前言:想要寫出一篇引人入勝的文章?我們特意為您整理了泛在電力物聯(lián)網(wǎng)絡(luò)信息安全建設(shè)范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。
摘要:在分析泛在電力物聯(lián)網(wǎng)絡(luò)發(fā)展趨勢及技術(shù)要求的基礎(chǔ)上,提出物聯(lián)網(wǎng)絡(luò)潛在的安全風(fēng)險(xiǎn),構(gòu)建了物聯(lián)網(wǎng)絡(luò)信息安全的總體框架,提出技術(shù)解決方案和實(shí)施建議。
關(guān)鍵詞:泛在電力物聯(lián)網(wǎng);網(wǎng)絡(luò)信息安全;建設(shè)框架;建議措施
一、信息安全風(fēng)險(xiǎn)預(yù)測
(一)電力信息安全管理基礎(chǔ)
目前,電力信息安全系統(tǒng)可劃分為管理信息系統(tǒng)和生產(chǎn)控制系統(tǒng),其中,管理信息系統(tǒng)是泛在電力物聯(lián)管理平臺(tái)的基礎(chǔ)。按照國網(wǎng)公司“安全分區(qū)、橫向隔離”的要求,目前,管理信息系統(tǒng)采用物理隔離手段,將管理信息系統(tǒng)進(jìn)行內(nèi)、外網(wǎng)分離。其中信息內(nèi)網(wǎng)作為公司信息化業(yè)務(wù)的應(yīng)用網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò),與生產(chǎn)控制系統(tǒng)的隔離;信息外網(wǎng)主要應(yīng)用于互聯(lián)網(wǎng)終端用戶的公共服務(wù)及相應(yīng)的企業(yè)宣傳業(yè)務(wù)。目前信息內(nèi)網(wǎng)與外網(wǎng)的連接主要通過認(rèn)證后加密的移動(dòng)儲(chǔ)存介質(zhì)和邏輯強(qiáng)隔離設(shè)備來實(shí)現(xiàn)??傮w上看這種物理隔離,很好地保證了內(nèi)網(wǎng)的信息安全,但與泛在電力物聯(lián)網(wǎng)管理平臺(tái)要求的多終端、多行業(yè)的共享共用目標(biāo)存在較大分歧,未來發(fā)展既要滿足內(nèi)部辦公需要,同時(shí)滿足多終端開放,內(nèi)外網(wǎng)協(xié)調(diào)的邊界的要求。
(二)物聯(lián)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)
新時(shí)期的泛在電力物聯(lián)網(wǎng)絡(luò)平臺(tái)需支持對(duì)海量直連的智能業(yè)務(wù)終端、邊緣物聯(lián)的統(tǒng)一監(jiān)視、配置和管理,支持各專業(yè)智能應(yīng)用的快速迭代和遠(yuǎn)程升級(jí),匯集海量采集數(shù)據(jù)并標(biāo)準(zhǔn)化處理,構(gòu)建開放共享的應(yīng)用生態(tài),支持存量業(yè)務(wù)系統(tǒng)的數(shù)據(jù)接入等。根據(jù)上述要求,未來信息安全主要面臨的風(fēng)險(xiǎn)包括:
1.智能終端的數(shù)據(jù)與隱私安全
目前物聯(lián)網(wǎng)信息安全問題主要來自于物聯(lián)網(wǎng)終端(RFID,傳感器,智能信息設(shè)備)。這些終端在提供海量信息同時(shí),也增加了安全信息暴露以及非安全信息侵入的風(fēng)險(xiǎn)。2014年西班牙供電服務(wù)商超過30%的智能電表被檢測發(fā)現(xiàn)存在嚴(yán)重安全漏洞,通過該終端可引發(fā)電費(fèi)欺詐,關(guān)閉電路系統(tǒng)的風(fēng)險(xiǎn)。此外,物聯(lián)網(wǎng)信息安全也存在企業(yè)用戶、個(gè)人用戶隱私被侵害的風(fēng)險(xiǎn)。
2.傳輸中的信息交換安全
以邊緣物聯(lián)設(shè)備為例,該設(shè)備可接入各種不同終端,也可多業(yè)務(wù)終端同時(shí)接入,聯(lián)通本地通信網(wǎng)絡(luò)和遠(yuǎn)程通信網(wǎng)絡(luò),實(shí)現(xiàn)資源調(diào)度。由于數(shù)據(jù)在網(wǎng)絡(luò)間通過多類型方式進(jìn)行傳輸,極易遭到不法中間人的數(shù)據(jù)篡改、信息剽竊、病毒輸入等破壞性行為。同時(shí),開放內(nèi)外網(wǎng)邊界也容易導(dǎo)致在電子郵件、文件傳輸、數(shù)據(jù)共享過程中遭遇非法攻擊。2015年的烏克蘭大規(guī)模停電事件即為通過工業(yè)聯(lián)網(wǎng)設(shè)備導(dǎo)致系統(tǒng)遭受重創(chuàng)。
3.移動(dòng)交互的系統(tǒng)安全
隨著移動(dòng)互聯(lián)技術(shù)的發(fā)展,大量移動(dòng)應(yīng)用借助移動(dòng)網(wǎng)絡(luò),與管理云端進(jìn)行信息傳遞,并將信息儲(chǔ)存于云端。盡管云安全技術(shù)水平日趨成熟,但由于無線網(wǎng)絡(luò)以及移動(dòng)終端具有開放性、結(jié)構(gòu)復(fù)雜性等特點(diǎn),特別是移動(dòng)電子商務(wù)和移動(dòng)支付的廣泛使用,使移動(dòng)終端更易成為違法攻擊目標(biāo),進(jìn)而導(dǎo)致平臺(tái)云端安全風(fēng)險(xiǎn)不斷加大。如果外部通過移動(dòng)通信網(wǎng)絡(luò)滲透,利用相關(guān)應(yīng)用和操作系統(tǒng)進(jìn)行攻擊,那么系統(tǒng)有可能面臨由外至內(nèi)的全面崩潰。
4.第三方管理安全
隨著泛在電力互聯(lián)網(wǎng)絡(luò)不斷橫向擴(kuò)展,與主業(yè)務(wù)相關(guān)聯(lián)的非電力行業(yè)的第三方客戶隊(duì)伍不斷擴(kuò)大,如供應(yīng)商、外包服務(wù)及外包人員、維修服務(wù)等等。這些客戶的接入,如缺少必要的隔離和管理,不僅對(duì)網(wǎng)絡(luò)平臺(tái)形成威脅,同時(shí)對(duì)生產(chǎn)系統(tǒng)安全產(chǎn)生影響。
二、物聯(lián)網(wǎng)信息安全構(gòu)建
(一)信息安全管理目標(biāo)
在泛在電力物聯(lián)網(wǎng)的建設(shè)過程中,應(yīng)以傳統(tǒng)業(yè)務(wù)為主線,確保生產(chǎn)控制系統(tǒng)的獨(dú)立性,以及管理信息系統(tǒng)連續(xù)可用性;在擴(kuò)大信息錄入終端同時(shí),確保業(yè)務(wù)數(shù)據(jù)和信息的真實(shí)性和完整性;在橫向條塊互聯(lián)、縱向?qū)蛹?jí)互聯(lián)過程中,確保安全責(zé)任的指定性;系統(tǒng)開放過程中,確保涉密信息和隱私數(shù)據(jù)的保密性;系統(tǒng)操作過程中,確保資源訪問、管理權(quán)限、控制范圍、信息流向等的可控性。
(二)信息安全總體框架
面向新時(shí)期的信息安全發(fā)展目標(biāo),應(yīng)積極構(gòu)建物聯(lián)網(wǎng)的防御體系。建設(shè)硬件、操作系統(tǒng)、通信技術(shù)、云端服務(wù)器、數(shù)據(jù)庫等各個(gè)模塊相關(guān)聯(lián)的安全防御體系,從智能終端到集成系統(tǒng)、管理平臺(tái)把安全設(shè)計(jì)融入到物聯(lián)網(wǎng)運(yùn)營的每個(gè)環(huán)節(jié),保障信息安全提醒為物聯(lián)網(wǎng)絡(luò)的健康運(yùn)行保駕護(hù)航??傮w框架上,優(yōu)先保證電力生產(chǎn)安全、辦公安全,突出邊界建設(shè),形成三大縱向分區(qū)。一是生產(chǎn)控制大區(qū),為原電力企業(yè)的核心系統(tǒng),突出其獨(dú)立性,與其他系統(tǒng)進(jìn)行物理隔離;二是將原管理信息系統(tǒng)劃分為管理信息大區(qū)和互聯(lián)網(wǎng)大區(qū),二者之間采用邏輯隔離,建立合理的邊界,保護(hù)系統(tǒng)之間的安全。
(三)信息安全技術(shù)方案
從技術(shù)層面,主要通過實(shí)現(xiàn)設(shè)備身份認(rèn)證、加密數(shù)據(jù)傳輸、保護(hù)數(shù)據(jù)安全、邊界隔離檢測等方法,建立可靠的物聯(lián)網(wǎng)在線安全和在線信任。加強(qiáng)身份認(rèn)證與授權(quán)。通過設(shè)備認(rèn)證、網(wǎng)關(guān)認(rèn)證、服務(wù)器端認(rèn)證、應(yīng)用程序認(rèn)證以及用戶認(rèn)證,為每個(gè)物聯(lián)網(wǎng)設(shè)備提供唯一身份認(rèn)證,以便進(jìn)行細(xì)粒度管理,并進(jìn)行各級(jí)各類用戶的授權(quán)管理。加密傳輸保護(hù)數(shù)據(jù)安全性。建立跨平臺(tái)、跨網(wǎng)絡(luò)、跨系統(tǒng)的兼容性操作系統(tǒng),對(duì)多種數(shù)據(jù)連接進(jìn)行加密,保護(hù)數(shù)據(jù)的安全與完整性。建立起客戶端和服務(wù)器端雙向認(rèn)證系統(tǒng),確保信息傳輸方向、節(jié)點(diǎn)的正確性。實(shí)施分布式數(shù)據(jù)存儲(chǔ)與共享。分布式數(shù)據(jù)存儲(chǔ)解決了不同網(wǎng)絡(luò)系統(tǒng)之間的數(shù)據(jù)安全,確保不同安全級(jí)別的數(shù)據(jù)合理分布在物聯(lián)網(wǎng)的可信節(jié)點(diǎn)。通過對(duì)等協(xié)議,運(yùn)用安全審計(jì)、病毒防治、備份與恢復(fù)等手段,確保各網(wǎng)絡(luò)的安全性。建立動(dòng)態(tài)自組織網(wǎng)絡(luò),搭建共識(shí)服務(wù)體系,保障基礎(chǔ)數(shù)據(jù)的一致性,抵抗惡意節(jié)點(diǎn)的攻擊。加強(qiáng)邊界隔離與建設(shè)。設(shè)計(jì)合理的物聯(lián)網(wǎng)安全分區(qū),包括關(guān)鍵域的內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū),重要域的外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)、對(duì)外連接區(qū),一般域的網(wǎng)絡(luò)管理區(qū)、廣域網(wǎng)連接區(qū)等三個(gè)區(qū)域,對(duì)三類域進(jìn)行網(wǎng)絡(luò)區(qū)域分割,并對(duì)域之間的流量進(jìn)行控制。同時(shí)提供入侵檢測、惡意代碼過濾等防范措施,保證通信傳輸安全。
三、加強(qiáng)物聯(lián)網(wǎng)信息安全的建議措施
為保障物聯(lián)網(wǎng)的信息安全,提高物聯(lián)網(wǎng)運(yùn)行的可靠性,在建設(shè)同時(shí)應(yīng)積極加強(qiáng)相關(guān)政策制定、培養(yǎng)從業(yè)人員安全意識(shí),提高網(wǎng)絡(luò)安全制定網(wǎng)絡(luò)安全政策。在建設(shè)物聯(lián)網(wǎng)的同時(shí),應(yīng)積極推進(jìn)相關(guān)應(yīng)用安全標(biāo)準(zhǔn)、權(quán)限政策、安全政策等進(jìn)行編制并實(shí)施,確保網(wǎng)絡(luò)安全建設(shè)的一致性和可操作性。加大安全監(jiān)管力度。建立檢測機(jī)制,從安全測評(píng)、風(fēng)險(xiǎn)評(píng)估、安全防范、安全處置等角度進(jìn)行定期監(jiān)管——反饋——優(yōu)化。普及信息安全知識(shí),提高安全意識(shí)。加強(qiáng)對(duì)從業(yè)人員的權(quán)限意識(shí)、責(zé)任意識(shí)以及安全意識(shí),提高從業(yè)人員安全知識(shí)技能。
作者:劉立明 郝成亮 單位:國網(wǎng)吉林省電力有限公司科技互聯(lián)網(wǎng)部國網(wǎng) 吉林省電力有限公司信息通信公司