泛在電力物聯(lián)網(wǎng)絡(luò)信息安全建設(shè)

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了泛在電力物聯(lián)網(wǎng)絡(luò)信息安全建設(shè)范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：在分析泛在電力物聯(lián)網(wǎng)絡(luò)發(fā)展趨勢及技術(shù)要求的基礎(chǔ)上，提出物聯(lián)網(wǎng)絡(luò)潛在的安全風(fēng)險，構(gòu)建了物聯(lián)網(wǎng)絡(luò)信息安全的總體框架，提出技術(shù)解決方案和實施建議。

關(guān)鍵詞：泛在電力物聯(lián)網(wǎng)；網(wǎng)絡(luò)信息安全；建設(shè)框架；建議措施

一、信息安全風(fēng)險預(yù)測

（一）電力信息安全管理基礎(chǔ)

目前，電力信息安全系統(tǒng)可劃分為管理信息系統(tǒng)和生產(chǎn)控制系統(tǒng)，其中，管理信息系統(tǒng)是泛在電力物聯(lián)管理平臺的基礎(chǔ)。按照國網(wǎng)公司“安全分區(qū)、橫向隔離”的要求，目前，管理信息系統(tǒng)采用物理隔離手段，將管理信息系統(tǒng)進行內(nèi)、外網(wǎng)分離。其中信息內(nèi)網(wǎng)作為公司信息化業(yè)務(wù)的應(yīng)用網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò)，與生產(chǎn)控制系統(tǒng)的隔離；信息外網(wǎng)主要應(yīng)用于互聯(lián)網(wǎng)終端用戶的公共服務(wù)及相應(yīng)的企業(yè)宣傳業(yè)務(wù)。目前信息內(nèi)網(wǎng)與外網(wǎng)的連接主要通過認證后加密的移動儲存介質(zhì)和邏輯強隔離設(shè)備來實現(xiàn)?？傮w上看這種物理隔離，很好地保證了內(nèi)網(wǎng)的信息安全，但與泛在電力物聯(lián)網(wǎng)管理平臺要求的多終端、多行業(yè)的共享共用目標存在較大分歧，未來發(fā)展既要滿足內(nèi)部辦公需要，同時滿足多終端開放，內(nèi)外網(wǎng)協(xié)調(diào)的邊界的要求。

（二）物聯(lián)網(wǎng)絡(luò)的信息安全風(fēng)險

新時期的泛在電力物聯(lián)網(wǎng)絡(luò)平臺需支持對海量直連的智能業(yè)務(wù)終端、邊緣物聯(lián)的統(tǒng)一監(jiān)視、配置和管理，支持各專業(yè)智能應(yīng)用的快速迭代和遠程升級，匯集海量采集數(shù)據(jù)并標準化處理，構(gòu)建開放共享的應(yīng)用生態(tài)，支持存量業(yè)務(wù)系統(tǒng)的數(shù)據(jù)接入等。根據(jù)上述要求，未來信息安全主要面臨的風(fēng)險包括：

1.智能終端的數(shù)據(jù)與隱私安全

目前物聯(lián)網(wǎng)信息安全問題主要來自于物聯(lián)網(wǎng)終端（RFID，傳感器，智能信息設(shè)備）。這些終端在提供海量信息同時，也增加了安全信息暴露以及非安全信息侵入的風(fēng)險。2014年西班牙供電服務(wù)商超過30%的智能電表被檢測發(fā)現(xiàn)存在嚴重安全漏洞，通過該終端可引發(fā)電費欺詐，關(guān)閉電路系統(tǒng)的風(fēng)險。此外，物聯(lián)網(wǎng)信息安全也存在企業(yè)用戶、個人用戶隱私被侵害的風(fēng)險。

2.傳輸中的信息交換安全

以邊緣物聯(lián)設(shè)備為例，該設(shè)備可接入各種不同終端，也可多業(yè)務(wù)終端同時接入，聯(lián)通本地通信網(wǎng)絡(luò)和遠程通信網(wǎng)絡(luò)，實現(xiàn)資源調(diào)度。由于數(shù)據(jù)在網(wǎng)絡(luò)間通過多類型方式進行傳輸，極易遭到不法中間人的數(shù)據(jù)篡改、信息剽竊、病毒輸入等破壞性行為。同時，開放內(nèi)外網(wǎng)邊界也容易導(dǎo)致在電子郵件、文件傳輸、數(shù)據(jù)共享過程中遭遇非法攻擊。2015年的烏克蘭大規(guī)模停電事件即為通過工業(yè)聯(lián)網(wǎng)設(shè)備導(dǎo)致系統(tǒng)遭受重創(chuàng)。

3.移動交互的系統(tǒng)安全

隨著移動互聯(lián)技術(shù)的發(fā)展，大量移動應(yīng)用借助移動網(wǎng)絡(luò)，與管理云端進行信息傳遞，并將信息儲存于云端。盡管云安全技術(shù)水平日趨成熟，但由于無線網(wǎng)絡(luò)以及移動終端具有開放性、結(jié)構(gòu)復(fù)雜性等特點，特別是移動電子商務(wù)和移動支付的廣泛使用，使移動終端更易成為違法攻擊目標，進而導(dǎo)致平臺云端安全風(fēng)險不斷加大。如果外部通過移動通信網(wǎng)絡(luò)滲透，利用相關(guān)應(yīng)用和操作系統(tǒng)進行攻擊，那么系統(tǒng)有可能面臨由外至內(nèi)的全面崩潰。

4.第三方管理安全

隨著泛在電力互聯(lián)網(wǎng)絡(luò)不斷橫向擴展，與主業(yè)務(wù)相關(guān)聯(lián)的非電力行業(yè)的第三方客戶隊伍不斷擴大，如供應(yīng)商、外包服務(wù)及外包人員、維修服務(wù)等等。這些客戶的接入，如缺少必要的隔離和管理，不僅對網(wǎng)絡(luò)平臺形成威脅，同時對生產(chǎn)系統(tǒng)安全產(chǎn)生影響。

二、物聯(lián)網(wǎng)信息安全構(gòu)建

（一）信息安全管理目標

在泛在電力物聯(lián)網(wǎng)的建設(shè)過程中，應(yīng)以傳統(tǒng)業(yè)務(wù)為主線，確保生產(chǎn)控制系統(tǒng)的獨立性，以及管理信息系統(tǒng)連續(xù)可用性；在擴大信息錄入終端同時，確保業(yè)務(wù)數(shù)據(jù)和信息的真實性和完整性；在橫向條塊互聯(lián)、縱向?qū)蛹壔ヂ?lián)過程中，確保安全責(zé)任的指定性；系統(tǒng)開放過程中，確保涉密信息和隱私數(shù)據(jù)的保密性；系統(tǒng)操作過程中，確保資源訪問、管理權(quán)限、控制范圍、信息流向等的可控性。

（二）信息安全總體框架

面向新時期的信息安全發(fā)展目標，應(yīng)積極構(gòu)建物聯(lián)網(wǎng)的防御體系。建設(shè)硬件、操作系統(tǒng)、通信技術(shù)、云端服務(wù)器、數(shù)據(jù)庫等各個模塊相關(guān)聯(lián)的安全防御體系，從智能終端到集成系統(tǒng)、管理平臺把安全設(shè)計融入到物聯(lián)網(wǎng)運營的每個環(huán)節(jié)，保障信息安全提醒為物聯(lián)網(wǎng)絡(luò)的健康運行保駕護航?？傮w框架上，優(yōu)先保證電力生產(chǎn)安全、辦公安全，突出邊界建設(shè)，形成三大縱向分區(qū)。一是生產(chǎn)控制大區(qū)，為原電力企業(yè)的核心系統(tǒng)，突出其獨立性，與其他系統(tǒng)進行物理隔離；二是將原管理信息系統(tǒng)劃分為管理信息大區(qū)和互聯(lián)網(wǎng)大區(qū)，二者之間采用邏輯隔離，建立合理的邊界，保護系統(tǒng)之間的安全。

（三）信息安全技術(shù)方案

從技術(shù)層面，主要通過實現(xiàn)設(shè)備身份認證、加密數(shù)據(jù)傳輸、保護數(shù)據(jù)安全、邊界隔離檢測等方法，建立可靠的物聯(lián)網(wǎng)在線安全和在線信任。加強身份認證與授權(quán)。通過設(shè)備認證、網(wǎng)關(guān)認證、服務(wù)器端認證、應(yīng)用程序認證以及用戶認證，為每個物聯(lián)網(wǎng)設(shè)備提供唯一身份認證，以便進行細粒度管理，并進行各級各類用戶的授權(quán)管理。加密傳輸保護數(shù)據(jù)安全性。建立跨平臺、跨網(wǎng)絡(luò)、跨系統(tǒng)的兼容性操作系統(tǒng)，對多種數(shù)據(jù)連接進行加密，保護數(shù)據(jù)的安全與完整性。建立起客戶端和服務(wù)器端雙向認證系統(tǒng)，確保信息傳輸方向、節(jié)點的正確性。實施分布式數(shù)據(jù)存儲與共享。分布式數(shù)據(jù)存儲解決了不同網(wǎng)絡(luò)系統(tǒng)之間的數(shù)據(jù)安全，確保不同安全級別的數(shù)據(jù)合理分布在物聯(lián)網(wǎng)的可信節(jié)點。通過對等協(xié)議，運用安全審計、病毒防治、備份與恢復(fù)等手段，確保各網(wǎng)絡(luò)的安全性。建立動態(tài)自組織網(wǎng)絡(luò)，搭建共識服務(wù)體系，保障基礎(chǔ)數(shù)據(jù)的一致性，抵抗惡意節(jié)點的攻擊。加強邊界隔離與建設(shè)。設(shè)計合理的物聯(lián)網(wǎng)安全分區(qū)，包括關(guān)鍵域的內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū)，重要域的外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)、對外連接區(qū)，一般域的網(wǎng)絡(luò)管理區(qū)、廣域網(wǎng)連接區(qū)等三個區(qū)域，對三類域進行網(wǎng)絡(luò)區(qū)域分割，并對域之間的流量進行控制。同時提供入侵檢測、惡意代碼過濾等防范措施，保證通信傳輸安全。

三、加強物聯(lián)網(wǎng)信息安全的建議措施

為保障物聯(lián)網(wǎng)的信息安全，提高物聯(lián)網(wǎng)運行的可靠性，在建設(shè)同時應(yīng)積極加強相關(guān)政策制定、培養(yǎng)從業(yè)人員安全意識，提高網(wǎng)絡(luò)安全制定網(wǎng)絡(luò)安全政策。在建設(shè)物聯(lián)網(wǎng)的同時，應(yīng)積極推進相關(guān)應(yīng)用安全標準、權(quán)限政策、安全政策等進行編制并實施，確保網(wǎng)絡(luò)安全建設(shè)的一致性和可操作性。加大安全監(jiān)管力度。建立檢測機制，從安全測評、風(fēng)險評估、安全防范、安全處置等角度進行定期監(jiān)管——反饋——優(yōu)化。普及信息安全知識，提高安全意識。加強對從業(yè)人員的權(quán)限意識、責(zé)任意識以及安全意識，提高從業(yè)人員安全知識技能。

作者:劉立明 郝成亮 單位：國網(wǎng)吉林省電力有限公司科技互聯(lián)網(wǎng)部國網(wǎng) 吉林省電力有限公司信息通信公司