2022 年（第十届）电力企业信息安全研讨会 - 436 - 基于 SDP 的零信任技术在电力企业信息 网络安全防护中的应用探索 大唐云南发电有限公司，冉怒吟、张国仕、王一思、盛湘新 摘 要：电力企业传统的基于“网络隔离、专网专用”的网络安全架构，越来越难以满足智慧电厂及两化融合建设 的“网络互连、数据共享”需求，探索下一代电力企业网络安全架构技术和产品已经迫在眉睫。本文介绍了一种前沿的 基于 SDP 的零信任网络安全技术和产品，以及基于该产品构建的大唐云南车辆管理系统、办公自动化系统、财务共享系 统等互联网业务系统零信任网络安全防护项目的试点应用情况，为企业构建下一代电力企业网络安全架构和计算机系统 防御模型进行了有益探索。 关键词：网络安全；零信任架构；软件定义边界 随着近年各大发电集团智慧或智能电厂建设浪 潮的兴起，“云大物移智”（云计算、大数据、物 联网、移动互联网和人工智能）以及工业互联网在 内的各种新技术被引入了电力企业。 电力企业传统的基于“网络隔离、专网专用” 的网络安全架构，虽然在网络安全方面能取得良好 的防护效果，但必然与当今互联网时代数据共享及 网络互连的需求相冲突，已经难以满足智慧电厂对 “网络互连、数据共享”日益强烈的需求，成为了 两化融合和智慧电厂建设的主要技术障碍之一。 为进一步推进企业数字化转型和智慧电厂建 设，大唐云南发电有限公司数字中心通过引入中国 大唐集团科学技术研究总院大数据研究中心基于 SDP 的零信任技术和产品， 开展了零信任网络安全防护 试点应用合作，探索下一代电力网络安全架构技术。 1.1 传统电力网络安全基本架构及特点 2014 年国发改委颁布了 14 号令 《电力监控系统 安全防护规定》，明确了“安全分区、网络专用、 横向隔离、纵向认证”十六字方针。随后，2015 年 国家能源局 36 号文颁布了《电力监控系统安全防护 总体方案》，该方案在基于 14 号令十六字方针的基 础上，补充了“综合防护”之后，形成了电力企业 网络安全防护的“安全分区、网络专用、横向隔离、 纵向认证、综合防护”五大基本原则。 基于以上网络安全架构，国内电力行业各大集 团都开展了网络分区建设， 将网络划分为控制区 （安 全Ⅰ区）、非控制区（安全Ⅱ区）、管理信息大区 （安全Ⅲ区）和外部网络（安全Ⅳ区），并基于以 上分区，实施严格的网络隔离措施，各专用网络的 边界防护成为了电力网络安全的基本防护措施，防 止跨网络安全分区的“非法外联”成为电力网络安 全的重中之重。 “安全分区、网络专用、横向隔离、纵向认证” ——成为了当前各大电力企业的网络安全防护的基 本架构。 在以上网络安全基本架构的基础上，再结合国 家能源局 36 号文的“综合防护”原则，通过部署网 络入侵检测系统、开展主机与网络设备加固、应用 安全控制、系统安全审计和恶意代码防范等措施， 构建各电力企业网络安全纵深防护体系。