基于零信任框架的泛在電力物聯(lián)網(wǎng)安全防護研究

◆馬 靖 許勇剛 劉增明 姚曉斌

基于零信任框架的泛在電力物聯(lián)網(wǎng)安全防護研究

◆馬 靖1許勇剛1劉增明1姚曉斌2

（1.國網(wǎng)思極網(wǎng)安科技（北京）有限公司 北京 102209；2.英大國際信托有限責任公司 北京 100005）

建設(shè)泛在電力物聯(lián)網(wǎng)是充分應用“大云物移智”等現(xiàn)代化信息技術(shù)，實現(xiàn)電力系統(tǒng)各個環(huán)節(jié)的萬物互聯(lián)、人機交互。在這種新場景下，身份認證、數(shù)據(jù)安全、信息交互等網(wǎng)絡(luò)安全問題迫切需要解決，本文從零信任框架出發(fā)，構(gòu)建泛在電力物聯(lián)網(wǎng)安全防護方案，重點從身份認證、動態(tài)授權(quán)、監(jiān)測審計三個方面提出防護建議，打破傳統(tǒng)以邊界防護為基礎(chǔ)的網(wǎng)絡(luò)安全框架，為泛在電力物聯(lián)網(wǎng)安全防護提供新思路、新方法，以適應泛在電力物聯(lián)網(wǎng)的業(yè)務(wù)發(fā)展需求。

泛在電力物聯(lián)網(wǎng)；零信任框架；身份認證；動態(tài)授權(quán)

泛在電力物聯(lián)網(wǎng)的提出，引起社會各界強烈反響，尤其是泛在電力物聯(lián)網(wǎng)的建設(shè)引入新的網(wǎng)絡(luò)安全問題成為熱點問題。隨著泛在物聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展，新技術(shù)的引入讓網(wǎng)絡(luò)邊界越來越模糊，現(xiàn)有基于邊界的安全防護方法不再適用；同時隨著物聯(lián)網(wǎng)終端數(shù)量的大量增加，傳統(tǒng)基于中心式的數(shù)字證書認證體系難以滿足泛在電力物聯(lián)網(wǎng)萬物可信高效互聯(lián)的需求，新的身份認證方式亟待建立；此外，在泛在電力物聯(lián)網(wǎng)的應用場景下，海量的敏感數(shù)據(jù)和用戶信息存儲于云端，數(shù)據(jù)的全生命周期也超出了傳統(tǒng)網(wǎng)絡(luò)安全范疇，存在巨大的安全風險。

因此，為了保障泛在電力物聯(lián)網(wǎng)的安全，需構(gòu)建與公司“三型兩網(wǎng)”相適應的全場景安全防護體系，開展可信互聯(lián)、安全互動、智能防御等技術(shù)的研究與應用，為各類物聯(lián)網(wǎng)業(yè)務(wù)做好全環(huán)節(jié)安全服務(wù)保障。本文將通過引入零信任安全框架，重新構(gòu)建泛在電力物聯(lián)網(wǎng)的身份認證、動態(tài)授權(quán)和監(jiān)測審計方法，對泛在電力物聯(lián)網(wǎng)全場景安全防護提出具體防護建議。

1 什么是泛在電力物聯(lián)網(wǎng)

泛在電力物聯(lián)網(wǎng)是國家電網(wǎng)有限公司董事長寇偉同志在公司2019年“兩會”報告首次提出的。兩會報告中提出圍繞“三型兩網(wǎng)”建設(shè)世界一流能源互聯(lián)網(wǎng)企業(yè)，其中“三型”指樞紐型、平臺型、共享型?！皟删W(wǎng)”指“堅強智能電網(wǎng)”和“泛在電力物聯(lián)網(wǎng)”。

泛在物聯(lián)是指任何時間、任何地點、任何人、任何物之間的信息連接和交互，泛在電力物聯(lián)網(wǎng)是泛在物聯(lián)網(wǎng)在電力行業(yè)的具體表現(xiàn)形式和應用落地。

在國家電網(wǎng)有限公司泛在電力物聯(lián)網(wǎng)建設(shè)工作部署電視電話會議中，董事長寇偉表示，泛在電力物聯(lián)網(wǎng)是圍繞電力系統(tǒng)各環(huán)節(jié)，充分應用移動互聯(lián)、人工智能等現(xiàn)代信息技術(shù)和先進通信技術(shù)，實現(xiàn)電力系統(tǒng)各個環(huán)節(jié)萬物互聯(lián)、人機交互，打造狀態(tài)全面感知、信息高效處理、應用便捷靈活的智慧服務(wù)系統(tǒng)，包含感知層、網(wǎng)絡(luò)層、平臺層、應用層四層結(jié)構(gòu)。在終端感知層表現(xiàn)為萬物互聯(lián)的連接能力，在網(wǎng)絡(luò)層表現(xiàn)為無處不在、無時不有的通信能力，在平臺層表現(xiàn)為對全景設(shè)備和數(shù)據(jù)的管控能力。

2 泛在電力物聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全問題

2.1 傳統(tǒng)基于邊界安全防護不適用泛在電力物聯(lián)網(wǎng)

傳統(tǒng)的安全解決方案設(shè)計理念是基于邊界安全防護。由于泛在電力物聯(lián)網(wǎng)中云計算、移動應用等技術(shù)的使用使得終端側(cè)安全邊界模糊、主網(wǎng)側(cè)核心邊界全面收縮，業(yè)務(wù)靈活性進一步提高，同時使得物理隔離邊界越來越模糊。傳統(tǒng)基于網(wǎng)絡(luò)位置確定的信任模型變得不再可靠；并且企業(yè)內(nèi)部威脅越來越多，對于企業(yè)內(nèi)部可信的假設(shè)，成為安全體系架構(gòu)的薄弱環(huán)節(jié)。

2.2 身份認證方式需要發(fā)生變化

隨著公司泛在電力物聯(lián)網(wǎng)建設(shè)的逐步落地，公司將接入數(shù)以億計的泛在物聯(lián)網(wǎng)終端，涉控類終端、非涉控類終端、用戶終端等各類設(shè)備，出現(xiàn)海量接入、異構(gòu)認證、頻繁交互等新的需求。除此之外，身份認證還存在以下問題。一是實際應用中，較高頻次的應用通常安全風險低，更看重便捷性，安全風險高的應用頻次通常不高，更重視安全性，因此，需要分層次采用不同安全等級的身份認證技術(shù)。二是傳統(tǒng)基于中心式的數(shù)字證書認證體系難以滿足泛在電力物聯(lián)網(wǎng)萬物可信高效互聯(lián)的需求。三是隨著泛在電力物聯(lián)網(wǎng)建設(shè)過程中微服務(wù)、微應用的應用，使得僅考慮人的身份管理不再足夠，設(shè)備間、服務(wù)間同樣需要身份認證。因此需要將人、設(shè)備、應用和服務(wù)的身份都統(tǒng)一抽象成“身份”，為人員、設(shè)備建立詳盡、完備的身份標識庫，進行統(tǒng)一身份管理。

2.3 數(shù)據(jù)安全面臨新風險

隨著《網(wǎng)絡(luò)安全法》的出臺，國家對數(shù)據(jù)安全的要求，尤其是對關(guān)鍵信息基礎(chǔ)設(shè)施和用戶重要信息保護提出更高要求。在泛在電力物聯(lián)網(wǎng)的應用場景下，海量的敏感數(shù)據(jù)和用戶信息存儲于云端，數(shù)據(jù)的全生命周期也超出了傳統(tǒng)網(wǎng)絡(luò)安全范疇，存在巨大的安全風險。近年來，個人信息泄露事件頻發(fā)、屢禁不止，嚴重威脅個人生命與財產(chǎn)安全。一旦敏感數(shù)據(jù)被竊取、篡改和濫用，有觸犯法律的風險，因此需要加強企業(yè)重要數(shù)據(jù)和客戶隱私保護，加強建立針對應用、服務(wù)接口、數(shù)據(jù)進行自適應的細粒度訪問控制授權(quán)。

2.4 關(guān)鍵信息基礎(chǔ)設(shè)施安全防護帶來挑戰(zhàn)

泛在電力物聯(lián)網(wǎng)屬于關(guān)鍵信息基礎(chǔ)設(shè)施的重要領(lǐng)域，其安全穩(wěn)定運行直接影響社會安全和國家安全。由于泛在電力物聯(lián)網(wǎng)網(wǎng)絡(luò)無限延伸和極為廣泛的應用場景，安全問題變得錯綜復雜，遠非傳統(tǒng)網(wǎng)絡(luò)安全可比。泛在電力物聯(lián)網(wǎng)部分業(yè)務(wù)將直接暴露于公共網(wǎng)絡(luò)，傳統(tǒng)防護手段不再適用。和互聯(lián)網(wǎng)安全問題相比，泛在電力物聯(lián)網(wǎng)安全問題破壞性更大，如發(fā)生竊取、篡改等，給人民的生活帶來一定的影響，甚至對關(guān)鍵基礎(chǔ)設(shè)施造成沖擊，威脅國家安全。

3 基于零信任的泛在電力物聯(lián)網(wǎng)安全防護體系

3.1 零信任安全的概念及優(yōu)勢

零信任最早是由John Kindervag在2010年提出的，其核心思想是默認情況下不應該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人、設(shè)備、系統(tǒng)，需要基于認證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)。谷歌經(jīng)過多年實踐，于2014發(fā)布零信任架構(gòu)BeyondComp，零信任架構(gòu)逐漸為業(yè)內(nèi)認可。零信任對訪問控制進行了范式上的顛覆，引導安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化，其本質(zhì)訴求是以身份為中心進行訪問控制。

在泛在電力物聯(lián)網(wǎng)的推進過程中，“大云物移智鏈”等現(xiàn)代信息技術(shù)的應用，實現(xiàn)電力系統(tǒng)各個環(huán)節(jié)萬物互聯(lián)、人機交互，終端側(cè)網(wǎng)絡(luò)邊界將變得模糊化和復雜化，傳統(tǒng)基于邊界的安全架構(gòu)很難進行防護。電網(wǎng)資產(chǎn)數(shù)量龐大分散、類型眾多、所處環(huán)境復雜。泛在電力物聯(lián)網(wǎng)的建設(shè)，將以構(gòu)建統(tǒng)一身份標識為基礎(chǔ)，基于“零信任”的安全防護能夠打破傳統(tǒng)邊界防護思維，為“三型兩網(wǎng)、世界一流”能源互聯(lián)網(wǎng)助力。

基于“零邊界”的泛在電力物聯(lián)網(wǎng)安全防護體系，以零信任網(wǎng)絡(luò)安全架構(gòu)為參照，進行統(tǒng)一身份管理，實現(xiàn)泛在物聯(lián)網(wǎng)設(shè)備間、服務(wù)間的身份認證。根據(jù)設(shè)備的環(huán)境屬性、訪問屬性進行動態(tài)的權(quán)限控制。

3.2 感知層識別和身份化

隨著公司的不斷發(fā)展，目前公司系統(tǒng)接入終端設(shè)備超過5億臺，規(guī)劃到2030年，接入泛在電力物聯(lián)網(wǎng)系統(tǒng)的設(shè)備數(shù)量將達到20億臺，整個泛在電力物聯(lián)網(wǎng)將是接入設(shè)備規(guī)模最大的物聯(lián)網(wǎng)生態(tài)圈。除了設(shè)備多樣化，用戶、應用程序也在不斷地增加，為解決上述問題，提高公司信息安全保障能力，需要全面身份化，完成身份治理。

通過構(gòu)建泛在電力物聯(lián)網(wǎng)統(tǒng)一標識庫，為業(yè)務(wù)提供基礎(chǔ)密鑰標識，保證業(yè)務(wù)系統(tǒng)主體的標準統(tǒng)一。建立針對所有實體對象的統(tǒng)一標識體系，為身份及訪問控制管理提供統(tǒng)一的標識技術(shù)和互操作基礎(chǔ)。以公司內(nèi)外部人員、終端設(shè)備、業(yè)務(wù)應用等各維度的統(tǒng)一用戶標識中心數(shù)據(jù)庫，在業(yè)務(wù)系統(tǒng)之間進行身份跨應用全面管理機制。

3.3 可信的統(tǒng)一身份認證機制

在實現(xiàn)全面身份化后，為滿足泛在電力物聯(lián)網(wǎng)統(tǒng)一的身份認證需求，需完善現(xiàn)有身份認證體系，建設(shè)安全可靠、靈活輕量的身份認證機制，提高公司信息安全保障能力。

基于零信任架構(gòu)的身份認證方面，以身份為中心，將用戶、設(shè)備、應用全面身份化完成集中的身份治理，通過設(shè)備清單服務(wù)達到認證持續(xù)化，通過持續(xù)認證手段進行信任評估。初次登錄基于易用性考慮，完善多因子認證要素。二次認證根據(jù)安全等級或持續(xù)認證風險評估，需進行多因子認證。

在這種使用場景下，基于線上快速身份驗證（FIDO，F(xiàn)ast Identity Online）的密鑰標識和鑒別技術(shù)對解決身份認證問題具有較好的適用性。FIDO以非對稱密碼算法為基礎(chǔ)，采用本地生物識別認證方式，實現(xiàn)對用戶身份快速識別，無須證書或口令，且無須向服務(wù)端傳輸生物特征信息，有效防范用戶隱私泄露。對于各類實體對象（人員、設(shè)備、應用等）提供了多維度的身份標識（包括用戶標識符、公鑰標識符、生物特征標識符、設(shè)備標識符、應用標識符、可信應用列表標識符等），并實現(xiàn)了鑒別方式與鑒別協(xié)議解耦合的統(tǒng)一身份鑒別機制，可充分利用多種電子憑證，如生物特征（指紋、人臉、聲紋、虹膜等）、圖形密碼、PIN碼等，進行身份鑒別。FIDO規(guī)范泛了電力物聯(lián)網(wǎng)的終端安全策略管控原則，將傳統(tǒng)的對稱密鑰的生物特征識別技術(shù)轉(zhuǎn)換為非對稱密鑰體制的生物特征識別技術(shù)，保障用戶隱私，同時提高安全性和便捷性，構(gòu)建基于密碼基礎(chǔ)設(shè)施的快速、靈活、互認的身份認證機制，解決了口令天然存在弱口令、撞庫、難以確認用戶真實身份等安全問題以及難以記憶、不易維護等易用性問題，可以實現(xiàn)泛在電力物聯(lián)網(wǎng)的可信互聯(lián)。

3.4 多維度訪問控制授權(quán)策略

訪問控制授權(quán)需要充分考慮主體、客體和環(huán)境的多維屬性進行安全評估，基于多源感知的數(shù)據(jù)，度量潛在的安全風險和信任等級，規(guī)范安全量化標準，形成動態(tài)的訪問控制策略，并建立策略中心，確保訪問權(quán)限安全可控。

在移動終端交互場景中，采用基于屬性的動態(tài)訪問控制策略，對服務(wù)、應用以及數(shù)據(jù)進行自適應的細粒度訪問控制授權(quán)，移動用戶身份屬性基于多源數(shù)據(jù)分析（組織級安全策略和規(guī)則、訪問者的多維屬性、訪問目標的多維屬性、環(huán)境屬性、行為異常性評估），評估訪問授權(quán)，獲取其信任等級。如評估得出的信任等級高于訪問目標要求的最低信任等級，授權(quán)通過。

傳統(tǒng)的安全防護基于系統(tǒng)應用本身，導致安全防護和系統(tǒng)應用緊密耦合，缺乏彈性。需建立中間層管控，通過訪問策略進行動態(tài)配置和管理，有利于業(yè)務(wù)靈活發(fā)展，也有利于動態(tài)管控安全防護。通過可信代理可以將業(yè)務(wù)和應用接口隱藏在可信代理之后，默認不可見。

基于零信任的認證鑒權(quán)模式通過規(guī)范設(shè)備、用戶和服務(wù)的訪問途徑，對原來運維通道獲取數(shù)據(jù)途徑的更進一步收斂，保留審計和日志，系統(tǒng)的數(shù)據(jù)安全得以保障。

3.5 監(jiān)測審計

通過風險、信任的動態(tài)計算對應用訪問采取阻斷、允許并審計、允許等判定，持續(xù)監(jiān)測泛在終端狀態(tài)，調(diào)整相應接入控制策略。持續(xù)監(jiān)測應用對策略中心的訪問，將訪問日志輸出到分析平臺進行風險評估，流量可視化，采用大數(shù)據(jù)分析和人工智能技術(shù)，對風險進行分析，支撐風險度量化，實現(xiàn)應用對策略中心的訪問的監(jiān)測審計。

基于大數(shù)據(jù)與人工智能技術(shù)，運用流量采集、行為模式學習、安全攻擊監(jiān)測、安全威脅響應等方式，實現(xiàn)對泛在電力物聯(lián)網(wǎng)安全場景的動態(tài)感知、智能分析，及時對攻擊進行聯(lián)動響應處置，保障泛在電力物聯(lián)網(wǎng)系統(tǒng)安全穩(wěn)定運行。

4 結(jié)束語

本文針對基于零信任框架的物聯(lián)網(wǎng)安全防護進行了分析研究，通過分析現(xiàn)有防護不足給出了具體的防護建議：

（1）構(gòu)建泛在電力物聯(lián)網(wǎng)統(tǒng)一標識庫，為業(yè)務(wù)提供基礎(chǔ)密鑰標識，保證業(yè)務(wù)系統(tǒng)主體的標準統(tǒng)一。在實現(xiàn)全面身份化后，完善現(xiàn)有身份認證體系，運用基于線上快速身份驗證（FIDO）的密鑰標識和鑒別技術(shù)，建設(shè)安全可靠、靈活輕量的身份認證機制，實現(xiàn)泛在電力物聯(lián)網(wǎng)的可信互聯(lián)。

（2）建立動態(tài)訪問控制授權(quán)策略，充分考慮主體、客體和環(huán)境的多維屬性進行安全評估，基于多源感知的數(shù)據(jù)，度量潛在的安全風險和信任等級，規(guī)范安全量化標準，確保訪問權(quán)限安全可控。建立中間層管控，通過訪問策略進行動態(tài)配置和管理，實現(xiàn)業(yè)務(wù)靈活發(fā)展。

（3）持續(xù)監(jiān)測應用對策略中心的訪問，將訪問日志輸出到分析平臺進行風險評估，流量可視化，采用大數(shù)據(jù)分析和人工智能技術(shù)，對風險進行分析，支撐風險度量化，實現(xiàn)應用對策略中心的訪問的監(jiān)測審計。

[1]能源評論.打造“泛在電力物聯(lián)網(wǎng)”應規(guī)劃先行[J].物聯(lián)網(wǎng)技術(shù)，2019，9（03）：5-7.

[2]汪洋，蘇斌，趙宏波.電力物聯(lián)網(wǎng)的理念和發(fā)展趨勢[J].電信科學，2010，26（S3）：9-14.

[3]張玉清，周威，彭安妮.物聯(lián)網(wǎng)安全綜述[J].計算機研究與發(fā)展，2017，54（10）：2130-2143.

[4]A Survey on the Internet of Things Security. Zhao K，Ge L. Proc of the 9th International Conference on Computational Intelligence and Security （CIS）. 2013.

[5]張玉清，周威，彭安妮.物聯(lián)網(wǎng)安全綜述[J].計算機研究與發(fā)展，2017，54（10）：2130-2143.

[6]鄒維福，陳景暉，翁曉鋒，張翼英，楊成月.電力物聯(lián)網(wǎng)的風險分析及安全措施研究[J].電力信息與通信技術(shù)，2014，12（08）：121-125.

[7]Security，privacy and trust in Internet of Things：The road ahead[J].S. Sicari，A. Rizzardi，L.A.Grieco，A. Coen-Porisini. Computer Networks.

[8]趙婷，高昆侖，鄭曉崑，徐興坤.智能電網(wǎng)物聯(lián)網(wǎng)技術(shù)架構(gòu)及信息安全防護體系研究[J].中國電力，2012，45（05）：87-90.

[9]Security，privacy and trust in Internet of Things： The road ahead[J].S. Sicari，A.Rizzardi，L.A. Grieco，A. Coen-Porisini. Computer Networks . 2015.

[10]梅沁，李大偉，虎嘯.基于NB-IoT的電力物聯(lián)網(wǎng)安全技術(shù)研究[J].電力信息與通信技術(shù)，2019，17（01）：100-104.

[11]殷樹剛，許勇剛，李祉岐，李寧，孫磊，劉圣龍，王利斌，馮磊.基于泛在電力物聯(lián)網(wǎng)的全場景網(wǎng)絡(luò)安全防護體系研究[J].供用電，2019，36（06）：83-89.

[12]薛朝暉，向敏.零信任安全模型下的數(shù)據(jù)中心安全防護研究[J].通信技術(shù)，2017（06）.

[13]焦仃.為什么說“零信任”將成為網(wǎng)絡(luò)安全流行框架之一[J].計算機與網(wǎng)絡(luò)，2018，44（04）：54-55.