范網絡攻擊風險，保障新型電力系統安全穩定運行。

1）可信接入

面向調度主站安全運維、調控云業務應用訪問和分布式新能源、精準負荷控制等5G無線接入等多種業務場景，存在網絡邊界動態變化、接入對象身份不確定、接入終端工作環境不可信等不利因素，因而新型電力系統的外部主體接入機制存在以下安全需求：實時身份認證，整個訪問周期都需要對用戶進行身份合規性檢查，實時管控訪問過程中的違規行為等；動態權限管理，根據接入用戶以及終端的不同業務需求，提供動態授權，保證業務體驗與安全需求之間的平衡。

現有認證及準入機制通常是基于用戶與設備在網絡中的位置來判斷是否安全可信，主要適用于傳統封閉環境中各類業務應用，但對于外部接入主體身份辨識能力不足，同時缺乏有效的動態授權管理能力。因此，需要在現有邊界安全防護基礎上研究面向新型電力系統的可信接入方案。從新型電力系統的可信接入安全需求來看，具體實踐的關鍵在于實時身份認證方法和動態權限管理機制。實時身份認證需要針對接入主體安全運行狀況，定義一套涉及硬件、固件、軟件和應用等整個運行環境的終端完整檢測策略，從而應對各種接入設備的多形性可信認證；結合可信終端的合規業務需求，基于訪問控制列表等方法構建動態權限管理機制，實現接入權限的精細化管理。最終兼顧新型電力系統的安全防護與業務功能的高效運行。

2）智能感知

日漸嚴峻的網絡安全形勢，要求新型電力系統的安全防護思想從過去的被動防御轉向主動防護轉變。面向網絡安全風險的主動感知可以快速有效地識別和發現攻擊行為，將檢測對象由已知威脅拓展到未知威脅，增強防御和威懾能力，提供主動有效的全方位體系化防護，帶動安全防護體系升級。

新型電力系統網絡安全風險主動感知的實現，需要建立網絡安全事件智能感知系統，對網絡安全事件進行預測、預判、預警及預控。

機制上，網絡安全事件智能感知系統需要強化聚合全域網絡安全態勢監測預警能力，擴大態勢感知范圍，增強對物聯終端、新型網絡邊界、新型第三方調度主體的安全監測分析能力，整合新型電力系統中各個主體的網絡安全態勢感知能力，匯聚全域網絡安全數據并完成統一建模，建立統一指揮、多級調度、協同處置的網絡安全監測與響應機制，構建適應新型電力系統的網絡安全態勢感知技術架構。同時，完善建設電力系統專用漏洞管理、惡意代碼監測、運維管控并與現有的網絡安全監測功能相融合，尤其在變電站和新能源場站側強化監測感知，形成面向實戰、上下貫通、全域聯動、多源情報、快速響應的全天候網絡安全風險感知能力。

技術上，網絡安全事件智能感知系統需要深化主站、廠站及分布式部署終端的信息采集廣度和深度，面向新型電力系統海量設備特征指紋構建統一的安全模型庫，動態監測網絡設備接入和離線的狀態，全面測繪網絡空間實體資源和虛擬資源，為智能分析奠定豐富的數據基礎。同時，基于機器學習、知識圖譜、攻擊溯源、網絡惡意入侵誘捕等技術，采用多維安全事件數據融合技術構建智能分析模塊，精準識別異常行為及攻擊事件，實現安全分析從經驗型向智能型的轉變，如圖1所示。

圖1 電力系統網絡安全事件智能感知體系框架

3）精準防護

新型電力系統涉及眾多業務應用場景，各種應用場景安全保護需求既有共同點，也存在較大差異，因此面向業務場景的精準防護是實現新型電力系統網絡安全“零事故”的關鍵。如圖2所示，精準防護需要根據國家、行業網絡安全防護相關合規性要求，在對源網荷儲各環節、各主體相關網絡、系統進行綜合性安全防護的基礎上，針對業務場景差異性，制定針對性防護措施和安全配置策略，實現業務差異化、精準化防護，提升網絡安全防護能力。

圖2 新型電力系統精準防護體系框架

安全基線防護是精準防護的基礎。安全基線防護需要根據國家、電力行業網絡安全等級保護標準、要求，全面落實網絡安全保護技術措施，加強重要數據和個人信息保護，積極利用新技術開展網絡安全保護，構建以密碼技術、可信計算、人工智能、大數據分析等為核心的網絡安全保護體系，夯實新型電力系統網絡安全保護基礎。對于認定為國家關鍵信息基礎設施的網絡、系統、設備，需要參照國家、行業關于關鍵信息基礎設施安全保護標準、要求，強化檢測評估、監測預警、應急處置、數據保護等重點保護措施，強化供應鏈安全保障工作。對于重要電力信息系統、網絡設施，需要依據電力系統安全防護要求，從基礎設施安全、體系結構安全、系統本體安全和可信安全免疫等方面落實安全防護技術措施。

精準防護進一步增強安全免疫能力。面向新型電力系統的精準防護，需要針對分布式光伏/風電、分布式儲能、新一代電力調度控制、新一代負荷管理等新業務應用，圍繞智能感知、安全接入部署防護措施，確保分布式設備的安全接入和全景感知，以及邊端設備網絡安全層面的可觀測、可控制，重點分析業務特點和網絡安全風險，并采取針對性的安全防護措施，實現按需防護，進一步增強新型電力系統的安全免疫能力。

4）聯動響應

新型電力系統面臨的安全威脅日漸復雜，單一的防護手段難以有效應對高等級復雜威脅，亟需打破多設備、多場景之間的“信息孤島”，構建電力系統網絡攻擊協同聯動應急處置體系（如圖3所示），強化新型電力系統源網荷儲各環節間的聯防聯控，提升系統整體應對網絡威脅能力。

圖3 電力系統網絡攻擊協調處置體系

聯動響應需要構建新型電力系統橫縱向數據共享聯動能力。在縱向數據共享聯動方面，需要強化企業內網絡安全管理部門、數字化工作部門與電力生產、營銷、運維等部門間的信息共享，加強集團總部與下屬單位間的網絡安全事件信息通報；在橫向數據共享聯動方面，需要建立源、網、荷、儲企業之間的威脅情報共享機制，提升網絡安全威脅情報信息橫向共享、縱向貫通多級聯動能力。

聯動響應需要建設新型電力系統網絡攻擊協同處置體系。協同處置體系的關鍵在于，構建針對電力系統的網絡安全威脅情報基礎知識庫和智能決策引擎。當網絡安全事件發生時，基于大數據、人工智能等技術結合安全事件等級研判，綜合分析安全事件，驅動安全策略的解析、生成、更新，最終通過智能決策引擎，得出最優應急處置方案、生成應急處置任務、智能下發各防御單元、自動執行協同應急處置操作，通過智能化控制技術實現多級聯動響應與快速處置，實現集攻擊溯源、智能處置、應急恢復為一體的網絡安全智能指揮調度。同時，需要為遠程決策者提供自動化協同交互服務，從被動應對向主動響應轉變，自動化聯動響應；從單點保護向全域防護轉變，推動新型電力系統全業務環節的快速聯動響應、排查與修復。

3 結束語

新型電力系統的構建深刻改變了傳統電力系統架構，對現有電力系統網絡安全保護體系提出了巨大挑戰。本文深入分析了新型電力系統在電源結構、電網形態、業務模式、技術基礎四個方面引入的網絡安全風險，結合可信接入、智能感知、精準防護、聯動響應等方面應用提出了新型電力系統網絡安全防護需求，對未來新型電力系統需要進一步攻關的網絡安全技術研究應用方向進行了展望，并分別對通信安全、接入安全、數據安全、內生安全、安全評估和安全驗證等領域相關技術研究應用點進行了分析探討。后續，將進一步開展適用于新型電力系統的網絡安全防護體系架構設計和關鍵技術攻關，探索、設計分布式電源、分布式儲能、新型負荷控制等新業務場景的網絡安全防護方案，推進重點安全防護措施的試點與推廣，全面提升源網荷儲網絡安全防護能力，保障新型電力系統安全穩定運行。