国家电网报:智能互联互感 动态防护安全

发布日期: 2020-01-14 信息来源: 管理员

  国网山东省电力公司高度重视网络信息安全,将安全风险防控作为重中之重,初步构建起新一代技防体系,为智慧物联系统提供覆盖各层级的可靠防护。

任晓文

  1月7日,山东省信息网络安全协会评选通报,国网山东省电力公司连续第八年荣获山东省网络安全保护工作先进单位。从2019年4月开始,国网山东电力与多家高校、企事业单位签署战略合作协议,共同开展关键技术研究和课题攻关,初步构建起新一代技防体系,包括泛在电力物联网全场景安全防护体系、基于“零信任”的数据安全防护体系和基于网闸架构的新一代信息网络安全隔离装置。

  新一代技防体系具备物联网全景监测、全面分析和全网响应功能,支持终端便捷接入、用户需求敏捷响应,可为智慧智能能源服务平台等智慧物联系统提供覆盖各层级的可靠防护。

  全面分析 严防数据泄密

  2019年4月26日,国网山东电力首批10个基于泛在电力物联网技术的数字化全息感知智慧台区在德州市何庄等居民小区及村庄建成。智慧台区的内设系统可以通过非侵入式负荷分析方法,动态监测客户的家用电气设备的运行情况,提供精准能效分析和绿色用能建议。

  能源流、业务流、数据流在统一云平台融合贯通,大大提升了数据价值,但也带来了不小的安全风险。国网山东电力立刻响应,按照“安全分区、网络专用、横向隔离、纵向认证分级分域、可信接入、智能感知、动态防护”的原则,开展泛在电力物联网全场景网络安全防护体系建设,在各市县公司配套建设网络安全运维管控一体化平台,提升各类设备的智能互联互感能力,实现威胁自动感知、攻击自动拦截、病毒自动扫杀。

  2019年12月20日12时40分,国网山东电力全业务数据中心数据安全管控平台预警某处系统接口出现访问营销系统服务器行为。该公司信通智能管控中心安全分析室值班员立即确认,发现该系统刚刚完成升级,新增调用营销系统的访问接口1个,未及时备案。值班员立刻通知该公司营销部尽快督促相关人员完成备案手续。

  截至目前,国网山东电力全业务数据中心已经集成了92个系统的382T业务数据,诸多业务系统之间存在接口数据共享,微应用间数据交互更加广泛,也容易带来认证失效、访问控制被绕过等风险。2019年,国网山东电力互联网部牵头编制《数据安全管理办法》和《数据分类分级指南》,完成了4511张表75363个字段的数据分类分级标识,基于“零信任”技术不断升级全业务数据中心安全防护体系。除年初制定全业务数据中心内嵌数据隔离存储、多租户隔离、访问控制等安全措施,该公司还建立了微应用账号、人员和终端映射关系,在平台侧集中监控数据访问请求,利用信任传递、令牌校验等技术开展授权和访问控制,监测告警越权访问行为。

  全景监测 阻断外来攻击

  “2018年,我们累计拦截外部攻击60余万次,阻断高危攻击源300多个。2019年防范非法终端接入、软硬件被篡改等安全风险的需求更加突出。”2019年3月15日,中国人民解放军海军成立70周年庆祝活动前夕,曾全程参与“护网2018”行动的山东电力信通公司副总经理李冬向保电一线人员传授经验,鼓励大家严格做好网络安全风险预警和管控工作。

  为了确保核心设备信息传输“零泄密”,国网山东电力于2018年5月建成了具有自主知识产权的网络安全全态势智能预警系统。系统具备流量回溯分析和应用层态势感知两项核心功能,能够更有效地帮助保电人员分析外来攻击行为。

  “当电网业务信息网络中出现突破正常数值的异常流量时,智能预警系统可通过回溯分析,将异常流量推送给应用层态势感知探针,对流量行为特征进行应用层分析,智能判断造成异常的原因,为下一步的防护决策提供技术依据。”国网山东电力互联网部建设技术运安处网络安全管理专责陈剑飞分析了系统的功能原理。

  在上合组织青岛峰会电力保障工作中,网络安全全态势智能预警系统发挥了重要作用。国网山东电力在保电现场信息内网部署智能预警系统探针18个,覆盖了信息内网边界、服务器域、哑终端域、全汇聚节点等各个物联结构,可感知网络内所有节点的全流量态势,节省了约60%的人力成本。

  全网响应 保障接入安全

  “‘鲁e行’APP目前还存在不少脆弱点,安装包容易被黑客篡改,数据传输也没有加密,建议使用我们研发的安全软件开发工具包全面安全加固。”2019年7月15日,山东电科院网络安全督察室组织全省电动汽车终端接入测评,并对发现的安全问题进行督导整改。

  为在软硬件方面支撑泛在电力物联网建设,国网山东电力制定了物联网轻量级软件化安全防护方案,建设了泛在电力物联网认证加密监测平台。“安全软件开发工具包和平台‘双剑合璧’,能够对入网的移动应用、移动终端本体提供身份认证、加密传输、防篡改、本体加固等安全服务。”山东电科院信息通信安全技术员张昊介绍说。

  一平台服务,多终端应用,国网山东电力基于统一的泛在电力物联网认证加密监测平台,设定了移动应用安全开发接口。各类移动APP接入后,只需调用安全接口即可简便、快捷地获取安全保障,成本也很低。移动安全软件开发工具包已在智能巡检机器人场景试点应用,并通过“鲁e行”APP获得全省推广。

  “目前,我们引入了大量的泛在物联终端。终端设备越多,能被人利用的风险点就越多。”在青岛供电公司泛在电力物联网示范工程现场,该公司互联网部负责人刘明峰说。

  在终端接入认证方面,国网山东电力组织技术人员研究当前流行的证书认证、IP/MAC地址绑定等方法,发现前者对设备性能要求过高,后者容易被仿冒。因此,国网山东电力在青岛供电公司试点研发泛终端安全网关,采集硬件属性形成设备指纹,然后建立终端行为基线策略。当终端接入时,安全网关只要对照硬件设备的独有属性和来访用户的行为轨迹,就能够作出判断,预警并阻断非法接入设备。

  依托这种新型网关,国网山东电力集中管控各类终端准入申请、入网审批、入网实施、监控审计等环节,实时监测并动态感知泛终端网络安全态势、边界流量、上下线记录等信息,可自动隔离设备指纹异常终端,阻止终端非法网络访问请求,确保泛终端网络接入安全可控、能控、在控。

  信息来源:国家电网报2020年01月14日第7版

相关链接