電力物聯(lián)網(wǎng)安全防護(hù)研究實(shí)踐

◆陳濤

（國(guó)網(wǎng)新疆電力有限公司新疆 830000）

1 引言

當(dāng)前，電力物聯(lián)網(wǎng)邊界防護(hù)設(shè)備逐漸暴露功能單一技術(shù)規(guī)范不統(tǒng)一處理高并發(fā)數(shù)據(jù)連接能力不足、自動(dòng)監(jiān)控功能不完善、產(chǎn)品類型復(fù)雜、設(shè)備選型困難等問題。

依托國(guó)網(wǎng)公司自主可控安全裝備專項(xiàng)工作，結(jié)合以上新需求、新問題，研制技術(shù)先進(jìn)、業(yè)務(wù)兼容，符合電網(wǎng)數(shù)字化新基建安全防護(hù)架構(gòu)要求的新一代自主可控安全接入裝備。面向不同業(yè)務(wù)發(fā)展需要，整合軟硬件架構(gòu)，形成不同業(yè)務(wù)場(chǎng)景下典型應(yīng)用防護(hù)方案，實(shí)現(xiàn)基礎(chǔ)網(wǎng)絡(luò)安全統(tǒng)一應(yīng)用安全防護(hù)精準(zhǔn)的目標(biāo)。

2 解決方案

2.1 方案概述

本方案遵循電力物聯(lián)網(wǎng)總體防護(hù)要求，按照“自主可控、可信互聯(lián)、安全接入、開放共享”的防護(hù)策略，以電力物聯(lián)網(wǎng)邊界安全防護(hù)裝備（電力物聯(lián)網(wǎng)安全接入網(wǎng)關(guān)、網(wǎng)絡(luò)安全網(wǎng)絡(luò)隔離裝置）為核心，與公司智慧物聯(lián)體系（物聯(lián)管理平臺(tái)、邊緣物聯(lián)代理）、“國(guó)網(wǎng)芯”安全芯片相聯(lián)動(dòng)，構(gòu)建包含終端層、網(wǎng)絡(luò)層、平臺(tái)層的電力物聯(lián)網(wǎng)安全防護(hù)解決方案。

方案整體以網(wǎng)絡(luò)層的電力物聯(lián)網(wǎng)邊界安全防護(hù)裝備為連結(jié)點(diǎn)，北向服務(wù)于企業(yè)物聯(lián)管理平臺(tái)，對(duì)上提供終端安全狀態(tài)監(jiān)測(cè)、終端安全管控的接口，同時(shí)與公司統(tǒng)一密碼基礎(chǔ)設(shè)施聯(lián)結(jié)，進(jìn)行證書等信息申請(qǐng)、查詢；南向聯(lián)結(jié)邊緣物聯(lián)代理，基于“國(guó)網(wǎng)芯”安全芯片對(duì)下進(jìn)行終端身份認(rèn)證、安全接入、訪問控制等管理。提升終端接入、通信通道的安全防護(hù)能力，為綜合能源服務(wù)與新業(yè)態(tài)提供安全保障。

2.1 感知層

通過邊緣物聯(lián)代理構(gòu)建電力物聯(lián)網(wǎng)終端的網(wǎng)絡(luò)連接，實(shí)現(xiàn)物聯(lián)網(wǎng)終端與物聯(lián)管理平臺(tái)之間的互聯(lián)、邊緣計(jì)算、區(qū)域自治等功能。與邊緣物聯(lián)代理構(gòu)建硬件層面和軟件層面的安全接口：在硬件層面，與國(guó)網(wǎng)自主研制的安全芯片（用電信息采集、配電自動(dòng)化、移動(dòng)作業(yè)等）進(jìn)行接口集成，采用可插拔、模塊化設(shè)計(jì)，根據(jù)業(yè)務(wù)需求更換和選擇，滿足互換性要求。在軟件層面，在邊緣物聯(lián)代理系統(tǒng)層對(duì)嵌入式操作系統(tǒng)進(jìn)行安全加固，建立可供電力物聯(lián)網(wǎng)邊界安全防護(hù)裝備進(jìn)行安全監(jiān)測(cè)、聯(lián)動(dòng)處置的安全組件，實(shí)現(xiàn)上層應(yīng)用與安全防護(hù)解耦。

圖1 電力物聯(lián)網(wǎng)安全防護(hù)方案示意圖

2.2 網(wǎng)絡(luò)層

電力物聯(lián)網(wǎng)安全防護(hù)裝備的關(guān)鍵核心組件及中間件實(shí)現(xiàn)國(guó)產(chǎn)化，安全裝備技術(shù)架構(gòu)、產(chǎn)品設(shè)計(jì)、研發(fā)集成等各環(huán)節(jié)均實(shí)現(xiàn)自主可控，全環(huán)節(jié)提高裝備安全性、適用性及可靠性。電力物聯(lián)網(wǎng)邊界安全防護(hù)裝備包含電力物聯(lián)網(wǎng)安全接入網(wǎng)關(guān)和信息安全網(wǎng)絡(luò)隔離裝置，統(tǒng)一硬件架構(gòu)、融合軟件功能、集約業(yè)務(wù)場(chǎng)景，支持海量終端多業(yè)務(wù)場(chǎng)景的高并發(fā)接入，實(shí)現(xiàn)對(duì)輸變電、配用電終端、移動(dòng)終端和視頻終端的集約化安全接入，并在電力物聯(lián)網(wǎng)多業(yè)務(wù)場(chǎng)景推廣應(yīng)用。電力物聯(lián)網(wǎng)安全接入網(wǎng)關(guān)實(shí)現(xiàn)接入業(yè)務(wù)的“通道加密、身份認(rèn)證、安全接入、訪問控制、數(shù)據(jù)過濾、集中監(jiān)管”等安全能力。采用多身份認(rèn)證與密鑰協(xié)商功能實(shí)現(xiàn)不同類型物聯(lián)終端的安全接入，采用國(guó)密SM系列密碼算法，支持采用國(guó)密SSL VPN協(xié)議、SSAL自定義安全協(xié)議；對(duì)各類協(xié)議數(shù)據(jù)進(jìn)行識(shí)別、分析、過濾以及數(shù)據(jù)隔離傳輸；與統(tǒng)一密碼基礎(chǔ)設(shè)施聯(lián)動(dòng)實(shí)現(xiàn)傳輸數(shù)據(jù)加密功能；通過安全芯片、安全TF卡、安全模塊實(shí)現(xiàn)終端側(cè)與網(wǎng)關(guān)的傳輸通道加密；支持訪問控制與可視化的配置管理；通過安全監(jiān)測(cè)功能實(shí)現(xiàn)安全裝備及接入終端的運(yùn)行狀態(tài)指標(biāo)監(jiān)測(cè)。

2.3 平臺(tái)層

建設(shè)物聯(lián)管理平臺(tái)，實(shí)現(xiàn)對(duì)海量接入的采集終端、邊緣物聯(lián)代理的統(tǒng)一監(jiān)視、配置和管理，支持各專業(yè)智能應(yīng)用的快速迭代和遠(yuǎn)程升級(jí)，匯集海量采集數(shù)據(jù)并標(biāo)準(zhǔn)化處理，構(gòu)建開放共享的應(yīng)用生態(tài)，支持存量業(yè)務(wù)系統(tǒng)的數(shù)據(jù)接入等。

3 應(yīng)用實(shí)踐

本安全解決方案在進(jìn)行了多業(yè)務(wù)場(chǎng)景應(yīng)用，對(duì)網(wǎng)絡(luò)邊界安全提供了有力支撐，為電力物聯(lián)網(wǎng)應(yīng)用發(fā)展提供重要保障。圖2為辦公類業(yè)務(wù)場(chǎng)景、輸變電業(yè)務(wù)場(chǎng)景的防護(hù)示意圖。

圖2 應(yīng)用案例