【CIO班17周年年会精彩回顾系列】 国网智能电网研究院张涛:能源互联网数据安全风险挑战及创新技术思考

2022-10-24 17:54:04  来源:

摘要:2022年8月19-21日,“第八届中国行业互联网大会暨CIO班17周年年会”在北京隆重举行。作为中国CIO领域的顶尖科技盛会,本次大会由CIO时代主办,新基建创新研究院协办,汇聚了数智时代的顶尖行业专家、研究学者、优秀CIO群体和科技厂家,大家共同围绕大会主题“走向全面数字化”发表了重要的观点和看法。
关键词: CIO班 17周年 年会 张涛
2022年8月19-21日,“第八届中国行业互联网大会暨CIO班17周年年会”在北京隆重举行。作为中国CIO领域的顶尖科技盛会,本次大会由CIO时代主办,新基建创新研究院协办,汇聚了数智时代的顶尖行业专家、研究学者、优秀CIO群体和科技厂家,大家共同围绕大会主题“走向全面数字化”发表了重要的观点和看法。
 
国网智能电网研究院有限公司电网数字化技术研究所副所长张涛在8月19日的安全专场上发表题为《能源互联网数据安全风险挑战及创新技术思考》的主题演讲。以下是演讲实录:
 \
非常高兴又来到CIO班和大家交流。
首先介绍一下我们单位,我们前身是全球能源互联网研究院,今年改名为国网智能电网研究院有限公司。我们单位是国家电网公司专门从事智能电网和能源互联网研究的直属科研机构,是国网公司网络安全创新技术的研发主体和网络安全红队的依托单位,是国网公司最核心的安全支撑队伍。
 
今天我给大家带来的分享主题是“能源互联网数据安全挑战及创新技术思考”,这是结合近年来国家电网公司在做电网数字化的转型过程中,围绕着数据安全方面做的一些探索、思考以及实践,今天的分享主要分三大部分,希望可以和大家互相交流学习。
 
一、能源互联网数据开放面临的风险挑战
 
首先是能源互联网数据开放面临的风险挑战。电力系统是国家的关键信息基础设施,国家对实战化的网络攻防要求非常高,提升国家的关键信息基础设施的网络安全攻防对抗能力是我们的重要工作。说到网络战,已经是迫在眉睫,目前做网络安全的防护不是简单的抵御网络小黑客的攻击,而是要做实战化的能抵御国家级的网络安全攻防对抗。
 
从现在攻防的技术发展趋势来看,现在很多是基于零日漏洞的APT攻击,它的第一个主要特征是攻击特征不明,传统的网络安全采用静态防护的手段,通过配置一些静态的策略来抵御网络安全的攻击,但是现在很多攻击的手段、特征都不是很清楚,所以做不到事先预防和设计规则。
 
第二个特征就是攻击路径非常隐蔽,它的攻击路径非常多样,所以原来的以边界防御为主的防护策略需要进一步的优化和调整,以应对隐蔽攻击路径的随机多变。
 
第三个特征就是攻击的危害性越来越大,而且很多攻击手段是高级定制的。比如乌克兰电网2015年、2016年两次电网大停电,它就是针对电网的高级定制攻击,利用black energy攻击武器,通过钓鱼攻击,把断路器进行了控制,使用DDOS攻击,阻挡运维人员进行后期应急抢修,造成重要的业务系统瘫痪。
 
现在各个行业都在做数字化转型,电力系统也在结合能源互联网的建设进行开展,通俗地看也就是互联网+能源。互联网的思维第一个是改变了很多业务的形态和模式,提高了效率,第二个是平台化的思维,开放、共享、共赢。这与能源互联网的理念是比较接近的。
新技术在各个行业广泛的赋能,导致我们面临很多新的风险。在电力里,终端侧是面临风险最大的地方,因为很多终端不仅是主机、服务器这类信息类的终端,还有很多电力采集终端都带高级控制的功能,而且智能化程度越来越高,它里面有一些网络连接,暴露面不断扩大,非常容易受到攻击。
 
目前随着5G、无线通讯技术的发展,很多网络都是公专混联的,产生了很多新的网络暴露面,也会造成攻击。还有很多在平台层面,特别是数据安全。数据只有流动共享起来才有安全问题,数据有价值的时候才有安全问题,所以随着能源数据的流动共享,数据安全也是我们不可忽视的一个重要的方面。
 \
国家电网公司做数据安全防护的三大痛点:
 
第一,覆盖广,防护成本高。目前国家电网覆盖国内26个省区,包括三万多座变电站,两万多个智能营业厅,五亿多智能电表还有很多终端,所以它的防护成本是非常高的,如何来平衡经济性和安全性是首先需要考虑的。
 
第二,层级多,安全短板难防。国网总部到省、地市、县、乡村变电所的整个网络都是相通的,所以如何做一些差异化防护,又避免木桶短板原理,也是我们需要考虑的。
 
第三,数据大,安全保护责任重大。整个电网每天有15亿台各种各样的设备产生各种各样的数据,另外有2亿多电商用户还有电力市场交易用户,包括未来我们很多智能电表,每家每户交易数据,这里面这些数据随着咱们国家的数据安全法,个人信息隐私保护法的出台带来的压力也非常大。如何保护数据安全,是面临的主要的痛点,是国网公司下一步需要重点布防的点。
 
随着整个能源互联网建设,我们设立了生产控制大区、管理信息大区和互联网大区,根据不同的区设立不同的安全策略和防护的技术来平衡整体的安全。但是这种结构对数据流通共享,有一定的局限性,特别是在数据安全防护角度需要两方面的考虑,一是如何从内部促进数据的流通共享,二是面向电网和外部第三方的主体进行数据交互时如何防止敏感数据泄露,现有的技防体系在这方面还需要优化和提升。
 
就以上的问题分享一下国网公司目前正在做的数据安全工作。在内部数据应用方面,打造了企业级的数据中台来促进数据的对内共享,原来数据是有孤岛现象的,打造数据中台以后,把数据的汇聚、分析、内部共享进行了整体的融合,为国网各个业务来提供标准化的数据接口和可共享的数据,避免了很多重复的数据采集。
 
另外整个国家电网公司响应国家的双碳目标建立了能源大数据中心,目前各个省都在建设,大数据中心融合了水、电、热、煤、气等外部数据,数据融合共享来实现数据的价值创造。目前面临的最大的痛点就是各个行业之间都很不放心把自己的数据共享出来,所以数据对外开放共享,还需要进一步的创新和探索。
 
二、数据安全防护策略及创新思考
 \
第二部分分享一下现在的防护策略和我们在做的一些尝试。
 
(一)总体防护策略
首先,防护对象,由防护物理设备也就是电网资产,向电网资产和数字资产并重进行转变。原来都是保护电力系统里面很多实体系统,电力监控系统包括主机、终端都是电网资产,未来将是保护电网资产和数据资产并重,因为数据越来越重要,数据价值也越来越重要了。
 
第二,防护策略,以边界为主的单一防护策略向多样灵活去转变。边界为主的隔离策略,包括加密,这类静态防护抵御动态变化的攻击是很难的,需要提升整个系统的动态防御能力。增加安全防护的弹性,就不能是仅仅依靠哪类单一防护,需要一个灵活的防护策略。
 
第三,防护手段,由盒式固化堆叠向软件定义融合转变。堆叠式的安全防护设备,各个系统之间没有联动能力,需要依靠很多厂商来帮助运维和服务,由堆叠式防御向软件定义融合,建立安全中心,将设备智能化的联动起来。
 
第四,防护能力,由智能防御向联动防御转变。目前做实战化攻防,单点的防御,很难实现最终的安全防护目标的,一定要协同。
 
(二)贯彻数据安全法规要求
贯彻法律法规很重要。深刻认识电力关键信息基础设施数据对国家安全的极端重要性,贯彻国家关于关键信息基础设施、数据安全保护的法律法规要求,打造国家可信赖的能源互联网数据安全体系,依法依规推进电力行业网络和数据安全保护工作。
 
(三)构建数据安全治理体系
构建数据安全治理体系是借鉴了国内比较领先的数据安全体系提出来的,按照场景驱动、技管并重的思路建立起来的。场景驱动是指,数据安全离不开业务,是场景驱动的,离开业务去谈数据安全没有意义。技管并重是指,仅有技术手段不够,需要有相应的数据安全管理策略。
 
(四)加强数据内部使用合规管理
数据安全治理体系,要在标准化的流程、技术和合规管控的要求两个层面上去构建治理体系。
 
在数据防护方面,从两个角度来说,一个是对内的,一个是对外的,对内更多强调数据合规使用。对内,不同业务部门之间,要强化权限控制,合规管控,要强调数据的流通共享。不能因为数据安全防护造成大家使用数据困难,因为数据安全必须要促进数据流动。如果增加了额外的措施造成很多数据使用不方便,那么效率就降低了。我们国网公司建立一套数据安全合规管控平台,在国家电网公司的大数据中心,包括省级的数据中心,两级部署来实现我们内部数据的合规和管控。
我们还提到场景编排,场景驱动,主要面向不同数据使用人员和方式,包括数据分析人员,数据运维人员,数据使用人员以及场景人员对整个系统进行合规管控的流程编排。
 
最终我们也实现了整个数据的全景监测,从数据的静态数据分布和动态流转来实现整个数据资产的全方位监测,因为数据监测和网络态势感知不一样,重点是对数据流动的过程和数据资产来进行监测,这是做的创新的尝试。
 
(五)保障数据对外安全共享
 
数据防护对外重点就是防止数据泄露。如何来实现数据可用不可借,我们现在在打造的自主可控的电力隐私计算平台,解决未来整个数据对外使用和互联互通的问题。不同的行业之间,利用隐私计算技术,互联互通的标准需要按照国家的相关要求。
 \
上图是我们用隐私计算做的一些案例尝试和探索。重点是对电力看双碳做一些能耗的分析和碳信用的评价,涉及到多方数据联合建模和分析,我们把全国的119家企业能耗排序包括对信用评价,大家可以利用隐私计算的方式来进行这方面的尝试。
 
三、展望
未来,我们将围绕能源互联网数字化转型发展和新型电力系统建设需要,持续深化数据安全技术研究,加快联邦学习、多方安全计算等核心技术攻关和应用,突破制约数据共享利用的瓶颈,在此希望能够携手行业内外部力量,共同推动能源互联网安全发展。
 
最后,今天主要是过来交流和学习,因为很多技术还是在逐步的探索中,在座的各位专家学员应该都是在做这方面的研究,也希望我们未来能多交流,大家互相取长补短,互相借鉴。
 
我今天的分享就到这,谢谢大家!


第三十五届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:zhanghy

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。