面向電網(wǎng)信息安全的“零信任”防御框架設計

李冬華 顧春暉

（國網(wǎng)鹽城供電公司 江蘇省鹽城市 224000）

隨著信息技術(shù)以及計算機網(wǎng)絡的快速發(fā)展，“大云物移智鏈邊”等現(xiàn)代化新興技術(shù)廣泛應用于電力行業(yè)之中，進一步擴大了電力信息網(wǎng)絡系統(tǒng)的建設規(guī)模，使得網(wǎng)絡設備的數(shù)量、種類不斷增加。但是，由于傳統(tǒng)的電網(wǎng)信息安全防御框架，僅以網(wǎng)絡邊界預防為主，并且對系統(tǒng)內(nèi)的設備、用戶等具有默認信任的特點，已經(jīng)無法滿足現(xiàn)階段電網(wǎng)信息安全防御的實際需求。因此，為了有效彌補傳統(tǒng)電網(wǎng)安全防御系統(tǒng)的缺陷，全面加強電網(wǎng)信息安全的系統(tǒng)性防御，“零信任”安全防御框架體系應運而生。

1 “零信任”防御框架的設計思路

由于電網(wǎng)系統(tǒng)被攻擊與威脅的現(xiàn)象較為嚴重，使得電網(wǎng)信息安全防御體系的構(gòu)建，需要充分考慮微觀與宏觀兩個方面。微觀層面需要切實滿足電力系統(tǒng)的動態(tài)化以及個性化需求；宏觀層面則是需構(gòu)建出防御性較高的模型，可見“零信任”防御框架與電網(wǎng)信息安全的需求完全契合。

與此同時，若想在“零信任”防御理念下，構(gòu)建電網(wǎng)信息安全防護體系，其中最大的難點在于使用的技術(shù)手段與實施方案。換言之，信息安全防護體系的構(gòu)建，需要在高效、簡潔的環(huán)境內(nèi)得到落實，但是一種新的信息安全框架的創(chuàng)新與使用，要經(jīng)過大量的實驗研究與評測才能夠充分證明是否具有可行性。因此，基于電網(wǎng)信息安全的“零信任”防御框架，是以“零信任”防御理念為依托，以終端可信感知Agent、智能信任評估平臺、多源數(shù)據(jù)匯總平臺、統(tǒng)一安全管理平臺

以及可信訪問代理等多個方面為基本架構(gòu)進行設計的，具體框架圖如圖1所示[1]。

2 基于電網(wǎng)信息安全的“零信任”防御框架

2.1 終端可信感知Agent

通常情況下，電網(wǎng)信息安全系統(tǒng)的終端訪問場景主要包括設備終端、應用系統(tǒng)以及用戶三個方面。其中，設備終端分為智能業(yè)務終端、現(xiàn)場采集終端等；應用系統(tǒng)分為企業(yè)自建應用系統(tǒng)與電網(wǎng)通推系統(tǒng)；用戶分為電力用戶、電網(wǎng)企業(yè)員工、以及供應商等。將終端可信感知Agent納入電網(wǎng)信息安全“零信任”防御框架，能夠有效實現(xiàn)外部應用服務器、用戶設備終端以及電力智能終端等設備環(huán)境的風險感知，并對設備、應用系統(tǒng)以及用戶等數(shù)據(jù)信息進行有效識別與收集，再將其具體信息上報至環(huán)境感知系統(tǒng)之中，進而全面提升防御系統(tǒng)的安全性以及感知性。

2.2 多源數(shù)據(jù)匯總平臺

多元數(shù)據(jù)匯總平臺主要由電網(wǎng)現(xiàn)有電力監(jiān)控、流量感知、態(tài)勢感知以及終端感知等系統(tǒng)組成，能夠?qū)W(wǎng)絡設備、終端設備以及電力網(wǎng)絡等多源感知數(shù)據(jù)進行采集、抽取、清洗以及匯總，進而為下一環(huán)節(jié)的智能信任評估平臺提供最為原始的感知監(jiān)測信息。

2.3 智能信任評估平臺

所謂智能信任評估平臺，即以信任評估算法為核心，將多源數(shù)據(jù)匯總平臺與可信訪問代理分別上報的感知檢測數(shù)據(jù)以及訪問日志等多維度、實時性的屬性信息有效結(jié)合，并以此為依據(jù)對電網(wǎng)系統(tǒng)訪問請求的風險水平以及信任等級進行綜合評估，最后將具體的評估結(jié)果上傳至動態(tài)訪問控制平臺，進而為電網(wǎng)用戶的訪問授權(quán)提供重要的判定依據(jù)[2]。同時，每個設備以及用戶的訪問等級可以根據(jù)實際的網(wǎng)絡信息環(huán)境進行動態(tài)更新，進而全面推動“零信任”信息安全防御體系的動態(tài)構(gòu)建。另外，信任評估算法是整個智能信任評估平臺的核心部分，能夠切實保障電網(wǎng)安全訪問平臺的正常運行，其中，信任評估算法的輸入主要包括設備信息、用戶信息、行為屬性、訪問信息、外部威脅情報以及設備狀態(tài)等部分；算法過程可根據(jù)靜態(tài)規(guī)則匹配以及信息屬性度量等方式進行基準值比較，并科學計算偏差情況、匯總風險類型，進而以此為依據(jù)獲取此次訪問的信任等級，再根據(jù)所要訪問的資源屬性進行二次判定；此外，可充分借助人工智能、神經(jīng)網(wǎng)絡等啟發(fā)式方法進行等級判斷，需要將輸入信息系統(tǒng)中的數(shù)據(jù)特征提取出來，并進行深入的學習訓練，再構(gòu)建出信任評估模型，進而利用信任評估模型輸出信任等級，既能夠有效提升輸出等級的準確性，又能夠?qū)π湃卧u估模型的有效性進行全面反饋。

2.4 動態(tài)訪問控制平臺

動態(tài)訪問控制平臺的主要功能是對訪問用戶進行身份認證以及策略判定。具體包括以下幾個方面：

（1）驗證所有訪問主體的身份，并與統(tǒng)一安全管理平臺之間建立信息聯(lián)動，強化自適應多因子認證功能，如郵箱、令牌、智能卡、生物識別、定制表單以及密碼等多種方式的有機組合；

（2）嚴格依據(jù)智能信任平臺推送的評估結(jié)果，對訪問主體進行授權(quán)與判定，并根據(jù)實際的電網(wǎng)安全防御需求實施調(diào)整權(quán)限分配，再將具體的決策結(jié)果上傳至可信訪問代理，最后由可信訪問代理強制執(zhí)行或者實施二次認證。

動態(tài)訪問控制平臺的具體工作流程如圖2所示。

（1）由電網(wǎng)訪問終端發(fā)送訪問請求至可信接入網(wǎng)關(guān)，再由可信接入網(wǎng)關(guān)發(fā)送身份認證請求至動態(tài)訪問控制平臺；

（2）統(tǒng)一安全管理平臺需要與動態(tài)訪問控制平臺之間建立聯(lián)動，并完成訪問設備與用戶之間的身份認證，再將認證結(jié)果反饋至可信接入網(wǎng)關(guān)，只有認證成功才能夠進入下一環(huán)節(jié)；

（3）由可信接入網(wǎng)關(guān)發(fā)送授權(quán)申請請求至動態(tài)訪問控制平臺，同時智能信任評估平臺需要依據(jù)環(huán)境感知結(jié)果以及動態(tài)訪問控制平臺上傳的訪問日志進行綜合分析，并將其輸入信任評估模型之中，待信任評估結(jié)果出來以后傳輸至動態(tài)訪問控制平臺；

（4）動態(tài)訪問控制平臺需要嚴格按照智能評估結(jié)果實施阻斷訪問命令或者授權(quán)訪問命令的判斷，并將最終的判定結(jié)果發(fā)送至可信接入網(wǎng)關(guān)，進而達到動態(tài)控制電網(wǎng)訪問的效果。

2.5 統(tǒng)一安全管理平臺

就“零信任”電網(wǎng)信息安全防御框架的構(gòu)建而言，統(tǒng)一安全管理平臺是有效確保其能夠?qū)崿F(xiàn)以身份認證為依托的重要支撐，主要包括密碼管理、權(quán)限管理以及身份管理三個部分，具有較高的可信性以及權(quán)威性。其中，密碼管理模塊能夠管理以及存儲訪問主體進行身份認證時所使用的密鑰；權(quán)限管理模塊的主要功能為通過構(gòu)建權(quán)限庫、身份庫、身份權(quán)限映射關(guān)系庫等方式，實現(xiàn)對于細粒度授權(quán)策略的全面管控；身份管理模塊能夠?qū)υO備、接口、用戶、服務以及應用等訪問主體實施統(tǒng)一編碼，全面實現(xiàn)訪問過程的身份化管理，并且能夠?qū)Ω鱾€訪問身份進行更改、關(guān)聯(lián)、創(chuàng)建以及撤銷等操作。另外，應制定健全的賬號管理機制，對于訪問主體的權(quán)限系統(tǒng)以及賬號進行統(tǒng)一化管理，并將訪問主體與設備相關(guān)聯(lián)，從而有效保證用戶在進行電網(wǎng)信息訪問時，所使用的設備具有一定的可信性。

2.6 可信訪問代理

所謂可信訪問代理，即訪問控制的策略執(zhí)行點，主要包括可信應用代理、可信API代理兩個方面。

（1）利用代理技術(shù)實施業(yè)務安全訪問，并按照動態(tài)訪問控制平臺傳遞的策略判定進行訪問授權(quán)；同時可信訪問代理能夠?qū)﹄娋W(wǎng)數(shù)據(jù)信息的傳輸進行加密處理，并通過建立加密渠道、加密數(shù)據(jù)信息等方式，實現(xiàn)電網(wǎng)數(shù)據(jù)信息傳遞的安全化、高效化；

（2）電網(wǎng)內(nèi)部業(yè)務與電網(wǎng)終端業(yè)務若想實現(xiàn)信息交互，則需要嚴格依照信任等級進行授權(quán)判定，再由可信訪問代理代替其進行訪問，既能夠有效強化訪問過程的可控性，又能夠全面實現(xiàn)場景業(yè)務隱藏，即將訪問主體進行訪問的全部業(yè)務隱藏至可信訪問代理平臺后，只有訪問主體具備訪問權(quán)限并通過身份認證，才能夠進行以上業(yè)務訪問，從而進一步強化電網(wǎng)信息安全“零信任”防御體系的安全性[3]。

3 結(jié)束語

“零信任”電網(wǎng)安全信息防御體系的構(gòu)建，既能夠有效彌補傳統(tǒng)電網(wǎng)系統(tǒng)以邊界防護為核心的不足，又能夠為電網(wǎng)數(shù)據(jù)信息提供雙重的安全防護，對我國電網(wǎng)系統(tǒng)的安全穩(wěn)定運行具有重要的促進作用。因此，基于“零信任”安全防御的框架設計，應在保障電網(wǎng)數(shù)據(jù)信息安全的前提下，對訪問主體的歷史行為、所處環(huán)境、身份以及當前訪問行為等信息進行持續(xù)評估，并且訪問主體在進行電網(wǎng)系統(tǒng)訪問時，應嚴格依據(jù)最小權(quán)限原則進行動態(tài)權(quán)限賦予，同時將訪問客體隱藏，切實充分保證訪問業(yè)務以及安全策略的獨立性，進而為電力網(wǎng)絡系統(tǒng)的安全、穩(wěn)定運行提供有力保障。