智慧能源下的電力企業網絡安全技術體系建設

摘? 要：文章在結合國家監管政策中關于電力企業的安全防護要求、參考業界常見的網絡安全綜合防護體系的基本概念、遵守理論與實踐相結合的建設原則的基礎之上，針對電力企業網絡安全現狀，論述在智慧能源+工業互聯網技術變革的關鍵時期適用于智慧能源下的電力企業網絡安全體系，提出智慧能源下電力企業網絡安全綜合防護體系的建設路徑。

關鍵詞：智慧能源;電力企業;網絡安全;工控安全;防護體系

中圖分類號：TP39? ? ?文獻標識碼：A文章編號：2096-4706（2021）19-0108-04

Construction of Power Enterprise Network Security Technology System under Smart Energy

LI Bokai

（China Huadian Engineering Co.， Ltd.， Beijing? 100070， China）

Abstract： On the basis of combining the security protection requirements of power enterprises in the national regulatory policies， referring to the basic concepts of the common network security comprehensive protection system in the industry， and abiding by the construction principle of combining theory with practice， aiming at the current situation of network security of power enterprises， this paper discusses the power enterprise network security system suitable for smart energy in the key period of smart energy + industrial Internet technology reform， and puts forward the construction path of power enterprise network security comprehensive protection system under smart energy.

Keywords： smart energy; power enterprise; network security; industrial control security; protection system

0? 引? 言

“智慧能源”（Smart Energy）是指包括電力、石油、水、天然氣、可再生能源等多種能量資源形式、多種能源形式背后的能源轉換技術與能源使用終端設施在信息化、網絡化、智能化系統下相互連接所構建出的能源網絡體系，通過結合先進的物聯網、云計算、通信與控制等技術，不斷提高能源的利用效率，最終賦予能源以“智慧”。

“智慧能源”意在通過轉變能源形式（如由傳統能源向清潔能源的轉變）與提高能源利用效率等方式，有效地解決全人類共同面臨的能源問題，并通過控制全球氣候變化的趨勢，在經濟、社會、環境和資源方面實現真正意義的可持續發展。

因此，“智慧能源”的提出將引領能源產業新的技術革命，而這場技術革命將不可避免地影響人類未來的社會經濟發展、政治、環境資源開發，具有重要的戰略意義。隨著智慧能源與數字化轉型等戰略的實施，傳統電力企業不可避免地需要打破壁壘，由傳統的能源形式與利用方式向著智慧能源的方向轉變。因此在技術轉變的過程中，智慧能源以及工業互聯網下的整體網絡安全環境變得更為復雜多變，網絡安全邊界外延擴大，給信息系統、工業控制系統、數據融合共享等領域帶來了嚴峻的安全挑戰。

1? 問題與挑戰

“智慧能源”希望能夠有機地結合物聯網技術、云計算技術、通信技術、控制技術等多種信息技術，華電科工信息化項目管理系統如圖1所示。但在信息技術開發、設計與更新的過程中，與此類技術相關的第三方供應商常常急于進入市場并爭奪市場份額，從而使得這些信息技術本身難免會出現各種安全上的缺陷。另外，隨著網絡信息技術的開發，網絡空間所遭遇的新威脅與趨勢變化迅速，加之針對關基設施的國家級背景組織不斷滲透，新技術驅使下攻擊手段不斷演進，網絡安全技術體系能否高效與精準地應對環境中復雜多變的網絡安全形勢，也是每一位電力企業安全管理者亟須面對與處理的問題，給網絡安全技術帶來了新的挑戰。

2? 電力企業網絡安全現狀

在以實戰化為指導的網絡安全體系建設過程中，結合華電科工本身的日常安全防護工作，以及網絡安全攻防演練期間、重大節日保障期間、集團安全演練過程中，都發現了眾多不容忽視的安全隱患問題，如表1所示。

2.1? 安全管理現狀

伴隨著智慧能源所帶來的信息化、網絡化、智能化系統技術趨勢的變化，各電力企業也開始積極地探索智慧能源的轉型，加快完成數字化的變革，逐步完善企業的信息化建設。一般的電力企業內部管理部門已初步建立起針對安全事件的管理辦法、參照零散的安全設備日志告警所進行的安全管理信息制度及手段。

在以穩生產、促效益為目標的電力企業中，工控環境的安全需求往往來源于合規性要求。但相比于業務管理，安全管理并不易被管理者理解。同時，隨著近年來電力企業生產系統的發展，生產自動化程度持續提升，業務運行連續性提高，但電力企業內部卻仍缺乏針對電力工業生產環境有效的工控安全思考和整體規劃。

2.2? 技術防護現狀

隨著電力企業向著智慧能源的方向發展，電力工業控制網絡也隨之進行著工業互聯網的變遷。根據電力企業的工藝要求，不同產業如清潔能源、機械、環保等產業板塊中相關防護的要求也不盡相同，且防護技術大多呈現“九龍治水”格局，無法形成綜合防護屏障。但真實的攻擊行為往往是多方面搜集信息且有步驟地推進，因而僅靠多種防護產品的堆疊，往往會在不同防護產品上突出攻擊行為的某個階段或特征，但卻難以真正判斷攻擊的形成原因、攻擊路徑、影響范圍及后果等。此外，工業生產數據屬于機密數據，而目前主流的工業通信協議卻常常遵循不規范的規約，缺乏身份驗證機制與數據加密手段，因而攻擊人員可以很容易通過竊聽等手段獲取到傳輸過程中的任何機密信息。

2.3? 安全運營現狀

隨著電力企業規模逐漸擴大，企業信息系統規模日益龐大，新技術也逐步推行與使用，因而導致安全風險隱患也不斷增加。電力企業普遍缺乏信息安全人員，且大量信息人員身兼多職，致使安全運營工作無法做到專人專崗專責，專業技能的更新速度也無法跟上安全技術的發展速度。因而安全事件一旦發生，電力行業則無法進行全面、深入的攻擊事件溯源分析，同時也缺乏統一的安全事件監測手段以及多維的關聯分析手段，嚴重影響著安全威脅事件的檢測、分析與處置的效率，高效的安全運營閉環管理則無法保證。

3? 建設智慧能源電力企業網絡安全技術體系的路徑

3.1? 網絡安全體系的設計理念與核心

電力企業的網絡安全防護體系應結合當前電力網絡安全的現狀與相關行業內部的優秀經驗，圍繞“智慧網絡安全技術體系”的理念進行建設，堅持以面向實戰化安全防護體系為核心，健全安全管理方式，重構安全技術手段來深化企業安全運營。此外，網絡安全體系應以安全服務為抓手，推動電力企業內部的靈活應用與聯防聯控，搭建自上而下的縱深防御防護體系。

3.2? 重視網絡安全能力的建設

華電科工一直高度重視網絡與信息化安全綜合防護能力的建設，在集團公司網絡信息安全統一規劃和指導下，積極開展年度“春、秋季”信息安全隱患排查工作，并根據檢查結果進行總結、經驗交流、問題整改等一系列工作。按上級領導的指示，華電科工信息管理部結合網絡與信息安全熱點事件，以年度為單位舉辦以網絡信息安全為主題的培訓活動，以加強華電科工領導和員工對網絡與信息化安全的防范意識。

3.3? 網絡安全綜合防護能力的建設

華電科工網絡與信息安全工作一直建立在集團公司的網信安全框架下，通過管理維度、技術維度以及運營維度構建統一完善的信息安全保障體系。具體的安全保障體系包括：

3.3.1? 智慧管理體系的建設

面向實戰化對抗中關于“對手組織化”，電力企業的對手從普通的網絡犯罪變成了組織化的攻擊，攻擊方式從通用攻擊轉向為復雜組合的定向攻擊;因此需要首先內部加強組織機構，成有網絡安全與信息化領導小組，成立網絡安全工作組，制定特色的網絡安全建設相關的制度規范，形成標準化的建設指南，制定安全考核評分規則，量化下屬單位安全建設評分通告制度，完善安全責任制，工作主要是以集中化方式的管理模式，指導并監管下屬單位、工控電廠等進行網絡安全內容建設。落實安全管理組織結構，補充現有網絡安全工作組人員，同時落實下屬單位網絡安全工作的責任人。

3.3.2? 智慧手段的完善

面向智慧能源電力企業下工業物聯網的數字化底座融合，信息載體與威脅形勢正在不斷變化。因此，應首先構建云上數據中心的安全防護體系，打通控制平面實現安全防護體系和云環境的一體化編排調度;其次，在電力企業的生產數據上，建設數據安全治理系統，梳理數據資產，通過分類分級的方式確定數據安全屬性、環境安全屬性及訪問控制策略;而后構建面向安全實戰化的網絡安全統一管控平臺，補齊云上、傳統信息化、工業生產域等多層次的基礎安全能力，匯聚安全數據的中心，有效地支持事件處置、多源情報融合、深度威脅獵殺等安全運行工作，形成聯防聯控的實戰化網絡安全防護體系，網絡安全態勢感知監控界面如圖2所示。

3.3.3? 智慧運營的建立

面對新的安全形勢和安全環境，安全防護體系的建設應從合規導向轉向能力導向，網絡安全系統從防護和監管轉向關注實戰化，將實網攻防演習列為常態化手段;電力企業應以實戰化的安全服務為抓手，不斷對信息化的發展提出新的安全要求;另外，行業應依托集團、各分公司、子單位與第三方專家機構，設立安全運營中心，組建安全專家團隊，培養支撐網絡安全運營服務人員力量，配置安全運營所必需的崗位編制，明確崗位職責及工作范圍，其中智能漏洞分類統計排名如圖3所示。

網絡安全運營工作致力于將網絡安全能力服務化，以電力企業系統安全與穩定運行為前提，為下屬單位賦予安全能力，指導并監管下級單位安全工作，開展網絡安全威脅分析、安全事件應急響應、定期信息系統漏洞掃描、“春、秋季”安全專項檢查、網絡安全宣教月活動等工作。同時，通過統一管理公司運維服務工作，編制網絡安全運維管理體系，將運維工作標準化、流程化、可視化。另外，安全運營將從人員、流程、技術三個方面進行一體化設計，制定安全運營能力提升計劃，定期對安全運營能力進行評估，并從中找出前后差距，持續完善提升計劃，驅動安全運營體系逐漸成熟。華電科工的網絡安全綜合防護能力建設工作將在華電集團公司的總體規劃與領導之下，結合自身網絡安全綜合防護能力建設過程中出現的網絡安全問題進行全面整改。網絡安全綜合防護能力的建設應進一步落實關鍵信息中基礎設施的防護責任，加強關鍵信息基礎設施的網絡安全防護，完善網絡安全機制、手段和能力建設，加快對網絡安全專業人才的培養，提高網絡安全事件應急指揮能力，不斷提升網絡安全的綜合防護水平。

4? 經驗總結

智慧電力企業下的網絡安全技術體系建設應面向智慧能源中先進的物聯網、云計算、通信與控制等技術，以補全與新技術相關的安全防護手段的建設，同時關注安全管理制度的完善及規范標準落地、賦予相關部門安全運營的能力，將安全產品的安全能力與技術進行有機整合。華電科工集團在這方面已積累了一定的經驗，可供同類企業作為參考，具體為：（1）循環遞進安全管理制度，進一步明確信息管理部和外包服務人員的職責與分工，加強相關制度的建設并嚴格落實。隨著安全工作不斷稽查及現有的安全管理制度的完善，為安全技術的使用及安全運營團隊工作內容提供指導。（2）實戰化的攻防防護體系，面對當前來自電力能源的威脅，堅持實戰化的運營建設，持續檢驗整體縱深安全防御機制的有效性、動態分析安全威脅并及時處置相關安全風險;同時，依托大數據平臺等熱點技術實現數據處理、安全分析、威脅響應、指揮控制、態勢呈現等多層次的安全能力，用以支撐實時安全監測、持續措施驗證、關聯事件處置、多源情報融合、深度威脅獵殺、威脅溯源反制等安全運營工作。（3）強調經營安全的人員組織培養，進一步明確信息管理部和外包服務人員職責分工，加強相關制度的建設并嚴格落實，聘請信息安全專家作為長期安全顧問、定期開展安全監測、每年開展業務系統滲透測試等途徑全面保障網絡安全，為保障信息化業務穩定、生產及運營提供強有力支撐。

5? 結? 論

綜上所述，筆者結合前期網絡安全項目的實踐經驗，分析了智慧能源下電力企業網絡安全技術的體系現狀，并結合華電科工集團的網絡安全防護體系的建設情況，得出以上結論。就電力企業網絡安全發展現狀而言，眾多問題亟待解決，當前傳統網絡安全的防御體系具有很大的局限性，難以滿足目前智慧能源目標下電力企業網絡發展的要求。“智慧能源網絡安全體系”是一種適用于智慧能源下電力企業網絡安全技術體系，具有很強的先進性、科學性、全面性。它通過自適應完善的工作流程，能夠有效抵御網絡威脅，保障電力企業網絡運行的安全性，進而促使電力企業業務高效持續發展。

參考文獻：

[1] 王毅.智慧能源 [M].北京：清華大學出版社，2012.

[2] 袁寶，高強，馮慶云.基于人工智能的信息網絡安全態勢感知技術分析 [J].信息記錄材料，2019，20（4）：113-114.

[3] 靳琳，趙任方，董鐘.基于Spark Streaming的網絡安全流式大數據態勢感知研究及發展趨勢分析 [J].網絡安全技術與應用，2020（2）：62-65.

[4] 丁偉，唐潔瑤，曹揚，等.電網信息物理系統網絡安全風險分析與防護對策 [J].電力信息與通信技術，2018，16（9）：33-38.

[5] 黃昆，楊旭東，許珂，等.基于多元異構模型的大型電網企業網絡安全態勢分析 [J].電力信息與通信技術，2019，17（1）：72-77.

作者簡介：李伯愷（1983—），男，漢族，北京人，碩士研究生，網絡安全高級主管，主要研究方向：網絡安全規劃、建設、運營管理。