《国家电网报》：主动防御 为泛在电力物联网铺下安全基石

矛尖盾厚、此消彼长，防御之道因势而变。习近平总书记在中央网络安全和信息化领导小组第一次会议上强调，没有网络安全就没有国家安全，没有信息化就没有现代化。随着大数据、物联网、区块链等新技术快速发展，网络安全也进入新的阶段，面临新的挑战。

在国家电网公司建设“三型两网”世界一流能源互联网+企业进程中，网络安全是重要的基石。如何构建起适应泛在电力物联网建设的网络安全防御体系，保障各项业务稳定运行？

网络安全的攻防过程犹如中原与匈奴的两军对垒。传统的安全防护手段采用“修筑长城”的方式，即投入大量人力物力，从边界、终端、主机、应用、数据等维度构建技防措施，实现被动式防御。随着互联网向工业和产业渗透，万物互联时代到来，网络安全风险的触角已蔓延至基础设施的方方面面。传统筑墙式的被动防御体系已无法满足需求，须以主动防御的方式击溃攻击方，将网络安全风险扼杀于摇篮，保障企业各项业务安全发展。

泛在电力物联网建设是将所有与电网相关的人、事和设备连接起来，汇集能源资源、网络资源、用户资源、数据资源、信誉资源，为用户、电网、发电、供应商和社会各界提供智能服务。人、事、物（设备）是泛在电力物联网建设的三大要素，安全防护体系的设计也应从物防、事防、人防“三防”切入，构建与“三型两网”企业相适应的全场景网络安全体系。其中，物防是泛在电力物联网安全运转的基本保障，事防是体现安全防护主要价值的部分，人防是确保公司成为平台型和共享型企业的重要环节。

物防的防护重点对应泛在电力物联网技术架构中的感知层、网络层和平台层。感知层防护以芯为主，识别“自己”和“非己”，实现数据的采集安全；网络层防护重在协议分析和全流量监控，实现数据的传输安全；平台层防护重在态势感知和安全互动，实现数据的整合安全。

事防的防护重点对应泛在电力物联网技术架构中的应用层。应用层防护重在数据的分类授权，实现数据的应用安全。泛在电力物联网建设过程中，事防的特殊之处在于要面向各类应用场景，特别是电子商务、智慧能源服务、源网荷储协同服务、新能源云、多站融合、互联网金融等新业务，涉及到大量的个人信息等内容，需采取严格措施控制相关风险。

人防主要面向内外部用户的防护及为用户所遵循的安全管理制度。人防的重点在于内外有别，对于需快速灵活拓展的市场类新兴互联网业务，应适应互联网的防护理念，采用“轻认证、易接入”的安全防护策略；对于公司内部业务，应采用“强认证、细管控”的安全防护原则，施行可信身份认证和数据加密传输。

贯穿“三防”始终的是数据的安全防护，这是主动防御体系的核心。能源互联网内的数据是公司基础性战略资源，是未来实现持续发展和增值变现的“钻石矿”。保障物联网数据从采集、传输、整合到应用全过程的安全，有针对性地提出可落地的技防措施和管理手段是主动防御体系设计的价值所在。

主动防御安全队伍是否专业，取决于是否具备良好的重大保障、服务支撑、攻防渗透、技术支持和检测测试能力。

近年来，国家网络安全保障工作任务重，工作要求高。企业应注重积累网络安全人才库、方案库、装备库，形成成套的技防措施、隐患排查、安全加固、监控预警、应急处置等保障方案和实施方法，为今后保障工作快速、系统化开展奠定良好基础。

国家电网公司和省级电力公司之间需要一支专业的安全队伍衔接，才能确保安全防护体系的要求有效落地。服务支撑团队一方面要人员数量足够，具备覆盖多个省级电力公司的并发式服务能力；另一方面要积累服务资质，通过资质获取积淀通用型能力。服务支撑团队还应具备辅助各单位做好网络安全分析室安全运营及高级分析工作的能力。

主动防御的特点之一就是在于能够确定网络行动的源头，并实施先发制人、预防性或反制行动。因此，应从外部高端人才引进、内部人才培养等方向着力，建立具备完整攻击和防护能力的公司红蓝队，为泛在电力物联网建设培养忠诚担当、技术精湛的网络攻防队伍。

技术支持能力的构建前提是产品自主研发能力的积累。国网信通产业集团所属思极网安自主研发的基础安全设备配置核查工具、思极慧眼主动安全保障平台等产品使用成效显著，在专业支持方面，也为通信、营销、设备等专业提供了网络安全专业技术支持。

物联风险产生的大部分原因在于物联应用和终端设备在研发过程中的漏洞未被发现。应在研发生产过程中全方位检验测试安全漏洞，提高交付质量，为物联网建设过程中网络安全工作“关口前移，防患于未然”发挥重要作用。

泛在电力物联网跨界特征更加明显，覆盖了信息感知、数据传输及智能处置各个方面。随着建设的不断深入，只有通过更精准、更智能的安全防护手段及时主动出击，快速解决物联网建设中的问题，才能有效地保障电网企业的网络安全。（作者：孙磊、赵毓鹏、李宁）