高昆侖：數字化轉型加劇電力網絡安全挑戰

　　近日，在奇安信集團舉辦的“新基建”網絡安全論壇上，全球能源互聯網研究院副院長高昆侖表示，隨著各種新興技術手段在電力系統中實現應用，電力系統的網絡安全面臨的挑戰正在升級。“現有安全防護體系無法充分應對逐漸升級的攻擊手段與安全風險，亟待調整適應。”

　　電力安全關乎“新基建”領域

　　“新基建”作為時下的熱點話題，被公認為是未來產業政策的重點布局方向。其中，特高壓、新能源汽車充電樁、工業互聯網，均與電力物聯網的概念密切相關，電力系統的安全也與這些領域緊密關聯。

　　“特高壓是當今最先進的輸電技術;充電樁是電能替代的典型應用，能與電動汽車一起實現儲能、反向充電;電力物聯網作為工業互聯網在電力領域的應用，是新一代電力能源技術與信息技術融合的載體。”高昆侖說，“通過電力物聯網，能夠實現對特高壓運行、充電樁等系統的安全、精準管理。”

　　實際上，物聯網技術在電力行業的應用并非新鮮事，傳統電力監控中用到的電流、電壓傳感器等擁有很長的歷史。然而，隨著信息通信技術的發展，物聯網技術逐漸應用至電力生產、傳輸、消費及管理各個環節。“在電源側，物聯網技術的應用，可以實現可再生能源的廣域互聯，以及大規模新能源安全接入;在電網側，利用物聯網技術對電網運行設備運行狀態進行精確的采集分析，可以保證電網始終處于安全可控狀態，實現自主智能的運檢協調控制。”高昆侖介紹。

　　電力數據保護成難題

　　“目前對電力企業而言，數據創造的價值，有時要比價格不菲的電力設備更加寶貴。”高昆侖強調，電力行業數字化轉型后，數據已為電力企業的核心資產之一，對其保護更是一道難題。“電力系統的許多數據天生具有流動性，在保證安全、機密的同時，還要考慮數據可用性，需要根據特定場景制定數據分類、脫敏等安全策略，十分具有挑戰性。”

　　據了解，電力行業的網絡安全自2000年就已開展，目前基本形成了以邊界防御為主的綜合防御體系，將電力生產控制系統與管理信息系統分成不同的安全區域進行隔離;在邊界防御之外，部署防火墻與網關，監測各種病毒和惡意代碼以及態勢感知等措施。

　　而隨著泛在電力物聯網的建設推進，“大云物移智鏈”等新技術得到廣泛應用，電網業務模式發生變革，海量異構終端廣泛接入，網絡邊界模糊、數據交互多元，現有安全防護體系亟待調整適應。

　　“像攝像頭、巡檢設備、無人機、充電樁、智能電表等具備計算能力的終端，現在幾乎都處于‘裸奔’狀態。”高昆侖直言，目前電力系統中許多智能終端缺乏經濟有效的防護手段，“以充電樁為例，其不僅與用戶進行交互，也會與后臺充電樁網絡進行交互。對充電樁的攻擊可能對充電行為、車輛等造成破壞，甚至危害電網安全。”

　　不僅如此，近年來“網絡戰”面臨的挑戰日趨嚴峻。高昆侖指出，網絡空間已經成為國家之間進行對抗的空間之一，越來越多未知的、定制化的惡意代碼開始出現。“例如震網病毒造成伊朗核電站癱瘓、惡意軟件導致烏克蘭大面積斷電等，這種攻擊僅僅依靠傳統手段已不足以應對。”

　　“跨界”探索新思路

　　一個系統遭受攻擊的安全風險，與風險威脅能力、系統脆弱程度、資產價值成正比。“毫無疑問，電力系統已成為高價值的攻擊目標。”高昆侖說，“對抗已知的威脅，可以采用邊界防護、隔離、查殺等手段應對。對于未知的威脅，只能靠自身的免疫力，但現有的計算機系統在這方面是天生缺失的，未知的惡意代碼、病毒基本上暢通無阻。”

　　面對這種未知的威脅，網絡安全工程師們另辟蹊徑：能不能借鑒生物學原理，模仿生物抵御外界威脅的方式，構造互聯網各個節點本體的防御系統來應對未知風險?

　　高昆侖介紹，一些生物利用不確定的色彩、紋理、形狀和行為的變化，給攻擊者造成認知困境，以顯著降低攻擊的有效性。受這一原理的啟發，“網絡安全擬態防御機理”逐漸形成。“利用這種機理，系統可以動態地、偽隨機地執行各種硬件、軟件變體，使網絡攻擊者難以確定軟、硬件工作狀態，從而難以構建起基于漏洞或后門的攻擊鏈，以此達到增強系統安全的目的。”

　　與之類似，模仿生物體內免疫系統識別“自身”與“非己”抗原的功能，電力行業開始將“可信計算原理”付諸網絡安全實踐，由此研發的可信計算安全模塊系統(服務器版)，已在25個電網調度控制系統實現了應用，已部署1500臺套。“該系統目前是國內工業領域規模最大、等級最高、強度最強的可信計算應用。”高昆侖表示，“此外，針對電力物聯網終端的充電樁、新能源發電、配電終端等，可信計算安全模塊(嵌入式版)也已得到應用。”