安全策略

随着新型电力系统建设的推进，在电力系统转型的进程中，新型电力系统网络安全主要面临更多的风险挑战，需要构建下一代新型网络安全防护体系，本报告将从信息传输的安全性角度来分析，共同探讨不同业务的不通的安全策略，并给出典型的安全解决方案。

配网工作人员一般采用移动应用进行远程办公解决现场生产问题。针对移动应用的安全问题，本文设计了一种应用保护安全方法，首先对生产移动应用构建沙箱，配置实时安全策略，包含数据加密、防截屏、添加水印、禁止连接WIFI等；同时通过自动封装VPN SDK的方式实现传输进一步加固，保障应用级别的VPN接入；最后针对通过VPN非授权访问的未知威胁，在网关侧对流量进行分流并引导至蜜罐网络中，利用无监督聚类算法对流量进行聚类分析，设定移动终端入侵检测规则过滤威胁。本方法提高了配网生产移动应用的安全性并得到推广，两年来，有效且准确实现对移动应用未知威胁的智能防御。

面对调度交换网从传统的程控交换机组网技术向IP语音技术演进过程中出现的网络安全问题，文章首先分析了IP多媒体子系统(IP multimedia subsystem，IMS)核心网络和软交换网络2种IP语音电话网络的安全风险和现有的安全防护措施。通过分析现有安全防护措施的薄弱之处，在入侵响应系统架构下，文章提出一种基于强化学习的IMS及软交换网络主动防御安全策略。该策略指导网络中设备根据运行状态，主动采取对应动作以应对网络安全问题，决策过程由强化学习机制完成。经计算验证，基于强化学习的IMS及软交换网络主动防御安全策略在网络遭受不同类型的攻击时，可以达到灵活的主动防御目的。

随着新型电力系统建设推进，电网的并网主体类型更多、数量更大、场景更丰富，要求电网对外更加开放，网络对外暴露面扩大，由此将面临更多的安全风险。国家关键信息基础设施安全保护方面明确提出对资产暴露面的安全保护相关要求，而对多源异构的网络设备、防火墙、各类网关等网络关键节点的策略数据的可视化、集中化、智能化的运行管理是有效监测、预警和管理电网资产和业务对外暴露面的重要措施之一。 本汇报以安全策略可视化仿真能力支撑电网的网络安全和运维场景为主题，介绍技术方案框架、落地场景和应用价值等。

他表示随着电力数据的开放共享和电网的数字化转型，电力行业面临着数据安全缺乏监管、数据流通安全防护薄弱等问题，应建立电力企业的数据安全治理体系。首先完善分级保护策略，实现不同安全等级数据的精细化防护；其次构建数据安全基础架构组件，实现技术层面的安全策略联动，打造数据安全技术底座。再次通过建立数据全生命周期的安全保护流程，实现数据安全流转管控无缝衔接。最后建设数据安全风险监测预警平台，实现数据安全风险的预警监测、风险动态展示与及时处置。

介绍了影响配网带电作业安全的主要因素、典型安全隐患问题示例以及带电作业本质安全策略。

变电站改扩建是电力系统发展的重要保障手段。智能变电站经过近十年建设发展，现正面临迫切的改扩建需求。智能站具有信息数字化、回路抽象化、设备强耦合等特点，二次系统改扩建需在运行系统上开展设备修改和试验工作，如同在人体复杂的神经网络上“动手术”，牵一发而动全身，稍有不慎，可能导致运行设备误停电，甚至演变成电网级事故。智能站改扩建逐渐形成“不会做、不敢做、做不好”的不利局面，近年来己发生多起因安全隔离或试验不到位引起的电网事故。 项目围绕智能站二次系统改扩建安全高效实施开展技术攻关，形成了以“设备配置校核为前提、安全边界分析为保障、系统预调试为支撑、现场全环节验证为手段”的安全试验体系，研发出安全策略自动生成软件、现场一体化测试系统等成套试验装备及工具，全面提升智能站改扩建安全性、质量和效率。

电力线与无线混合通信(HPWC)技术，可解决配电网数据爆炸式增长所致的信息传输问题。较单一电力线或无线网，HPWC无疑增大数据泄露风险。“十四五”电力发展规划明确：实现电力设备全时空连接和信息安全可靠传输。电网数据安全关系到整个电力行业乃至国家安全战略。而物理层安全作为可望实现绝对安全的传输技术，无疑是上层密钥安全的一种有效补充和增强方案。 因此，在实际配电网中，我们考虑多个勾结窃听设备和非完美信道约束条件，研究具有普适意义的HPWC物理层安全传输问题。具体而言，在实际Mesh结构的配电网中，设计多跳HPWC网络的物理层安全编码，研究电力数据传输中继解码转发方案，提出具有鲁棒性的人工噪声辅助波束成型的安全策略，建立具有实际意义的电力信息网络底层安全机制。

本成果依托“基于国产密码的用电计量信息安全关键技术研究及产业化”、“智能计量体系国家商用密码产品全流程自主可控生产检测平台建设”等南方电网公司重点科技研发项目，针对数字电网配用电信息安全的特点和难点，产学研用协同攻关，提出了基于国产密码的“可靠可控、精准保护”技术路线，设计了“分层保护、身份认证、加密传输、MAC验证”的安全策略，经过多年攻关，在密码体系设计、密码生态建设、密码产品研制、密码生产检测平台及质量检测体系构建等方面取得了一系列重大创新成果。本成果为我国公共事业领域及智慧城市配电网信息安全防护体系建设提出了系统的解决方案，是国产密码产品首次在南方电网五省区配用电量领域大规模产业化应用的典范，实现了系列核心密码装备的自主可控，保障了南方五省两市配用电基础设施安全，响应了国家信息安全战略及商用密码管理相关政策，带动了电力系统、密码学及信息安全学科的交叉融合发展，加快了电力系统、信息安全及稀缺芯片设计人才的培养，促进了智慧城市信息安全保障体系建设，对推动能源互联网的构建及智慧城市的建设发展有重要意义。本项目的研究成果也可扩充到其他涉及到信息安全公共事业领域，以提升我国的整体信息安全水平。

工业控制网络安全系统解决方案具体包括工业隔离网闸、工业防火墙、工业入侵检测系统、工业终端安全卫士、USB安全防御系统等。(1)工业隔离网闸。专门针对企业管理信息网络与工业生产网络之间数据交换等高安全应用场景的隔离安全防护产品，采用“2十1”系统架构(内端机、外端机、专用物理隔离单元)，在实现网络物理隔离、协议隔离的同时，进行高效率的安全数据交换。(2)工业防火墙。一款适用于工控网络的网络安全保护产品，用于网络边界安全防护，提供访问控制功能，防范未授权的访问，通过白名单控制功能实现对工业协议的深度解析与精确控制，通过黑名单防护功能实现对信息系统漏洞的防护。(3)工业入侵检测系统。通过对工业流量、工业通讯协议深度解析检测，并基于威胁情报、工控漏洞库等安全知识库信息，进行综合智能分析，高效准确地识别检测威胁和攻击行为，形成安全事件和告警，并支持与工业防火墙联动，对入侵行为及时进行拦截处理。(4)工业终端安全卫士。一款基于网络安全等级保护2.0标准研发的安全加固和审计系统，具备外设接入控制、安全审计、基线核查修复、病毒扫描、文件完整性监测、双因子认证、可信白名单和访问控制等功能，支持的平台包括Linux、window等。(5)USB安全防御系统。采用纯硬件设计，无需在保护计算机安装任何软件，实现对接入的UB存储设备认证管理、黑白名单安全策略配置、文件数据流向控制、病毒查杀及日志审计等功能。