安全策略

随着新型电力系统建设的推进，在电力系统转型的进程中，新型电力系统网络安全主要面临更多的风险挑战，需要构建下一代新型网络安全防护体系，本报告将从信息传输的安全性角度来分析，共同探讨不同业务的不通的安全策略，并给出典型的安全解决方案。

配网工作人员一般采用移动应用进行远程办公解决现场生产问题。针对移动应用的安全问题，本文设计了一种应用保护安全方法，首先对生产移动应用构建沙箱，配置实时安全策略，包含数据加密、防截屏、添加水印、禁止连接WIFI等；同时通过自动封装VPN SDK的方式实现传输进一步加固，保障应用级别的VPN接入；最后针对通过VPN非授权访问的未知威胁，在网关侧对流量进行分流并引导至蜜罐网络中，利用无监督聚类算法对流量进行聚类分析，设定移动终端入侵检测规则过滤威胁。本方法提高了配网生产移动应用的安全性并得到推广，两年来，有效且准确实现对移动应用未知威胁的智能防御。

他表示随着电力数据的开放共享和电网的数字化转型，电力行业面临着数据安全缺乏监管、数据流通安全防护薄弱等问题，应建立电力企业的数据安全治理体系。首先完善分级保护策略，实现不同安全等级数据的精细化防护；其次构建数据安全基础架构组件，实现技术层面的安全策略联动，打造数据安全技术底座。再次通过建立数据全生命周期的安全保护流程，实现数据安全流转管控无缝衔接。最后建设数据安全风险监测预警平台，实现数据安全风险的预警监测、风险动态展示与及时处置。

随着新型电力系统建设推进，电网的并网主体类型更多、数量更大、场景更丰富，要求电网对外更加开放，网络对外暴露面扩大，由此将面临更多的安全风险。国家关键信息基础设施安全保护方面明确提出对资产暴露面的安全保护相关要求，而对多源异构的网络设备、防火墙、各类网关等网络关键节点的策略数据的可视化、集中化、智能化的运行管理是有效监测、预警和管理电网资产和业务对外暴露面的重要措施之一。 本汇报以安全策略可视化仿真能力支撑电网的网络安全和运维场景为主题，介绍技术方案框架、落地场景和应用价值等。

介绍了影响配网带电作业安全的主要因素、典型安全隐患问题示例以及带电作业本质安全策略。

面对调度交换网从传统的程控交换机组网技术向IP语音技术演进过程中出现的网络安全问题，文章首先分析了IP多媒体子系统(IP multimedia subsystem，IMS)核心网络和软交换网络2种IP语音电话网络的安全风险和现有的安全防护措施。通过分析现有安全防护措施的薄弱之处，在入侵响应系统架构下，文章提出一种基于强化学习的IMS及软交换网络主动防御安全策略。该策略指导网络中设备根据运行状态，主动采取对应动作以应对网络安全问题，决策过程由强化学习机制完成。经计算验证，基于强化学习的IMS及软交换网络主动防御安全策略在网络遭受不同类型的攻击时，可以达到灵活的主动防御目的。

变电站改扩建是电力系统发展的重要保障手段。智能变电站经过近十年建设发展，现正面临迫切的改扩建需求。智能站具有信息数字化、回路抽象化、设备强耦合等特点，二次系统改扩建需在运行系统上开展设备修改和试验工作，如同在人体复杂的神经网络上“动手术”，牵一发而动全身，稍有不慎，可能导致运行设备误停电，甚至演变成电网级事故。智能站改扩建逐渐形成“不会做、不敢做、做不好”的不利局面，近年来己发生多起因安全隔离或试验不到位引起的电网事故。 项目围绕智能站二次系统改扩建安全高效实施开展技术攻关，形成了以“设备配置校核为前提、安全边界分析为保障、系统预调试为支撑、现场全环节验证为手段”的安全试验体系，研发出安全策略自动生成软件、现场一体化测试系统等成套试验装备及工具，全面提升智能站改扩建安全性、质量和效率。

本成果依托“基于国产密码的用电计量信息安全关键技术研究及产业化”、“智能计量体系国家商用密码产品全流程自主可控生产检测平台建设”等南方电网公司重点科技研发项目，针对数字电网配用电信息安全的特点和难点，产学研用协同攻关，提出了基于国产密码的“可靠可控、精准保护”技术路线，设计了“分层保护、身份认证、加密传输、MAC验证”的安全策略，经过多年攻关，在密码体系设计、密码生态建设、密码产品研制、密码生产检测平台及质量检测体系构建等方面取得了一系列重大创新成果。本成果为我国公共事业领域及智慧城市配电网信息安全防护体系建设提出了系统的解决方案，是国产密码产品首次在南方电网五省区配用电量领域大规模产业化应用的典范，实现了系列核心密码装备的自主可控，保障了南方五省两市配用电基础设施安全，响应了国家信息安全战略及商用密码管理相关政策，带动了电力系统、密码学及信息安全学科的交叉融合发展，加快了电力系统、信息安全及稀缺芯片设计人才的培养，促进了智慧城市信息安全保障体系建设，对推动能源互联网的构建及智慧城市的建设发展有重要意义。本项目的研究成果也可扩充到其他涉及到信息安全公共事业领域，以提升我国的整体信息安全水平。

电力线与无线混合通信(HPWC)技术，可解决配电网数据爆炸式增长所致的信息传输问题。较单一电力线或无线网，HPWC无疑增大数据泄露风险。“十四五”电力发展规划明确：实现电力设备全时空连接和信息安全可靠传输。电网数据安全关系到整个电力行业乃至国家安全战略。而物理层安全作为可望实现绝对安全的传输技术，无疑是上层密钥安全的一种有效补充和增强方案。 因此，在实际配电网中，我们考虑多个勾结窃听设备和非完美信道约束条件，研究具有普适意义的HPWC物理层安全传输问题。具体而言，在实际Mesh结构的配电网中，设计多跳HPWC网络的物理层安全编码，研究电力数据传输中继解码转发方案，提出具有鲁棒性的人工噪声辅助波束成型的安全策略，建立具有实际意义的电力信息网络底层安全机制。

该成果主要针对传统信息安全防护存在的信息安全孤岛、安全区域性短板、防御的被动性（对未知漏洞防护水平有限）等不足，提出以“安全感知、协同防护、集中展示”为核心的协同防御解决方案，实现主动、综合、纵深的动态安全防护体系。该成果通过建立一体化动态安全技术模型（AS-PPDR），在AS-PPDR指导下开展多元异构数据采集与融合研究，实现信息安全数据一体化，解决“信息孤岛”问题。通过基于攻击语境的主动感知技术研究，实现对网络之上的安全态势做出主动响应，解决传统安全面临的被动防御问题。在一体化协同防护方面，通过开展协作化的安全策略生成与优化技术研究、建立省地、公司内外部专家协同机制、开展安全事件的双盲交叉分析，从整体上优化信息安全设备策略，提升安全设备的一体化协同防护能力。 本成果申请专利8项、授权发明专利3项，授权实用新型专利1项，获得软件著作权4项，发表科技论文12篇，取得了多项创新性成果并实际推广应用。2016年以来，成果共发现各类高中风险约23800余项，将风险分类分级地及时修复。收集、整理、融合原始安全数据日均2TB，通过多元异构信息融合技术，提升了安全威胁挖掘的准确性；通过多级设备联动技术，实现自动化的主动安全防御。截止2018年10月，智能化分析并封堵攻击源累计近5000个（且经统计，40%的IP封堵时间为非工作时间），月均攻击次数由2百万次下降为0.8百万次，下降幅度高达60%，且因机器为主导的应急处置方式的实现，使事件处置时间缩短为实时敏捷反应，安全事件响应时间减少84%，实现5*8小时被动安全防护向7*24小时的全天候自动化防护的转变。通过多维度的内网安全管控策略，互联网流量从月均2.5万GB降至0.65万GB，下降幅度高达74%。省级安全日报程式化在线生成，人工投入减少86%，安全事件响应时间减少84%，而主动防护时间由5*8小时变为了7*24小时，防护时间增至4.2倍。 本成果实现主动自动的防御方式在公司互联网出口发挥了巨大的作用，在公司安全检查、互联网安全演练、十九大保供电、博鳌论坛保供电、财富论坛保供电等工作中均体现了强大的防护能力，全年多次的重要保供电事情、大规模网络漏洞攻击及病毒事件中公司对外应用及内网均无感染或安全威胁事件爆出。