发言人:张涛,全球能源互联网研究院信息通信研究所总工程师

强网工业互联网分论坛专家发言

国家电网公司是关系国民经济和国家能源安全一个大型的央企,在去年的财富排名上,排在全球第二。国家电网公司覆盖了最多的国土面积,服务的供电人口已经超过11亿。现在通过国家一带一路走出去,在全球范围内承接电力工程。目前管理的境外资产有600亿美元。

从整个电力系统来说,安全工作起步比较早,从2002年开始就构建了三层三区三格状的安全防护体系,这也是通过国家一系列法律法规和电力行业的一些具体制度要求构建的三道防线。最外围和互联网进行连接;第二道防线,把管理大区划分为信息内网和信息外网,最核心就是涉及到生产控制系统的电力监控系统是生产控制大区,所以构建了三道防线纵深的安全防御体系。经过了多年相关的安全技术和相关管理逐步的得到了完善和提升,这个防线对整个电力系统的安全稳定运行,起到了非常重要的作用。

今年国家电网公司提出来建设“三型两网”泛在物联网安全战略。“三型”指枢纽型、平台型、共享型。“两网”,一是智能电网,二是泛在电力物联网。“三型两网”是国家电网公司在未来若干年实现电力企业能源转型的重要抓手。整个电网本身就是一个能源的生产和进行供需的消费端,是一个中间环节,起到枢纽的作用。在平台型方面,未来电网结合能源的资源配置,结合能源要素的创新,构建综合的能源服务平台和一些新兴业务的能源平台,让整个电网在能源转型中产生新的竞争要素。共享型就是整个电网和用户、其他的一些合作伙伴建立一个能源互联网的生态圈,通过生态圈大家都可以在这里面找到自己的经营模式和发展模式,这就是整个电网“三型”的范畴。

在支撑“三型”的战略目标中,特别提到了要建设泛在电力物联网和智能电网。泛在物联网建设中要从整个能源的能源流和信息流、数据流,三流合一了发,进行新的业务和生态模式的重构。从整个电网今后服务社会、服务国家和更多的市场主体,创造更多机遇的角度来说,这是一个大的、新的战略。

泛在电力物联网是物联网技术在整个智能电网里面的应用,按照层级关系,分为感知层、平台层、应用层。在每一个层面上,实现相关信息的灵活处理,包括全面感知和智慧物联。

从整个物联网应用系统来说,现在大概有四级智能电表,还有最大的车联网应用,还有其他相关的一些应用实践。整个电力生产、传输、消费和管理的各个环节都部署了一定具备感知能力、计算能力和执行能力的智能装置,来实现学习的感知融合和智能管理,这是整个电网已经具备的泛在物联的一定的基础。

举几个简单的例子,我们利用物联网,更多需要从四个环节来实现电网的广域互联,比如说在云端要实现大规模新能源的安全接入与调控。利用信息通讯及安全技术支持高比例的可再生能源的闭网调控,其中会用到很多新的信息通信、人工智能,微传感的技术,芯片技术。在电网侧实现很多的智能装备、业务管控、评价诊断和信息输电,利用新的物联网技术来实现全景感知,自主学习的体系和关键技术的应用。

还有在用户侧进行海量的数据处理,全过程的智能感知和交互,来实现能源互联网和信息互联网的融合,在每一个环节里面都会采用新的物联网技术、移动互联网、人工智能技术,在物联网里面进行大规模应用和未来一些应用的探索。

接下来,谈一下在新的形势下我们面临的一些风险和挑战。

从去年的一个报告来说,目前整个电力系统的安全形势还是不容乐观的,不管是漏洞的发现,还是相关的一些资产暴露情况,都呈现一个趋势,同时针对境外的攻击,电力协议端口的攻击,去年大概发生了300余万次,应该说整体的安全态势应该还是一个比较严峻的情况。

今年大家可能都在谈的委内瑞拉事件,我们也做了一些分析。水电站遭受恶意攻击有几方面的可能性,一方面属于网络攻击,古里水电站,委内瑞拉DCS控制系统,从去年来看,公开漏洞的报告有30多个,视频监控系统是直接联接互联网的,便于直接的网络攻击。第二个,委内瑞拉国内的情况比较动荡,这个事件也发生在国内动荡期,有人恶意攻击。我们对相关的环节进行了分析,该水是站运维的手段和技术都是非自动化的,从运维方面发动一些攻击,又给我们敲响了一次警钟,包括上次乌克兰的大停电,采用网络攻击的手段、武器攻击电力系统是一种真实的存在。停电应该是对我们国民经济最大的一种公共安全事件。现在网络攻击背后其实就是科技战,再到后面是网络战,最后才是军事战争,就是四种形态,委内瑞拉给了我们很多的警示。

从物联网来说,一个具有海量的设备,特别是随着电力物联网的建设,终端暴露面会有很大的增加,这里面安全和业务进行融合,边界已经模糊化了,原来边界的防护体系,现在需要进行边界的重构,这也是我们面临的一个挑战。

数据融通共享以后对工业互联网、或者对泛在电力物联网里面的数据安全该如何进行设计和构建?数据安全应该说在新的共享环境下面是我们面临的一个难题。比如说数据的分级分类,哪些数据可以放到外网,数据是否需要加密?而且很多数据,还要和政府、一些互联网企业的合作伙伴来共享。数据的共享、数据的流动,数据的安全未来是一个非常重要的问题。

关于防护思考。

第一,从体系结构上进行优化。整个电力物联网的安全防护体系现在变成三个大区,其实核心的防御体系还是继承下来了,包括生产控制大区、管理大区,增设了互联网大区,另外在区里面,包括在边界上、数据上又做了一些系统的优化和调整,整体上还是解决互联网业务的平衡和安全防护的平衡和实施性。

第二,利用统一的密码基础设施服务,来为整个万物互联提供统一的身份标识,不管是采用对称密码、或者非对称密码技术,包括一些新型的认证方式,如何来对这些接入设备的身份进行识别是泛在物联网里面最核心的一个难点。

第三,对整个终端层来说,如何保证终端本体的安全?一是标准化的安全,要把安全能力软件化,在终端里面以标准化模式提供给各种各样的终端厂商。在一些重要的终端采用加安全芯片的方式,保证终端里面重要系统控制的安全性,还有对业务APP进行安全加固。

对于终端,最核心的还是要从基础的底层软硬件来进行着手考虑,因为终端涉及的厂商太多了,而且供应链还存在很大的安全风险,如果把一个恶意的病毒,或者恶意的程序植入到操作系统,或者植入到应用软件里面,这是防不胜防的。

另外对原有电力系统的很多安全边界防护设备进行性能的提升和优化,这里面提到三个理念,一是功能的软件化,未来我们要借助软件定义的方式,让安全能力和软件定义结合。

还有一个就是数据全生命周期的防护,包括数据的产生、传输、消费、使用到废弃。另外我们要考虑监测,特别随着物联网监测来了以后,能不能做一个全场景的IP监测,通过监测保证整个物联网运用的安全。

最后,最核心的还是安全人才的体系建设,人才培养非常重要。

声明:本文来自梧桐观察,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。