电力物联网信息安全防护技术研究
2020-01-05邓敏茜
邓敏茜,丁 瑜
(1.中国移动通信集团广西有限公司,广西 南宁 530000;2.南宁职业技术学院,广西 南宁 530000)
0 引 言
当前,工业物联网技术已经被广泛应用于电力系统,在发电、输电、变电以及配电等环节均可看到它的身影。通过大量查阅与泛在电力物联网相关的资料发现,当前我国已有将近5.3亿个计量终端表,有超过300万套类型各异的设备监控终端,有50万个视频监控摄像头终端。借助这些物联网终端设备,无线公网式的数据传输被广泛应用于电网配电系统。
1 物联网结构层次及其安全问题
1.1 感知层
感知层包括大量的数据采集设备。为了能够执行应用层下发的相关指令,必要的执行设备也存在于这一层。总体而言,传感器、执行设备、定位设备、视频以及音频采集播放终端、条码读取或者射频读写设备以及相关智能化设备等都在这一层。感知层的各种设备,可以根据是否具备可操作性的能力分为可读式和读写式两种。相对而言,单纯的可读设备在安全方面具有较高的水平,但并不排除也会遭受到外部攻击,而读写式设备则面临更多的安全风险。
1.2 网络层
各类私有网络、有线网络、无线通信网以及互联网共同构成了物联网的网络层,能够高效实现数据的接收和输出。与其他行业相比,电网中使用的地面、井下工业环网以及无线通信网络的传输技术并没有太大不同,也是通过流量监控、漏洞扫描、入侵检测等手段解决运行中出现的各类问题。对于网络层而言,由于它的结构复杂且各部分之间存在较大差别,使得该层级面临较大的安全风险,即整个系统数据传输的安全性将在很大程度上由其来决定[1]。
1.3 应用层
物联网的应用层包含安全生产调度集成平台、三维地理信息平台以及隐患管理组风险预控管理信息平台在内的众多平台,可以实现多种应用,如云计算、数据存储以及常规网络应用等,所以常被视为是一个全面的、成熟度较高的信息系统。当前,探讨该层安全性能时主要关注数据安全和云计算安全两方面内容。
2 电力物联网信息安全防护技术
2.1 网络安全漏洞扫描技术
网络安全漏洞的检测和安全风险评估技术,可以准确预知网络主体用户受到网络攻击的各种可能性,具体指证将要出现或发生的网络攻击行为和可能产生的安全风险后果,近年来受到了网络安全技术业界的高度重视。这一安全技术的主要应用任务可以帮助管理员识别、检测、监视系统资源,分析系统资源被黑客攻击的各种可能因素和指数,了解如何支撑网络监视系统本身的安全脆弱性,评估所有系统可能存在的安全问题和风险。网络安全漏洞的扫描技术、网络防火墙、入侵系统和检测网络监视系统互相配合,能够有效保护和提高整个网络的质量和安全性。通过对整个网络的安全漏洞扫描,网络管理员能及时了解整个网络的安全防护设置、系统运行的情况以及应用服务,及时发现网络安全漏洞,并由此对整个网络所面临的安全风险以及风险等级进行客观评估[2]。因此,网络管理员通常能根据网络扫描的情况和结果及时发现网络的安全漏洞和系统运行过程中的各种错误安全设置,在网络受到黑客攻击前对系统进行防范。
2.2 VPN技术
要将虚拟专网架设于公共网络之上,最常用的技术就是VPN。它根据应用层级不同可被划分为链路层VPN技术、网络层VPN技术和应用层VPN技术3类。
链路层VPN技术,包括PPTP或L2TP。链路层VPN没有进行专项加密,因此安全级别较低,即借助于PPTP或L2TP验证用户身份。
网络层VPN技术,包括MPLS和IPSec。网络层VPN技术的安全级别高于链路层VPN,其中IPSec支持加密认证,还能够应用于“网关-网关”“终端-网关”等场景,同时在系统安全改造方面基于自有的传输模式和隧道模式也有良好的表现[3-4]。在进行安全改造时,基于SM2算法的公钥密码算法(《IPSecVPN技术规范》),电力物联网终端以及主站侧对用户身份进行认证,随后进行相关的通信密钥协商。上述过程中,通信密匙协商过程较为复杂,基于任务可被大致分为两个阶段。第一阶段以主模式来进行IKESA协商,由证书交换、工作密钥协商以及身份认证等6个交互操作共同构成,是开展第二阶段会话密匙协商的基础。第二阶段是基于快速模式的IPSecSA协商,主要围绕会话密钥展开,共由3个交互操作组成[5]。MPLS是基于网络路由协议搭建的一个基于标签的快速高效数据交换传输技术,以电力调度数据网为例,基于MPSL虚拟了两个分别应用于实时和非实时VPN用以传输安全区的业务数据。
应用层VPN技术,包括SSL/TLS。应用层VPN技术中的SSL也具有加密认证功能,但SSLVPN无法在“网关-网关”(即sitetosite)场景下应用,因此当前多用于对移动办公和远程接入进行加密认证时[6]。
2.3 安全审计技术
安全审计技术是使用某种或几种安全的检测工具(通常被简称为安全扫描器(scanner)),采取检测和扫描系统安全漏洞的手段和方法检查整个系统的信息安全漏洞,得到物联网系统各个薄弱环节的安全漏洞检查报告,并且提出采用相应的审计技术增强其系统信息安全性的手段和措施[7]。物联网信息安全的审计是揭示其信息安全潜在风险的最佳方法和手段,是改进其信息安全技术和现状的方法和有效途径,是满足其信息安全行业合规要求的有力手段和武器。物联网信息安全的审计可以使得组织在了解和掌握其物联网信息安全工作是否能够满足安全合规性审计要求的关键,也有助于物联网组织全面深入了解和准确掌握其物联网信息安全审计工作的有效性、充分性和适宜性。
2.4 轻量级安全认证技术
入侵保护包括入侵前和入侵后两方面。入侵前的保护属于网络边界保护,常用技术是网络防火墙。入侵后的保护是入侵检测(IDS),对信息系统来说是一种成熟的安全保护技术,但对资源受限的物联网系统,入侵检测几乎没有能力,因此主要技术是在入侵前的安全保护方面。对许多物联网设备来说,使用防火墙技术也是不现实的,因此对边界防护的主要技术手段是身份认证。具体地,轻量级身份认证是提升资源受限物联网设备的关键技术[8]。需要注意,身份认证的目的是建立共享会话密钥进行保密通信,可以有选择地提供通信数据的机密性和完整性。但是,物联网系统中的许多数据都是小数据,这种情况下可以将身份认证与数据保护融合在一起,提供可认证的数据保密轻量级协议。具体地说,应该设计融身份认证、数据机密性、数据完整性、数据新鲜性等安全保护于一体的轻量级数据传输协议[9]。
2.5 生物识别技术
生物身份识别技术是通过计算机与生物光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的一些生理特性(如指纹、脸象、虹膜等)和其行为中的心理特征(如笔迹、声音、步态等)特征,有效地进行个人身份的识别和鉴定[10]。由于人体的生物特征指纹识别具有多种不可复制的生物特性,这一指纹识别技术的安全系数较传统意义上的生物身份验证指纹识别机制可以有很大的改善和提高。适用于人体的视网膜生物指纹识别特征主要包括指纹、声音、面孔、视网膜、掌纹以及骨架等,其中视网膜指纹凭借其无可比拟的特征倍受学术界的关注,如唯一性、稳定性、再生性等。除了视网膜指纹识别技术外,近年来对视网膜指纹识别的技术和先进的签名指纹识别技术的应用和研究也都取得了骄人的进展和成绩。
3 结 论
基于政府的政策支持和整个行业技术的快速发展,我国的物联网进入快速成长期,与互联网以及接入终端设备之间的联系变得越来越紧密,将来定会在各个领域大放异彩,尤其是电力行业,从而为人们带来更多的便利。