電網(wǎng)安全是電力的基礎(chǔ),隨著智能電網(wǎng)的快速發(fā)展,,越來(lái)越多的ICT信息通信技術(shù)被應(yīng)用到電力網(wǎng)絡(luò),。本文分析了歷史上一些重大電網(wǎng)安全與網(wǎng)絡(luò)安全事故,,介紹了電網(wǎng)安全與網(wǎng)絡(luò)安全,、通信技術(shù)與電網(wǎng)安全的關(guān)系以及相應(yīng)的電網(wǎng)安全標(biāo)準(zhǔn),,分享了中國(guó)國(guó)家電網(wǎng)公司保障電網(wǎng)安全的相關(guān)措施和成功經(jīng)驗(yàn),,并對(duì)5G,、AI等新技術(shù)在電網(wǎng)安全和網(wǎng)絡(luò)安全方面的創(chuàng)新和應(yīng)用做了分析和展望,。
引言
從1882年世界首個(gè)發(fā)電廠(chǎng)建設(shè)開(kāi)始,,電網(wǎng)已經(jīng)有一百多年的歷史,成為人們生產(chǎn)和生活的重要基礎(chǔ)設(shè)施,。電網(wǎng)從其誕生初始就與安全緊密相關(guān),。而隨著智能電網(wǎng)的快速發(fā)展,越來(lái)越多的通信技術(shù)被引入到電力系統(tǒng),,極大地提升了電網(wǎng)的運(yùn)營(yíng)效率,。但新技術(shù)在給電網(wǎng)帶來(lái)高效便捷的同時(shí)是否也帶來(lái)潛在的安全隱患,成為電力公司關(guān)注的焦點(diǎn),。有必要分析清楚電網(wǎng)安全與網(wǎng)絡(luò)安全,、通信設(shè)備與電網(wǎng)安全的關(guān)系。5G和AI作為通信領(lǐng)域的新技術(shù)正在引起各行業(yè)的廣泛關(guān)注,,他們能給電網(wǎng)安全和網(wǎng)絡(luò)安全帶來(lái)哪些創(chuàng)新也是電力行業(yè)的熱點(diǎn)話(huà)題,。這里的電網(wǎng)安全和網(wǎng)絡(luò)安全在英文是不同的詞,電網(wǎng)安全是Safety,,體現(xiàn)為非主動(dòng)無(wú)意識(shí)的事故,。而網(wǎng)絡(luò)安全是Security,意指人為策劃的有意識(shí)的事故,。
電網(wǎng)安全事故
電網(wǎng)安全事故多種多樣,,包括自然災(zāi)害如雷電、暴風(fēng)雨,、積雪導(dǎo)致輸電線(xiàn)路故障和設(shè)備損環(huán),,人員操作不當(dāng)導(dǎo)致各種停電事故,交通事故導(dǎo)致電線(xiàn)桿,、輸電線(xiàn)纜的破壞,,設(shè)備老化導(dǎo)致系統(tǒng)故障等。下表是2003年以來(lái)全球發(fā)生的重大電力事故,,多數(shù)是自然災(zāi)害和一次設(shè)備故障造成,。
國(guó)際大電網(wǎng)組織CIGRE(法語(yǔ)International Council for Large Electric Systems縮寫(xiě))曾對(duì)歷史上70次大停電原因進(jìn)行統(tǒng)計(jì),,其中火災(zāi)、暴風(fēng)雨等占比35%,,一次設(shè)備故障占比29%,,保護(hù)誤動(dòng)占比18%,其它故障包括人為錯(cuò)誤占比18%,??傮w來(lái)看,網(wǎng)絡(luò)安全或者通信設(shè)備故障導(dǎo)致大停電事故的情況較少,。
網(wǎng)絡(luò)安全事故
網(wǎng)絡(luò)安全是利用網(wǎng)絡(luò)的安全漏洞對(duì)電網(wǎng)進(jìn)行攻擊,,最有名的電網(wǎng)網(wǎng)絡(luò)安全事故有兩起,一個(gè)是烏克蘭電網(wǎng)黑客攻擊事件,,另一個(gè)是伊朗核電站震網(wǎng)(Stuxnet)事件,。
烏克蘭電網(wǎng)黑客攻擊發(fā)生在2015年12月23日。烏克蘭一個(gè)區(qū)域配電公司的SCADA(Supervisory Control And Data Acquisition)信息采集和控制系統(tǒng)被黑客控制,,導(dǎo)致7個(gè)110KV變電站和23個(gè)35KV變電站關(guān)閉,,造成22.5萬(wàn)用戶(hù)停電3小時(shí)。黑客對(duì)這次攻擊進(jìn)行了精心準(zhǔn)備,,在攻擊前6個(gè)月就通過(guò)釣魚(yú)郵件將蠕蟲(chóng)病毒軟件植入烏克蘭電力公司的IT辦公系統(tǒng),,再通過(guò)仿造操作帳號(hào)和密碼、結(jié)合VPN等進(jìn)入電力運(yùn)營(yíng)網(wǎng)絡(luò)獲得電力系統(tǒng)控制權(quán)限,,同時(shí)修改了一些PLC(Programmable Logic Control)可編程邏輯設(shè)備的編碼阻止設(shè)備自動(dòng)恢復(fù),,還攻擊了電力電話(huà)系統(tǒng),影響客戶(hù)報(bào)障和電話(huà)通信,,延緩運(yùn)維人員獲得事故信息手動(dòng)恢復(fù),。
伊朗核電站震網(wǎng)事件發(fā)生在2006年至2010年。伊朗生產(chǎn)濃縮鈾的離心機(jī)經(jīng)常出現(xiàn)異常加速導(dǎo)致極高故障率,,最終發(fā)現(xiàn)是遭遇了惡意軟件攻擊,。由于伊朗核設(shè)施網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離,所以傳統(tǒng)遠(yuǎn)程植入病毒方式無(wú)法攻擊,,目前推測(cè)是美國(guó)和以色列特工利用U盤(pán)植入病毒到控制系統(tǒng)電腦,。情報(bào)專(zhuān)家利用了windows操作系統(tǒng)的2個(gè)漏洞和西門(mén)子核電站設(shè)備控制系統(tǒng)軟件的7個(gè)漏洞編寫(xiě)了震網(wǎng)攻擊軟件,,通過(guò)修改程序命令,,讓生產(chǎn)濃縮鈾的離心機(jī)異常加速,超越設(shè)計(jì)極限導(dǎo)致離心機(jī)報(bào)廢,,而在運(yùn)維告警系統(tǒng)中又一切顯示正常,,致使該軟件攻擊持續(xù)多年未被發(fā)現(xiàn)。
從上述事件可以看出,,電網(wǎng)需要有嚴(yán)格的網(wǎng)絡(luò)安全防護(hù)措施,。否則就會(huì)被網(wǎng)絡(luò)軟件攻擊帶來(lái)電網(wǎng)安全問(wèn)題,。因此,電網(wǎng)標(biāo)準(zhǔn)組織發(fā)布了系列標(biāo)準(zhǔn)來(lái)保證電網(wǎng)安全和網(wǎng)絡(luò)安全,。
電網(wǎng)安全與網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)
電網(wǎng)安全的標(biāo)準(zhǔn)主要有IEC 61508和IEC 61511,,他們的目的是保障相關(guān)系統(tǒng)的安全運(yùn)行以及其他降低風(fēng)險(xiǎn)的措施,如安全儀表系統(tǒng),、報(bào)警系統(tǒng)和基本過(guò)程控制系統(tǒng),。IEC 61508的名稱(chēng)是《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》,其目的是建立一個(gè)可應(yīng)用于工業(yè)領(lǐng)域的基本功能安全標(biāo)準(zhǔn),。IEC 61511是過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全標(biāo)準(zhǔn),,關(guān)注過(guò)程控制,涵蓋整個(gè)安全生命周期中安全儀表系統(tǒng)的設(shè)計(jì)和管理要求,。IEC 61508和IEC 61511對(duì)應(yīng)中國(guó)的國(guó)標(biāo)分別為GB/T 20438和GB/T 21109,。
目前這兩個(gè)標(biāo)準(zhǔn)對(duì)通信設(shè)備的要求有兩種方式,一種是全部通信通道按照IEC 61508和IEC 61784-3或IEC 62280標(biāo)準(zhǔn)要求進(jìn)行設(shè)計(jì)實(shí)現(xiàn)的,,被稱(chēng)為“白色通道”,。另一種是部分通信通道未按照IEC 61508要求進(jìn)行設(shè)計(jì)或確認(rèn),被稱(chēng)為“黑色通道”,。在這種情況下,,需要在安全相關(guān)子系統(tǒng)或組件中實(shí)施必要措施。
通信設(shè)備在多數(shù)場(chǎng)景下屬于“黑色通道”,,需要與兩端的設(shè)備一起保證功能安全,。比如繼電保護(hù)設(shè)備通過(guò)IEC 60834-1標(biāo)準(zhǔn)在通信報(bào)文上加時(shí)間戳、限制最大信息傳輸時(shí)間,,以及應(yīng)對(duì)通信誤碼,、抖動(dòng)、延時(shí)等采取相應(yīng)可靠性處理措施,。而IEC 62351標(biāo)準(zhǔn)定義了“電力系統(tǒng)管理和相關(guān)信息交換 - 數(shù)據(jù)和通信安全”,,并考慮智能電網(wǎng)的通信安全,包括安全訪(fǎng)問(wèn)控制,、密鑰管理和安全體系結(jié)構(gòu),。通過(guò)對(duì)通信報(bào)文進(jìn)行加密,可以規(guī)避通信設(shè)備從中間截獲報(bào)文,,即使通信設(shè)備被網(wǎng)絡(luò)攻擊,,兩端的設(shè)備在應(yīng)用層仍能保障通信控制信息不會(huì)被篡改,從而保障電網(wǎng)安全,。
多種通信技術(shù)保障電網(wǎng)安全
目前通信技術(shù)在電網(wǎng)應(yīng)用中與安全相關(guān)的主要有繼電保護(hù)(Teleprotection),、電網(wǎng)SCADA信息采集和控制系統(tǒng)、數(shù)字電表AMI(Advanced Metering Infrastructure)等,。
過(guò)去輸電系統(tǒng)使用較多的是SDH傳輸設(shè)備,,通過(guò)滿(mǎn)足IEC 61850要求的各種接口如C37.94,、E1、X.21,、RS232/485等與繼電保護(hù)裝置相連,,中間對(duì)相關(guān)的信號(hào)進(jìn)行透?jìng)鳌kS著數(shù)據(jù)量的增大,,現(xiàn)在越來(lái)越多地使用波分設(shè)備,,即在同一根光纖里傳輸多個(gè)波長(zhǎng),能夠傳送更多的數(shù)據(jù),,這些原則上都屬于管道設(shè)備,,即按照OSI協(xié)議分層原理,設(shè)備只能做管道交換,,將數(shù)據(jù)流送到不同的接口,。設(shè)備沒(méi)有處理器去識(shí)別和終截管道中的數(shù)據(jù),不具有數(shù)據(jù)處理能力,,即使設(shè)備被黑客攻擊,,也無(wú)法修改數(shù)據(jù)內(nèi)容或者植入命令,操控遠(yuǎn)端設(shè)備帶來(lái)安全隱患,,因此這些通信管道的網(wǎng)絡(luò)安全影響相對(duì)要低,。
隨著大量視頻監(jiān)控的應(yīng)用以及多業(yè)務(wù)融合通信的部署,IP設(shè)備的應(yīng)用越來(lái)越多,,而IP設(shè)備據(jù)有一定的數(shù)據(jù)報(bào)文處理能力,,同時(shí)也會(huì)帶來(lái)報(bào)文的亂序、丟包,、時(shí)延不一致等問(wèn)題,,因此安全標(biāo)準(zhǔn)也根據(jù)IP特點(diǎn)不斷改進(jìn)和提升。不管是用傳輸還是IP,,兩端設(shè)備都會(huì)基于不可信的“黑色管道”在其上構(gòu)建通信層和應(yīng)用層的安全保護(hù)機(jī)制來(lái)保障網(wǎng)絡(luò)安全,。
在配電網(wǎng)絡(luò),也有用PON(Passive Optical Network)設(shè)備通過(guò)手拉手保護(hù)來(lái)實(shí)現(xiàn)主機(jī)與遠(yuǎn)端模塊RTU(Remote Terminal Unit)的通信,。在沒(méi)有光纖或者部署光纖困難的情況下,,可以采用微波或者eLTE無(wú)線(xiàn)方式進(jìn)行通信。微波適合長(zhǎng)距離點(diǎn)對(duì)點(diǎn)的傳輸,,而eLTE更適合點(diǎn)對(duì)多點(diǎn)或者構(gòu)建一個(gè)局域網(wǎng)絡(luò)通信系統(tǒng),。
繼電保護(hù)和SCADA的數(shù)據(jù)傳輸遵循IEC 60870通信標(biāo)準(zhǔn),通過(guò)部署工業(yè)網(wǎng)關(guān)實(shí)現(xiàn)訪(fǎng)問(wèn)控制,、數(shù)據(jù)加密,、入侵檢測(cè)等防護(hù)功能,并通過(guò)制定白名單策略,,對(duì)傳輸數(shù)據(jù)進(jìn)行過(guò)濾與管控,,阻止互聯(lián)網(wǎng)非法訪(fǎng)問(wèn)和惡意攻擊,防止數(shù)據(jù)在傳輸過(guò)程中被惡意篡改,、破壞或竊取,。
在AMI數(shù)字電表中,涉及電表數(shù)據(jù)的防篡改和用戶(hù)隱私的保護(hù),,目前的通信技術(shù)有基于電力載波PLC-IoT的有線(xiàn)通信和基于eLTE-IoT的無(wú)線(xiàn)通信等,。數(shù)據(jù)傳輸和管理遵循IEC 62056通信標(biāo)準(zhǔn),通過(guò)采用互聯(lián)網(wǎng)安全協(xié)議(IPSec),、安全套接字層(SSL),、虛擬專(zhuān)網(wǎng)(VPN)、安全外殼(SSH)等安全協(xié)議,,保障數(shù)據(jù)傳輸?shù)陌踩?/p>
技術(shù)發(fā)展提升網(wǎng)絡(luò)安全
通信產(chǎn)品的開(kāi)發(fā)設(shè)計(jì)需要不斷發(fā)展以滿(mǎn)足網(wǎng)絡(luò)安全的要求,,比如PCB電路板過(guò)去為了生產(chǎn)測(cè)試方便都有JTEG(Joint Test Action Group)測(cè)試頭,但這會(huì)給黑客破解和反編譯單板軟件提供方便必須去掉,。主控板為了配置調(diào)試都有本地串口,、以太網(wǎng)口、USB口等,,這在室外應(yīng)用場(chǎng)景時(shí),,容易給黑客提供接入網(wǎng)絡(luò)的通道,因此這些接口的設(shè)計(jì)需要具備遠(yuǎn)程關(guān)閉能力,,只保留帶內(nèi)管理通道,。包括設(shè)備輔助調(diào)試用的Wi-Fi、藍(lán)牙等功能均要能遠(yuǎn)程關(guān)閉,。
而設(shè)備間的管理通信也需要采用具有加密功能的協(xié)議,,比如用SNMP V3而不是V1/V2的設(shè)備管理協(xié)議,用SSH而不是Telnet進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)控制等,,對(duì)于不用的UDP端口都要關(guān)閉,。設(shè)備管理的帳號(hào)和密碼采用獨(dú)立的AAA(Authentication, Authorization, Acing)服務(wù)器認(rèn)證,支持加密存貯和傳輸?shù)取?/p>
采用微波,、eLTE等無(wú)線(xiàn)技術(shù)需要進(jìn)行空口加密,,防止黑客在中間對(duì)信號(hào)進(jìn)行截獲破解。普遍采用的密鑰長(zhǎng)度是128位,,目前的超級(jí)計(jì)算還無(wú)法破解,。當(dāng)然未來(lái)量子計(jì)算出來(lái)有可能需要256位密鑰。
另外,,電網(wǎng)的安全保護(hù)有著多道防線(xiàn),,通信設(shè)備本身會(huì)有雙電源、雙主控、雙接口等設(shè)備級(jí)保護(hù),,而通信系統(tǒng)還會(huì)有環(huán)網(wǎng)或鏈路保護(hù),,當(dāng)一條通信鏈路故障時(shí),會(huì)自動(dòng)倒換到另一條鏈路上,。此外,,電力系統(tǒng)除了遠(yuǎn)程通信保護(hù)外,還有本地保護(hù)裝置,,包括電流,、電壓、距離保護(hù)以及差動(dòng)保護(hù)等,。在極端情況下,,即使所有電子設(shè)備都不可控,還可以切到手動(dòng)操作保障電網(wǎng)安全,。
國(guó)家電網(wǎng)公司成功經(jīng)驗(yàn)和措施
中國(guó)國(guó)家電網(wǎng)公司SGCC(State Grid Corporation of China)作為全球最大的電力企業(yè)在電網(wǎng)安全方面積累了豐富經(jīng)驗(yàn),。通過(guò)發(fā)布《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》等法令與標(biāo)準(zhǔn),指導(dǎo)建立“安全分區(qū),、網(wǎng)絡(luò)專(zhuān)用,、橫向隔離、縱向認(rèn)證”的安全防護(hù)體系,。
安全分區(qū):根據(jù)系統(tǒng)中的業(yè)務(wù)重要性和對(duì)一次系統(tǒng)的影響程度進(jìn)行分區(qū)防護(hù),,整個(gè)二次系統(tǒng)分為實(shí)時(shí)控制區(qū)、非控制業(yè)務(wù)區(qū),、生產(chǎn)管理區(qū),、管理信息區(qū)四個(gè)安全工作區(qū),重點(diǎn)保護(hù)生產(chǎn)和控制系統(tǒng),。
網(wǎng)絡(luò)專(zhuān)用:電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專(zhuān)用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng),,在物理層面上實(shí)現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公用數(shù)據(jù)網(wǎng)的安全隔離。
橫向隔離:橫向隔離是電力二次系統(tǒng)安全防護(hù)體系的橫向防線(xiàn),,采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū),。在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用橫向單向安全隔離裝置。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪(fǎng)問(wèn)控制功能的設(shè)備,、防火墻或者相當(dāng)功能的設(shè)施,,實(shí)現(xiàn)邏輯隔離。
縱向認(rèn)證:縱向加密認(rèn)證是電力二次系統(tǒng)安全防護(hù)體系的縱向防線(xiàn),,采用認(rèn)證,、加密、訪(fǎng)問(wèn)控制等技術(shù)實(shí)現(xiàn)數(shù)據(jù)的安全傳輸以及縱向邊界的安全防護(hù),。在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向聯(lián)接處應(yīng)當(dāng)設(shè)置經(jīng)過(guò)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施,。
按照上述規(guī)范建立的電力二次系統(tǒng)的安全防護(hù)體系,,可以有效防范黑客及惡意軟件等對(duì)電力二次系統(tǒng)包括電力調(diào)度自動(dòng)化系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)等的攻擊侵害,保障生產(chǎn)控制大區(qū)安全及電力系統(tǒng)安全穩(wěn)定運(yùn)行,。
在電網(wǎng)智能化及“互聯(lián)網(wǎng)+”新形式下,,智能電網(wǎng)、互聯(lián)網(wǎng),、物聯(lián)網(wǎng)等相互融合,,用戶(hù)與各類(lèi)用電設(shè)備廣泛交互,,與電網(wǎng)雙向互動(dòng),,電網(wǎng)安全風(fēng)險(xiǎn)增加。因此“十三五”期間,,國(guó)家電網(wǎng)公司網(wǎng)絡(luò)安全的目標(biāo)是實(shí)現(xiàn) “可管可控,、精準(zhǔn)防護(hù)、可視可信,、智能防御”的電網(wǎng)安全防御體系,。
可管可控:健全網(wǎng)絡(luò)安全管理與內(nèi)控治理體系,落實(shí)網(wǎng)絡(luò)安全職責(zé),,構(gòu)建生命周期安全管理與內(nèi)控治理體系,,實(shí)現(xiàn)全過(guò)程各環(huán)節(jié)可管可控。
精準(zhǔn)防護(hù):深入結(jié)合發(fā),、輸,、變、配,、用,、調(diào)及經(jīng)營(yíng)管理等環(huán)節(jié)業(yè)務(wù)特點(diǎn),緊跟大數(shù)據(jù),、云,、物聯(lián)網(wǎng)、移動(dòng)等新技術(shù)應(yīng)用,,動(dòng)態(tài)優(yōu)化防護(hù)體系,,深入開(kāi)展新業(yè)務(wù)新技術(shù)安全防護(hù),實(shí)現(xiàn)業(yè)務(wù)差異化,、精準(zhǔn)化防護(hù),。
可視可信:利用視頻、物聯(lián)網(wǎng),、人工智能等新技術(shù),,全面提升信息安全基礎(chǔ)設(shè)施實(shí)時(shí)態(tài)勢(shì)感知能力和智能可信水平,實(shí)現(xiàn)網(wǎng)絡(luò),、主機(jī),、終端、應(yīng)用及數(shù)據(jù)等各環(huán)節(jié)安全威脅全景可視。
智能防御:利用大數(shù)據(jù),、人工智能等創(chuàng)新技術(shù),,實(shí)現(xiàn)安全威脅智能預(yù)防和自動(dòng)發(fā)現(xiàn),提高監(jiān)測(cè),、防御,、處置、預(yù)警等能力,,構(gòu)建態(tài)勢(shì)感知,、協(xié)同聯(lián)動(dòng)、快速響應(yīng)的智能防御管理體系,。
中國(guó)國(guó)家電網(wǎng)公司在通信技術(shù)的應(yīng)用和電網(wǎng)數(shù)字化改造方面走在了世界的前列,,35KV以上輸電地線(xiàn)均已支持OPGW(Optical Ground Wire)光纖化改造,在輸電和配電網(wǎng)絡(luò)中大量部署傳輸,、IP,、PON、eLTE等現(xiàn)代通信技術(shù),,電表的數(shù)字化率超過(guò)99%,,處于世界領(lǐng)先水平。中國(guó)國(guó)家電網(wǎng)公司的實(shí)踐表明,,通過(guò)前瞻性的網(wǎng)絡(luò)安全頂層設(shè)計(jì),,配合嚴(yán)格的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范和分區(qū)分級(jí)、立體縱深的網(wǎng)絡(luò)安全防護(hù)措施,,結(jié)合現(xiàn)代通信和泛在電力物聯(lián)網(wǎng)技術(shù),,打造堅(jiān)強(qiáng)智能電網(wǎng),保障電網(wǎng)的安全穩(wěn)定運(yùn)行,。
5G與網(wǎng)絡(luò)安全
5G作為新一代通信技術(shù)正在成為各行業(yè)關(guān)注熱點(diǎn),,目前第一階段主要是eMBB(Enhanced Mobile broadband)增強(qiáng)型移動(dòng)寬帶的應(yīng)用,下一步uRLLC(Ultra Reliable and Low Latency Communications)超高可靠低時(shí)延通信和mMTC(Massive Machine Type Communications)海量物聯(lián)網(wǎng)將滿(mǎn)足更多的工業(yè)應(yīng)用需求,,在保障網(wǎng)絡(luò)安全方面也有著更多的設(shè)計(jì)考慮,。
5G網(wǎng)絡(luò)安全的頂層設(shè)計(jì)普遍采用NIST(National Institute of Standards and Technology)推薦的IPDRR(Identify Protect Detect Response Recover)方法論,即識(shí)別,、保護(hù),、檢測(cè)、響應(yīng),、恢復(fù)五個(gè)方面,。識(shí)別是整個(gè)框架的基礎(chǔ),實(shí)現(xiàn)對(duì)系統(tǒng),、資產(chǎn),、數(shù)據(jù)和能力的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估,,如資產(chǎn)管理、風(fēng)險(xiǎn)評(píng)估等,;保護(hù)是限制或抑制網(wǎng)絡(luò)安全事件的潛在影響,,包括身份管理和訪(fǎng)問(wèn)控制、數(shù)據(jù)安全,、維護(hù)保護(hù)技術(shù)等,;檢測(cè)可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件,如異常事件,、安全持續(xù)監(jiān)測(cè)等,;響應(yīng)用于遏制潛在網(wǎng)絡(luò)安全事件的影響,并進(jìn)行根因分析,、緩解損失等,;恢復(fù)即快速恢復(fù)正常操作以減輕網(wǎng)絡(luò)安全事件的影響,。
5G定義了管理面,、控制面、用戶(hù)面三面嚴(yán)格分離,,不能互相訪(fǎng)問(wèn),。各功能模塊間使用HTTPS(Hyper Text Transfer Protocol Secure)協(xié)議保護(hù)傳遞信息安全,通過(guò)TLS(Transport Layer Security)對(duì)傳輸數(shù)據(jù)進(jìn)行加密,、完整性保護(hù),,采用TLS雙向身份認(rèn)證防止假冒設(shè)備接入網(wǎng)絡(luò)。5G的網(wǎng)絡(luò)切片功能可以對(duì)不同的業(yè)務(wù)提供不同的資源,,結(jié)合超高可靠低時(shí)延處理可以為業(yè)務(wù)配置不同的服務(wù)質(zhì)量,,通過(guò)資源有效隔離和多重安全措施協(xié)同,削減各切片網(wǎng)絡(luò)間相互影響,,以應(yīng)對(duì)非法訪(fǎng)問(wèn)和越權(quán)管理,。
在空口加密的密鑰管理上,5G提供了256位密鑰選項(xiàng),,相對(duì)于128位密鑰,,其破解復(fù)雜度相當(dāng)于從秒級(jí)提升至百億年級(jí),可以應(yīng)對(duì)未來(lái)量子計(jì)算的破解能力,。另外在用戶(hù)認(rèn)證上,,5G引入了用戶(hù)永久標(biāo)識(shí)符SUPI(Subscriber Permanent Identifier)和用戶(hù)隱藏標(biāo)識(shí)符SUCI(Subscriber Concealed Identifier)的概念,并用加密傳送的方式規(guī)避原先4G在認(rèn)證前明文傳送設(shè)備標(biāo)識(shí)IMSI(International Mobile Subscriber Identity)的安全隱患,。針對(duì)DNS(Domain name system)域名地址解析的攻擊,,5G增加了用戶(hù)面完整性保護(hù),防止中間篡改報(bào)文接入到惡意DNS服務(wù)器,。
在海量物聯(lián)網(wǎng)應(yīng)用場(chǎng)景中,,針對(duì)IoT設(shè)備被劫持在空口發(fā)起DDOS攻擊耗盡網(wǎng)絡(luò)資源的情況,,5G定義了基于流量控制機(jī)制來(lái)規(guī)避空口DDoS風(fēng)險(xiǎn)。另外,,5G針對(duì)安全證書(shū)失效問(wèn)題的管理也從靜態(tài)升級(jí)為動(dòng)態(tài),,安全策略隨網(wǎng)元生命周期自動(dòng)編排,縮短安全防護(hù)失效時(shí)間,。5G技術(shù)未來(lái)必將在電網(wǎng)安全中發(fā)揮出重大作用,。
AI與電網(wǎng)安全
隨著物聯(lián)網(wǎng)、大數(shù)據(jù),、云計(jì)算的快速發(fā)展,,人工智能就有了學(xué)習(xí)、分析,、預(yù)測(cè)的基礎(chǔ)?,F(xiàn)在人工智能已經(jīng)在語(yǔ)言識(shí)別、圖像處理,、自動(dòng)駕駛,、智慧家庭、智能醫(yī)療等領(lǐng)域開(kāi)始應(yīng)用,。在電網(wǎng)安全領(lǐng)域,,人工智能可以在設(shè)備主動(dòng)運(yùn)維、操作規(guī)范檢測(cè),、網(wǎng)絡(luò)安全防護(hù)方面發(fā)揮出重要作用,。
過(guò)去設(shè)備的運(yùn)維往往是被動(dòng)響應(yīng),等設(shè)備出現(xiàn)告警或者出了問(wèn)題后才去維護(hù),,此時(shí)往往已經(jīng)出現(xiàn)業(yè)務(wù)中斷或者產(chǎn)生設(shè)備故障,,而采用人工智能技術(shù),通過(guò)歷史數(shù)據(jù)分析對(duì)比,,可以變被動(dòng)響應(yīng)為主動(dòng)運(yùn)維,,提前發(fā)現(xiàn)問(wèn)題。比如光纖連接可以通過(guò)歷史數(shù)據(jù)的學(xué)習(xí),,利用人工智能主動(dòng)學(xué)習(xí)光連接器信號(hào)衰減曲線(xiàn),,在出現(xiàn)問(wèn)題前主動(dòng)維護(hù)。設(shè)備運(yùn)維也可以通過(guò)電流,、電壓,、電感或者運(yùn)轉(zhuǎn)噪聲等歷史數(shù)據(jù)分析和學(xué)習(xí),通過(guò)細(xì)微數(shù)據(jù)變化提前預(yù)測(cè)潛在的故障風(fēng)險(xiǎn),。還有現(xiàn)在電力巡檢已經(jīng)采用無(wú)人機(jī)和機(jī)器人進(jìn)行視頻和照片的拍攝,,但靠人眼去分析圖片和視頻的效率很低,而且準(zhǔn)確度也打折扣,,而利用人工智能和機(jī)器學(xué)習(xí)對(duì)圖片和視頻分析就能更加高效快捷,,準(zhǔn)確度也大大提高,。
在一些無(wú)人值守的電力場(chǎng)所如變電站、配電房等都裝有視頻監(jiān)控?cái)z像頭,,結(jié)合人工智能,,可以對(duì)周邊異常人員和車(chē)輛的闖入和反常舉止發(fā)出告警,保障電力場(chǎng)所的安全,。另外就是維護(hù)人員電網(wǎng)操作規(guī)范性檢測(cè),,人工智能技術(shù)結(jié)合視頻監(jiān)測(cè)可以自動(dòng)識(shí)別操作人員是否配戴安全帽、正確穿著工裝,、操作是否規(guī)范等,。另外結(jié)合可穿戴設(shè)備測(cè)量心跳血壓以及監(jiān)視操作人員的步伐姿態(tài),與歷史數(shù)據(jù)做學(xué)習(xí)對(duì)比,,主動(dòng)分析操作人員當(dāng)時(shí)的身體狀態(tài)是否健康,,是否適合上塔、上桿等維護(hù)操作,,保障電網(wǎng)操作維護(hù)安全,。
在網(wǎng)絡(luò)安全方面,人工智能技術(shù)已經(jīng)開(kāi)始廣泛應(yīng)用,。比如智能反釣魚(yú)郵件和垃圾郵件系統(tǒng),,通過(guò)掃描郵件及附件進(jìn)行智能識(shí)別,及時(shí)發(fā)現(xiàn)文件中的異常信息,,采取有效措施阻止惡意郵件激活和傳播。智能防火墻通過(guò)人工智能技術(shù)主動(dòng)對(duì)數(shù)據(jù)流量進(jìn)行分析和過(guò)濾,,有效攔截對(duì)網(wǎng)絡(luò)有害的數(shù)據(jù)流和異常報(bào)文,,還可以結(jié)合模糊信息識(shí)別、規(guī)則專(zhuān)家系統(tǒng)等技術(shù),,有效地發(fā)現(xiàn),、識(shí)別、過(guò)濾,、攔截不法網(wǎng)絡(luò)行為和不良網(wǎng)絡(luò)信息,,提升病毒軟件入侵檢測(cè)效率,更好地保障網(wǎng)絡(luò)安全,。人工智能還能主動(dòng)監(jiān)管操作流程,,通過(guò)對(duì)歷史操作行為的學(xué)習(xí)對(duì)異常操作進(jìn)行規(guī)避,包括對(duì)異常時(shí)間,、異常地點(diǎn),、異常數(shù)量的操作自動(dòng)發(fā)出告警并進(jìn)行阻止,類(lèi)似烏克蘭黑客攻擊事件就可以利用人工智能進(jìn)行防范,。未來(lái)人工智能技術(shù)將是網(wǎng)絡(luò)安全的基礎(chǔ),。
結(jié)束語(yǔ)
電網(wǎng)是關(guān)系國(guó)計(jì)民生的國(guó)家重要基礎(chǔ)設(shè)施,,有著極高的安全防護(hù)要求。電網(wǎng)安全是電力行業(yè)的立足之本,,伴隨著電網(wǎng)發(fā)展的整個(gè)歷史,。而網(wǎng)絡(luò)安全是人類(lèi)邁入數(shù)字化和智能化社會(huì)所面對(duì)的共同問(wèn)題,不只限于電力行業(yè),,在其它行業(yè)如何通信,、金融、交通,、制造等行業(yè)的網(wǎng)絡(luò)安全經(jīng)驗(yàn)同樣適用于電力行業(yè),。新ICT信息通信技術(shù)正在加速推進(jìn)全聯(lián)接智能電網(wǎng)的快速發(fā)展,全方位端到端地提升電網(wǎng)運(yùn)營(yíng)效率,。電網(wǎng)嚴(yán)格的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和規(guī)范規(guī)避了通信設(shè)備可能給電網(wǎng)帶來(lái)的網(wǎng)絡(luò)安全隱患,,電網(wǎng)多層級(jí)的安全防護(hù)設(shè)計(jì)也降低了通信設(shè)備被網(wǎng)絡(luò)攻擊可能帶來(lái)的安全風(fēng)險(xiǎn)。5G通信技術(shù)從架構(gòu)設(shè)計(jì)上采取了更加嚴(yán)格的標(biāo)準(zhǔn)和措施來(lái)保證網(wǎng)絡(luò)安全,,而人工智能技術(shù)的快速發(fā)展和大量應(yīng)用將極大提升網(wǎng)絡(luò)安全防護(hù)能力,,保障電網(wǎng)的安全穩(wěn)定運(yùn)行。