泛在電力物聯網絡信息安全建設

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了泛在電力物聯網絡信息安全建設范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：在分析泛在電力物聯網絡發展趨勢及技術要求的基礎上，提出物聯網絡潛在的安全風險，構建了物聯網絡信息安全的總體框架，提出技術解決方案和實施建議。

關鍵詞：泛在電力物聯網；網絡信息安全；建設框架；建議措施

一、信息安全風險預測

（一）電力信息安全管理基礎

目前，電力信息安全系統可劃分為管理信息系統和生產控制系統，其中，管理信息系統是泛在電力物聯管理平臺的基礎。按照國網公司“安全分區、橫向隔離”的要求，目前，管理信息系統采用物理隔離手段，將管理信息系統進行內、外網分離。其中信息內網作為公司信息化業務的應用網絡和內部辦公網絡，與生產控制系統的隔離；信息外網主要應用于互聯網終端用戶的公共服務及相應的企業宣傳業務。目前信息內網與外網的連接主要通過認證后加密的移動儲存介質和邏輯強隔離設備來實現。總體上看這種物理隔離，很好地保證了內網的信息安全，但與泛在電力物聯網管理平臺要求的多終端、多行業的共享共用目標存在較大分歧，未來發展既要滿足內部辦公需要，同時滿足多終端開放，內外網協調的邊界的要求。

（二）物聯網絡的信息安全風險

新時期的泛在電力物聯網絡平臺需支持對海量直連的智能業務終端、邊緣物聯的統一監視、配置和管理，支持各專業智能應用的快速迭代和遠程升級，匯集海量采集數據并標準化處理，構建開放共享的應用生態，支持存量業務系統的數據接入等。根據上述要求，未來信息安全主要面臨的風險包括：

1.智能終端的數據與隱私安全

目前物聯網信息安全問題主要來自于物聯網終端（RFID，傳感器，智能信息設備）。這些終端在提供海量信息同時，也增加了安全信息暴露以及非安全信息侵入的風險。2014年西班牙供電服務商超過30%的智能電表被檢測發現存在嚴重安全漏洞，通過該終端可引發電費欺詐，關閉電路系統的風險。此外，物聯網信息安全也存在企業用戶、個人用戶隱私被侵害的風險。

2.傳輸中的信息交換安全

以邊緣物聯設備為例，該設備可接入各種不同終端，也可多業務終端同時接入，聯通本地通信網絡和遠程通信網絡，實現資源調度。由于數據在網絡間通過多類型方式進行傳輸，極易遭到不法中間人的數據篡改、信息剽竊、病毒輸入等破壞性行為。同時，開放內外網邊界也容易導致在電子郵件、文件傳輸、數據共享過程中遭遇非法攻擊。2015年的烏克蘭大規模停電事件即為通過工業聯網設備導致系統遭受重創。

3.移動交互的系統安全

隨著移動互聯技術的發展，大量移動應用借助移動網絡，與管理云端進行信息傳遞，并將信息儲存于云端。盡管云安全技術水平日趨成熟，但由于無線網絡以及移動終端具有開放性、結構復雜性等特點，特別是移動電子商務和移動支付的廣泛使用，使移動終端更易成為違法攻擊目標，進而導致平臺云端安全風險不斷加大。如果外部通過移動通信網絡滲透，利用相關應用和操作系統進行攻擊，那么系統有可能面臨由外至內的全面崩潰。

4.第三方管理安全

隨著泛在電力互聯網絡不斷橫向擴展，與主業務相關聯的非電力行業的第三方客戶隊伍不斷擴大，如供應商、外包服務及外包人員、維修服務等等。這些客戶的接入，如缺少必要的隔離和管理，不僅對網絡平臺形成威脅，同時對生產系統安全產生影響。

二、物聯網信息安全構建

（一）信息安全管理目標

在泛在電力物聯網的建設過程中，應以傳統業務為主線，確保生產控制系統的獨立性，以及管理信息系統連續可用性；在擴大信息錄入終端同時，確保業務數據和信息的真實性和完整性；在橫向條塊互聯、縱向層級互聯過程中，確保安全責任的指定性；系統開放過程中，確保涉密信息和隱私數據的保密性；系統操作過程中，確保資源訪問、管理權限、控制范圍、信息流向等的可控性。

（二）信息安全總體框架

面向新時期的信息安全發展目標，應積極構建物聯網的防御體系。建設硬件、操作系統、通信技術、云端服務器、數據庫等各個模塊相關聯的安全防御體系，從智能終端到集成系統、管理平臺把安全設計融入到物聯網運營的每個環節，保障信息安全提醒為物聯網絡的健康運行保駕護航。總體框架上，優先保證電力生產安全、辦公安全，突出邊界建設，形成三大縱向分區。一是生產控制大區，為原電力企業的核心系統，突出其獨立性，與其他系統進行物理隔離；二是將原管理信息系統劃分為管理信息大區和互聯網大區，二者之間采用邏輯隔離，建立合理的邊界，保護系統之間的安全。

（三）信息安全技術方案

從技術層面，主要通過實現設備身份認證、加密數據傳輸、保護數據安全、邊界隔離檢測等方法，建立可靠的物聯網在線安全和在線信任。加強身份認證與授權。通過設備認證、網關認證、服務器端認證、應用程序認證以及用戶認證，為每個物聯網設備提供唯一身份認證，以便進行細粒度管理，并進行各級各類用戶的授權管理。加密傳輸保護數據安全性。建立跨平臺、跨網絡、跨系統的兼容性操作系統，對多種數據連接進行加密，保護數據的安全與完整性。建立起客戶端和服務器端雙向認證系統，確保信息傳輸方向、節點的正確性。實施分布式數據存儲與共享。分布式數據存儲解決了不同網絡系統之間的數據安全，確保不同安全級別的數據合理分布在物聯網的可信節點。通過對等協議，運用安全審計、病毒防治、備份與恢復等手段，確保各網絡的安全性。建立動態自組織網絡，搭建共識服務體系，保障基礎數據的一致性，抵抗惡意節點的攻擊。加強邊界隔離與建設。設計合理的物聯網安全分區，包括關鍵域的內網辦公區、數據中心區，重要域的外聯數據區、互聯網連接區、對外連接區，一般域的網絡管理區、廣域網連接區等三個區域，對三類域進行網絡區域分割，并對域之間的流量進行控制。同時提供入侵檢測、惡意代碼過濾等防范措施，保證通信傳輸安全。

三、加強物聯網信息安全的建議措施

為保障物聯網的信息安全，提高物聯網運行的可靠性，在建設同時應積極加強相關政策制定、培養從業人員安全意識，提高網絡安全制定網絡安全政策。在建設物聯網的同時，應積極推進相關應用安全標準、權限政策、安全政策等進行編制并實施，確保網絡安全建設的一致性和可操作性。加大安全監管力度。建立檢測機制，從安全測評、風險評估、安全防范、安全處置等角度進行定期監管——反饋——優化。普及信息安全知識，提高安全意識。加強對從業人員的權限意識、責任意識以及安全意識，提高從業人員安全知識技能。

作者:劉立明 郝成亮 單位：國網吉林省電力有限公司科技互聯網部國網 吉林省電力有限公司信息通信公司