前言:想要寫出一篇引人入勝的文章?我們特意為您整理了泛在電力物聯(lián)網(wǎng)絡(luò)信息安全建設(shè)范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:在分析泛在電力物聯(lián)網(wǎng)絡(luò)發(fā)展趨勢及技術(shù)要求的基礎(chǔ)上,提出物聯(lián)網(wǎng)絡(luò)潛在的安全風(fēng)險,構(gòu)建了物聯(lián)網(wǎng)絡(luò)信息安全的總體框架,提出技術(shù)解決方案和實施建議。
關(guān)鍵詞:泛在電力物聯(lián)網(wǎng);網(wǎng)絡(luò)信息安全;建設(shè)框架;建議措施
一、信息安全風(fēng)險預(yù)測
(一)電力信息安全管理基礎(chǔ)
目前,電力信息安全系統(tǒng)可劃分為管理信息系統(tǒng)和生產(chǎn)控制系統(tǒng),其中,管理信息系統(tǒng)是泛在電力物聯(lián)管理平臺的基礎(chǔ)。按照國網(wǎng)公司“安全分區(qū)、橫向隔離”的要求,目前,管理信息系統(tǒng)采用物理隔離手段,將管理信息系統(tǒng)進行內(nèi)、外網(wǎng)分離。其中信息內(nèi)網(wǎng)作為公司信息化業(yè)務(wù)的應(yīng)用網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò),與生產(chǎn)控制系統(tǒng)的隔離;信息外網(wǎng)主要應(yīng)用于互聯(lián)網(wǎng)終端用戶的公共服務(wù)及相應(yīng)的企業(yè)宣傳業(yè)務(wù)。目前信息內(nèi)網(wǎng)與外網(wǎng)的連接主要通過認證后加密的移動儲存介質(zhì)和邏輯強隔離設(shè)備來實現(xiàn)??傮w上看這種物理隔離,很好地保證了內(nèi)網(wǎng)的信息安全,但與泛在電力物聯(lián)網(wǎng)管理平臺要求的多終端、多行業(yè)的共享共用目標存在較大分歧,未來發(fā)展既要滿足內(nèi)部辦公需要,同時滿足多終端開放,內(nèi)外網(wǎng)協(xié)調(diào)的邊界的要求。
(二)物聯(lián)網(wǎng)絡(luò)的信息安全風(fēng)險
新時期的泛在電力物聯(lián)網(wǎng)絡(luò)平臺需支持對海量直連的智能業(yè)務(wù)終端、邊緣物聯(lián)的統(tǒng)一監(jiān)視、配置和管理,支持各專業(yè)智能應(yīng)用的快速迭代和遠程升級,匯集海量采集數(shù)據(jù)并標準化處理,構(gòu)建開放共享的應(yīng)用生態(tài),支持存量業(yè)務(wù)系統(tǒng)的數(shù)據(jù)接入等。根據(jù)上述要求,未來信息安全主要面臨的風(fēng)險包括:
1.智能終端的數(shù)據(jù)與隱私安全
目前物聯(lián)網(wǎng)信息安全問題主要來自于物聯(lián)網(wǎng)終端(RFID,傳感器,智能信息設(shè)備)。這些終端在提供海量信息同時,也增加了安全信息暴露以及非安全信息侵入的風(fēng)險。2014年西班牙供電服務(wù)商超過30%的智能電表被檢測發(fā)現(xiàn)存在嚴重安全漏洞,通過該終端可引發(fā)電費欺詐,關(guān)閉電路系統(tǒng)的風(fēng)險。此外,物聯(lián)網(wǎng)信息安全也存在企業(yè)用戶、個人用戶隱私被侵害的風(fēng)險。
2.傳輸中的信息交換安全
以邊緣物聯(lián)設(shè)備為例,該設(shè)備可接入各種不同終端,也可多業(yè)務(wù)終端同時接入,聯(lián)通本地通信網(wǎng)絡(luò)和遠程通信網(wǎng)絡(luò),實現(xiàn)資源調(diào)度。由于數(shù)據(jù)在網(wǎng)絡(luò)間通過多類型方式進行傳輸,極易遭到不法中間人的數(shù)據(jù)篡改、信息剽竊、病毒輸入等破壞性行為。同時,開放內(nèi)外網(wǎng)邊界也容易導(dǎo)致在電子郵件、文件傳輸、數(shù)據(jù)共享過程中遭遇非法攻擊。2015年的烏克蘭大規(guī)模停電事件即為通過工業(yè)聯(lián)網(wǎng)設(shè)備導(dǎo)致系統(tǒng)遭受重創(chuàng)。
3.移動交互的系統(tǒng)安全
隨著移動互聯(lián)技術(shù)的發(fā)展,大量移動應(yīng)用借助移動網(wǎng)絡(luò),與管理云端進行信息傳遞,并將信息儲存于云端。盡管云安全技術(shù)水平日趨成熟,但由于無線網(wǎng)絡(luò)以及移動終端具有開放性、結(jié)構(gòu)復(fù)雜性等特點,特別是移動電子商務(wù)和移動支付的廣泛使用,使移動終端更易成為違法攻擊目標,進而導(dǎo)致平臺云端安全風(fēng)險不斷加大。如果外部通過移動通信網(wǎng)絡(luò)滲透,利用相關(guān)應(yīng)用和操作系統(tǒng)進行攻擊,那么系統(tǒng)有可能面臨由外至內(nèi)的全面崩潰。
4.第三方管理安全
隨著泛在電力互聯(lián)網(wǎng)絡(luò)不斷橫向擴展,與主業(yè)務(wù)相關(guān)聯(lián)的非電力行業(yè)的第三方客戶隊伍不斷擴大,如供應(yīng)商、外包服務(wù)及外包人員、維修服務(wù)等等。這些客戶的接入,如缺少必要的隔離和管理,不僅對網(wǎng)絡(luò)平臺形成威脅,同時對生產(chǎn)系統(tǒng)安全產(chǎn)生影響。
二、物聯(lián)網(wǎng)信息安全構(gòu)建
(一)信息安全管理目標
在泛在電力物聯(lián)網(wǎng)的建設(shè)過程中,應(yīng)以傳統(tǒng)業(yè)務(wù)為主線,確保生產(chǎn)控制系統(tǒng)的獨立性,以及管理信息系統(tǒng)連續(xù)可用性;在擴大信息錄入終端同時,確保業(yè)務(wù)數(shù)據(jù)和信息的真實性和完整性;在橫向條塊互聯(lián)、縱向?qū)蛹壔ヂ?lián)過程中,確保安全責(zé)任的指定性;系統(tǒng)開放過程中,確保涉密信息和隱私數(shù)據(jù)的保密性;系統(tǒng)操作過程中,確保資源訪問、管理權(quán)限、控制范圍、信息流向等的可控性。
(二)信息安全總體框架
面向新時期的信息安全發(fā)展目標,應(yīng)積極構(gòu)建物聯(lián)網(wǎng)的防御體系。建設(shè)硬件、操作系統(tǒng)、通信技術(shù)、云端服務(wù)器、數(shù)據(jù)庫等各個模塊相關(guān)聯(lián)的安全防御體系,從智能終端到集成系統(tǒng)、管理平臺把安全設(shè)計融入到物聯(lián)網(wǎng)運營的每個環(huán)節(jié),保障信息安全提醒為物聯(lián)網(wǎng)絡(luò)的健康運行保駕護航??傮w框架上,優(yōu)先保證電力生產(chǎn)安全、辦公安全,突出邊界建設(shè),形成三大縱向分區(qū)。一是生產(chǎn)控制大區(qū),為原電力企業(yè)的核心系統(tǒng),突出其獨立性,與其他系統(tǒng)進行物理隔離;二是將原管理信息系統(tǒng)劃分為管理信息大區(qū)和互聯(lián)網(wǎng)大區(qū),二者之間采用邏輯隔離,建立合理的邊界,保護系統(tǒng)之間的安全。
(三)信息安全技術(shù)方案
從技術(shù)層面,主要通過實現(xiàn)設(shè)備身份認證、加密數(shù)據(jù)傳輸、保護數(shù)據(jù)安全、邊界隔離檢測等方法,建立可靠的物聯(lián)網(wǎng)在線安全和在線信任。加強身份認證與授權(quán)。通過設(shè)備認證、網(wǎng)關(guān)認證、服務(wù)器端認證、應(yīng)用程序認證以及用戶認證,為每個物聯(lián)網(wǎng)設(shè)備提供唯一身份認證,以便進行細粒度管理,并進行各級各類用戶的授權(quán)管理。加密傳輸保護數(shù)據(jù)安全性。建立跨平臺、跨網(wǎng)絡(luò)、跨系統(tǒng)的兼容性操作系統(tǒng),對多種數(shù)據(jù)連接進行加密,保護數(shù)據(jù)的安全與完整性。建立起客戶端和服務(wù)器端雙向認證系統(tǒng),確保信息傳輸方向、節(jié)點的正確性。實施分布式數(shù)據(jù)存儲與共享。分布式數(shù)據(jù)存儲解決了不同網(wǎng)絡(luò)系統(tǒng)之間的數(shù)據(jù)安全,確保不同安全級別的數(shù)據(jù)合理分布在物聯(lián)網(wǎng)的可信節(jié)點。通過對等協(xié)議,運用安全審計、病毒防治、備份與恢復(fù)等手段,確保各網(wǎng)絡(luò)的安全性。建立動態(tài)自組織網(wǎng)絡(luò),搭建共識服務(wù)體系,保障基礎(chǔ)數(shù)據(jù)的一致性,抵抗惡意節(jié)點的攻擊。加強邊界隔離與建設(shè)。設(shè)計合理的物聯(lián)網(wǎng)安全分區(qū),包括關(guān)鍵域的內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū),重要域的外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)、對外連接區(qū),一般域的網(wǎng)絡(luò)管理區(qū)、廣域網(wǎng)連接區(qū)等三個區(qū)域,對三類域進行網(wǎng)絡(luò)區(qū)域分割,并對域之間的流量進行控制。同時提供入侵檢測、惡意代碼過濾等防范措施,保證通信傳輸安全。
三、加強物聯(lián)網(wǎng)信息安全的建議措施
為保障物聯(lián)網(wǎng)的信息安全,提高物聯(lián)網(wǎng)運行的可靠性,在建設(shè)同時應(yīng)積極加強相關(guān)政策制定、培養(yǎng)從業(yè)人員安全意識,提高網(wǎng)絡(luò)安全制定網(wǎng)絡(luò)安全政策。在建設(shè)物聯(lián)網(wǎng)的同時,應(yīng)積極推進相關(guān)應(yīng)用安全標準、權(quán)限政策、安全政策等進行編制并實施,確保網(wǎng)絡(luò)安全建設(shè)的一致性和可操作性。加大安全監(jiān)管力度。建立檢測機制,從安全測評、風(fēng)險評估、安全防范、安全處置等角度進行定期監(jiān)管——反饋——優(yōu)化。普及信息安全知識,提高安全意識。加強對從業(yè)人員的權(quán)限意識、責(zé)任意識以及安全意識,提高從業(yè)人員安全知識技能。
作者:劉立明 郝成亮 單位:國網(wǎng)吉林省電力有限公司科技互聯(lián)網(wǎng)部國網(wǎng) 吉林省電力有限公司信息通信公司