电力系统智能终端信息安全防护技术研究框架

　　摘要：随着中国电网“三型两网”泛在电力物联网发展目标的提出，电力系统智能终端广泛互联、泛在接入，终端易成为攻击电网的主要目标和跳板。在此背景下，围绕电力系统智能终端安全互联和现场移动作业需求，对电力系统智能终端安全防护挑战及防护技术框架进行了阐述。构建了覆盖芯片层、终端层、交互层的电力系统智能终端防护框架，对芯片电路级可证明安全防护和内核故障自修复、融合可信计算和业务安全的异构终端主动免疫、面向不确定攻击特征的终端威胁精确感知与阻断、终端互联计算环境下电力系统智能终端安全接入和业务隔离等关键技术进行了详细展望。

　　关键词：电力系统；智能终端；安全挑战与风险；安全防护

　　0引言

　　为应对全球节能减排、能源综合利用效率提升的挑战，发展能源互联网成为推动后危机时代经济转型、发展低碳经济的重要手段[1]。能源互联网的建设使得现代电网向开放、互联、以用户为中心的方向发展，实现多类型能源开放互联、各种设备与系统开放对等接入。2019年，国家电网有限公司提出了“三型两网”的战略发展目标，在建设坚强智能电网的基础上，重点建设泛在电力物联网，以构建世界一流能源互联网。泛在电力物联网将充分应用移动互联、人工智能等现代信息技术和先进通信技术，实现电力系统各个环节万物互联、人机交互，打造电网状态全面感知、信息高效处理、应用便捷灵活的能力。泛在电力物联网的建设主要包括感知层、网络层、平台层、应用层4个部分，其中感知层重点实现终端标准化统一接入，以及通信、计算等资源共享，在源端实现数据融通和边缘智能。在此背景下，智能表计、新一代配电终端、源网荷友好互动终端、电动汽车充电桩等多类型电力系统智能终端在电网中得以广泛应用[2]，成为连接电力骨干网络与电力一次系统、用户的第一道门户。电力系统智能终端作为能源互联中多网“融合控制”的纽带节点，实现了电网监测数据的“本地疏导”以及电网对外控制的“功能聚合”[3]，其安全性直接关系到电网的安全稳定运行，研究电力系统智能终端的信息安全防护技术意义重大。

　　针对电力系统信息安全防护问题，自2002年起中国提出了以网络边界隔离保护为主的电力二次安全防护体系[4]，有效保障了电力监控系统和电力调度数据网的安全稳定运行。电力二次安全防护体系制定了“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略，重点强调了通过内网隔离保护的方式确保电力二次系统的安全防护[5]，然而对新形势下电力系统智能终端的安全防护并未考虑。一方面，与传统信息安全相比，泛在电力物联网中各环节数亿规模终端具有异构与分散特性，后天标准化的终端自身安全防护理论与技术难以获得，如何兼顾实时性和安全性双重约束进行电力系统终端自身安全防护成为需要考虑的问题，电力系统智能终端自身安全性保证需求迫切。另一方面，随着泛在电力物联网建设推进，电力系统智能终端广泛采用无线传感网络等公共网络与电网主站系统进行通信[6]，在电力二次安全防护体系隔离保护边界外形成具有泛在互联、开放共享特性的边缘计算网络。这必然会将网络攻击威胁传导至电力系统本体，使得因网络攻击造成的大停电风险陡增。

　　为应对以上安全威胁，2014年国家发改委和能源局发布了《电力监控系统安全防护规定》[7]，要求电力生产控制大区设立安全接入区，对使用无线通信网等方式纵向接入生产控制大区的电力系统智能终端进行网络隔离。因此，在当前网络攻击手段呈现高级定制化、特征不确定化的严峻形势下，如何解决异构多样、数量庞大的电力系统智能终端边缘接入过程中的网络攻击实时监控发现和防渗透成为需要考虑的另外一项重要问题。

　　为此，本文围绕电力系统智能设备安全互联需求，首先分析电力系统智能终端业务特征和信息安全风险，明确电力系统智能终端信息安全防护特性；在此基础上，本文总结提出了电力系统智能终端信息安全防护面临的关键技术问题；然后，设计构建了覆盖芯片层、终端层、交互层的电力系统智能终端信息安全防护研究框架；最后，对电力系统智能终端信息安全防护关键技术进行了展望。

　　1电力系统智能终端信息安全风险

　　近年来网络空间安全事件频发，国家级、集团式网络安全威胁层出不穷[8-10]。电力等重要基础设施领域成为“网络战”的重点攻击目标之一，信息安全形势异常严峻[11]。2010年“震网”病毒事件中，西门子可编程逻辑控制器(PLC)终端受病毒攻击导致1000多台离心机损毁，使得核电站瘫痪。2015年乌克兰停电事件，以终端为攻击跳板瘫痪电力控制系统导致，成为全球首例公开报道的因黑客攻击导致大范围停电事件[12]。以上事件均表明，电力系统智能终端已成为攻击电网的重要目标和主要跳板[13]，面临着严峻的信息安全风险。本文从信息安全防护的保密性、完整性、可用性3项重要目标角度出发[14-15]，结合电力系统智能终端的组成结构和业务特征对信息安全风险进行分析，具体涉及芯片层、终端层、交互层3个方面，如图1所示。

　　1)芯片层：电力系统智能终端芯片自主可控性和安全性不足，在非受控环境下面临后门漏洞被利用风险。

　　2018年Intel芯片漏洞事件，爆出Intel芯片存在融毁漏洞以及幽灵漏洞，利用该漏洞进行攻击，可获取用户的账号密码、通信信息等隐私，智能终端均受波及，电力系统智能终端芯片同样面临漏洞、后门隐患的巨大问题。随着电力系统智能终端的开放性逐渐增强，与外界交互范围逐渐扩大，电力系统智能终端芯片安全性的不足逐渐凸显，主要表现在电力系统智能终端芯片自主可控程度低、芯片安全设计不足，导致当前电力系统智能终端存在“带病”运行，漏洞隐患易被攻击利用造成安全事件。为此，需要在芯片层面提高电力系统智能终端芯片的安全性，从芯片层面提高电网的安全防护能力。

　　2)终端层：异构电力系统智能终端计算环境安全保证不足，存在终端被恶意控制破坏的风险。

　　据数据统计表明，目前中国电网已部署各类型电力系统智能终端总数超4亿，规划至2030年接入各类保护、采集、控制终端设备数量将达到20亿。各类电力系统智能终端覆盖了电力“发电、输电、变电、配电、用电、调度”等各个环节，终端形态各异且业务逻辑差异巨大。终端复杂多样的嵌入式硬件计算环境、异构的软件应用环境和多类型私有通信协议等特性，使得其安全防护尚未形成统一标准。各类终端安全防护措施和水平亦参差不齐，在面对病毒、木马等网络攻击时整体安全防护能力薄弱。同时，电力系统智能终端在研发、生产、制造等环节无法避免的漏洞后门隐患也存在被攻击者利用的巨大安全风险。随着电力系统智能化水平的不断升级，各类型电力系统智能终端越来越多地承载了大量异构封闭、连续作业的电力生产运营应用，运行可靠性、实时性要求较高。电力系统智能终端一旦遭受恶意网络攻击，将可能导致终端生产监测信息采集失真，甚至造成终端误动作引发停电风险，传统事后响应型的终端被动防护技术无法满足电力安全防护的需要。因此，确保电力系统智能终端软硬件计算环境安全的标准化防护技术，以及事前防御型的主动防御技术研究需求迫切。

　　3)交互层：电力系统智能终端广泛互联互通导致网络开放性扩大，引入网络攻击渗透破坏风险。

　　泛在电力物联网的建设，其核心目标是将电力用户及其设备、电网企业及其设备、发电企业及其设备、供应商及其设备，以及人和物连接起来，产生共享数据，为用户、电网、发电、供应商和政府社会服务。以电网为枢纽，发挥平台和共享作用，为全行业和更多市场主体发展创造更大机遇，提供价值服务。因此，泛在电力物联网环境下的电力系统智能终端将广泛采用电力无线专网、NB-IoT、北斗定位、IPv6和5G等无线、公共网络与电网主站系统进行通信，使得电力系统智能终端的通信交互形式将呈现数量大、层级多、分布广、种类杂等特点，极大地增加了遭受网络攻击的暴露面。无论是电力系统智能终端，还是主站电力系统，被网络攻击渗透破坏的风险均进一步增大。在当前网络空间安全异常严峻的形势下，新型网络攻击手段不断衍变衍生，呈高级、定制化、持续性发展，尤其是面向工控环境的攻击更具有高度定制化、危害大的特点，使得电力系统智能终端通信交互过程中面临着新型网络攻击被动处置的局面。例如在乌克兰停电事件中，黑客通过欺骗电力公司员工信任、植入木马、后门连接等方式，绕过认证机制，对乌克兰境内3处变电站的数据采集与监控(SCADA)系统发起攻击，删除磁盘所有文件，造成7个110kV和23个35kV变电站发生故障，从而导致该地区发生大面积停电事件。

　　综上可知，电力系统智能终端面临的芯片层、终端层信息安全风险主要由终端芯片、计算环境安全性不可控和漏洞被利用等原因造成，可归纳为终端“自身安全”问题。交互层信息安全风险产生的原因主要为电力系统智能终端在互联接入过程中存在被渗透攻击可能性造成的，可归纳为“攻击防御”问题。

　　2电力系统智能终端信息安全防护技术问题剖析

　　为了解决电力系统智能终端“自身安全”和“攻击防御”问题，国内外学者开展了诸多信息安全防护技术研究，主要从传统信息安全的角度探索密码技术在终端自身数据保护、通信协议安全、安全接入传输方面的应用[16]。然而，受制于当前中国的芯片自主可控水平限制，以及电力系统智能终端异构多样的复杂计算环境和高安全、高实时运行特性限制，加之网络攻击特征不确定的混合约束，电力系统智能终端的整体安全防护尚存在待突破的技术问题，具体如下。

　　1)技术问题1：覆盖电路级、CPU内核及片上内嵌入式操作系统的芯片全通路安全防护机制及适应各类异构终端的普适性主动免疫问题。

　　根据安全风险分析可知，解决电力系统智能终端“自身安全”问题，必须实现芯片安全和终端计算环境安全。

　　在电力系统智能终端芯片层，面临的安全隐患表现为芯片各层次防护理论和技术无法满足安全需求。然而，当前电力系统智能终端采用了大量先进工艺条件制造的芯片，此类芯片主要由国外掌控，自主可控程度很低，其安全性保障技术更是存在空白。随着中国自主先进芯片技术发展，电力系统智能终端芯片在实现自主可控的同时应充分考虑芯片的安全防护，同步设计、同步发展。首先需从芯片设计理论的安全建模方面进行技术突破，确保理论层面的可证明安全。其次，应突破电路级、CPU内核以及片上内嵌入式操作系统等芯片核心组件的安全防护技术，从而构建芯片全通路安全防护技术体系。在电力系统智能终端计算环境安全方面，由于电力系统智能终端异构多样、资源受限、长期运行，传统终端被动式、个性化安全技术无法适用。因此需开展结合芯片层面的终端安全技术研究，构建适用于电力系统智能终端不同硬件架构、不同系统环境、不同应用环境的标准化安全防护框架，且能够在网络安全事件发生前、发生时确保终端计算环境的安全性和完整性，最终形成电力系统智能终端的普适性主动免疫技术体系。

　　2)技术问题2：攻击特征不确定、终端/业务/网络强耦合条件下，终端安全状态建模、精确感知及威胁阻断问题。

　　解决电力系统智能终端“攻击防御”问题，重点需突破电力系统终端远程接入交互过程中的攻击监测和防渗透技术。然而，电力系统智能终端点多面广、业务系统专业性强、互联网络组成复杂度高，且三者间相互耦合，而针对电力系统的网络攻击呈现定制化、隐蔽化和高级化等特点，难以清晰描述基于零日漏洞的高级持续性网络攻击的机理和特征，不同电力系统智能终端、系统、网络在攻击下的表现不一，因此无法单一根据攻击特征进行识别和阻断。传统监测手段缺少对电力业务场景的安全建模，监测数据源仅涉及CPU内存等基础资源状态和基础网络流量，未面向电网业务流、专用协议和应用特征进行深度监控与分析，难以精确、深入地感知电力系统智能终端系统安全状态，需要探索终端安全精确感知与攻击阻断技术。同时，在电力设备广泛互联后，边缘侧安全防护能力不足，需突破混合电力业务可信边缘接入与多级安全隔离技术。

　　3电力系统智能终端信息安全防护技术研究思路

　　针对电力系统智能设备安全互联的需求，以解决电力系统智能终端“自身安全”和“攻击防御”问题为核心，本文提出了覆盖“芯片层、终端层、交互层”的3层安全防护研究脉络，构建电力系统智能终端安全防护技术研究模型，如图2所示。

　　具体来说，首先需解决“覆盖电路级、CPU内核及片上内嵌入式操作系统的芯片全通路安全防护机制及适应各类异构终端的普适性主动免疫问题”，从芯片层安全和终端层安全开展关键技术研究，以确保电力系统智能终端自身安全。在芯片层，需开展芯片电路级安全、专用CPU内核、片上内嵌入式操作系统安全等3方面技术研究，为电力系统智能终端计算环境安全提供满足安全性、实时性要求的电力专用芯片，为终端主动免疫能力构建提供基础。在终端层，需从终端计算环境安全、应用安全、通信安全角度，重点研究具有主动免疫能力的电力系统智能终端内嵌入式组件和控制单元技术，并研制具备主动免疫能力的电力嵌入式组件、控制单元和终端。芯片层研究和终端层研究的成果共同解决终端主动免疫问题；同时，终端层将为交互层提供终端安全监测数据，并向交互层终端边缘接入防护提供业务场景和接入需求。

　　在此基础上，为解决“攻击特征不确定、终端/业务/网络强耦合条件下，终端安全状态建模、精确感知及威胁阻断”的问题，需从交互层安全开展关键技术研究以确保外部攻击防御。具体来说，面向主动免疫终端的互联应用场景，研究提供网络监控防御和安全交互保障技术；从终端状态感知、攻击识别、威胁阻断等3个监控与防渗透必要环节，研究终端、业务、网络多维融合状态感知、关联电力业务逻辑的深度攻击识别、终端网络联动的威胁阻断技术，实现终端安全威胁精确感知与阻断，为电力系统智能终端提供网络攻击防渗透决策控制服务。同时，研究电力系统智能终端的统一边缘接入场景安全防护，为终端的边缘接入安全、数据安全和隔离保护提供技术支撑，为具有自免疫能力的电力系统智能终端的边缘接入提供安全传输通道。

　　4电力系统智能终端信息安全防护关键技术

　　下文将从芯片层、终端层、交互层等3个方面对电力系统智能终端安全防护需突破的关键技术展开阐述。

　　1)芯片层安全防护关键技术：芯片电路级可证明安全防护技术和内核故障自修复技术。

　　针对复杂环境、先进工艺条件以及新型攻击模型带来的一系列芯片安全问题，研究覆盖电路级、CPU内核以及嵌入式操作系统的具有完全自主知识产权的电力芯片安全技术[17]。满足电力系统终端对电力专用芯片的高安全、高可靠、高实时性要求。

　　首先需要进行芯片级安全防护理论研究，针对集成电路器件的信息泄露产生源问题[18]，具体理论研究方法为：研究先进工艺下电流、光、热等物理信息的产生机理[19]，掌握其内在物理特性和工艺间的关系；分析芯片电路元件的组合物理特性，以及多元并行数据在信息泄露上的相互影响；在芯片内部特征差异和外部噪声环境下，研究先进工艺下电力专用芯片物理信息泄露的精准建模方法，构建普适性物理信息泄露模型；研究可证明安全的泄露信息掩码、隐藏技术以及抵御高阶分析和模式类分析的防护技术，提升芯片安全设计理论与方法；研究层次化芯片安全防御体系架构。通过研究芯片运行电磁环境监测、运行状态监测、多源故障检测技术，实现芯片的环境监测和内部监测。研究CPU指令流加密和签名、平衡电路构建、数字真随机数电路等技术，实现芯片内部数据的存储加密、总线扰动、电路掩码。提出可证明安全的自主知识产权芯片电路级防护方法，满足电力专用芯片的高安全要求。

　　在理论研究基础上，需基于可证明安全的芯片电路级防护方法进行芯片电路级防护实现技术研究。首先，基于自主知识产权的CPU架构，研发带有高安全、高可靠特性的CPU内核，并对以上技术进行仿真验证，研究形成CPU内核故障自修复技术，满足电力专用芯片的高可靠性要求；然后，确定仿真验证可行性，并采用以上关键技术研制低功耗、高速特性的电力专用芯片，开发适用于电力应用的片上内嵌入式操作系统，满足电力专用芯片的高实时性要求。

　　最后，对研制的电力专用芯片和内嵌入式操作系统进行全套模拟测试，以确定满足后续电力智能终端的开发应用。通过芯片层安全研究方法确保电力专用芯片满足安全防护要求，实现功耗电磁隐藏、数据命令掩码、电路屏蔽，以抵御模板攻击、电磁注入攻击等新型信道攻击、故障攻击、侵入式攻击。具体研究框架如图3所示。

　　2)终端层安全防护关键技术：融合可信计算和业务安全的异构智能终端主动免疫技术。

　　针对电力智能终端异构、资源受限条件带来的终端易被恶意控制和破坏的风险，提出研究融合可信计算和业务安全的异构智能终端主动免疫技术。首先，根据电力多场景业务应用情况，分析各类电力系统智能终端的安全防护需求，提取异构智能终端的主动免疫需求特征；然后，根据异构终端的主动免疫需求特征，研究建立适应电力系统智能终端的普适性主动免疫安全架构。①在硬件安全架构技术研究方面，针对电力终端特性研究基于电力专用芯片的电力终端可信根[20]，实现对电力终端操作系统、业务应用程序的可信量度，保证终端状态的可信[21-22]；设计以可信根为基础、以嵌入式微控制单元(MCU)为应用的终端可信逻辑硬件架构，研究端口安全访问机制和接口驱动安全机制，实现终端的主动免疫能力。②在软件架构技术研究方面，针对电力终端在数据交互、访问机制、检查机制、审计机制方面存在的漏洞，研究数据安全保护机制[23]，保证各个应用和各部分数据的独立安全；研究满足电力系统需求的安全访问控制机制，外层访问和软件平台之间的安全检查机制；研究适应外层、软件平台访问的安全访问审计机制。

　　在电力系统智能终端普适性主动免疫安全架构基础上，为实现终端计算环境安全、业务应用安全和对外通信安全，提升多种场景下异构电力系统智能终端的安全防护能力。需开展系统安全访问、数据安全保护、信任链构建、可信量度与可信管理、可信证明与可信证据收集、数据安全交互、核心功能保护、快速恢复及通信完整性保护等方面的关键技术研究，建立适应电力系统异构终端的普适性主动免疫体系。具体研究框架如图4所示。

　　3)交互层安全防护关键技术一：面向不确定攻击特征的终端威胁精确感知与阻断技术。

　　针对电力终端接入和互联过程中的攻击监测、异常处理与安全防护需求存在的问题，研究基于“异常监测—阻断响应—安全防护”的交互层安全技术。

　　首先，研究多级分布式监测与防渗透架构，构建监测布点机制和终端防渗透模型：①针对典型电力终端业务场景，分析不同场景的脆弱性和安全威胁，研究基于业务场景的终端网络渗透路径；②对终端系统中已有的安全防御措施进行建模；③综合防御模型与终端网络渗透路径，形成不同业务场景的监控与防渗透模型。

　　其次，针对网络渗透攻击特征的不确定性，需研究终端、业务、网络多维融合安全状态建模与感知方法，建立各维度安全状态基准，采用异常特征抽取技术获取各类攻击和异常特征的映射关系，反向推导可能发生的渗透攻击，实现异常识别。在终端安全状态感知方面，需分析多源异构嵌入式电力智能终端硬件资源、可信模块、配置文件、关键进程等运行状态特征，构建面向终端状态异常行为的分类和诊断模型，实现对多源异构终端的有效异常感知。在业务安全状态感知方面，开展基于协议深度分析的业务异常感知的研究。分析电力协议的格式规范、业务指令特征和操作逻辑，对协议进行深度解析并提取指令级特征[24]；分析单一数据报文的合规性，识别畸形报文；分析组合数据报文，还原业务操作行为，实现对违规行为的异常感知。在网络安全状态感知方面，从通信路径、通信频率、流量大小、流量类型等多维角度分析电力终端流量特征[25]，并融合归一化处理，以自学习的方式确定行为基线，实现流量异常识别。

　　在此基础上，针对电力系统遭受渗透攻击后的准确有效响应需求，结合各类电力系统业务场景，研究基于特征提取和模式识别的攻击关联分析方法，构建概率关联模型和因果关联模型，对攻击特征进行关联分析[26]，作为攻击识别技术的支撑基础。对具有较显著特征的攻击行为，构建多模式快速匹配模型，实现攻击的快速匹配识别，对特征相对不很显著的复杂攻击行为，利用机器学习，实现攻击的有效检测。

　　最后需研究防渗透策略管理和隔离阻断技术，形成网络和终端设备的策略下发、执行和优化等综合管理方法；对于被入侵的高风险终端，产生终端隔离策略或网络阻断策略，对于受影响终端，生成风险规避策略。并需要研究策略优化、冲突检测、冲突消除算法，实现融合“终端隔离”与“网络阻断”的多层协同防御策略，最终基于攻击危害评估的隔离阻断技术实现攻击的抵御和消解。具体研究框架如图5所示。

　　4)交互层安全防护关键技术二：电力系统智能终端互联场景下终端边缘安全接入和混合业务隔离保护技术。

　　首先研究电力系统智能终端边缘接入体系架构和安全防护体系，为电力监控系统、智慧能源系统、能源计量系统的终端互联安全提供基础支撑。

　　在此基础上，针对电力系统智能终端互联、混合业务统一接入场景下，海量多样化终端的合法快速接入认证问题，需采用分布式授权接入控制、轻量级验签等方法，研究快速接入认证技术；在轻量级公钥、私钥研究的基础上，提出轻量级签名算法以及公钥对生成算法[27]，通过软硬件结合方式构建轻量级的验签体系，支撑系统的实时验签处理。实现终端分布式授权和高速安全接入认证。同时，需针对不同边缘侧业务、环境、时间、跨度，实现不同安全需求的边缘侧认证授权技术，即在知识库、规则库构建的基础上，基于自学习方法构建完整的电力系统边缘计算认证因子体系[28]，实现多种认证因子共存的“白名单”最小化授权认证。

　　针对边缘接入过程中的数据安全防护问题，需研究轻量级密钥更新和数据安全处理与质量保障技术，实现全实时数据安全防护。首先设计密钥管理、协商、更新机制，重点研究混合业务分级分类安全存储、高速接入场景动态协调存储方法，满足数据高速增量存储。在此基础上，研究高性能的安全多方计算方法，实现实时数据流的安全、高速处理和隐私保护，在计算能力和带宽约束条件下解决数据篡改、数据失真等安全问题，并在边缘计算能力和带宽约束条件下实现数据清洗、融合、治理，定量化提升数据质量。

　　最后针对多业务互联过程中的业务隔离困难的问题[29]，需结合资源虚拟化调度和切片技术，研究多业务安全隔离技术，选择合适的切片粒度和生命周期，平衡切片的灵活性和复杂性，实现多业务共享资源的切片式安全隔离，支持混合业务可信敏捷接入与多级安全隔离。同时为了确保业务连续性不受影响，充分利用不同通道的优势，需采用通道切换的方法进行多模通道自动倒换，实现通道使用优化，提高业务接入和备份能力，确保业务状态不中断。具体研究框架如图6所示。

　　5电力系统智能终端信息安全防护能力测试验证技术

　　电力系统智能终端信息安全防护需要多方面的关键技术，目前国内外尚无适用于电力系统智能终端业务环境的安全性测评验证技术。本文尝试从安全防护技术集成优化、实验室测试验证、多业务综合试验验证等3个方面，对电力系统智能终端信息安全防护技术有效性进行分析和展望。

　　1)安全防护关键技术集成优化。电力系统智能终端安全防护涉及了芯片层、终端层、交互层3个方面，相关技术在应用过程中需兼容电力不同业务系统应用场景、防护要求及措施的差异。同时，需要兼顾与各业务系统在功能模型、性能指标、安全策略等方面的匹配性，考虑与已有防护策略的优化集成应用需求，以支撑芯片层—终端层—交互层安全防护技术的整体研发与应用。

　　2)安全性实验室测试验证。为满足电力系统智能终端信息安全防护技术有效性验证需求，需基于电力业务系统运行场景模拟，研究安全防护能力的实验室测试技术，构建终端安全性检验测试平台，实现安全功能符合性、穿透性测试。此外，需研究考虑不同攻击密度、攻击特征及目标定位的攻击用例，构建安全攻防验证平台，实现主动免疫电力系统智能终端及安全监测与防渗透系统安全功能的有效性测试。

　　3)安全性综合验证评估。综合考虑实际业务环境中的负荷特点、供电可靠性要求等因素，在安全防护技术应用到生产环境后，为对相关安全技术有效性以及业务影响性进行测评验证。需考虑通过红队攻击和专家组验证等方式，采用终端自身攻击、纵向通信攻击、主站下行攻击等方式，验证主动免疫电力终端、终端安全监测与防渗透系统、边缘计算安全接入设备的安全功能有效性，并评估对业务系统实时性、正确性、可靠性等方面的影响及对现有防护体系的提升能力。

　　6结语

　　本文对泛在电力物联网环境下电力系统智能终端安全防护面临的风险和技术问题进行了剖析，设计了覆盖芯片层、终端层、交互层的电力系统智能终端安全防护框架，以进一步扩充完善现有电力二次系统的安全防护体系。本文所展望的芯片电路级可证明安全防护和内核故障自修复、异构终端主动免疫、终端威胁精确感知与阻断、互联环境下电力系统智能终端安全边缘接入和业务隔离等关键技术，在未来仍有较长的路要走，需要综合考虑电力系统高实时性、高连续性要求，在不影响电力业务的情况下开展针对性安全防护。