2018年2月7日,国家电网在其信息通信工作会议上首次明确提出将“打造全业务泛在的物联网,建设智慧企业,引领具有卓越竞争力的世界一流能源互联网企业”,2019年1月13日国家电网又在发布的2019年“1号文件”中将“打造状态全面感知、信息高效处理、应用边界灵活的泛在电力物联网”排在年度重点工作首位。2019年3月8日发布的《泛在电力物联网建设大纲》中明确了泛在电力物联网的概念:泛在电力物联是指任何时间、任何地点、任何人、任何物之间的信息连接和交互。目前,国网公司围绕电力系统各个环节,正充分运用物联网技术、大数据技术、人工智能技术等各项新技术,逐步实现状态全面感知、信息高效处理、应用便捷灵活特征的智慧服务系统。
在泛在电力物联网技术发展趋势下,终端类型和结构日趋复杂,随着网络越来越开放,业务融合程度越来越高,任何一个微小的安全漏洞,都可能导致大批风电场和光伏电站陷入瘫痪,甚至导致人员损伤等严重的后果,实现端、边、云的安全免疫,推进能源数据安全监测与防护保障能力建设已迫在眉睫。针对目前泛在电力物联网技术中存在的安全隐患,2019年5月中旬,由国网网安联合网络安全领域最具影响力的专业媒体之一——安在新媒体,共同发起面向全国安全领域厂商的2019泛在电力物联网安全优秀方案征集评选活动。
活动期间,30多家厂商的44个参选方案参与评选,近二十位评审对每套解决方案从针对性、有效性、灵活性、经济性、创新性、成熟性等六个方面进行阶梯式打分,最终经层层甄选,十佳厂商的优秀解决方案脱颖而出。这其中由联软科技提出的基于可信数字网络架构的泛在电力物联网终端一体化管控方案(含泛电力物联网行为分析)凭借其自身产品技术优势,强势入选。
方案
联软科技根据国网相关要求,针对泛电力物联网安全管控日趋严重的态势,结合泛电力物联网设备类型多、数量大、覆盖面广、物联网设备功耗低、数据存在突发性集中性、网络类型多样等特点,提出了针对性的解决方案,包括物联网设备识别和分类管理、物联网设备边界安全控制、物联网设备行为管理、物联网数据交互过程安全控制、终端全景安全展示五个方面,并在物联网边界设计过程中针对智能移动设备、视频终端边、感知设备提出针对性的安全边界控制方案。具体如下:
一是:在物联网设备识别和分类管理方面,针对发电、输电、配电、用电等环节使用的大量、多种类型的物联网设备,通过物联网设备识别和分类管理模块,综合运用客户端、探针、软件模块等多种方式,可实现设备唯一标识、设备精准识别、设备信息采集、设备分类统计、设备运行管理、设备风险评估、非合规设备处置等,从而协助用户掌握设备底数,提高设备的合规率,及时发现存在脆弱性的设备,并向管理员预警。
二是:在物联网设备边界安全控制方面,可对泛电力物联网中涉及的智能移动设备、视频终端设备、边缘计算设备接入后台实现边界安全控制,防止非授权、非合规设备接入,并针对感知终端特点,提出了通过边缘计算设备接入后台的解决方案,降低后台压力,同时发挥边缘计算的特长。
1、智能移动设备边界安全控制:从移动终端、安全隧道、管理平台三部分对企业实行移动安全门户统一入口,统一双向认证、终端安全检查、单点登录,通过内置的安全沙箱实现个人数据和企业数据隔离,并对企业数据采用高强度加密手段,防止数据被非法获取和泄露,同时对数据安全通道实行应用隔离,对数据进行端到端加密,确保数据传输安全。另外,此次提供的解决方案本身还采用了业界领先的微服务技术架构,可以根据用户业务能力进行横向扩展,并将所有微服务在云端进行集中管控,适应多中心云部署需要。
2、视频终端边界安全控制:以旁路方式部署在被管网络的核心或汇聚交换设备上,通过端口镜像进行流量监听,适应各类组网方式的网络。支持内置、例外放行、设备指纹、AD、邮件等多种认证方式,实现视频设备接入控制,可针对违规接入网络的终端进行自动阻断隔离,禁止接入网络。针对已经发现的摄像机实现动态ACL网络权限控制,将风险降到最低。对于网内存在的设备伪冒、异常访问和异常攻击行为的终端,可通过智能欺骗等技术主动发现网内异常行为,并可联动准入系统进行阻断隔离;也可以对私接互联网的行为进行主动探测,并可向管理员预警或依据现有策略及时阻断。
3、边缘代理设备边界安全控制:针对泛电力物联网中大量温度、湿度等传感设备,一般通过边缘计算设备接入后台,建议利用联软科技提供的软件模块嵌入边缘计算设备,采用零信任机制,所有接入的边缘计算设备通过双向接入认证后,方可连接到接入网关访问后台相关业务,同时数据采用加密传输确保数据传输的完整性和机密性,同时所有业务隐藏在安全网关之后,减少了业务服务器的攻击面,确保了后台业务安全稳定运行。
三是:在物联网设备行为管理方面,由于泛电力物联网与传统物联网不同,设备接入非常复杂,面临仿冒接入、DDoS攻击、恶意数据窃取等风险,需要通过主动、被动等多种方式采集行为数据,并利用行为特征分析、威胁情报、欺骗技术等多种技术实施发现异常/恶意行为,并可对这些行为进行预警、处置和取证。
四是:在物联网数据交互过程安全控制方面,由于移动终端、边缘计算利用5G等公共网络接入后台,需通过数据传输加密、数据加密存储、数据外发管控等技术,确保数据交互安全。
五是:在终端全景安全展示方面,设置集中管理平台,统一收集接入、网络、终端、数据使用等记录,利用大数据关联分析、可视化等技术,实现用户、行为、风险全景安全展示。
本次联软科技《泛在电力物联网安全参评技术实施方案》的入选,为国家电网打造状态全面感知、信息高效处理、应用边界灵活的泛在电力物联网提供了有力的支持,助力国家电网实现电力信息传感设备与通信信息资源结合,将传统电力生产、传输、消费的所有环节信息化,推动电网与互联网深度融合。