王 宇，董 添，姜姝宇，馬 凱，楊婷婷

（1.國網(wǎng)吉林省電力有限公司信息通信公司，長春 130000；2.國網(wǎng)吉林省電力有限公司，長春 130000）

新型電力系統(tǒng)是我國綠色低碳轉(zhuǎn)型的重要措施之一，完全符合“雙碳”目標(biāo)的價值理念。現(xiàn)階段電力系統(tǒng)共分為發(fā)電、輸電、變電、配電、用電5大環(huán)節(jié)，電網(wǎng)企業(yè)主要負(fù)責(zé)后4個環(huán)節(jié)的投資運(yùn)營[1]。近幾年，我國電力企業(yè)仍呈現(xiàn)高速發(fā)展的趨勢，新能源的加入更突出了電力系統(tǒng)的隨機(jī)性與波動性。由此可見，電力系統(tǒng)綠色發(fā)展的背景下，新型電力系統(tǒng)將是我國能源系統(tǒng)的主體，從根本上改變我國以化石能源為主的發(fā)展格局，實現(xiàn)能源消費(fèi)的電氣化與電力消費(fèi)的清潔化。因此，在對新型電力系統(tǒng)有著明確認(rèn)知的背景下，探究總結(jié)基于電力系統(tǒng)保護(hù)的多層防御模型，可有效提升電力系統(tǒng)針對網(wǎng)絡(luò)安全事件的應(yīng)急管控能力，具有實踐的推廣價值。

1 新型電力系統(tǒng)的主體認(rèn)知

1.1 新型電力系統(tǒng)的顯著特點(diǎn)

在新型電力系統(tǒng)的建設(shè)發(fā)展過程中，新能源將逐步占據(jù)電量主體、出力主體與責(zé)任主體的三重地位[2]。據(jù)預(yù)測，2060年，新能源機(jī)組的發(fā)電量將占據(jù)電力系統(tǒng)總負(fù)荷的50%，新能源將成為支撐新型電力系統(tǒng)的責(zé)任主體。因此，通過對新型電力系統(tǒng)的發(fā)展溯源，新型電力系統(tǒng)主要具備以下2點(diǎn)特征。第一，新型電力系統(tǒng)具有多能互補(bǔ)特征，打破了新能源產(chǎn)業(yè)的發(fā)展瓶頸。新型電力系統(tǒng)的建設(shè)與發(fā)展是能源行業(yè)的巨大變革，在新型電力系統(tǒng)中一方面就電源側(cè)而言，通過多種能源的簡單疊加，構(gòu)建了基于復(fù)雜多能流網(wǎng)絡(luò)協(xié)同的優(yōu)化配置。例如，在水力發(fā)電中，水力發(fā)電的定位會由電量為主轉(zhuǎn)變?yōu)槿萘恐螢橹鳎欢陲L(fēng)力發(fā)電中，低風(fēng)速風(fēng)機(jī)技術(shù)與分散式風(fēng)電也會成為風(fēng)力發(fā)電行業(yè)的發(fā)展大趨勢。另一方面，就負(fù)荷側(cè)而言，新型電力系統(tǒng)包含多能互補(bǔ)、源網(wǎng)荷儲一體化特點(diǎn)的區(qū)域負(fù)荷綜合能源技術(shù)可滿足用電用戶“電-氣-冷-熱”多元化的綜合能源系統(tǒng)需求，對提高電能智能與節(jié)約用戶用電成本具有實踐價值。第二，新型電力系統(tǒng)具有多態(tài)融合的特征，可為電力企業(yè)發(fā)展建立多樣化的形態(tài)。在電力企業(yè)的發(fā)展過程中，一方面，通過新型電力系統(tǒng)的建立融合，可實現(xiàn)“主電網(wǎng)+微電網(wǎng)”的協(xié)同合作，實現(xiàn)分布式能源的就近消納，節(jié)省輸變電投資與運(yùn)行費(fèi)用。另一方面，通過以變電站傳統(tǒng)結(jié)構(gòu)為基礎(chǔ)，以密集變電站作為基本資源，可實現(xiàn)儲能電站、數(shù)據(jù)中心等功能單位的深度融合，對推動電網(wǎng)業(yè)務(wù)與經(jīng)濟(jì)發(fā)展有著重要意義。因此，從新型電力系統(tǒng)具備多能互補(bǔ)、多態(tài)融合的顯著特征中可以看出，在電力企業(yè)的發(fā)展中，新型電力系統(tǒng)可輔助電力市場的形成，給予市場參與主體相應(yīng)的經(jīng)濟(jì)預(yù)期與回報，以此促進(jìn)電力企業(yè)的長期發(fā)展[3]。

1.2 新型電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)面臨的困難

云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)在新型電力系統(tǒng)監(jiān)管中的高效應(yīng)用雖切實提高了電力系統(tǒng)的監(jiān)管效能，但在提高工作效率的同時也使電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)面臨著人員性風(fēng)險與病毒性危險，增加了電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)工作的困難性[4]。首先從人員性風(fēng)險層面來看，現(xiàn)階段較多新型電力系統(tǒng)的監(jiān)管人員缺乏科學(xué)的網(wǎng)絡(luò)安全意識，電力企業(yè)也對定期組織員工接受網(wǎng)絡(luò)安全培訓(xùn)工作的落實督促不到位，導(dǎo)致在電力系統(tǒng)的日常運(yùn)行中缺乏有效的安全防護(hù)措施。例如，很多監(jiān)管人員對電力系統(tǒng)的密碼管理缺少必要認(rèn)知，經(jīng)常采用系統(tǒng)默認(rèn)密碼、長期不修改密碼或直接將密碼保存在網(wǎng)頁的默認(rèn)瀏覽器中，導(dǎo)致核心電力系統(tǒng)的管理賬號與密碼極易被惡意攻擊者掌握，直接威脅電力系統(tǒng)的正常運(yùn)行。其次從病毒性危險層面來看，隨著電力系統(tǒng)對新型信息技術(shù)的廣泛使用，為電力系統(tǒng)的正常運(yùn)行提供了更高效的管理方式，但同時也使其面臨著網(wǎng)絡(luò)病毒的攻擊危險。常見的網(wǎng)絡(luò)病毒有勒索病毒、蠕蟲、木馬等。以勒索病毒為例，勒索病毒的攻擊具有隱蔽性與破壞性的特點(diǎn)，并且其傳染性極強(qiáng)，當(dāng)其進(jìn)入到電力系統(tǒng)的數(shù)據(jù)網(wǎng)絡(luò)中時，會嚴(yán)重破壞電力系統(tǒng)運(yùn)行的穩(wěn)定結(jié)構(gòu)與資料安全性，導(dǎo)致整個生產(chǎn)網(wǎng)絡(luò)癱瘓，造成巨大的經(jīng)濟(jì)損失。

2 基于電力系統(tǒng)保護(hù)的多層防御模型

2.1 模型框架

現(xiàn)階段電力系統(tǒng)保護(hù)模式主要以電力調(diào)度數(shù)據(jù)網(wǎng)承載為主，其組網(wǎng)結(jié)點(diǎn)具有數(shù)量多、連接復(fù)雜的特點(diǎn)。為保障電力系統(tǒng)的正常運(yùn)行，基于電力系統(tǒng)保護(hù)的多層防御模型架構(gòu)如圖1所示[5]。

從圖1中可以看出，基于電力系統(tǒng)保護(hù)的多層防御模型，是以每層級的節(jié)點(diǎn)中心劃分為本地自治域，依照本級節(jié)點(diǎn)域內(nèi)自防御與各區(qū)域間的協(xié)防模塊，實現(xiàn)從核心層到匯聚層再到接入層對新型電力系統(tǒng)網(wǎng)絡(luò)安全防控的最終目的，并通過各層級之間的信息傳遞，提高電力系統(tǒng)的安全防護(hù)效果，保障電力系統(tǒng)的正常運(yùn)行。首先從核心層防御模式來看，核心層防御節(jié)點(diǎn)是以主站自治域為基礎(chǔ)，域內(nèi)包括電力系統(tǒng)本地的安全防護(hù)設(shè)備，并直接與區(qū)控自治域相連。在主站自治域的部署檢測中，不僅具備自治域模塊的檢測與自防御能力，還可將新型電力系統(tǒng)的指示命令下發(fā)至各區(qū)控自治域內(nèi)，以此實現(xiàn)安全設(shè)備的協(xié)同防御。其次從匯聚層防御模式來看，匯聚層防御節(jié)點(diǎn)是以區(qū)控自治域為基礎(chǔ)，與域內(nèi)自防御相連，共同構(gòu)建跨距協(xié)防，并在區(qū)控自治域防控的過程中，不僅具備自治域模塊的監(jiān)測及自防御能力，還能同時兼顧來自上層主站信息的上傳下達(dá)，對防控執(zhí)行積極響應(yīng)，達(dá)到及時防御的根本目的[6]。最后從接入層的防御模式來看，接入層防御節(jié)點(diǎn)是以自治域模塊為基礎(chǔ)，實現(xiàn)域內(nèi)的自防御，并通過將本地單位劃分為自治域模塊，技術(shù)人員可通過模塊信息共同監(jiān)測電力系統(tǒng)的運(yùn)行狀況，以此實現(xiàn)對域內(nèi)網(wǎng)絡(luò)安全事件的多層防御。

圖1 基于電力系統(tǒng)保護(hù)的多層防御模型

2.2 防御機(jī)制

基于電力系統(tǒng)保護(hù)的多層防御的防御機(jī)制共包含電網(wǎng)數(shù)據(jù)采集、信息分發(fā)共享、協(xié)同防御3個部分。

2.2.1 電網(wǎng)數(shù)據(jù)采集

電力系統(tǒng)包含發(fā)電、輸電、變電、配電、用電5大環(huán)節(jié)，所涉及的安全數(shù)據(jù)數(shù)量多、種類雜，并大多數(shù)屬于多元異構(gòu)數(shù)據(jù)。因此，基于電力安全數(shù)據(jù)性質(zhì)特征的基礎(chǔ)，多層防御機(jī)制在針對不同的電力監(jiān)控場景時應(yīng)利用不同的方式進(jìn)行電網(wǎng)的數(shù)據(jù)采集，具體數(shù)據(jù)采集方式與操作內(nèi)容見表1[7]。

表1 不同電力監(jiān)控場景下的數(shù)據(jù)采集方式

2.2.2 信息的分發(fā)與共享

經(jīng)不同電力監(jiān)控場景的數(shù)據(jù)采集后，多層防御系統(tǒng)可通過對采集數(shù)據(jù)的分化共享，實現(xiàn)采集數(shù)據(jù)的轉(zhuǎn)化變更，以此為安全事件的系統(tǒng)處置提供協(xié)同處置的信息支持[8]。在信息的分發(fā)與共享工作中，本防御系統(tǒng)模型采用了采集上報、決策下發(fā)的實時動態(tài)機(jī)制。一方面在采集上報的工作中，防御系統(tǒng)通過將監(jiān)測到的安全事件進(jìn)行標(biāo)準(zhǔn)化分類，以此提高信息分發(fā)、共享的傳播速度，便于上層控制中心可對安全風(fēng)險事件的快速處置。其威脅安全風(fēng)險事件的詳細(xì)分類見表2。從表2中可以看出，威脅電力系統(tǒng)的正常運(yùn)行主要分為安全事件類、運(yùn)行異常類與設(shè)備故障類3種，并按照事件性質(zhì)的不同，分為重要、緊急2個類別。

表2 采集上報的安全風(fēng)險事件

另一方面，在決策下發(fā)的工作中，多層防御系統(tǒng)中的區(qū)控自治域以分模塊的形式向新型電力系統(tǒng)中從上之下的分層次下發(fā)，其優(yōu)先級采用由高到低的排列方式。部分安全協(xié)同的防御策略見表3[9]。

表3 部分安全協(xié)同的防御策略

2.2.3 協(xié)同防御

當(dāng)電力系統(tǒng)業(yè)務(wù)節(jié)點(diǎn)出現(xiàn)安全威脅或觸發(fā)網(wǎng)絡(luò)安全事件時，多層防御模式需及時下發(fā)防御指令，并控制安全問題的大范圍擴(kuò)散。其協(xié)同防御機(jī)制的工作流程如圖2所示。

從圖2中可以看出，安全防護(hù)設(shè)備多層級協(xié)同防御共分為主機(jī)設(shè)備、安防設(shè)備、網(wǎng)絡(luò)設(shè)備3個部分。首先針對于主機(jī)設(shè)備的防御措施來說，主要采用服務(wù)禁用的防御方式。防御系統(tǒng)通過發(fā)現(xiàn)業(yè)務(wù)節(jié)點(diǎn)主機(jī)設(shè)備中出現(xiàn)未經(jīng)系統(tǒng)授權(quán)的USB接口、串入接口、并入接口、光驅(qū)加載、不信任用戶登錄等事件時，立即對主機(jī)設(shè)備下發(fā)防御控制指令，由Agent程序立即執(zhí)行，開啟防御動作，如禁止USB接口讀取數(shù)據(jù)、禁止用戶登錄等，并通過收集主機(jī)設(shè)備的反饋數(shù)據(jù)，判定服務(wù)禁用的執(zhí)行效果，以此達(dá)到抑制安全問題擴(kuò)散的最終目的。其次針對安防設(shè)備的防御措施來說，其主要采用邏輯阻斷的防御方式。當(dāng)電力系統(tǒng)中出現(xiàn)違規(guī)的外部連接與遠(yuǎn)程登錄操作行為時，多層防御模式可采用邏輯阻斷使其行為失效。例如，通過對電力系統(tǒng)的防火墻設(shè)立指定的IP登錄地址，當(dāng)有不符合安全策略的訪問信息時，及時驗證程序邏輯，若不符合安全防控的工作流程，則予以邏輯阻斷。最后，針對網(wǎng)絡(luò)設(shè)備的防御措施來說，通過采用物理隔離的防御方式，優(yōu)化多層防御的工作效果。為進(jìn)一步提升多層防御的工作效能，消除服務(wù)禁用、邏輯阻斷等系統(tǒng)防御措施出現(xiàn)防御效果不佳的意外情況，電力系統(tǒng)的多層防御模式通過采用物理隔離的技術(shù)手段，實現(xiàn)了主機(jī)設(shè)備與局部網(wǎng)絡(luò)的阻隔，使電力系統(tǒng)切斷了與整個互聯(lián)網(wǎng)絡(luò)的聯(lián)系，待完成安全問題修復(fù)后，才可繼續(xù)接入到互聯(lián)網(wǎng)絡(luò)中來。由此可知，多層防御模式的協(xié)同防御機(jī)制離不開服務(wù)禁用、邏輯阻斷與物理隔離防御手段高效應(yīng)用，通過各個機(jī)制間的協(xié)同配合，可有效處置電力系統(tǒng)中安全威脅源頭，以此保證電力系統(tǒng)的穩(wěn)定運(yùn)行。

圖2 多層防御模式的協(xié)同防御機(jī)制

3 實驗論證

為進(jìn)一步驗證基于電力系統(tǒng)保護(hù)下多層防御模型的有效性，從電力系統(tǒng)網(wǎng)絡(luò)安全的防護(hù)需求出發(fā)，建立協(xié)同防御的模塊化設(shè)計，以此驗證多層防御模型工作性能的有效性。

本次實驗論證的設(shè)計思路在于對網(wǎng)絡(luò)安全事件的論證梳理，主要從已知明確的網(wǎng)絡(luò)安全事件場景、復(fù)雜情境下的網(wǎng)絡(luò)安全事件場景2方面出發(fā)，驗證多層防御模型的工作效能。

3.1 已知明確的網(wǎng)絡(luò)安全事件場景

部分網(wǎng)絡(luò)安全事件場景的觸發(fā)原因明確，且業(yè)務(wù)影響度較低。因此，在針對已知明確的網(wǎng)絡(luò)安全事件場景的防御實驗中，本地自治域模塊通過阻斷電力系統(tǒng)中的ssh鏈路，信用主機(jī)物理網(wǎng)卡服務(wù)等措施，實現(xiàn)對風(fēng)險源的有效處置，其驗證場景如圖3所示。

從圖3中可以看出，在面對已知明確的網(wǎng)絡(luò)安全事件，如網(wǎng)絡(luò)攻擊入侵、違規(guī)設(shè)備接入、主機(jī)服務(wù)端異常等網(wǎng)絡(luò)威脅時，多層防御模式能夠迅速反應(yīng)，通過阻斷Ssh鏈路、禁用主機(jī)物理網(wǎng)卡、關(guān)閉交換機(jī)上聯(lián)端口的方式，實現(xiàn)電力系統(tǒng)的物理隔離，保證電力系統(tǒng)的安全運(yùn)行。

圖3 已知明確的網(wǎng)絡(luò)安全事件驗證場景

3.2 復(fù)雜情境下的網(wǎng)絡(luò)安全事件場景

現(xiàn)階段，復(fù)雜情境下電力系統(tǒng)中的網(wǎng)絡(luò)安全事件主要包括電力系統(tǒng)管理用戶權(quán)限的變更、電力系統(tǒng)文件目錄的變更、主機(jī)設(shè)備端非法端口接入、非法登錄嘗試等。其觸發(fā)原因多樣且業(yè)務(wù)影響度較深，所以在針對復(fù)雜情境下的網(wǎng)絡(luò)安全事件場景的防御實驗中，要通過連接主站域與廠站域，形成協(xié)同管理的防御驗證，其驗證場景如圖4所示。

從圖4中可以看出，復(fù)雜情境下的網(wǎng)絡(luò)安全事件驗證，通過模擬電廠內(nèi)不同業(yè)務(wù)設(shè)備在同時間發(fā)生的故障，多層防御系統(tǒng)依照區(qū)控協(xié)防模塊，匹配防御策略庫中的防御規(guī)則，依照故障情節(jié)發(fā)生的嚴(yán)重程度觸發(fā)主動防御動作，如阻斷縱向隧道、禁止交換機(jī)互換數(shù)據(jù)等，以此達(dá)到安全防御的最終效果。

圖4 復(fù)雜情境下的網(wǎng)絡(luò)安全事件驗證場景

4 結(jié)束語

綜上所述，構(gòu)建基于電力系統(tǒng)保護(hù)的多層防御模型是提升電力系統(tǒng)網(wǎng)絡(luò)空間防護(hù)的一種有效手段，可進(jìn)一步提高電力系統(tǒng)運(yùn)行的安全性與穩(wěn)定性，促進(jìn)電力企業(yè)長期發(fā)展。本文通過結(jié)合新型電力系統(tǒng)的發(fā)展特征和其面臨的網(wǎng)絡(luò)主要風(fēng)險，提出了基于電力系統(tǒng)保護(hù)下的多層防御模型。該模型通過在不同的電力監(jiān)控場景時應(yīng)用不同的方式進(jìn)行電網(wǎng)的數(shù)據(jù)采集、對采集數(shù)據(jù)的分化與共享、搭建協(xié)同防御的工作，實現(xiàn)對電力系統(tǒng)網(wǎng)絡(luò)層安全威脅的分層次防御。經(jīng)實驗的結(jié)果論證，表明該模型能夠滿足當(dāng)前新型電力系統(tǒng)的安全防護(hù)需求，進(jìn)一步提高了網(wǎng)絡(luò)安全的保護(hù)能力，將電力系統(tǒng)的被動防御轉(zhuǎn)變?yōu)橹鲃臃烙?，具有實踐推廣的應(yīng)用價值。