电网有限公司2019年两会提出了建设泛在电力物联网的战略目标,打造泛在电力物联网,治理应先行,亟需构建与“三型两网”相匹配的全场景网络防护体系。

1 泛在电力物联网架构

泛在电力物联网是工业物联网在电力行业的落地和应用。与其他形式的物联网系统一样,其架构自下而上依次为感知层、网络层、平台层和应用层,其中平台层为整个物联网系统的核心,又被称为企业中台[1]。

感知层。是泛在电力物联网的最底层,是支撑泛在电力物联网的基础设施。感知层的末端节点规模庞大,涵盖发、输、配、储、用各环节、各设备乃各元件,目前已接入各类终端约5.4亿台(套),日采集增量数据超过60TB,如此体量的数据如果都集中在平台层进行处理,会对服务器集群产生极大压力,在感知层利用边缘计算就地处理一些区域化的计算任务,可平台层服务器集群的压力,在源端实现数据融通和边缘智能。

网络层。接驳感知层和平台层,负责传输采集自感知层的信息。在网络层中,近距离通信可采用有线或无线通信方式,远距离通信采用光纤专网。此外,为适应智能终端数量众多以及部署环境的千差万别,可采用无线公网、无线专网、卫星通信等作为补充通信方式,如5G、北斗/高分卫星、NB-IoT以及LTE等。

平台层。是物联网的核心,一体化“国网云”是整个平台层的基础,提供PaaS服务,承载全业务统一数据和物联管理,共同构成企业中台,汇集泛在电力物联网的所有数据进行统一管理,打通数据壁垒,解决大数据的存储、共享、使用和隐私保护等问题。根据公司当前泛在电力物联网建设规划,平台层很可能会参照互联网企业大中台、小前端的模式,依托企业中台共享平台服务能力,支撑各类应用的快速构建。

应用层。是泛在电力物联网的用户接口,位于架构的最顶端,通过分析处理后的数据为用户提供定制化服务。应用层基于企业中台(平台层)构建业务系统,并对信息进行处理和决策,再通过平台层和网络层南向发送信息以控制感知层的设备终端。应用层可以是以网站的形式存在,也可以是APP、公众号、小程序等[2],向用户提供个性化的电力增值服务。

2 泛在电力物联网面临的威胁

伊朗核电站“震网”事件、乌克兰BlackEnergy病毒导致的大面积停电事件以及近期的委内瑞拉电网大停电事件,无不预示着通过网络空间入侵一国电力网络,并由此控制电力系统、破坏电力基础设施已由设想变为现实。而在建设泛在电力物联网的大背景下,由于物联网产业链条的无限延伸和极为广泛的应用场景,网络问题变得错综复杂,感知层规模庞大的各类终端接入设备、新业务及新兴业态接入导致的边界越来越模糊、万物互联需求下引入的各种接入方式和协议,以及企业中台海量的大数据管理,都给泛在电力物联网的网络带来极大挑战。

2.1 感知层风险

泛在电力物联网感知层涉及现场采集设备、智能终端、本地通信接入以及边缘物联代理等,具有终端类型多样、分布范围广泛等特性,面临的主要风险如下。

物理环境导致的风险。感知层设备种类繁多,再结合泛在电力物联网新兴业务、新业态的融合发展,输、配、用环节的智能终端或设备存在部署在无人值守或不可控环境中的情况,攻击者可很容易地直接接触设备实施物理破坏、克隆伪造、信息窃取、软件篡改及远端控制等攻击。

终端设备自身的风险。由于物联网智能终端及感知设备种类繁多、规模庞大,且各类终端的用途、功能各异,导致接入终端的厂商众多。很多生产厂商缺乏意识和能力,在终端*作系统、固件、业务应用等软件的设计和开发过程中考虑不足,且存在系统更新、漏洞修复不及时等问题,使攻击者可在未授权的情况下非法利用或破坏智能终端。另外部分终端无消息认证和完整性鉴别机制,无法判断业务指令是否为伪造或被恶意篡改,攻击者可能通过非法指令导致设备误动。

短距离无线通信风险。泛在电力物联网终端和感知设备众多,其中大部分采用无线方式接入,短距离无线通信占本地通信的比例越来越高。由于无线信道的开放特性,攻击者可通过窃听、伪造、重放等手段实现对无线网络的攻击,从而实现非法接入、阻塞信道、破坏路由或篡改数据包等。

2.2 网络层风险

与通用的物联网系统相比,电力物联网主要采用光纤专网作为数据传输通道,总体具有较强的防护能力,但同时也存在无线专网、公网等补充方式,网络层还需注意以下风险。

路由攻击风险。由于电力物联网中部署的节点可具有随机性、自组织性,并且很多独立节点资源受限、通信开放等诸多因素导致物联网不具备基础的网络架构,拓扑结构动态变化,攻击者可因此插入虚假路由信息,发起路由攻击,消耗节点资源,阻塞信息汇集[3]。

不的通信机制。如不采用加密和完整性保护等措施,以明文方式发送业务数据,在物联网智能终端与云端或者端之进行信息传输时容易遭受流量分析、窃取、嗅探、重放等攻击,进而面临传输的信息泄露、被劫持或篡改等威胁。

网络拥塞风险。物联网终端设备规模庞大,当大量设备在短时间内接入网络或同时通信会导致网络拥塞,影响信息处理的有效性和及时性,甚有可能为攻击者发起DoS攻击提供条件[4]。

2.3 平台层风险

数据风险。泛在电力物联网的数据都汇集在平台层(即企业中台),在大中台、小前端的模式下,数据关重要,直接影响到平台层应用的可用性。大数据中隐含着用户的隐私数据,因此,有效存储并避免数据丢失或损坏,防止数据被非法访问和篡改,确保云端退役数据的妥善保管或销毁等,都是泛在电力物联网建设中需要考虑的问题。

云平台的风险。物联网应用通常部署于云基础设施之上,智能设备通过网络与云端进行交互[5]。当前针对云平台的防护技术已日渐成熟,但企业内部的管理问题或外部渗透已成为主要威胁。如果企业内部管理机制不完善、系统防护不到位,常规的逻辑漏洞或社会工程学因素就可能导致平台或整个生态沦陷。

2.4 应用层风险

随着网络技术的日趋成熟,以及针对应用层面的攻击手段、攻击技术以及攻击工具的智能化、化,攻击者的注意力从以往针对暴露在互联网上的主机层面逐步转移到Web应用层面,网络攻击有75%以上都是发生在Web层面。然而大多数企业对Web应用本身的没有足够的重视,给攻击者以可乘之机。主要表现在应用开发过程中的功能缺失、编码不规范、存在逻辑漏洞等,严重威胁系统;*作系统、中间件、数据库甚智能联网设备本身存在漏洞,攻击者可以绕过访问控制成功入侵系统;拒绝服务攻击日益猖獗,已成为攻击者的常用攻击手段,遭受大流量拒绝服务攻击后会导致业务系统无法处理正常的业务访问,且DoS攻击具有容易实施、难以防范和难以追踪等特性,严重威胁泛在电力物联网。

3 应对策略

3.1 顶层设计先行,科学规划网络防护体系

在泛在电力物联网中,从感知数据的传感器,到收集数据的边缘物联代理、智能网关和巡检机器人等,再到数据、监测系统和业务系统等都需要采取相应的防护措施,涉及的设备、业务系统以及企业众多,因此需要顶层设计先行,科学地规划总体的网络防御体系,构建一个自下而上的整体网络防护体系,为泛在电力物联网提供全方位、全过程、全覆盖的防护(图1)。

3.2 注重标准引领,建立健全相关标准

泛在电力物联网终端设备类型众多、功能各异,接入方式、采用的协议以及数据存储格式各不相同,导致管理成本居高不下,同时也存在不因素。虽然已有部分相关标准可以参照,但并不能满足泛在电力物联网建设需求,因此充分借鉴已有的工业物联网标准的基础上,还应积极参与标准制定工作,争取标准制定权,同时尽快建立泛在电力物联网标准的企标(如移动作业终端接入标准、车联网标准等),加快标准落地,以统一的标准推动泛在电力物联网防御体系建设。

3.3 重视技防手段,打造网络智能防御体系[6]

当前电力系统网络防护体系以“分区,网络专用,横向隔离,纵向认证”为指导方针,难以满足泛在电力物联网背景下的新需求,以查漏补缺、日志监测为核心的被动防御体系难以应对各类攻击威胁。

为适应电力物联网泛在终端接入、在线交易、双向控制的新变化,融合互联网(访问控制、数据防泄漏、审计为核心)与工控理念(功能、现场接入控制、备用恢复为核心),建立适应数字国网战略、面向业务、动态融通、智能内生的泛在电力物联网防护体系,核心策略为“分级分域,可信接入,智能感知,动态防护”,打破传统的互联网边界,泛在电力物联网的整体网络防护能力。

分级分域:在业务系统定级基础上,面向业务集成需求、服务客户对象划分域(面向业务、融通);可信接入:在用户、终端与泛在电力物联网网络层接口处、网间集成接口处应用身份认证、权限及行为控制等技术,实现可信;智能感知:对端边网云等设备及系统相关业务数据、运行状态、数据进行智能分析,精准监测发现未知威胁;动态防护:采用入侵诱捕、拟态防御等技术网络防护体系的复杂度,提高攻击者入侵的成本和难度,物联网系统的防护能力。

3.4 加强内控管理,优化网络管理体系

积极贯彻和落实相关政策规定,履行网络法和信息系统等级保护的相关规定和义务,从规章制度和管理层面确保信息系统、合规运行;泛在电力物联网感知层设备众多,突发事件发生的概率越来越高,因此亟需建立更完善、有效的应急管理机制及事件现场处置预案,针对可能发生的信息事件预先制定科学、规范的处置流程和方案,确保在发生信息事件时能够及时、高效、有序地进行应急响应。

加强研发管理,强化研发全过程管控,落实代码管理、测试及防护要求,确保研发;完善数据管理机制,做好数据的分类分级工作,落实重要数据脱敏要求,防范重要业务数据泄露风险,加强数据全生周期管理,做到数据可管、可控、可追溯;建立并完善红蓝对抗机制,开展真攻真防演练,在实战中发现网络防御体系的薄弱环节并实现管理闭环,持续整体的网络防护水平。