新型電力系統網絡安全技術、標準體系協同構建的研究

摘 要：新型電力系統是我國能源戰略的重要發展方向，因此建立新型電力系統網絡安全技術、標準體系整體框架意義重大。本文分析了新型電力系統網絡監測難、存在數據安全隱患等5方面網絡安全風險問題，結合新型電力系統網絡安全標準研究現狀，提出新型電力系統網絡安全技術體系的“三道防線”總體思路和從網絡邊界安全防護、安全區域劃分、可信接入等8個方面的網絡安全標準體系構建的關鍵控制項，融合標準法律和政策法規，協同構建新型電力系統網絡安全技術、標準體系的整體框架，以期為新型電力系統網絡安全技術發展研究提供基礎參考。

關鍵詞：新型電力系統，網絡安全技術，標準體系，協同構建

0 引 言

新型電力系統是中國實現“碳達峰、碳中和”目標的重要途經，也是確保能源電力安全的基本前提，源網荷儲各環節、各主體相關網絡、系統和各種業務場景存在網絡安全需求[1]。由于終端、網絡設備、數字化平臺、引用的新興數字技術等存在各種安全隱患，導致新型電力系統成為網絡威脅攻擊的重要對象，造成重大安全事件。目前新型電力系統網絡安全技術標準部分處于空白階段，沒有標準化的技術體系支撐新型電力系統運行過程中的安全保障[2]。因此，新型電力系統網絡安全技術、標準體系協同構建已成為重要的研究方向。

1 新型電力系統網絡安全、標準體系的問題分析

1.1 新型電力系統網絡安全問題分析

新型電力系統的構建強化了源、網、荷、儲各環節間的互聯互通，呈現多元化的主體、復雜化的電網形態和多樣化的運行方式。新型電力系統構建深刻改變了傳統電力系統形態，與能源鏈等外部系統進行智慧耦合。新型電力系統包含物理層、網絡層、應用層，涉及的運營主體涵蓋了傳統的電網、發電、輸電、變電及能源鏈相關企業，將用戶、運營商等多元主體進行聯合互通，存在網絡安全監測難、數據安全隱患增加、網絡安全邊界模糊、新興數字技術安全風險持續升級、攻擊威脅劇增風險等問題，如圖1所示。

1.1.1 網絡安全監測難

新型電力系統與能源鏈、大量存量工控終端等設備進行復雜地互聯互通，終端設備呈現出型號多樣、數量大、結構復雜等特點，導致終端身份識別認證困難、聯網接入和數據通信方式多樣性，網絡安全防護措施參差不齊，網絡安全監測范圍無法全面覆蓋新型電力系統各個環節。

1.1.2 數據安全隱患增加

新型電力系統的多元主體與多層市場之間進行著大量敏感數據的業務交互，其中大量的終端、設備通過互聯網絡相互連接卻處于無人值守和網絡安全防護能力薄弱的環境中，增大了新型電力系統的攻擊面。攻擊者通過攻擊、植入病毒、偽裝終端干擾控制層設備，造成海量的新型電力市場交易數據、用戶隱私數據等敏感數據被泄露和篡改，無法提供精準和強時效的數據，造成重大的經濟損失。

1.1.3 網絡安全邊界模糊

新型電力系統多樣性的交互主體擴大了高隱蔽攻擊面，而基于物理隔離的邊界安全防御措施難以覆蓋全貌，導致傳統電力系統的邊界安全機制難以適應新型電力系統，大大增加了新型電力系統邊界防護的安全防御的難度，造成新型電力系統網絡安全邊界的模糊性。

1.1.4 新興數字技術安全風險持續升級

5G、人工智能、云計算、區塊鏈等新興數字技術充分應用于新型電力系統的電力交易、源網荷儲互動等方面，提升新型電力系統智能化水平。但新興數字技術存在協議不合規、開源漏洞等方面的安全問題，使得新型電力系統面臨終端設備、網絡層和應用層入侵、用戶信息和敏感數據被篡改等網絡安全威脅風險，影響電網安全、用電安全。

1.1.5 攻擊威脅劇增

隨著新型主動對抗型網絡攻擊方式呈現多樣化、智能化、數量劇增的特征，現有的網絡安全防御方法缺乏自適應、態勢感知、動態檢測的主動防御能力，難以滿足高度信息化的新型電力系統內生安全需求。攻擊者通過對新型電力系統物理層、網絡層、應用層的入侵實現攻擊目的。物理層中的各種非受控智能終端設備成為惡意攻擊者的攻擊目標，導致電力系統物理層終端被入侵。攻擊者通過堵塞信息通路或篡改通信內容間接實現網絡層的攻擊。系統應用層防御能力相對薄弱，攻擊者通過攻擊應用層，竊取到用戶信息和敏感數據。

1.2 新型電力系統網絡安全標準的研究現狀

目前面向新型電力系統的網絡安全標準部分處于空白。相對于新型電力系統，我國電力行業的網絡安全標準規范已趨于標準化。2004年原電監會發布《電力二次系統安全防護規定》，堅持安全分區、網絡專用、橫向隔離、縱向認證原則。2014年發布《電力監控系統安全防護規定》，提出生產控制大區內設置“安全接入區”理念。2015年國家能源局下發《關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》[3]。2022年修訂印發了《電力行業網絡安全管理方法》和《電力行業網絡安全等級保護管理辦法》[4]。上述電力行業網絡安全標準規范相對成熟，但針對新型電力系統的網絡安全標準規范相對較少，2021年我國新型電力系統建設還處于較為初級的階段，在2022國際標準化大會上全球首次提出新型電力系統關鍵技術國際標準框架體系。由此得出新型電力系統在網絡安全標準規范方面存在巨大的差異，構建新型電力系統的網絡安全標準是目前重要的研究方向。

2 新型電力系統網絡安全技術體系的總體思路

新型電力系統網絡安全技術體系構建的總體思路是以物理層、網絡層、應用層全場景網絡安全技術防御方法為依據，針對新型電力系統多維的威脅攻擊方式，以安全威脅攻擊的全周期過程劃分為威脅攻擊前、攻擊中和攻擊后的分析思路，進一步歸納總結為新型電力系統網絡安全技術體系構建方法的“三道防線”，如圖2所示。

2.1 新型電力系統網絡安全技術體系的第一道防線

新型電力系統網絡安全技術體系構建方法的第一道防線是威脅攻擊前安全防御策略。采用可信接入、數據加密技術傳輸[5]、網絡威脅智能感知技術的安全技術，防止篡改數據，檢測隔離惡意軟件，實現智能檢測威脅行為，提升新型電力系統的網絡安全防護能力，保障新型電力系統安全穩定運行。

2.1.1 可信接入

針對新型電力系統中分布式新能源、精準負荷控制等典型業務場景存在網絡邊界動態變化、接入對象身份不確定、接入終端工作環境不可信等因素，因此需要打造新型電力系統網絡安全技術防御體系，應用零信任、縱深防御等安全技術來實現新型電力系統各環節設備數據應采盡采、精準采集。在訪問主體和客體之間構建基于主體身份驗證、可信評估和動態權限分配的訪問控制體系，開展新能源廠站、分布式光伏等終端設備安全準入、安全防護應用的零信任的可信接入方案。根據接入用戶以及終端的不同業務需求對用戶進行身份合規性檢查，支撐公司全場景網絡安全聯防聯控。

2.1.2 數據加密技術傳輸

新型電力系統發、輸、變、配、用各環節存在大量的數據傳輸，通過數據加密技術加強源、網、荷、儲等重要敏感數據保護。明確敏感數據安全主體和防護要求，建立并優化跨網絡分區的數據安全交換通道，完善數據交換策略，通過敏感數據保護、安全審計、數據安全治理等方式智能化保障電力數據在各能源鏈間的安全、合規流動；及時分析處置安全風險，定期開展數據安全審計，防止數據泄漏。強化動態脫敏數據安全關鍵技術攻關應用，構建完善的技術體系，全面防范化解各類數據安全合規風險隱患，實現對潛在攻擊的提前有效阻隔。

2.1.3 網絡威脅智能感知技術

新型電力系統的物理層具有發電、輸電、變電、配電、用戶智能終端等設備，網絡層具有5G、無線、衛星等通信網絡，應用層具有電網動態監測系統、能源管理系統等智能終端，攻擊者根據新型電力系統的特征和結構進行攻擊。針對新型電力系統網絡層的信息物理特征的病毒和攻擊手段增多，針對物理層空間的跨域傳播機理的網絡攻擊。因此需要從物理層、網絡層、應用層構建網絡威脅智能感知安全防護體系。其中網絡層基于機器學習、知識圖譜、攻擊溯源、網絡惡意入侵誘捕等技術構建智能分析模塊，精準識別異常行為和攻擊事件。物理層主要檢測內容數據特征和偏差，構建電力系統的漏洞管理功能，強化終端監測感知。應用層通過整合新型電力系統中各個主體的網絡安全態勢感知能力，建立多級協同的網絡安全監測與響應機制，構建適應新型電力系統的網絡安全智能感知的技術架構可快速響應的網絡威脅智能感知能力。

2.2 新型電力系統網絡安全技術體系的第二道防線

新型電力系統網絡安全技術體系的第二道防線是威脅攻擊中的安全防御策略。由于新型電力系統具有眾多設備與元件，融合了智能終端設備、電網監測和通信網絡的獨立系統，因此當系統不同環節處于攻擊中時，需要采用不同的處理方式。應用層基于威脅攻擊檢測技術、調節新型電力系統運行參數，快速識別攻擊源，實施緊急控制策略。網絡層采用備用路由切換方式，實現通信網絡重構與自愈保護。物理層采用智能設備調節負荷，分布式能源、儲能設備補充供給，實現攻擊中負荷供給平衡，能夠快速響應，應急切除故障并恢復。

2.3 新型電力系統網絡安全技術體系的第三道防線

新型電力系統網絡安全技術體系的第三道防線是威脅攻擊后的安全防護策略，主要針對威脅攻擊事件進行取證、分析和總結，及時更新入侵檢測特征樣本、簽名、防病毒數據庫、安全補丁和安全策略，做到事后免疫和安全防御升級，提升攻擊后的校正恢復，實現安全防御升級。其中網絡層通過重啟路由、應急通信衛星，保證臨時應急通信，采用取證分析方法，進行入侵、攻擊和流量日志數據的痕跡取證、威脅信息分析和攻擊呈現，回溯加固更新病毒庫或攻擊行為樣本庫。物理層根據常規機組與新能源機組協同、源網協調的系統重構及負荷恢復策略，保障重要負荷供電。應用層采用分區控制和分級保護、低頻低壓減載，防止事故擴散造成系統崩潰，災備切換、緊急干預電力系統，實現故障最小化擴散、最大化減損和最優化重建。

3 新型電力系統網絡安全技術、標準體系協同構建的框架

3.1 新型電力系統網絡安全標準體系構建的關鍵控制項

根據新型電力系統的網絡安全標準的研究現狀，我國新型電力系統網絡安全關鍵技術和標準的研究仍有很多空白，因此構建新型電力系統網絡安全標準體系迫在眉睫。本文根據新型電力系統網絡安全技術體系構建的“三道防線”，再結合國家、行業網絡安全技術、電力行業網絡安全等級保護標準、要求，構建新型電力系統網絡安全技術標準體系，提出新型電力系統的網絡安全防護標準體系的關鍵控制項。

3.1.1 網絡邊界安全防護

新型電力系統與外部網絡邊界部署可靠的安全隔離技術設備，既能滿足新型電力系統與外部網絡、內部子系統間信息交互需求，也能有效防止外部網絡向新型電力系統發動網絡威脅攻擊。

3.1.2 安全區域劃分

根據新型電力系統不同的結構、業務場景和功能劃分安全區域，將網絡層的各種信息傳輸行為進行精細化訪問控制，及時阻斷電力終端的網絡安全威脅。

3.1.3 可信接入

新型電力系統智能終端等設備圍繞安全接入部署防護措施，確保分布式設備接入可信身份認證，控制不同業務主體的用戶的身份合規檢查，實現邊端設備網絡安全層面的可控制。

3.1.4 數據傳輸加密

新型電力系統發、輸、變、配、用電各個環節的數據加密傳輸，通過安全審計等方式保障新型電力系統數據在各個能源鏈間的安全、合規流動，依據數據敏感等級實施不同程度的加密方式，實現對數據流向的動態管控。

3.1.5 數據安全保護

新型電力系統的建設涉及多方主體進行海量、多類數據的交互和共享，數據應用場景和參與主體日趨多樣化，因此依據新型電力系統不同的業務場景，將專用功能按照專用數據網絡或專用信道通信，實現數據安全隔離和訪問控制技術。

3.1.6 內生免疫安全技術

通過強化內生免疫安全技術應用，利用目標系統的自身架構等內源性效應而獲得可量化設計、可驗證度量等安全功能，適用于電力關鍵信息基礎設施的安全操作系統，保障新型電力系統業務應用安全可靠運行。

3.1.7 網絡安全監測

針對新型電力系統從資產、漏洞、威脅、攻擊等多個方面監測網絡安全態勢，打破多設備、多場景之間的“信息孤島”，構建電力系統網絡攻擊協同處置體系，強化新型電力系統源網荷儲各環節間的聯防聯控，實時分析安全風險并及時預警，實現漏洞識別和漏洞庫、漏洞補丁、漏洞特征庫的實時更新。

3.1.8 應急處置

綜合分析安全事件，驅動安全策略的解析、生成、更新，得到最優應急處置方案、應急處置任務，推動新型電力系統全業務環節的快速聯動響應、排查與修復。

3.2 新型電力系統網絡安全技術、標準體系協同構建的框架

通過對新型電力系統網絡安全問題分析、網絡安全標準的研究現狀、新型電力系統網絡安全技術體系的總體思路和網絡安全標準體系構建的關鍵控制項的研究，融合標準法律和法規要求，共同建立新型電力系統網絡安全技術、標準體系協同構建的框架，如圖3所示。

整體框架包含網絡安全技術標準落實、政策法規的落實、標準法律融合、技術標準效能、技術標準推廣和基礎共性標準等內容。其中網絡安全技術標準落實包含通用網絡安全技術標準、通用網絡安全管理標準、數據安全標準、網絡安全邊界防護標準、新型數字技術標準、網絡威脅感知標準、內生安全免疫標準、應急處置標準和故障校正恢復標準。通過政策法規的落實、標準法律融合、技術標準效能、技術標準推廣和基礎共性標準確保新型電力系統的源網荷儲各環節、各主體相關網絡、系統互聯互通和互操作的效率，強化技術標準效能，推動形成良好新型電力系統的網絡生態，規范網絡安全技術和措施的實施，以技術標準推動新型電力系統網絡安全防御的目標。

4 結 語

本文對新型電力系統的網絡安全技術、標準體系協同構建的框架進行了研究。深入分析新型電力系統網絡安全監測難、數據安全隱患增加、網絡安全邊界模糊、新型數字技術安全風險升級、攻擊威脅劇增等5方面的網絡安全風險，以新型電力系統的網絡安全標準的研究現狀為切入口，提出了構建新型電力系統網絡安全技術體系的“三道防線”總體思路和網絡安全標準體系構建的關鍵控制項，協同構成適用于新型電力系統的網絡安全技術、標準體系框架設計和關鍵技術攻關，全面提升源、網、荷、儲網絡安全防護能力，保障新型電力系統安全穩定運行。

參考文獻

[1]辛保安，李明節，賀靜波，等. 新型電力系統安全防御體系探究[J]. 中國電機工程學報， 2023， 43 （15）：5723-5732.

[2]習工偉，周濟，徐式蘊，等. 新型電力系統安全穩定標準體系研究[J]. 高電壓技術， 2023， 49 （S1）：147-152.

[3]宋禹飛，劉潤鵬，王宏，等. 新型電力系統標準體系架構設計及需求分析[J]. 南方電網技術，1-8.

[4]上官曉麗，王秉政. 網絡安全國家標準體系建設研究[J].信息技術與標準化， 2021 （05）：7-10+34.

[5]溫娜，高亮，王淑敏. 淺談電子商務網絡信息安全技術的優化[J]. 標準科學， 2024（07）：62-65.