前言:想要写出一篇引人入胜的文章?我们特意为您整理了泛在电力物联网络信息安全建设范文,希望能给你带来灵感和参考,敬请阅读。
摘要:在分析泛在电力物联网络发展趋势及技术要求的基础上,提出物联网络潜在的安全风险,构建了物联网络信息安全的总体框架,提出技术解决方案和实施建议。
关键词:泛在电力物联网;网络信息安全;建设框架;建议措施
一、信息安全风险预测
(一)电力信息安全管理基础
目前,电力信息安全系统可划分为管理信息系统和生产控制系统,其中,管理信息系统是泛在电力物联管理平台的基础。按照国网公司“安全分区、横向隔离”的要求,目前,管理信息系统采用物理隔离手段,将管理信息系统进行内、外网分离。其中信息内网作为公司信息化业务的应用网络和内部办公网络,与生产控制系统的隔离;信息外网主要应用于互联网终端用户的公共服务及相应的企业宣传业务。目前信息内网与外网的连接主要通过认证后加密的移动储存介质和逻辑强隔离设备来实现。总体上看这种物理隔离,很好地保证了内网的信息安全,但与泛在电力物联网管理平台要求的多终端、多行业的共享共用目标存在较大分歧,未来发展既要满足内部办公需要,同时满足多终端开放,内外网协调的边界的要求。
(二)物联网络的信息安全风险
新时期的泛在电力物联网络平台需支持对海量直连的智能业务终端、边缘物联的统一监视、配置和管理,支持各专业智能应用的快速迭代和远程升级,汇集海量采集数据并标准化处理,构建开放共享的应用生态,支持存量业务系统的数据接入等。根据上述要求,未来信息安全主要面临的风险包括:
1.智能终端的数据与隐私安全
目前物联网信息安全问题主要来自于物联网终端(RFID,传感器,智能信息设备)。这些终端在提供海量信息同时,也增加了安全信息暴露以及非安全信息侵入的风险。2014年西班牙供电服务商超过30%的智能电表被检测发现存在严重安全漏洞,通过该终端可引发电费欺诈,关闭电路系统的风险。此外,物联网信息安全也存在企业用户、个人用户隐私被侵害的风险。
2.传输中的信息交换安全
以边缘物联设备为例,该设备可接入各种不同终端,也可多业务终端同时接入,联通本地通信网络和远程通信网络,实现资源调度。由于数据在网络间通过多类型方式进行传输,极易遭到不法中间人的数据篡改、信息剽窃、病毒输入等破坏性行为。同时,开放内外网边界也容易导致在电子邮件、文件传输、数据共享过程中遭遇非法攻击。2015年的乌克兰大规模停电事件即为通过工业联网设备导致系统遭受重创。
3.移动交互的系统安全
随着移动互联技术的发展,大量移动应用借助移动网络,与管理云端进行信息传递,并将信息储存于云端。尽管云安全技术水平日趋成熟,但由于无线网络以及移动终端具有开放性、结构复杂性等特点,特别是移动电子商务和移动支付的广泛使用,使移动终端更易成为违法攻击目标,进而导致平台云端安全风险不断加大。如果外部通过移动通信网络渗透,利用相关应用和操作系统进行攻击,那么系统有可能面临由外至内的全面崩溃。
4.第三方管理安全
随着泛在电力互联网络不断横向扩展,与主业务相关联的非电力行业的第三方客户队伍不断扩大,如供应商、外包服务及外包人员、维修服务等等。这些客户的接入,如缺少必要的隔离和管理,不仅对网络平台形成威胁,同时对生产系统安全产生影响。
二、物联网信息安全构建
(一)信息安全管理目标
在泛在电力物联网的建设过程中,应以传统业务为主线,确保生产控制系统的独立性,以及管理信息系统连续可用性;在扩大信息录入终端同时,确保业务数据和信息的真实性和完整性;在横向条块互联、纵向层级互联过程中,确保安全责任的指定性;系统开放过程中,确保涉密信息和隐私数据的保密性;系统操作过程中,确保资源访问、管理权限、控制范围、信息流向等的可控性。
(二)信息安全总体框架
面向新时期的信息安全发展目标,应积极构建物联网的防御体系。建设硬件、操作系统、通信技术、云端服务器、数据库等各个模块相关联的安全防御体系,从智能终端到集成系统、管理平台把安全设计融入到物联网运营的每个环节,保障信息安全提醒为物联网络的健康运行保驾护航。总体框架上,优先保证电力生产安全、办公安全,突出边界建设,形成三大纵向分区。一是生产控制大区,为原电力企业的核心系统,突出其独立性,与其他系统进行物理隔离;二是将原管理信息系统划分为管理信息大区和互联网大区,二者之间采用逻辑隔离,建立合理的边界,保护系统之间的安全。
(三)信息安全技术方案
从技术层面,主要通过实现设备身份认证、加密数据传输、保护数据安全、边界隔离检测等方法,建立可靠的物联网在线安全和在线信任。加强身份认证与授权。通过设备认证、网关认证、服务器端认证、应用程序认证以及用户认证,为每个物联网设备提供唯一身份认证,以便进行细粒度管理,并进行各级各类用户的授权管理。加密传输保护数据安全性。建立跨平台、跨网络、跨系统的兼容性操作系统,对多种数据连接进行加密,保护数据的安全与完整性。建立起客户端和服务器端双向认证系统,确保信息传输方向、节点的正确性。实施分布式数据存储与共享。分布式数据存储解决了不同网络系统之间的数据安全,确保不同安全级别的数据合理分布在物联网的可信节点。通过对等协议,运用安全审计、病毒防治、备份与恢复等手段,确保各网络的安全性。建立动态自组织网络,搭建共识服务体系,保障基础数据的一致性,抵抗恶意节点的攻击。加强边界隔离与建设。设计合理的物联网安全分区,包括关键域的内网办公区、数据中心区,重要域的外联数据区、互联网连接区、对外连接区,一般域的网络管理区、广域网连接区等三个区域,对三类域进行网络区域分割,并对域之间的流量进行控制。同时提供入侵检测、恶意代码过滤等防范措施,保证通信传输安全。
三、加强物联网信息安全的建议措施
为保障物联网的信息安全,提高物联网运行的可靠性,在建设同时应积极加强相关政策制定、培养从业人员安全意识,提高网络安全制定网络安全政策。在建设物联网的同时,应积极推进相关应用安全标准、权限政策、安全政策等进行编制并实施,确保网络安全建设的一致性和可操作性。加大安全监管力度。建立检测机制,从安全测评、风险评估、安全防范、安全处置等角度进行定期监管——反馈——优化。普及信息安全知识,提高安全意识。加强对从业人员的权限意识、责任意识以及安全意识,提高从业人员安全知识技能。
作者:刘立明 郝成亮 单位:国网吉林省电力有限公司科技互联网部国网 吉林省电力有限公司信息通信公司