发布时间:2019-10-23 08:54:43
来源:pinpaiworld 作者:佚名
近年来,物联网发展进入快车道,发电、电网、电工装备等企业也在积极探索,利用物联网实现人、机、物状态全面感知、信息高效处理、生产经营科学决策,提升业务运行效率和企业经营绩效。与传统互联网、工业物联网安全防御相比,电力行业物联网具有接入设备及企业多元、数量巨大、安全防护能力差异大,一旦发生风险影响范围广、危害程度大等特点,因此对电力企业安全防护体系提出了更高要求。
从近些年国内外物联网安全风险事件来看,各类接入的外部设备、软件等成为发动网络攻击的重要“跳板”,安全防护重点已从企业内部生产运营系统扩展到各类终端,安全防御的复杂性不断增强、防御难度持续增加。如根据我国国家信息安全漏洞共享平台披露,借助公共网络,利用可编程逻辑控制器PLC、数据采集与监视控制系统SCADA(广泛应用于产业制造、能源电力生产和通信等领域)漏洞,攻击企业内部生产系统已成为最常见的攻击方式。电力行业物联网安全防御呈现以下特点:
一是接入企业的终端数量快速增加,各类终端安全防护能力差异性较大,同时,电力行业安全防护责任界限扩展,安全防护压力增加。监测设备、电动汽车等不同终端的安全性能和对安全的需求在不同应用场景完全不同,部分很难单独部署安全软件或复杂加解密算法(易增加设备运行负担甚至导致无法正常运行),电力企业短期内直面的安全责任较大。例如,对于高可靠安全通信,终端需要有快速接入认证、强加密算法的支持,传感器式终端则需轻量级的认证、加密算法。
二是电力行业物联网网络传输结构复杂,通过破解通信协议影响系统安全的风险增加。随着各类设备、平台广泛接入电力系统,可能出现多种异构网络,通信传输模型更为复杂,可能出现通过破解算法、协议及中间人攻击等多攻击方式,对传输数据及指令进行篡改、屏蔽等。目前,已有黑客通过破解智能平衡车、无人机等物联网设备通信传输协议,实现对物联网终端的入侵、劫持。
三是“大集成”式数据处理模式下,海量数据汇到云平台处理,可靠计算压力增大。随着发电、电网、电工装备等领域物联网深入推进,数据量将越来越大,如都放到云端处理,会对频谱资源、传输带宽和数据处理能力造成挑战,一方面,云平台可能不堪重负:另一方面,极大推高了数据存储及处理成本。终端一旦发起大规模网络攻击、海量设备认证查询风暴等,容易引发云服务器物理机宕机。
整体来看,随着发电、电网、电工装备等领域物联网建设深入推进,在全息感知能力、泛在链接能力、开放共享能力和业务创新能力全面提升的同时,终端各类设备成为重要风险源,网络传输环节、数据处理环节安全可靠运行的压力也持续增加,对电力行业物联网安全管控提出了更高要求。
信息交互频繁
带来三方面的困难和挑战
过去电力行业经营相对封闭,安全防护工作聚焦企业信息安全、防止信息泄漏等,安全防护目标相对明确、任务相对单一,多采用一体化集成防护模式,为电力企业安全、平稳及高效运行提供了有力保障。
随着物联网深入推进,接入设备及企业数量增加,各类业务在线化开展,与上下游企业的信息交互频繁,安全防护压力急剧增加,沿用一体化集成防护模式,将面临三方面的困难和挑战:
一是监管政策及标准体系完善相对缓慢,各类终端厂商安全投入不足的问题突出,电力企业落实主体防护责任,需构建高效防护体系弥补各类终端的安全防护缺陷。在安全标准体系建设方面,各类物联网相关终端技术更新快、应用设备多元,标准体系建设滞后于物联网发展,一直缺乏完善的安全标准体系和成熟的安全解决方案。这就导致在实际工作中,终端厂商对安全防御能力建设重视不够、安全投入不足。根据相关政策要求,电力企业作为关键信息基础设施运营者,承担主体防护责任,亟需创新构建高效防护模式,弥补各类终端安全防护能力的差异。
二是未来安全风险不确定性增强,传统防护模式安全架构存在运维成本高、部署难度大,灵活性、针对性不强,发生损害影响范围大、恢复缓慢等问题,需研究构建适用性更强的防护体系。随着物联网建设深入推进,电力企业业务多样性增强,网络攻击、针对终端攻击的不可预估性也同步增加,处理数据庞大、节点众多、结构复杂,沿用的传统防护模式安全架构,将推高安全防御成本,适用效果可能不佳,难以满足高安全性、高稳定性、高灵活性需求。以传统集中式认证机制为例,每次设备认证都需调用核心身份服务器,极易造成针对该服务器的查询风暴冲击,从而引发服务器宕机,在一体化集成防护模式下,不得不持续增加投资,提升性能。
三是新设备、新技术的广泛引入,使得电力行业物联网网络防护边界变得模糊,传统依赖物理边界进行防护的模式适用性不足,亟需创新各类终端联网的安全保障机制。未来电力企业内部网络将与外部应用平台、设备供应商、客户等业务系统实现更广泛的连接,网络数据传递过程中常见的拒绝服务、中间人攻击等网络威胁,软件漏洞、配置不合理等网络传输链上的软硬件安全,无线网络技术等带来的网络防护边界模糊等问题发生风险加大,以前依赖物理边界防护的集中式安全机制难以发挥作用,亟需优化数据传递安全保障机制。
需政府部门、电力企业
和社会各界合力攻关安防难题
加快电力行业物联网高质量发展需政府部门、电力企业和社会企业形成合力,在安全防控领域取得突破。
一是加快推动电力行业物联网领域相关安全标准的制定和完善。一方面,政府部门要发挥主导作用,加快《信息安全技术网络安全等级保护基本要求》《关键信息基础设施安全保护条例》等政策的落地实施;另一方面,要向行业主要电力企业充分授权,发挥企业的安全责任主体作用,建立安全性合规性监测机制,从安全框架体系、安全测评、风险评估、安全防范、安全处置方案等方面推动标准规范制订和落地。近期电力企业在招标相关物联网产品及设备时,可将安全防护性能作为重要参考指标。
二是电力企业要加强安全防控模式的顶层设计,与现行防护体系做好衔接。电力企业在推进物联网建设过程中,需系统研究面临的安全防护特点,在硬件、操作系统、通信技术、云服务器等各环节做好体系建设,明确不同环节的安全防护策略、设计标准、逻辑功能等,形成分层立体防御体系。同时,在安防体系改造升级过程中,在安全防控职责、设计标准、系统功能等方面与现行安全防控体系做好衔接,合理安排实施路径和时间表,稳妥有序推进各项工作。
三是深入研究兼顾安全性和经济性、防护质量和推进效率的新型安全防控技术。国内外部分先进机构已探索实施新型分布式网络安全技术、边缘防控等安全防护技术,普遍将安全防控关口前移,在源头开展安全认证、安全防御,阻断攻击路径并隔离受损特定网络区域,实现全网免疫和安全,具有较强的适用性和灵活性。因此,应加强电力企业、信息及网络安全企业等各类主体的深度合作,发挥技术、应用场景的互补优势,实现多主体共保电力行业物联网安全,在安全防控核心关键技术、新兴技术等领域取得突破。
(原标题:适应物联网安全新特点 提高电企安全防控能力)