北极星输配电网讯:近日,在奇安信集团举办的“新基建”网络安全论坛上,全球能源互联网研究院副院长高昆仑表示,随着各种新兴技术手段在电力系统中实现应用,电力系统的网络安全面临的挑战正在升级。“现有安全防护体系无法充分应对逐渐升级的攻击手段与安全风险,亟待调整适应。”
电力安全关乎“新基建”领域
“新基建”作为时下的热点话题,被公认为是未来产业政策的重点布局方向。其中,特高压、新能源汽车充电桩、工业互联网,均与电力物联网的概念密切相关,电力系统的安全也与这些领域紧密关联。
“特高压是当今最先进的输电技术;充电桩是电能替代的典型应用,能与电动汽车一起实现储能、反向充电;电力物联网作为工业互联网在电力领域的应用,是新一代电力能源技术与信息技术融合的载体。”高昆仑说,“通过电力物联网,能够实现对特高压运行、充电桩等系统的安全、精准管理。”
实际上,物联网技术在电力行业的应用并非新鲜事,传统电力监控中用到的电流、电压传感器等拥有很长的历史。然而,随着信息通信技术的发展,物联网技术逐渐应用至电力生产、传输、消费及管理各个环节。“在电源侧,物联网技术的应用,可以实现可再生能源的广域互联,以及大规模新能源安全接入;在电网侧,利用物联网技术对电网运行设备运行状态进行精确的采集分析,可以保证电网始终处于安全可控状态,实现自主智能的运检协调控制。”高昆仑介绍。
电力数据保护成难题
“目前对电力企业而言,数据创造的价值,有时要比价格不菲的电力设备更加宝贵。”高昆仑强调,电力行业数字化转型后,数据已为电力企业的核心资产之一,对其保护更是一道难题。“电力系统的许多数据天生具有流动性,在保证安全、机密的同时,还要考虑数据可用性,需要根据特定场景制定数据分类、脱敏等安全策略,十分具有挑战性。”
据了解,电力行业的网络安全自2000年就已开展,目前基本形成了以边界防御为主的综合防御体系,将电力生产控制系统与管理信息系统分成不同的安全区域进行隔离;在边界防御之外,部署防火墙与网关,监测各种病毒和恶意代码以及态势感知等措施。
而随着泛在电力物联网的建设推进,“大云物移智链”等新技术得到广泛应用,电网业务模式发生变革,海量异构终端广泛接入,网络边界模糊、数据交互多元,现有安全防护体系亟待调整适应。
“像摄像头、巡检设备、无人机、充电桩、智能电表等具备计算能力的终端,现在几乎都处于‘裸奔’状态。”高昆仑直言,目前电力系统中许多智能终端缺乏经济有效的防护手段,“以充电桩为例,其不仅与用户进行交互,也会与后台充电桩网络进行交互。对充电桩的攻击可能对充电行为、车辆等造成破坏,甚至危害电网安全。”
不仅如此,近年来“网络战”面临的挑战日趋严峻。高昆仑指出,网络空间已经成为国家之间进行对抗的空间之一,越来越多未知的、定制化的恶意代码开始出现。“例如震网病毒造成伊朗核电站瘫痪、恶意软件导致乌克兰大面积断电等,这种攻击仅仅依靠传统手段已不足以应对。”
“跨界”探索新思路
一个系统遭受攻击的安全风险,与风险威胁能力、系统脆弱程度、资产价值成正比。“毫无疑问,电力系统已成为高价值的攻击目标。”高昆仑说,“对抗已知的威胁,可以采用边界防护、隔离、查杀等手段应对。对于未知的威胁,只能靠自身的免疫力,但现有的计算机系统在这方面是天生缺失的,未知的恶意代码、病毒基本上畅通无阻。”
面对这种未知的威胁,网络安全工程师们另辟蹊径:能不能借鉴生物学原理,模仿生物抵御外界威胁的方式,构造互联网各个节点本体的防御系统来应对未知风险?
高昆仑介绍,一些生物利用不确定的色彩、纹理、形状和行为的变化,给攻击者造成认知困境,以显著降低攻击的有效性。受这一原理的启发,“网络安全拟态防御机理”逐渐形成。“利用这种机理,系统可以动态地、伪随机地执行各种硬件、软件变体,使网络攻击者难以确定软、硬件工作状态,从而难以构建起基于漏洞或后门的攻击链,以此达到增强系统安全的目的。”
与之类似,模仿生物体内免疫系统识别“自身”与“非己”抗原的功能,电力行业开始将“可信计算原理”付诸网络安全实践,由此研发的可信计算安全模块系统(服务器版),已在25个电网调度控制系统实现了应用,已部署1500台套。“该系统目前是国内工业领域规模最大、等级最高、强度最强的可信计算应用。”高昆仑表示,“此外,针对电力物联网终端的充电桩、新能源发电、配电终端等,可信计算安全模块(嵌入式版)也已得到应用。”