新型电力系统网络安全技术、标准体系协同构建的研究

摘 要：新型电力系统是我国能源战略的重要发展方向，因此建立新型电力系统网络安全技术、标准体系整体框架意义重大。本文分析了新型电力系统网络监测难、存在数据安全隐患等5方面网络安全风险问题，结合新型电力系统网络安全标准研究现状，提出新型电力系统网络安全技术体系的“三道防线”总体思路和从网络边界安全防护、安全区域划分、可信接入等8个方面的网络安全标准体系构建的关键控制项，融合标准法律和政策法规，协同构建新型电力系统网络安全技术、标准体系的整体框架，以期为新型电力系统网络安全技术发展研究提供基础参考。

关键词：新型电力系统，网络安全技术，标准体系，协同构建

0 引 言

新型电力系统是中国实现“碳达峰、碳中和”目标的重要途经，也是确保能源电力安全的基本前提，源网荷储各环节、各主体相关网络、系统和各种业务场景存在网络安全需求[1]。由于终端、网络设备、数字化平台、引用的新兴数字技术等存在各种安全隐患，导致新型电力系统成为网络威胁攻击的重要对象，造成重大安全事件。目前新型电力系统网络安全技术标准部分处于空白阶段，没有标准化的技术体系支撑新型电力系统运行过程中的安全保障[2]。因此，新型电力系统网络安全技术、标准体系协同构建已成为重要的研究方向。

1 新型电力系统网络安全、标准体系的问题分析

1.1 新型电力系统网络安全问题分析

新型电力系统的构建强化了源、网、荷、储各环节间的互联互通，呈现多元化的主体、复杂化的电网形态和多样化的运行方式。新型电力系统构建深刻改变了传统电力系统形态，与能源链等外部系统进行智慧耦合。新型电力系统包含物理层、网络层、应用层，涉及的运营主体涵盖了传统的电网、发电、输电、变电及能源链相关企业，将用户、运营商等多元主体进行联合互通，存在网络安全监测难、数据安全隐患增加、网络安全边界模糊、新兴数字技术安全风险持续升级、攻击威胁剧增风险等问题，如图1所示。

1.1.1 网络安全监测难

新型电力系统与能源链、大量存量工控终端等设备进行复杂地互联互通，终端设备呈现出型号多样、数量大、结构复杂等特点，导致终端身份识别认证困难、联网接入和数据通信方式多样性，网络安全防护措施参差不齐，网络安全监测范围无法全面覆盖新型电力系统各个环节。

1.1.2 数据安全隐患增加

新型电力系统的多元主体与多层市场之间进行着大量敏感数据的业务交互，其中大量的终端、设备通过互联网络相互连接却处于无人值守和网络安全防护能力薄弱的环境中，增大了新型电力系统的攻击面。攻击者通过攻击、植入病毒、伪装终端干扰控制层设备，造成海量的新型电力市场交易数据、用户隐私数据等敏感数据被泄露和篡改，无法提供精准和强时效的数据，造成重大的经济损失。

1.1.3 网络安全边界模糊

新型电力系统多样性的交互主体扩大了高隐蔽攻击面，而基于物理隔离的边界安全防御措施难以覆盖全貌，导致传统电力系统的边界安全机制难以适应新型电力系统，大大增加了新型电力系统边界防护的安全防御的难度，造成新型电力系统网络安全边界的模糊性。

1.1.4 新兴数字技术安全风险持续升级

5G、人工智能、云计算、区块链等新兴数字技术充分应用于新型电力系统的电力交易、源网荷储互动等方面，提升新型电力系统智能化水平。但新兴数字技术存在协议不合规、开源漏洞等方面的安全问题，使得新型电力系统面临终端设备、网络层和应用层入侵、用户信息和敏感数据被篡改等网络安全威胁风险，影响电网安全、用电安全。

1.1.5 攻击威胁剧增

随着新型主动对抗型网络攻击方式呈现多样化、智能化、数量剧增的特征，现有的网络安全防御方法缺乏自适应、态势感知、动态检测的主动防御能力，难以满足高度信息化的新型电力系统内生安全需求。攻击者通过对新型电力系统物理层、网络层、应用层的入侵实现攻击目的。物理层中的各种非受控智能终端设备成为恶意攻击者的攻击目标，导致电力系统物理层终端被入侵。攻击者通过堵塞信息通路或篡改通信内容间接实现网络层的攻击。系统应用层防御能力相对薄弱，攻击者通过攻击应用层，窃取到用户信息和敏感数据。

1.2 新型电力系统网络安全标准的研究现状

目前面向新型电力系统的网络安全标准部分处于空白。相对于新型电力系统，我国电力行业的网络安全标准规范已趋于标准化。2004年原电监会发布《电力二次系统安全防护规定》，坚持安全分区、网络专用、横向隔离、纵向认证原则。2014年发布《电力监控系统安全防护规定》，提出生产控制大区内设置“安全接入区”理念。2015年国家能源局下发《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》[3]。2022年修订印发了《电力行业网络安全管理方法》和《电力行业网络安全等级保护管理办法》[4]。上述电力行业网络安全标准规范相对成熟，但针对新型电力系统的网络安全标准规范相对较少，2021年我国新型电力系统建设还处于较为初级的阶段，在2022国际标准化大会上全球首次提出新型电力系统关键技术国际标准框架体系。由此得出新型电力系统在网络安全标准规范方面存在巨大的差异，构建新型电力系统的网络安全标准是目前重要的研究方向。

2 新型电力系统网络安全技术体系的总体思路

新型电力系统网络安全技术体系构建的总体思路是以物理层、网络层、应用层全场景网络安全技术防御方法为依据，针对新型电力系统多维的威胁攻击方式，以安全威胁攻击的全周期过程划分为威胁攻击前、攻击中和攻击后的分析思路，进一步归纳总结为新型电力系统网络安全技术体系构建方法的“三道防线”，如图2所示。

2.1 新型电力系统网络安全技术体系的第一道防线

新型电力系统网络安全技术体系构建方法的第一道防线是威胁攻击前安全防御策略。采用可信接入、数据加密技术传输[5]、网络威胁智能感知技术的安全技术，防止篡改数据，检测隔离恶意软件，实现智能检测威胁行为，提升新型电力系统的网络安全防护能力，保障新型电力系统安全稳定运行。

2.1.1 可信接入

针对新型电力系统中分布式新能源、精准负荷控制等典型业务场景存在网络边界动态变化、接入对象身份不确定、接入终端工作环境不可信等因素，因此需要打造新型电力系统网络安全技术防御体系，应用零信任、纵深防御等安全技术来实现新型电力系统各环节设备数据应采尽采、精准采集。在访问主体和客体之间构建基于主体身份验证、可信评估和动态权限分配的访问控制体系，开展新能源厂站、分布式光伏等终端设备安全准入、安全防护应用的零信任的可信接入方案。根据接入用户以及终端的不同业务需求对用户进行身份合规性检查，支撑公司全场景网络安全联防联控。

2.1.2 数据加密技术传输

新型电力系统发、输、变、配、用各环节存在大量的数据传输，通过数据加密技术加强源、网、荷、储等重要敏感数据保护。明确敏感数据安全主体和防护要求，建立并优化跨网络分区的数据安全交换通道，完善数据交换策略，通过敏感数据保护、安全审计、数据安全治理等方式智能化保障电力数据在各能源链间的安全、合规流动；及时分析处置安全风险，定期开展数据安全审计，防止数据泄漏。强化动态脱敏数据安全关键技术攻关应用，构建完善的技术体系，全面防范化解各类数据安全合规风险隐患，实现对潜在攻击的提前有效阻隔。

2.1.3 网络威胁智能感知技术

新型电力系统的物理层具有发电、输电、变电、配电、用户智能终端等设备，网络层具有5G、无线、卫星等通信网络，应用层具有电网动态监测系统、能源管理系统等智能终端，攻击者根据新型电力系统的特征和结构进行攻击。针对新型电力系统网络层的信息物理特征的病毒和攻击手段增多，针对物理层空间的跨域传播机理的网络攻击。因此需要从物理层、网络层、应用层构建网络威胁智能感知安全防护体系。其中网络层基于机器学习、知识图谱、攻击溯源、网络恶意入侵诱捕等技术构建智能分析模块，精准识别异常行为和攻击事件。物理层主要检测内容数据特征和偏差，构建电力系统的漏洞管理功能，强化终端监测感知。应用层通过整合新型电力系统中各个主体的网络安全态势感知能力，建立多级协同的网络安全监测与响应机制，构建适应新型电力系统的网络安全智能感知的技术架构可快速响应的网络威胁智能感知能力。

2.2 新型电力系统网络安全技术体系的第二道防线

新型电力系统网络安全技术体系的第二道防线是威胁攻击中的安全防御策略。由于新型电力系统具有众多设备与元件，融合了智能终端设备、电网监测和通信网络的独立系统，因此当系统不同环节处于攻击中时，需要采用不同的处理方式。应用层基于威胁攻击检测技术、调节新型电力系统运行参数，快速识别攻击源，实施紧急控制策略。网络层采用备用路由切换方式，实现通信网络重构与自愈保护。物理层采用智能设备调节负荷，分布式能源、储能设备补充供给，实现攻击中负荷供给平衡，能够快速响应，应急切除故障并恢复。

2.3 新型电力系统网络安全技术体系的第三道防线

新型电力系统网络安全技术体系的第三道防线是威胁攻击后的安全防护策略，主要针对威胁攻击事件进行取证、分析和总结，及时更新入侵检测特征样本、签名、防病毒数据库、安全补丁和安全策略，做到事后免疫和安全防御升级，提升攻击后的校正恢复，实现安全防御升级。其中网络层通过重启路由、应急通信卫星，保证临时应急通信，采用取证分析方法，进行入侵、攻击和流量日志数据的痕迹取证、威胁信息分析和攻击呈现，回溯加固更新病毒库或攻击行为样本库。物理层根据常规机组与新能源机组协同、源网协调的系统重构及负荷恢复策略，保障重要负荷供电。应用层采用分区控制和分级保护、低频低压减载，防止事故扩散造成系统崩溃，灾备切换、紧急干预电力系统，实现故障最小化扩散、最大化减损和最优化重建。

3 新型电力系统网络安全技术、标准体系协同构建的框架

3.1 新型电力系统网络安全标准体系构建的关键控制项

根据新型电力系统的网络安全标准的研究现状，我国新型电力系统网络安全关键技术和标准的研究仍有很多空白，因此构建新型电力系统网络安全标准体系迫在眉睫。本文根据新型电力系统网络安全技术体系构建的“三道防线”，再结合国家、行业网络安全技术、电力行业网络安全等级保护标准、要求，构建新型电力系统网络安全技术标准体系，提出新型电力系统的网络安全防护标准体系的关键控制项。

3.1.1 网络边界安全防护

新型电力系统与外部网络边界部署可靠的安全隔离技术设备，既能满足新型电力系统与外部网络、内部子系统间信息交互需求，也能有效防止外部网络向新型电力系统发动网络威胁攻击。

3.1.2 安全区域划分

根据新型电力系统不同的结构、业务场景和功能划分安全区域，将网络层的各种信息传输行为进行精细化访问控制，及时阻断电力终端的网络安全威胁。

3.1.3 可信接入

新型电力系统智能终端等设备围绕安全接入部署防护措施，确保分布式设备接入可信身份认证，控制不同业务主体的用户的身份合规检查，实现边端设备网络安全层面的可控制。

3.1.4 数据传输加密

新型电力系统发、输、变、配、用电各个环节的数据加密传输，通过安全审计等方式保障新型电力系统数据在各个能源链间的安全、合规流动，依据数据敏感等级实施不同程度的加密方式，实现对数据流向的动态管控。

3.1.5 数据安全保护

新型电力系统的建设涉及多方主体进行海量、多类数据的交互和共享，数据应用场景和参与主体日趋多样化，因此依据新型电力系统不同的业务场景，将专用功能按照专用数据网络或专用信道通信，实现数据安全隔离和访问控制技术。

3.1.6 内生免疫安全技术

通过强化内生免疫安全技术应用，利用目标系统的自身架构等内源性效应而获得可量化设计、可验证度量等安全功能，适用于电力关键信息基础设施的安全操作系统，保障新型电力系统业务应用安全可靠运行。

3.1.7 网络安全监测

针对新型电力系统从资产、漏洞、威胁、攻击等多个方面监测网络安全态势，打破多设备、多场景之间的“信息孤岛”，构建电力系统网络攻击协同处置体系，强化新型电力系统源网荷储各环节间的联防联控，实时分析安全风险并及时预警，实现漏洞识别和漏洞库、漏洞补丁、漏洞特征库的实时更新。

3.1.8 应急处置

综合分析安全事件，驱动安全策略的解析、生成、更新，得到最优应急处置方案、应急处置任务，推动新型电力系统全业务环节的快速联动响应、排查与修复。

3.2 新型电力系统网络安全技术、标准体系协同构建的框架

通过对新型电力系统网络安全问题分析、网络安全标准的研究现状、新型电力系统网络安全技术体系的总体思路和网络安全标准体系构建的关键控制项的研究，融合标准法律和法规要求，共同建立新型电力系统网络安全技术、标准体系协同构建的框架，如图3所示。

整体框架包含网络安全技术标准落实、政策法规的落实、标准法律融合、技术标准效能、技术标准推广和基础共性标准等内容。其中网络安全技术标准落实包含通用网络安全技术标准、通用网络安全管理标准、数据安全标准、网络安全边界防护标准、新型数字技术标准、网络威胁感知标准、内生安全免疫标准、应急处置标准和故障校正恢复标准。通过政策法规的落实、标准法律融合、技术标准效能、技术标准推广和基础共性标准确保新型电力系统的源网荷储各环节、各主体相关网络、系统互联互通和互操作的效率，强化技术标准效能，推动形成良好新型电力系统的网络生态，规范网络安全技术和措施的实施，以技术标准推动新型电力系统网络安全防御的目标。

4 结 语

本文对新型电力系统的网络安全技术、标准体系协同构建的框架进行了研究。深入分析新型电力系统网络安全监测难、数据安全隐患增加、网络安全边界模糊、新型数字技术安全风险升级、攻击威胁剧增等5方面的网络安全风险，以新型电力系统的网络安全标准的研究现状为切入口，提出了构建新型电力系统网络安全技术体系的“三道防线”总体思路和网络安全标准体系构建的关键控制项，协同构成适用于新型电力系统的网络安全技术、标准体系框架设计和关键技术攻关，全面提升源、网、荷、储网络安全防护能力，保障新型电力系统安全稳定运行。

参考文献

[1]辛保安，李明节，贺静波，等. 新型电力系统安全防御体系探究[J]. 中国电机工程学报， 2023， 43 （15）：5723-5732.

[2]习工伟，周济，徐式蕴，等. 新型电力系统安全稳定标准体系研究[J]. 高电压技术， 2023， 49 （S1）：147-152.

[3]宋禹飞，刘润鹏，王宏，等. 新型电力系统标准体系架构设计及需求分析[J]. 南方电网技术，1-8.

[4]上官晓丽，王秉政. 网络安全国家标准体系建设研究[J].信息技术与标准化， 2021 （05）：7-10+34.

[5]温娜，高亮，王淑敏. 浅谈电子商务网络信息安全技术的优化[J]. 标准科学， 2024（07）：62-65.