智慧能源下的电力企业网络安全技术体系建设

摘  要：文章在结合国家监管政策中关于电力企业的安全防护要求、参考业界常见的网络安全综合防护体系的基本概念、遵守理论与实践相结合的建设原则的基础之上，针对电力企业网络安全现状，论述在智慧能源+工业互联网技术变革的关键时期适用于智慧能源下的电力企业网络安全体系，提出智慧能源下电力企业网络安全综合防护体系的建设路径。

关键词：智慧能源;电力企业;网络安全;工控安全;防护体系

中图分类号：TP39     文献标识码：A文章编号：2096-4706（2021）19-0108-04

Construction of Power Enterprise Network Security Technology System under Smart Energy

LI Bokai

（China Huadian Engineering Co.， Ltd.， Beijing  100070， China）

Abstract： On the basis of combining the security protection requirements of power enterprises in the national regulatory policies， referring to the basic concepts of the common network security comprehensive protection system in the industry， and abiding by the construction principle of combining theory with practice， aiming at the current situation of network security of power enterprises， this paper discusses the power enterprise network security system suitable for smart energy in the key period of smart energy + industrial Internet technology reform， and puts forward the construction path of power enterprise network security comprehensive protection system under smart energy.

Keywords： smart energy; power enterprise; network security; industrial control security; protection system

0  引  言

“智慧能源”（Smart Energy）是指包括電力、石油、水、天然气、可再生能源等多种能量资源形式、多种能源形式背后的能源转换技术与能源使用终端设施在信息化、网络化、智能化系统下相互连接所构建出的能源网络体系，通过结合先进的物联网、云计算、通信与控制等技术，不断提高能源的利用效率，最终赋予能源以“智慧”。

“智慧能源”意在通过转变能源形式（如由传统能源向清洁能源的转变）与提高能源利用效率等方式，有效地解决全人类共同面临的能源问题，并通过控制全球气候变化的趋势，在经济、社会、环境和资源方面实现真正意义的可持续发展。

因此，“智慧能源”的提出将引领能源产业新的技术革命，而这场技术革命将不可避免地影响人类未来的社会经济发展、政治、环境资源开发，具有重要的战略意义。随着智慧能源与数字化转型等战略的实施，传统电力企业不可避免地需要打破壁垒，由传统的能源形式与利用方式向着智慧能源的方向转变。因此在技术转变的过程中，智慧能源以及工业互联网下的整体网络安全环境变得更为复杂多变，网络安全边界外延扩大，给信息系统、工业控制系统、数据融合共享等领域带来了严峻的安全挑战。

1  问题与挑战

“智慧能源”希望能够有机地结合物联网技术、云计算技术、通信技术、控制技术等多种信息技术，华电科工信息化项目管理系统如图1所示。但在信息技术开发、设计与更新的过程中，与此类技术相关的第三方供应商常常急于进入市场并争夺市场份额，从而使得这些信息技术本身难免会出现各种安全上的缺陷。另外，随着网络信息技术的开发，网络空间所遭遇的新威胁与趋势变化迅速，加之针对关基设施的国家级背景组织不断渗透，新技术驱使下攻击手段不断演进，网络安全技术体系能否高效与精准地应对环境中复杂多变的网络安全形势，也是每一位电力企业安全管理者亟须面对与处理的问题，给网络安全技术带来了新的挑战。

2  电力企业网络安全现状

在以实战化为指导的网络安全体系建设过程中，结合华电科工本身的日常安全防护工作，以及网络安全攻防演练期间、重大节日保障期间、集团安全演练过程中，都发现了众多不容忽视的安全隐患问题，如表1所示。

2.1  安全管理现状

伴随着智慧能源所带来的信息化、网络化、智能化系统技术趋势的变化，各电力企业也开始积极地探索智慧能源的转型，加快完成数字化的变革，逐步完善企业的信息化建设。一般的电力企业内部管理部门已初步建立起针对安全事件的管理办法、参照零散的安全设备日志告警所进行的安全管理信息制度及手段。

在以稳生产、促效益为目标的电力企业中，工控环境的安全需求往往来源于合规性要求。但相比于业务管理，安全管理并不易被管理者理解。同时，随着近年来电力企业生产系统的发展，生产自动化程度持续提升，业务运行连续性提高，但电力企业内部却仍缺乏针对电力工业生产环境有效的工控安全思考和整体规划。

2.2  技术防护现状

随着电力企业向着智慧能源的方向发展，电力工业控制网络也随之进行着工业互联网的变迁。根据电力企业的工艺要求，不同产业如清洁能源、机械、环保等产业板块中相关防护的要求也不尽相同，且防护技术大多呈现“九龙治水”格局，无法形成综合防护屏障。但真实的攻击行为往往是多方面搜集信息且有步骤地推进，因而仅靠多种防护产品的堆叠，往往会在不同防护产品上突出攻击行为的某个阶段或特征，但却难以真正判断攻击的形成原因、攻击路径、影响范围及后果等。此外，工业生产数据属于机密数据，而目前主流的工业通信协议却常常遵循不规范的规约，缺乏身份验证机制与数据加密手段，因而攻击人员可以很容易通过窃听等手段获取到传输过程中的任何机密信息。

2.3  安全运营现状

随着电力企业规模逐渐扩大，企业信息系统规模日益庞大，新技术也逐步推行与使用，因而导致安全风险隐患也不断增加。电力企业普遍缺乏信息安全人员，且大量信息人员身兼多职，致使安全运营工作无法做到专人专岗专责，专业技能的更新速度也无法跟上安全技术的发展速度。因而安全事件一旦发生，电力行业则无法进行全面、深入的攻击事件溯源分析，同时也缺乏统一的安全事件监测手段以及多维的关联分析手段，严重影响着安全威胁事件的检测、分析与处置的效率，高效的安全运营闭环管理则无法保证。

3  建設智慧能源电力企业网络安全技术体系的路径

3.1  网络安全体系的设计理念与核心

电力企业的网络安全防护体系应结合当前电力网络安全的现状与相关行业内部的优秀经验，围绕“智慧网络安全技术体系”的理念进行建设，坚持以面向实战化安全防护体系为核心，健全安全管理方式，重构安全技术手段来深化企业安全运营。此外，网络安全体系应以安全服务为抓手，推动电力企业内部的灵活应用与联防联控，搭建自上而下的纵深防御防护体系。

3.2  重视网络安全能力的建设

华电科工一直高度重视网络与信息化安全综合防护能力的建设，在集团公司网络信息安全统一规划和指导下，积极开展年度“春、秋季”信息安全隐患排查工作，并根据检查结果进行总结、经验交流、问题整改等一系列工作。按上级领导的指示，华电科工信息管理部结合网络与信息安全热点事件，以年度为单位举办以网络信息安全为主题的培训活动，以加强华电科工领导和员工对网络与信息化安全的防范意识。

3.3  网络安全综合防护能力的建设

华电科工网络与信息安全工作一直建立在集团公司的网信安全框架下，通过管理维度、技术维度以及运营维度构建统一完善的信息安全保障体系。具体的安全保障体系包括：

3.3.1  智慧管理体系的建设

面向实战化对抗中关于“对手组织化”，电力企业的对手从普通的网络犯罪变成了组织化的攻击，攻击方式从通用攻击转向为复杂组合的定向攻击;因此需要首先内部加强组织机构，成有网络安全与信息化领导小组，成立网络安全工作组，制定特色的网络安全建设相关的制度规范，形成标准化的建设指南，制定安全考核评分规则，量化下属单位安全建设评分通告制度，完善安全责任制，工作主要是以集中化方式的管理模式，指导并监管下属单位、工控电厂等进行网络安全内容建设。落实安全管理组织结构，补充现有网络安全工作组人员，同时落实下属单位网络安全工作的责任人。

3.3.2  智慧手段的完善

面向智慧能源电力企业下工业物联网的数字化底座融合，信息载体与威胁形势正在不断变化。因此，应首先构建云上数据中心的安全防护体系，打通控制平面实现安全防护体系和云环境的一体化编排调度;其次，在电力企业的生产数据上，建设数据安全治理系统，梳理数据资产，通过分类分级的方式确定数据安全属性、环境安全属性及访问控制策略;而后构建面向安全实战化的网络安全统一管控平台，补齐云上、传统信息化、工业生产域等多层次的基础安全能力，汇聚安全数据的中心，有效地支持事件处置、多源情报融合、深度威胁猎杀等安全运行工作，形成联防联控的实战化网络安全防护体系，网络安全态势感知监控界面如图2所示。

3.3.3  智慧运营的建立

面对新的安全形势和安全环境，安全防护体系的建设应从合规导向转向能力导向，网络安全系统从防护和监管转向关注实战化，将实网攻防演习列为常态化手段;电力企业应以实战化的安全服务为抓手，不断对信息化的发展提出新的安全要求;另外，行业应依托集团、各分公司、子单位与第三方专家机构，设立安全运营中心，组建安全专家团队，培养支撑网络安全运营服务人员力量，配置安全运营所必需的岗位编制，明确岗位职责及工作范围，其中智能漏洞分类统计排名如图3所示。

网络安全运营工作致力于将网络安全能力服务化，以电力企业系统安全与稳定运行为前提，为下属单位赋予安全能力，指导并监管下级单位安全工作，开展网络安全威胁分析、安全事件应急响应、定期信息系统漏洞扫描、“春、秋季”安全专项检查、网络安全宣教月活动等工作。同时，通过统一管理公司运维服务工作，编制网络安全运维管理体系，将运维工作标准化、流程化、可视化。另外，安全运营将从人员、流程、技术三个方面进行一体化设计，制定安全运营能力提升计划，定期对安全运营能力进行评估，并从中找出前后差距，持续完善提升计划，驱动安全运营体系逐渐成熟。华电科工的网络安全综合防护能力建设工作将在华电集团公司的总体规划与领导之下，结合自身网络安全综合防护能力建设过程中出现的网络安全问题进行全面整改。网络安全综合防护能力的建设应进一步落实关键信息中基础设施的防护责任，加强关键信息基础设施的网络安全防护，完善网络安全机制、手段和能力建设，加快对网络安全专业人才的培养，提高网络安全事件应急指挥能力，不断提升网络安全的综合防护水平。

4  经验总结

智慧电力企业下的网络安全技术体系建设应面向智慧能源中先进的物联网、云计算、通信与控制等技术，以补全与新技术相关的安全防护手段的建设，同时关注安全管理制度的完善及规范标准落地、赋予相关部门安全运营的能力，将安全产品的安全能力与技术进行有机整合。华电科工集团在这方面已积累了一定的经验，可供同类企业作为参考，具体为：（1）循环递进安全管理制度，进一步明确信息管理部和外包服务人员的职责与分工，加强相关制度的建设并严格落实。随着安全工作不断稽查及现有的安全管理制度的完善，为安全技术的使用及安全运营团队工作内容提供指导。（2）实战化的攻防防护体系，面对当前来自电力能源的威胁，坚持实战化的运营建设，持续检验整体纵深安全防御机制的有效性、动态分析安全威胁并及时处置相关安全风险;同时，依托大数据平台等热点技术实现数据处理、安全分析、威胁响应、指挥控制、态势呈现等多层次的安全能力，用以支撑实时安全监测、持续措施验证、关联事件处置、多源情报融合、深度威胁猎杀、威胁溯源反制等安全运营工作。（3）强调经营安全的人员组织培养，进一步明确信息管理部和外包服务人员职责分工，加强相关制度的建设并严格落实，聘请信息安全专家作为长期安全顾问、定期开展安全监测、每年开展业务系统渗透测试等途径全面保障网络安全，为保障信息化业务稳定、生产及运营提供强有力支撑。

5  结  论

综上所述，笔者结合前期网络安全项目的实践经验，分析了智慧能源下电力企业网络安全技术的体系现状，并结合华电科工集团的网络安全防护体系的建设情况，得出以上结论。就电力企业网络安全发展现状而言，众多问题亟待解决，当前传统网络安全的防御体系具有很大的局限性，难以满足目前智慧能源目标下电力企业网络发展的要求。“智慧能源网络安全体系”是一种适用于智慧能源下电力企业网络安全技术体系，具有很强的先进性、科学性、全面性。它通过自适应完善的工作流程，能够有效抵御网络威胁，保障电力企业网络运行的安全性，进而促使电力企业业务高效持续发展。

参考文献：

[1] 王毅.智慧能源 [M].北京：清華大学出版社，2012.

[2] 袁宝，高强，冯庆云.基于人工智能的信息网络安全态势感知技术分析 [J].信息记录材料，2019，20（4）：113-114.

[3] 靳琳，赵任方，董钟.基于Spark Streaming的网络安全流式大数据态势感知研究及发展趋势分析 [J].网络安全技术与应用，2020（2）：62-65.

[4] 丁伟，唐洁瑶，曹扬，等.电网信息物理系统网络安全风险分析与防护对策 [J].电力信息与通信技术，2018，16（9）：33-38.

[5] 黄昆，杨旭东，许珂，等.基于多元异构模型的大型电网企业网络安全态势分析 [J].电力信息与通信技术，2019，17（1）：72-77.

作者简介：李伯恺（1983—），男，汉族，北京人，硕士研究生，网络安全高级主管，主要研究方向：网络安全规划、建设、运营管理。