郭少勇，刘 岩，邵苏杰，臧志斌，杨 超，亓 峰

（1.网络与交换技术国家重点实验室（北京邮电大学），北京市 100876；2.国网信息通信产业集团有限公司，北京市 102211；3.国网辽宁省电力有限公司，辽宁省沈阳市 110006）

0 引言

新型电力系统下，随着可交易能源、清洁能源消纳、多元负荷等业务场景［1］涌现，电力数据在网络空间中流通共享的需求激增。一方面，电力大数据来源从过去的传感与量测装置单向采集向全域互联、深入感知、双向互动发展，边缘侧进一步延伸［2］；另一方面，随着信息通信基础设施对外开放程度不断提升，跨主体间交互愈发频繁，服务类型趋向多元化与智能化，以数据中心为代表的云计算基础设施逐渐成为源-网-荷-储各环节的重要支撑。

在数据要素驱动的全域互通、在线透明与跨域协同联动建设体系下，数据的充分流通是优化业务模式与管理方式、促进数据创新应用的必然要求。然而，数据流通环节天然伴随着数据安全与网络安全的强耦合性、数据共享与隐私保护日益凸显的矛盾性、内外部环境的日渐严峻性，其安全防护难度在数据的全生命周期中最为突出。

近年来，电力二次安全防护体系制定了“安全分区、网络专用、横向隔离、纵向认证”的安全方针，并持续推进平台安全、管理安全、终端安全等多维度研究与建设，形成以边界防护为要点、多道防线的纵深防御体系［3］。而在新型的云-边-端架构下，由于网络系统的复杂性和动态性，网络安全边界呈现模糊化趋势。数据的传输和共享常会涉及跨主体、跨安全分区等场景，加大了数据跨域的安全合规［4］难度，面临敏感数据泄露、指令恶意伪造［5］等风险；边缘侧设备与外部主体的安全相对不可控，存在外部风险跨区传导的可能性；网络边界外延伴随着漏洞的不可预知性，网络安全“木桶效应”加剧，数据流通过程所面临的未知攻击风险急剧提升。因此，亟须在数字化建设过程中夯实安全防护体系，包括以使用权管控为核心的全域数据安全机制，以及适应当今安全形势与发展趋势的网络安全保障体系。

同时，海量电力流通数据使各类通信终端、系统、协议的网络流量规模与复杂性急剧提升，现有安全防护体系下云-边-端网络逐渐难以匹配低时延线速安全处理要求，安全与网络性能矛盾迅速激化。然而，受限于摩尔定律放缓，CPU 算力增速低于流通数据量增速且差距持续增大。在此局面下，针对CPU 性能瓶颈而诞生的专用数据处理器（data processing unit，DPU），凭借其“软件定义+硬件加速”的架构特性与高性能、可编程、低成本优势，在保障电力数据安全高效流通方面拥有极大潜力。

为应对数据流通环节的脆弱性问题，提升新型电力系统的数据防护能力，本文结合电力通信网络安全建设现状，深入阐释了新型电力系统面临的数据流通安全形势，探讨了新型电力系统围绕数据流通的安全防护技术需求，提出以DPU 为核心构建面向电力数据流通的泛安全边界防护技术体系，分析了DPU 在电力领域的部署应用前景，为电力信息通信安全技术后续发展演进提供参考。

1 新型电力系统数据流通防护形势

1.1 新型电力系统数据流类型

新型电力系统源-网-荷-储互动逐步加快、加深，传统价值链的打破将引发电力数据形态、流通方式与价值的深刻变化。例如，智慧电厂、智能巡检、跨域调度、多能协同互补等智能化业务高度依赖于多环节信息共享与云边高效协同处理；微网、虚拟电厂等具有源-网-荷-储一体化特征的技术实践同样依赖于多维度数据支撑其在虚拟空间的精准映射。如图1 所示，从数据源、业务主体、业务系统3 个维度描述了支撑源-网-荷-储多样化互动的新型电力系统典型数据流通现状。

图1 新型电力系统典型数据流通Fig.1 Typical data circulation in new power system

1）物联感知数据

新型电力系统物联体系［6-7］下，以海量智能感知设备［8-9］实现对计量系统装置、一次电气设备、用户智能设备的互联互通，依赖于高效的状态监测与数据采集能力［10］，包括系统运行/负荷状态、安全监控、用电信息、碳计量数据等。同时，为满足分布式电源、外部区域或行业能源的广泛采集需求，采集对象从配电侧和用户侧延伸和下沉，并通过物联管理平台汇入各类中台或大数据中心实现实时共享。物联感知数据总体呈现出接入泛在化、终端智能化、数据多模态的发展趋势。

2）量测调控数据

新型电力系统电源侧和负荷侧呈现出强随机性，如分布式能源的间歇性与波动性、电动汽车等新型负荷的时空转移、状态量传输的随机误差，对现有控制手段的统筹优化提出更高要求［11］。在量测调控数据方面，主网侧将主要依托新一代调度支持系统、变电自动化和新一代集控站系统等进行可靠、实时的指令下发。此外，随着无线网络在控制类业务中的比重增大，智能控制云化趋势明显，原配电网侧生产控制大区业务逐渐往管理信息大区乃至互联网大区转移，并借助实时量测中心贯通生产控制大区与信息管理大区间的数据汇聚与流转。进而，支撑配电网侧自动化调度与“三遥”控制业务，融合资源中台、数据中台、技术中台服务于配电网管理、供电服务指挥、营配贯通等应用。同时，对量测与调控数据的全量或增量汇集有助于提高调度分析决策的智能化水平，增强电网运行态势的智能化全景感知、效益优化与风险驾驭能力［12-14］。

3）开放互动数据

随着新型电力系统的逐步开放，运营商、服务商、能源企业等各类主体广泛参与源-网-荷-储互动，供给侧与需求侧将涌现出越来越多具有实时、自治、分散特征的，能够实现能源分层、分散平衡、柔性接入、协同互动的新型能源经济生态系统［15-16］。同时，电力市场、“双碳”［17-18］、智慧能源等业务的开展也将产生大量交易数据、明细数据等商业敏感数据与用户信息数据，这对新型电力系统下跨内外网数据传输与聚合应用过程的完整性、机密性、可用性保障能力与隐私约束化解能力提出了更高的要求。

1.2 电力数据流通特性

1）实时性

新型电力系统涉控类与互动类业务实时性特征显著，其包含的数据价值与具体时效存在直接关联。包括量测数据以及设备运检数据［19］在内的业务数据是支撑电网状态感知、分析决策、柔性调度的基础，通常具有持续性、时序性以及数据量大等流式数据特征，表现为云-边-端多层次流动结构［20］；在能源交易场景，市场交易价值往往与用户用能时间关系密切，及时的多类型能源感知与灵活替代对于可控资源的合理定价有着重要意义。同时，业务的高交互实时性需求也对数据交互与处理过程的及时性，以及高效的安全防护策略提出了更高要求。

2）多源异构性

在新型电力系统中，数据通常呈现为数字信号、文本、图像、视频等多种存在形式，数据来源更加多元化，囊括物联传感器、智能电表、监控系统等高度异构的感知设备［21-22］，分布式电源、充电桩、电动汽车等新能源设施形态，冷、热、电、气等多类型紧密耦合的能源供应流［23］，以及不同的电网企业、能源企业或电力用户，数据传输需求与采用的通信协议各异。一方面，多源异构的数据常具有明显的半结构化和非结构化特征，导致流通过程伴随着对数据本身的格式标准化和集成，以便直接调用或挖掘隐含价值；另一方面，数据交互主体往往存在安全管理差异，要求在交互过程中额外注重数据行为的合法合规性。

3）隐私敏感性

在新型电力系统中，交互性数据、用户信息数据、负荷状态数据等被充分用于提升业务效率，而该类数据常具有较强的隐私属性［24］，流通过程中的数据隐私保护至关重要。尤其是涉及电力市场交易［25］、政府监管、碳交易等多方主体交互场景中，数据被泄露或篡改可能会导致严重的经济损失。因此，有必要在数据流通环节采取适当的隐私信息处理与机密性保障措施。

1.3 数据流通安全防护需求

跨域交互的主体常在数据应用模式、安全级别、管理策略等方面存在差异。随着不同管理域、安全域及业务系统间的数据流动壁垒逐渐被打破，现有安全技术体系的健壮性与闭环性受到挑战，如图2所示。

图2 新型电力系统数据流通安全Fig.2 Data circulation security in new power system

1.3.1 数据安全层面

数据安全是指保护数据的机密性、完整性和可用性，保障数据的流转和使用合法合规。在数据流通场景下，数据安全的关键在于数据离开本地环境后的敏感信息脱敏［26］、数据防篡改［27］以及延伸化的数据访问控制［28］。

1）敏感信息脱敏:在保持原有的数据特征［29］、业务规则和数据关联性的前提下，通过数据识别技术，对敏感数据进行数据扰动、数据加密、数据屏蔽、规则过滤等方式的处理，并按照不同业务场景与角色权限制定相应脱敏方案。从对象角度看，包括对内脱敏和对外脱敏，即防止内部对敏感数据的滥用，以及数据流通共享后敏感信息泄露。在具体技术实现方面，跨域电力数据的多源性与实时性特征需要强算力高速处理海量异构数据。同时，要通过隐私计算技术融合多方数据资源［30-31］，构建电力敏感数据判别模型与知识库提升弱结构化数据甄别精确度，支撑数据流通过程全量数据实时动态脱敏。

2）数据防篡改:数据防篡改技术旨在应对数据流通后的删改、伪造问题，并对数据内容的真实可信达成共识。通常采用数据加密/签名［32］技术、数据特征匹配技术等，依赖可信第三方或以挑战/应答的方式实现数据的真实性检验［33］。但是，随着数据分布式存储与海量广域交互，远程防篡改校验存在较大的加密计算与第三方验证开销。因此，需突破轻量级加密与密钥管理机制［34-35］，围绕区块链［36］构建去中心化的数据高效存证取证机制，健全流通过程中针对数据完整性与一致性的监测和审计。

3）访问控制与延伸控制:访问控制技术通过数据的分级分类和对业务人员的鉴权与授信，按照数据访问最小化原则，从时间和空间维度对用户访问平台、资源、接口进行约束［37］；延伸控制技术旨在使跨域的数据访问行为受控［38］，并防止数据的非授权传播［39］。在数据广泛流通背景下，延伸控制难以仅依靠单向控制策略或对数据本身的标识、加密处理来实现，而是需要将数据访问权限与数据封装方式（包括数据加密协议、处理环境［40］等）相耦合，“可用不可见”的数据安全沙箱等密态计算技术［41-42］是解决该问题的有效途径。

1.3.2 网络安全层面

新型电力系统建设将带来泛在物联、边缘智能［43］、云网融合［44］、5G［45］、能源区块链［46］等新兴技术融合应用，以及组网方式、服务模式与数据交互的逻辑变革。与此同时，信息技术的复杂化、异构化导致安全策略管理难度提升，数据跨域流通风险暴露面扩大，需从细分的网络基础设施、安全协议等多方面夯实、贯通安全保障。

终端安全［47］方面，电力系统终端设备多分散于无人值守的开放物理环境中，电力终端自身存在安全隐患，尤其是芯片安全性的不足逐渐凸显。需突破芯片级数据安全防护技术［48］，基于硬件信任根构建可信的业务交互环境，提升针对侧信道攻击、渗透攻击、信息泄露等的风险防控能力。

边缘安全方面，随着海量分布式新能源并网及充电桩、分布式储能、微网广泛接入，电力系统边缘侧面临海量异构智能化终端汇聚接入和管控压力。需从安全信道、密钥管理、分布式授权认证机制［49］等方面提升接入安全性，并完善边缘接入网关侧业务接入安全适配与边缘计算业务环境安全设计。

云安全［50］方面，能源聚合商、电网企业、发电企业、节能服务商、电力用户等参与主体数量大量增加，源-网-荷-储间业务数据交叉互访频繁，公网暴露面日益扩大，跳板威胁增多。需重视互联网络设施与数据中心安全架构设计，突破被动防御的区域防护与主动防御的前摄性防御能力，构建应对分布式拒绝服务（distributed denial of service，DDoS）攻击、高级持续性威胁（advanced persistent threat，APT）等规模化、多样化态势的网络攻击检测与协同防控机制。

1.3.3 数据安全与网络安全的耦合性

一方面，数据安全能力的部署通常仅关注业务系统侧，以保证用户可直接感知和操作的数据流通行为符合规则。在互联化的新型电力系统下，数据流通高度依赖信息通信网络，但现有数据安全手段与网络细节相隔离，该层面通常被纳入网络安全范畴。然而，业务系统侧的数据安全手段加上网络层面的安全防护未能实现数据流通的安全闭环，两者的安全能力范围因粒度不足存在可被利用的真空地带。例如，由数据合法持有方在网络环境中进行的数据泄露、数据滥用行为往往难以追溯，这主要是因为现有延伸控制手段无法深入网络协议栈，而该类行为在网络层面并不会被识别为恶意行为。

另一方面，随着新型电力系统下以数据平面开发套件（data plane development kit，DPDK）［51］、远程直接内存访问（remote direct memory access，RDMA）［52］为代表的高性能网络技术逐步落地，网络协议栈的重构使得现有网络安全防线存在被旁路风险［53］。同时，容易导致原有的应用层数据安全策略被屏蔽［54］，对数据远程调用、协同计算类服务的数据安全合规性提出挑战。

综上所述，为适应新型电力系统下泛在接入、海量数据传输、频繁实时交互对于数据流通安全的冲击，网络安全与数据安全的边界有待重塑，应首要保障网络平面的数据管控能力，避免数据责任范围与安全能力范围相脱离。随着电力数据创新应用与网络技术发展，迫切需要技术层面的迭代实现数据流通的安全闭环，并进一步激活数据流通活力。为达成这一目标，改进底层的信息基础设施及其安全架构是必由之路。

2 DPU 赋能电力数据流通安全

随着电力数据流量的急剧增长，受限于CPU 与交换芯片的性能瓶颈，现有的数据平面架构逐渐无法满足新型电力系统对于低延迟、高安全的需求。可编程数据平面技术［55］在电力通信领域的应用拥有广阔前景。近年来，以白盒交换机、智能网卡为代表的可编程网络组件的部署不断加快，推动电力信息通信基础向更高性能、更灵活、更透明的方向发展。

2.1 DPU 可编程安全能力

DPU 是以数据为中心的专用计算处理设备，由智能网卡演进而来，并在编程灵活性与算力方面有所突破。目前，主流的DPU 采用现场可编程门阵列（field programmable gate array，FPGA）、专用集成电路（application specific integrated circuit，ASIC）、专用领域架构（domain special architecture，DSA）处理器等可编程集成电路+系统级芯片（system on chip，SoC）解决方案，融合软件定义网络（software defined network，SDN）思想，实现数据平面与控制平面解耦。DPU 能够与CPU、GPU 等其他元件互补实现高性能与通用性的平衡，提供高质量的存储、安全、服务质量管理等基础设施层服务。

一种典型的DPU 设计架构［56-57］如图3 所示。总体包括:1）各类I/O 接口，包括外部网络接口、DPU管理接口、以外围元件快速互联（peripheral component interconnect express，PCIe）为 主 的 宿 主设备接口及片上互联接口，满足系统灵活扩展和集成需求；2）由CPU 承担的控制平面，承担数据平面处理流程控制、复杂逻辑计算及DPU 的运行管理，通常内置操作系统与驱动满足其功能的灵活性与独立性需求，可实现应用程序管控、虚拟化网络隔离、加速管理等控制平面的功能；3）由可编程集成电路等承担的数据平面，提供高速数据处理流水线，卸载宿主机侧CPU 的计算密集型任务。作为DPU 的核心组件，具备协议解析、数据包匹配-动作执行及硬件加速等流式处理能力，并基于P4［58］等硬件编程框架实现数据平面功能原语部署与运行时管理。

图3 DPU 参考设计架构Fig.3 Reference design architecture of DPU

相比于传统网卡、智能网卡、加速卡等被动设备，DPU 更多地呈现多功能服务网关特性，将传统SDN 的控制面功能进一步扩展并集成到网络设备内，从而兼具高性能流量编排和数据面安全服务能力。同时，DPU 轻量化、即插即用属性能够在现有云-边-端计算体系中充分发挥优势，增强电力信息通信基础设施的架构级安全能力。

新型电力系统下，电力信息通信网络的安全防护泛在化、内生化、可定义化成为重要发展趋势。复杂网络环境中，网络接口是更加理想的安全和隐私边界。DPU 作为兼具强I/O、强算力特点的芯片，覆盖网卡的基础能力，能以独立于宿主机的处理环境对网络流量数据进行跨多网络层次的硬件级实时安全处理。

在新型电力系统数据交互主体范围与网络边界不断扩张的情况下，依靠防火墙、入侵检测系统（intrusion detection system，IDS）与隔离装置而建立的相对固化的安全边界在新的安全形势面前暴露了诸多弊端，流通数据的实时性、多源异构性、隐私敏感性等特性成为安全能力部署的掣肘因素。基于DPU 的可编程在网安全计算服务模式能够夯实和扩展现有安全边界，相比于传统安全服务的优势如表1 所示。

表1 传统安全服务与DPU 在网安全服务的对比Table 1 Comparison of traditional security services and DPU-based in-network security services

以DDoS 防御与防火墙服务为例，分别测试对比不同方式部署的安全服务的数据包处理延迟以及复杂过滤规则下的端到端性能，结果如图4 所示。

图4 不同实现方式的DDoS 防御与防火墙性能对比Fig.4 Comparison of DDoS defense and firewall performance with different implementation modes

测试所采用的DPU 规格为ARM SoC 16 核2.0 GHz+Xilinx FPGA 25 GB Ethernet，通过PCIe插槽内嵌在本地服务器，数据端口为25 GB SFP28，内存为单通道DDR4 32 GB，运行Ubuntu 操作系统，FPGA 编程采用基于BSV（Bluespec System Verilog）的P4 框架。

DDoS 防御基于DPU 内无循环的流状态统计，并根据阈值执行通过或丢弃操作，测试结果与无服务的网络数据包收发时延基准相差微弱，对比典型的中间盒设备与网络功能虚拟化（network function virtualization，NFV）虚拟机有着两个数量级的性能优势。在防火墙过滤方面，DPU 中的FPGA 能为过滤规则提供硬件级查表加速，额外时延开销几乎可以忽略；而Linux 内置的netfilter 防火墙则更容易受到服务器自身性能限制，在复杂过滤规则下会显著降低端到端链路质量。

2.2 DPU 赋能的电力数据流通泛安全边界承载架构

为充分释放DPU 在新型电力系统下的安全应用潜力，提出电力数据流通泛安全边界承载架构，如图5 所示。根据数据流通的不同环节，该架构可抽象为电力数据终端、电力数据流转网元、电力云数据中心3 类对象。

图5 DPU 泛安全边界数据流通架构Fig.5 DPU-based ubiquitous security boundary architecture for data circulation

电力数据终端是数据流通的源与目的节点，涉及“采、传、存、用”4 个层次。数据源包括各类物联传感装置、量测设备、监控设备等，将采集到的数据上传汇聚，之后通常由电网公司数据管理部门或相关业务部门对汇聚数据进行资产化归档与初步处理。最后，根据业务需求依托云平台计算服务进行数据价值挖掘和深度利用。

电力数据流转网元是指承载“传”环节的信息通信基础设施，如接入网关、服务网关、路由器、交换机等，涉及在网络空间的数据流通全链路，衔接数据终端与后端云平台设施。通过在数据链路的部分关键节点部署DPU，抽象数据接口并隔离数据流通平面，主要目的是将安全服务卸载到网络中，并利用高性能的流量测量与解析能力实现流通过程感知，实现针对性的端到端数据流安全增强。

电力云数据中心是支撑后端电力业务处理与大数据、人工智能云服务的信息基础设施。通过DPU构建隔离于主机环境的虚拟网络控制平面，既可以服务于网络、存储、计算资源池动态组合和弹性伸缩，又能同时保护和隔离后端数据服务。

围绕DPU 的信息安全基础设施可编程化改造可以优化安全防护技术承载能力，进一步为在网安全防护、纵深防御、协同联动防御、云/雾/边分布式防护、人工智能防御等安全模式［59］提供良好的承载环境。

2.3 DPU 赋能的泛安全边界防护技术体系

DPU 泛安全边界防护技术体系如图6 所示。基于网元内嵌DPU 芯片，协调DPU 控制平面与数据平面的安全能力，充分利用DPU 与宿主机的双体系架构确保数据处理底层逻辑安全性，建立数据安全与网络安全服务卸载机制；在此基础上，引入分布式DPU 统一调控机制，打通交互接口与安全协议，实现广域的数据流通安全在网计算；最后，通过DPU 安全管理中间件与上层网络控制及虚拟化技术对接，融合各类安全平台数据，沟通跨主体、多层次安全能力，支撑基于DPU 的跨域协同安全应用。

图6 DPU 泛安全边界防护技术体系Fig.6 Architecture of DPU-based ubiquitous security boundary protection technology

1）虚拟化可编程平面

DPU 控制平面服务于上层数据平面计算卸载，为远程设备管理与服务管理创建安全通道，以及为数据流通安全在网计算提供安全可信的网络可编程组件。DPU 控制平面基础功能包括运行状态管理、卸载/加速任务调度、资源管理配置等，为上层的虚拟化实例提供可编程平面［60］，并执行虚拟化平面隔离［61］与虚拟机管理。硬件信任根［62］为DPU 安全能力提供信任支撑，支持安全监控、可信校验、密钥管理等多方面保障，实现软件定义化的安全指令与数据控制；支持基于可信度量的信任链构建，或以DPU 作为硬件隔离的可信计算容器，承载网元设备中芯片级可信计算技术。

2）安全能力卸载

DPU 安全能力的实现需结合控制平面与数据平面，充分利用DPU 网卡侧的原生安全特性，将数据安全与网络安全服务隔离在DPU 安全处理环境中独立运算，在避免安全机制被旁路的同时为安全运算降本增效。

数据安全能力:利用DPU 内置可编程集成电路的流量解析能力与强近端算力，支撑流通数据的动态安全防护。将数据动态脱敏、数字水印［63］、隐私计算处理（如联邦学习、同态加密、秘密分享）等针对数据内容的复杂计算卸载至DPU 信任环境。一方面，不占用宿主机计算资源；另一方面，能够为多方数据交互场景提供信任支撑。

网络安全能力:将复杂网络安全运算从CPU 卸载至网卡侧DPU，基于信任环境下密钥管理机制，承载网际安全协议（Internet protocol security，IPSec）［64］、传输层安全协议（transport layer security，TLS）［65］等加密传输协议与相应应用架构；承担深度包检测（deep packet inspection，DPI）、防 火墙、IDS/入侵防御系统（intrusion prevention system，IPS）、身份认证等基础安全服务，将网元的转发与安全功能集成化；充分利用数据平面资源，在高吞吐量的前提下提供基于网络数据摘要技术（Sketch）［66］的多类型流量解析能力；在网卡侧SoC 进行模型部署与算力供应，与数据平面联动实现实时流量异常检测［67］、数字指纹［68-69］等超量级处理，扩展人工智能防御的应用范围。

3）安全服务在网计算

在网计算技术［70-71］将单一元件的计算操作从终端主机卸载至流转网元，并进行统一纳管。包括:（1）将数据分组处理原语暴露于控制平面供上层编程语言调用，在可编程网络设施中线速执行安全原语（如包检测原语、包处理原语）；（2）将针对网络流量与连接统计信息的安全防御策略下沉，缓解应对DDoS 等大范围网络攻击时的流量重路由开销，提供比传统服务器高几个数量级的吞吐量和更低的时延。

内嵌DPU 的网元或DPU 裸金属是安全在网计算节点的高适配度选项，能够更好地承载系统级安全架构，为新一代防火墙（next generation firewall，NGFW）［72］、移动目标防御（moving target defense，MTD）［73］、拟态防御［74］等技术实现部署容器升级。一方面，DPU 能以外挂或集成的方式统一底层接口与管理协议，更好地解决在网计算协调性问题，增强网络编程平面的灵活性；另一方面，凭借广泛分布的近端处理能力，对分组IP 地址、TCP 连接序号实现动态加密，能够在可信环境获取和处理网络上下文数据，从底层避免用户网络地址等隐私内容泄露。

4）DPU 赋能安全应用

以APT［75］攻击为代表的弱信号、低关联、慢时变的攻击手段往往利用信息系统单点防护漏洞，进行隐蔽的威胁扩散和深度破坏。网络安全协同设计［76］是缓解单点脆弱性的进展方向。在该类技术中，网络元件、服务器、网络控制器（如SDN 控制器［77］、网络功能管理编排器［78］）联合用于攻击检测和攻击抵御，将网络状态信息与安全策略参数全域协同共享，解决单一可编程网元的视图局限性问题，支撑更高层次安全防护应用。另外，在跨网络域场景安全协作下，顾及部分日志信息的隐私属性与可信要求，可在DPU 容器环境中部署隐私计算应用，并通过区块链技术将硬件身份与信息交互行为可信存证，从而在网络设施层面提供跨域隐私交互通道。

2.4 DPU 赋能的数据跨域流通协同安全防护应用

在泛安全边界承载架构的基础上，发挥DPU 带来的网卡层面强I/O 与强算力优势，灵活运用软件定义安全处理平面，贯通可信与非可信区间的数据交互，融合本地与上层应用平台安全信息，是推动协同安全防护应用的主要脉络。

2.4.1 数据流通全域监测技术

数据流通监测是数据安全防护的关键环节，能够为数据拓扑还原、数据溯源［79］、数据泄露定位、态势感知等实际应用提供技术基础。其通常在业务系统关键数据访问和处理点位上，采集系统行为上下文日志与数据流转信息，构建数据流通图谱与行为模型，进行后续安全性检测。该技术对数据来源有着较高要求，单一监测点位的信息扰动易扩散至全局视图。另外，作为上层平台侧技术方案，在数据频繁广泛流通的场景下不可避免地存在底层信息获取的效率问题、监测能力的覆盖面问题及信息交互共享的可靠性问题。

基于DPU 的泛安全边界防护体系对于数据流通监测的赋能作用显著。首先，DPU 的广泛部署与统一可编程平面直接扩大了流通监测点位物理范围，在数据的源与目的节点之外，增强了数据全链路、全节点对虚假数据注入、数据篡改、数据泄露等恶意行为的监测能力。

如附录A 图A1 所示，以DPU 作为网卡侧的数据流通代理，将信息获取层面从业务与应用系统侧下沉至内部网络边界，综合应用以DPI 为代表的包解析与流量分析技术，针对数据库构造可信、可解析的专用化数据接口，更加完整、高效地收集来自网络平面与上层数据应用的全量数据，避免数据流旁路的问题；通过网络安全与数据安全多维度特征一体化建模，在特征关联与维度扩充的基础上，实现反映数据-网络耦合性的认知本体构建（如MDATA［80］、PROV-DM［81］等参考模型），实现面向异常数据行为实时监测与源头定位的底层逻辑增强。

2.4.2 安全态势感知技术

安全态势感知技术［82］建立在多维度、全方位安全监测体系之上，结合数据流通各层次部署的安全传感器所提供的多源异构环境数据［83］，包括安全日志信息和网络流量等，并结合上层安全态势信息平台，如威胁情报平台、资产管理平台、终端检测与响应（endpoint detection & response，EDR）平台、漏洞数据库等，基于行为分析、数据内容分析、流量分析对安全风险进行主动发现和感知。安全态势感知需要全面考虑反映安全态势变化的因素，将检测对象由已知威胁拓展到未知威胁，通常分为安全要素提取、态势理解、态势预测3 个阶段。新型电力系统下，围绕数据流通的安全态势感知技术面临态势范围扩大、维度膨胀等问题。

如附录A 图A2 所示，基于DPU 的泛安全边界防护体系一方面能够通过上述全域流通监测技术，从网卡侧获取更为广泛和深入的网络安全与数据安全信息，从而增强态势理解能力。另一方面，在网元侧，DPU 提供近端的态势分析算力，通过汇聚基础安全组件的告警、系统日志和网络流量数据，进行多通道数据关联分析和挖掘，实现安全态势信息在线的融合处理与就近过滤；在服务端，磁盘I/O 瓶颈是安全态势大数据处理的关键问题。DPU 作为流计算加速引擎，可独立于主机加速威胁模型匹配、实时行为画像、安全态势知识推理等高算力任务，降低外存I/O 中断次数。同时，以数据为中心的计算架构能够适应海量态势要素的在线分析和预测需求，辅助承载自动感知、自学习等人工智能模型，提高服务吞吐量与响应效率，并具备高度的可扩展性。

2.4.3 跨域安全联动响应技术

在安全响应方面，打破安全设备、系统、平台之间的孤岛式现状是安全领域的重要诉求。通过电网企业上下级单位与网络安全部门、数字化工作部门与业务部门间的安全数据与安全能力互通，建立源-网-荷-储跨域主体间的安全信息共享机制，能够有效推进新型电力系统信息基础设施联防联控与协同响应体系建设。

安全编排与自动化响应（security orchestration，automation and response，SOAR）平台［84］通过编排和执行安全剧本的方式，集阻止、检测、响应和预防于一体，旨在涉及多界面、多环节安全任务的及时自动处置。如附录A 图A3 所示，在该技术体系下，DPU安全能力的引入能够使处理逻辑产生质变，有效解决联动响应效率与安全数据隐私保护问题。

总体实现方式如下:

1）围绕DPU 建立安全资源池，对底层安全设备及调用接口等安全资源进行统一接入和纳管。

2）部署DPU 将响应策略编排与响应执行分离，在执行环境中面向接入的安全资源进行原子动作配置；将日志源模型、安全规则模型、取证模型等响应流程模型［85］卸载至DPU，提供响应接口与响应规则配置的透明化视图，实现响应执行平面下沉，为多方安全能力联动调用提供基础。

3）在数据互通方面，利用DPU 网络平面的高速I/O 与可编程能力，实现域内安全数据直接互通与统一远程调用；通过内置隐私计算能力，以模型或密态形式进行跨域数据间接传递，提供全局安全信息共享渠道。最终，实现安全信息跨域共享、安全剧本统一编排、安全事件联动响应。

3 DPU 部署与挑战分析

DPU 在电力场景下的配置应遵循以点带面、先内后外的部署原则，与现有技术体系的优劣势相互协调，充分适应电力数字化技术发展趋势，最大限度地发挥DPU 的安全能力在整个新型电力系统通信体系中的价值。如图7 所示，根据位于电力通信网络的不同层次，将DPU 潜在部署场景划分为边缘侧、电力内网（电力骨干通信网）、云侧、内外网边界4 个部分。

图7 电力通信网络架构Fig.7 Architecture of power communication network

基于目前DPU 主流功能设计、各层级业务特性、技术痛点紧迫程度等方面因素，本文建议部署工作总体上按照云服务设施、边缘设施、内外网边界设施、电力内网通信设施的优先级顺序协同推进。首先，以增强云、边节点的通信、计算、安全服务能力为先导，解决以计算为中心体系的性能瓶颈问题；其次，夯实内外网安全防线，利用DPU 对互联网大区安全设施进行内嵌或外挂式改造，提升对外用户服务的安全保障能力；最后，逐步针对电力信息内网进行在网化架构升级，开通云边之间的弹性可编程网络能力，形成云-网-边泛安全边界防护体系。

考虑到DPU 硬件与兼容适配成本，现阶段宜以老旧网络设施替换与“即插即用”为主要方式，逐步按需推动系统级的兼容性改造；电力业务对通信网络各层次的需求有所不同，故应以满足通信/安全敏感型网、荷侧业务需求为引导，不断扩大全阶段应用范围；在选型方面，应首先以提供单点安全服务为目标，再随部署规模扩展其他方面能力。

3.1 边缘侧

边缘侧为新能源集控、智能巡检、配电网智能调控等提供物联感知基础，以提高边端采用率与智能前移为主要发展趋势。电力边缘侧终端设备种类繁多，接入方式与安全策略高度差异化，密集借用公网通道对外互联，对自身漏洞的抵御能力薄弱。因此，在非可控的环境中容易被仿冒伪造，存在恶意终端渗透、数据非法劫持和篡改等安全风险。

针对这一现状，可考虑将DPU 内嵌于物联代理、融合通信终端或边缘网关等，巩固数据接入的第一道防线。在保障自身上下行通信传输通道安全的同时，针对感知末梢设备的脆弱性提供安全密钥管理与授权服务，提升安全认证和数据加密传输的性能，扩大电力边缘侧安全隐私策略的适用边界；辅助边缘智能应用，卸载针对终端行为的人工智能模型［86］，基于对本地化攻击与异常状况的机理的特征分析，提高边缘侧异常检测与入侵检测的响应效率与准确率；同时，进一步探索基于分布式DPU 的边缘侧安全资源池化与编排方式［87］，突破软件定义化的可伸缩边缘安全防护技术，拓展云网融合安全架构覆盖面。

3.2 电力内网

电力内网是数据流通的核心通信支撑，具有数据量庞大、广域传输的特点。当前，电力通信专网与运营商公网的壁垒正逐渐被打破，基站设施与光纤资源共享化成为趋势，而安全防御理念往往局限在区域安全边界，存在边界内部安全控制力不足，部分安全策略依赖运营商，应对非受控内部节点攻击能力弱、威胁易扩散等问题；在数据层面，对数据流粒度的访问控制、延伸控制能力欠缺，难以感知和干预发生自内部节点的数据泄露和滥用。

一方面，在电力内网间部署DPU 能够提供直接的在网安全计算服务；另一方面，可承载云网融合安全架构［88］，将电力内网与云端安全能力相结合，支撑软件定义的在网安全资源、云安全资源整合统一。通过将DPU 部署在各企业业务网关与各级交换机等关键流转节点，电网各分支机构、云服务设施围绕软件定义广域网（software defined-wide area network，SD-WAN）的形式广域认证、互联和引流，通过软件定义化安全连接覆盖基础性网络；系统层面，以DPU 为组件提供安全管理能力，包括组件自身安全及组件间的通信互访安全，涵盖相应的加解密、身份认证、权限控制等功能；业务层面，为业务的差异化安全需求适配对应的安全防护策略，基于虚拟网络功能（virtual network function，VNF）的形式提供软件定义化的网络与数据安全服务编排［89］，提升云网安全能力调度的效率与灵活性。

3.3 云侧

新型电力系统下，企业级云服务平台数据基础平台建设稳步推进，基于各类中台与大数据中心基础设施为各级业务系统提供网络、存储与计算环境，支撑发电量预测、预测性维护、电网监测、用能分析与灵活调度等复杂数字化业务。具体到云服务设施内，由于数据存储位置变得更加分散、数据的流动性增强、网络架构与技术的复杂性加深，数据的安全性变得更加不可控。同时，复杂的业务系统及高频度信息交互，增加了外部安全威胁渗透的风险。当前，数据中心东西向安全形势日益严峻。由于网络安全策略主要部署在数据中心的边界，难以对数据中心内部的物理服务器之间、虚拟机之间的通信进行管控。在数据安全方面，业务系统间数据协同互通成为新型电力系统数据安全防护体系的关键环节，但在数据中心内部由于业务物理服务器资源复用和耦合，业务系统间安全边界更为模糊。传统依赖于集中式防火墙、虚拟局域网或上层虚拟化平面的技术体制难以保证东西向数据流量的高效流转与安全合规，存在数据绕行开销大、安全控制逻辑复杂等问题。总体来看，数据中心安全隔离机制同样面临效率与安全强度的冲突。

DPU 的应用能改善传统云计算架构安全局面。云侧安全将不仅仅依赖于边界安全设备与网络层的虚拟化安全机制，而是利用DPU 控制面的天然强隔离性，在虚拟化技术内部嵌入数据安全机制，对东西向业务流量就近进行安全转发与过滤。依托于DPU 的分布式部署与强算力特性，承载微分段［90］、微隔离等虚拟化安全技术增强源端控制能力，进一步细化安全等级在服务与数据流间的映射。一方面，通过细粒度的网络访问权限控制缩小网络安全暴露面；另一方面，通过对虚拟化流通平面控制能力［91］，实现数据传输目的端与途径节点的全链路角色感知［92］，从而在交换机或服务器数据出入口部署更具针对性的数据安全策略。

3.4 内外网边界

内外网数据流通主要涉及互联网大区业务。在新型电力系统与“双碳”背景下，能源聚合商、负荷聚合商、综合能源服务商等多元化主体广泛参与，能源大数据中心、客服营销中台等需要通过网上国网等共享服务平台与外部主体开展频繁多维度数据交互。网络的开放性要求更加提防针对互联网基础设施的恶意攻击与第三方主体风险传导至内网区域等。此外，由于能源交互数据、电力交易数据、用户信息数据等存在隐私或资产属性，数据共享模式转型迫切需要更加坚实的安全与可信保障技术体系支撑。

DPU 对于内外网安全边界的赋能主要包含以下3 个方面:

1）安全计算卸载带来的效率提升，将DPU 部署在互联网网关、防火墙、前置机等关键基础设施，加速主机系统中的既有安全服务应用，提升关键数据路径的转发性能。

2）可补充或替换原有防火墙设备与集中式身份认证、权限管控服务器，凭借泛在部署与统一控制特性提供全链路数据监测与控制能力，实现安全管控边界的前置化和访问控制列表（access control list，ACL）［93］等功能集成化部署；承载蜜网［94］等架构级主动防御技术［95］与网络隐身接入［96］技术，简化网络安全运维模式。

3）对于隐私或资产化数据，DPU 能够为共享环节中的联邦学习、多方安全计算技术提供算法加速。同时，能够作为隐私计算平台的可信计算容器［97］，通过隔离网络平面将隐私保障范围向全链路延拓，在非可信的数据协作方之间提供端到端的透明数据信道。

3.5 DPU 应用面临的挑战

1）标准化和兼容性［98］

当前，业界尚未形成统一的DPU 硬件标准和接口。DPU 大范围应用难免涉及不同厂家设备、DPU与非DPU 节点之间的通信交互，面临云平台对接方案不成熟、通信性能互相制约、对接适配难度大等问题。DPU 作为一种主动设备，在内嵌式部署时要求服务器和网络设备适配硬件接口，同样也会对宿主设备存在较高的驱动定制化需求，尤其是“多PU”共存环境中如何抽象实现硬件设备透明化［99］问题。宿主设备厂商与DPU 厂商的上下游协作与电力行业DPU 标准化是目前亟待推进的工作。

2）应用生态建设

DPU 的底层功能开发涉及大量基于FPGA、ASIC 等可编程集成电路的工作［100］，这类开发对于技术人员要求较高，模块化［101］开发模式尚未成熟，如何处理片上资源约束以及数据平面-控制平面的交互开销是伴随开发流程的棘手难题。同时，DPU上层应用生态建设需要开放的应用软件架构支持，相关应用软件开发应重视DPU 硬件卸载与加速的设计。在此基础上，推动远程直接内存访问（remote direct memory access，RDMA）、虚拟交换机、安全加密算法、人工智能模型训练/推理等在DPU 环境中的落地。除卸载与加速功能之外，需要发掘多DPU 协同组网的架构优势，基于网络、安全、存储、虚拟化等基础能力，加强数据控制与资源一体化调度框架开发，推动软件定义化应用生态建设。此外，在面向电力行业应用时，特别是安全领域，需要格外注重软件层面的定制化工作，以满足行业的相关安全管理与等级保护规定。

3）能耗问题

目前，DPU 的能耗问题是关键制约瓶颈之一。由于DPU 自身结构与功能特性，其耗电量通常为百瓦级以上。这在数据中心的大规模计算集群中是可以接受的，但当DPU 内嵌到小体量网络设施与边缘计算设备中时，将不可避免地带来极大的供电与散热压力。因此，应当在保持高性能的同时尽量降低能耗，通过DPU 芯片的轻量化设计与功耗智能调节，确保DPU 稳定运行并减少运维开销。

4 结语

新型电力系统加快了数据在电网内、外各主体间的交互与流通，数据非授权访问、指令恶意伪造、外部风险跨大区传导等安全风险加剧，数据传输网络与数据泛化安全防护需求凸显。面向业务需求与新的安全形势，针对跨电网内外网、专业系统间的安全边界模糊化趋势，需加强电力数据流通安全防护技术创新。

DPU 作为新一代专用化处理芯片，有望成为贯通新型电力系统计算算力、网络通道、安全防护的关键底层设备，适应“大云物移智”技术发展浪潮。围绕DPU 实现泛安全边界部署，将促进信息安全能力共建共享、降本增效，支撑新型电力系统全环节海量数据的实时汇聚、高效处理、价值共享。

目前，DPU 技术研究与产业化仍处于蓬勃发展阶段，围绕电力专用化DPU 的标准化与应用生态建设仍需加强。迫切需要解决DPU 对现有电力信息基础设施的迁移、DPU 能耗及DPU 与存量安全设施的兼容互补问题，并持续探索DPU 在电力信息安全防护领域的成熟落地方案。另外，在技术协议层面，应当积极与外部行业、监管方接洽，发挥DPU 原生安全优势，以及与隐私计算、区块链、数据沙箱等可信技术的契合性优势，推动“联域成网”的跨行业数据流通技术体系发展。

附录见本刊网络版（http：//www.aeps-info.com/aeps/ch/index.aspx），扫英文摘要后二维码可以阅读网络全文。