基于零信任的電力數(shù)據(jù)安全防護體系研究

連晨，謝銘，王健

（1.南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司，廣東 廣州 510700；2.廣西電網(wǎng)有限公司，廣西 南寧 530028）

0 引言

隨著工業(yè)領(lǐng)域不斷發(fā)展，信息系統(tǒng)的結(jié)構(gòu)更加多元，邊界非確定性逐漸增加，為適應(yīng)新基建的的安全防護技術(shù)要求，傳統(tǒng)的工業(yè)數(shù)據(jù)安全防護方式需要進行迭代更新，現(xiàn)在面臨的防護形勢更加復(fù)雜，包括了以下方面。一是在信息系統(tǒng)上，隨著云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新人工智能技術(shù)的不斷發(fā)展與廣泛使用，新技術(shù)本身帶來的安全風(fēng)險，也隨之嵌入了其攜帶的工業(yè)數(shù)據(jù)之中；二是在行業(yè)的各垂直業(yè)務(wù)中，隨著用戶需求不斷提高的過程中，越來越多定制化的信息安全產(chǎn)品，為滿足客戶互聯(lián)互通的商業(yè)需要，目前的工業(yè)產(chǎn)品更多著重于跨領(lǐng)域協(xié)同，重點關(guān)注于橫向交互融合、交互場景的需求，而縱向的安全服務(wù)能力有待提高；三是在信息系統(tǒng)上數(shù)據(jù)的安全，工業(yè)領(lǐng)域數(shù)據(jù)的周期包含了從客戶需求到設(shè)計研發(fā)制造的全生命周期，由于生命周期所涉及到的用戶和業(yè)務(wù)開發(fā)環(huán)節(jié)較多，不同環(huán)節(jié)涉及到的數(shù)據(jù)也更多樣復(fù)雜，因此隨著工業(yè)數(shù)據(jù)體量種類的多樣化復(fù)雜化的過程，重新對數(shù)據(jù)分類儲存、清洗分析等安全技術(shù)有了新的要求，技術(shù)上需要進行創(chuàng)新改進。

綜上所述，目前工業(yè)領(lǐng)域數(shù)據(jù)安全涉及面廣，數(shù)據(jù)關(guān)系復(fù)雜，如何保障數(shù)據(jù)安全已經(jīng)成為在各行各業(yè)必須要解決的重大問題。

1 工業(yè)平臺上的數(shù)據(jù)安全風(fēng)險分析

目前，工業(yè)平臺上發(fā)生的數(shù)據(jù)風(fēng)險主要有以下方面原因。一是數(shù)據(jù)采集風(fēng)險，在數(shù)據(jù)采集的過程中需要保障數(shù)據(jù)采集來源的可靠，需要做到對采集的數(shù)據(jù)進行分類，需要建立分級明確數(shù)據(jù)的分類分級制度，對于敏感數(shù)據(jù)在數(shù)據(jù)采集過程中就應(yīng)該提前做好分類工作，以防數(shù)據(jù)敏感數(shù)據(jù)被不法分子利用，導(dǎo)致出現(xiàn)敏感數(shù)據(jù)泄漏等情況；二是數(shù)據(jù)傳輸風(fēng)險，從信息源到數(shù)據(jù)平臺的傳輸過程中，大多是通過網(wǎng)絡(luò)進行傳輸?shù)?，傳輸過程中經(jīng)過的多種電子通訊設(shè)備以及相關(guān)基礎(chǔ)措施，有可能受到外界的破壞或改造，導(dǎo)致數(shù)據(jù)在傳輸過程中面臨泄漏、篡改、監(jiān)聽等隱患；三是數(shù)據(jù)的儲存風(fēng)險，數(shù)據(jù)在工業(yè)平臺上的存儲能力大部分依賴于工業(yè)存儲的設(shè)備情況，一旦設(shè)備存在老化故障等問題，會造成設(shè)備上的數(shù)據(jù)存在丟失或損壞等情況，另一方面，部分平臺的管理商為節(jié)省數(shù)據(jù)儲存空間，并未對數(shù)據(jù)進行必要的容錯或備份，一旦發(fā)生意外狀況，可能會導(dǎo)致重要數(shù)據(jù)丟失，甚至無法無法恢復(fù)。第四點是數(shù)據(jù)在使用過程中的風(fēng)險，在平臺對數(shù)據(jù)進行操作的過程中，存在由于管理員操作不當，下發(fā)一系列不正確的操作指令，致使數(shù)據(jù)泄露或者損壞；另一方面，平臺系統(tǒng)在數(shù)據(jù)交換過程中，往往使用數(shù)據(jù)接口等工具，如果這些數(shù)據(jù)接口上的安全防護措施不到位，比如缺少對象驗證、訪問控制、訪問授權(quán)、數(shù)字簽名、傳輸加密等安全手段，有可能會被不法分子有機可乘，從接口直接導(dǎo)出數(shù)據(jù)，導(dǎo)致數(shù)據(jù)泄露問題；第五點是數(shù)據(jù)的銷毀風(fēng)險，在數(shù)據(jù)銷毀過程中，如果平臺管理人員使用的刪除操作為邏輯操作，有可能未徹底銷毀數(shù)據(jù)，一旦被黑客利用該漏洞進行數(shù)據(jù)恢復(fù)，則會導(dǎo)致敏感數(shù)據(jù)被泄露；六是數(shù)據(jù)的合規(guī)風(fēng)險，由于部分工業(yè)平臺的客戶或者供應(yīng)商的相關(guān)法律意識較為薄弱，未能遵守相關(guān)的網(wǎng)絡(luò)安全法，導(dǎo)致出現(xiàn)數(shù)據(jù)使用、共享有存在不合規(guī)甚至違法等情況；七是數(shù)據(jù)的審計風(fēng)險，在平臺數(shù)據(jù)治理過程中，往往缺少客觀中立的第三方對數(shù)據(jù)風(fēng)險進行監(jiān)督，導(dǎo)致對工業(yè)平臺數(shù)據(jù)的全生命周期風(fēng)險未能及時識別，潛在的風(fēng)險安全問題未能及時提出[1]。

2 數(shù)據(jù)安全防護技術(shù)研究

從以上風(fēng)險分析可以判斷，傳統(tǒng)的基于物理位置構(gòu)筑數(shù)據(jù)安全環(huán)境的防御架構(gòu)正面臨巨大威脅，傳統(tǒng)手段已不足以解決問題這些問題。因此需要引入新的基于零信任網(wǎng)絡(luò)架構(gòu)、身份認證技術(shù)、加密技術(shù)和入侵檢測技術(shù)，構(gòu)建新的數(shù)據(jù)安全防御體系。

零信任原型旨在解決無邊界網(wǎng)絡(luò)安全問題，最早是由由機構(gòu)Forrester的首席分析師John以“從不信任，始終校驗”提出，其目的是實現(xiàn)CARTA（持續(xù)適應(yīng)風(fēng)險與信任評估），2020年騰訊在零信任解決方案白皮書中，概括其核心思想是“不以網(wǎng)絡(luò)內(nèi)外網(wǎng)區(qū)分，訪問主體為驗證的流量都默認為不可信?！?，隨著業(yè)界對零信任理論的不斷完善，其逐步從原型向主流網(wǎng)絡(luò)安全架構(gòu)演進，其相關(guān)關(guān)鍵技術(shù)如下圖1，并基于零思想在數(shù)據(jù)安全防護系統(tǒng)場景中設(shè)計實驗指標。

其中，身份認證技術(shù)分兩種典型應(yīng)用[2]。一是驗證用戶身份后得到授權(quán)后進行操作訪問，二是允許對合法的用戶和服務(wù)提供進一步的數(shù)據(jù)交互。對于第一種場景，多采用訪問控制的技術(shù)，而后者則多采用密鑰協(xié)議進行通信。密鑰協(xié)議多依賴于第三方進行密鑰管理，常見的協(xié)議有Diffie-Hellman、基于口令和智能卡的認證協(xié)議、基于生物特征的認證協(xié)議（比如面部聲音指紋）、新型的在云環(huán)境下的認證協(xié)議，包括采用一次性口令身份認證，基于單點登錄的聯(lián)合身份認證比如OPENI協(xié)議，基于云的RFID認證協(xié)議，以及適用于云的雙因子和多因子認證等身份認證技術(shù)。

圖1 基于零信任的電力數(shù)據(jù)安全防護技術(shù)

在保護通信網(wǎng)絡(luò)數(shù)據(jù)傳輸安全的過程中，可采用密碼技術(shù)支持的裝載有加解密、身份驗證等模塊的智能網(wǎng)關(guān)，實現(xiàn)數(shù)據(jù)傳輸保密性。在加密過程，為防止木馬密碼字典等攻擊，可采用公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure）機制，依托于第三方管理中心，提高自身密碼管控能力。但是PKI機制由于過于依賴中心化，容易遭受到單點故障和拒絕服務(wù)攻擊。因此，不存在中心點進行證書交換的基于身份標識的IBC（Identitybased Cryptography）技術(shù)與可以減少PKI機制面臨的以上危險，但是IBC機制由于私鑰存放在用戶側(cè)，如果用戶側(cè)私鑰泄露也會導(dǎo)致數(shù)據(jù)泄露[2]。

除了聚焦于加強認證能力和加密技術(shù)，有效使用安全組件，比如防火墻、IPS、抗DDOS系統(tǒng)、抗APT攻擊系統(tǒng)、網(wǎng)閘等網(wǎng)絡(luò)安全組件可以有效進行入侵檢測，抵抗外界攻擊和內(nèi)部攻擊。有效的入侵檢測包括以下方式。一是在網(wǎng)絡(luò)邊界處安裝入侵檢測系統(tǒng)（IDS），IDs采用協(xié)議分析、模式匹配、異常監(jiān)測等技術(shù)，在入侵檢測系統(tǒng)中，對下級接口上報的數(shù)據(jù)報文、數(shù)據(jù)包進行實時監(jiān)視，及時預(yù)警；二是在網(wǎng)絡(luò)邊界處裝載安全防護組件進行拒絕服務(wù)攻擊、端口掃描等終端處安全防護手段；三是面對更新迭代的攻擊技術(shù)，安全策略也需要是動態(tài)的，這一點可以在安全監(jiān)測系統(tǒng)中，采用機器學(xué)習(xí)技術(shù)等人工智能技術(shù)，對攻擊行為進行海量學(xué)習(xí)，實時優(yōu)化調(diào)整安全策略[3]，常用的算法有KNN、貝葉斯決策算法等[4]。

基于以上零信任思想與相關(guān)安全防護技術(shù)分析，本論文提出了一種新型電力數(shù)據(jù)安全防護體系。在身份安全基礎(chǔ)平臺上提供對遠程用戶的訪問控制、入侵檢測及密碼服務(wù)；引入了身份認證技術(shù)對用戶進行身份鑒別與訪問；通過入侵檢測系統(tǒng)對數(shù)據(jù)報文進行分析與監(jiān)控，同時裝載安全防護組件，并應(yīng)用人工智能技術(shù)提供智能識別與策論優(yōu)化，采用國產(chǎn)加密技術(shù)并建立健全的密鑰管理中心；具體數(shù)據(jù)安全防護體系見下圖2。

圖2 數(shù)據(jù)安全防護體系

3 應(yīng)用場景驗證

3.1 數(shù)據(jù)安全防護系統(tǒng)場景

電力行業(yè)作為工業(yè)行業(yè)中的重要領(lǐng)域，現(xiàn)有的電力系統(tǒng)網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)模式比較復(fù)雜?，F(xiàn)對于電力運行監(jiān)控場景，進行業(yè)務(wù)實驗，驗證基于零信任的數(shù)據(jù)安全防護體系架構(gòu)效果。實驗選取了事件工單數(shù)據(jù)、月度作業(yè)計劃數(shù)據(jù)、作業(yè)變更數(shù)據(jù)、缺陷工單數(shù)據(jù)、告警明細數(shù)據(jù)進行測試，目的是驗證零信任架構(gòu)在電網(wǎng)業(yè)務(wù)中的數(shù)據(jù)保護性能。實驗結(jié)果表明，基于零信任的數(shù)據(jù)安全防護體系的效果良好，測試結(jié)果充分表明了零信任架構(gòu)在電網(wǎng)業(yè)務(wù)中的有效性、安全性，可以支撐電力系統(tǒng)的數(shù)據(jù)安全與業(yè)務(wù)安全。

3.2 指標設(shè)計

在網(wǎng)絡(luò)安全監(jiān)測分析工作中，通過采用基于零信任的數(shù)據(jù)安全防護體系，針對電網(wǎng)網(wǎng)絡(luò)安全監(jiān)測事件、缺陷及告警處理的專業(yè)場景，對事件工單、作業(yè)計劃、作業(yè)變更、缺陷工單、告警明細等數(shù)據(jù)的查準率建立計算模型，通過計算基于零信任的數(shù)據(jù)安全防護各安全狀態(tài)因素值，獲得總體安全態(tài)勢值，設(shè)事件工單數(shù)據(jù)、月度作業(yè)計劃數(shù)據(jù)、作業(yè)變更數(shù)據(jù)、缺陷工單數(shù)據(jù)、告警明細數(shù)據(jù)安全狀態(tài)因素值的距離分別是Di，當i=1,2,3,4,5,n時，通過下述公式求取安全狀態(tài)因素值的距離的值Di，影響參數(shù)為x，單類計算數(shù)據(jù)的調(diào)整因子為a，安全狀態(tài)因素值的距離的值Di具體為：

通過下述公式求取安全態(tài)勢的值S，具體為：

4 成效分析

基于零信任的數(shù)據(jù)安全防護體系，通過公司信息運維管理實用化場景，可以對事件工單數(shù)據(jù)、月度作業(yè)計劃數(shù)據(jù)、作業(yè)變更數(shù)據(jù)、缺陷工單數(shù)據(jù)、告警明細數(shù)據(jù)指標的進行統(tǒng)計分析，為信息運維管理決策分析提供具有針對性的數(shù)據(jù)支撐；通過電網(wǎng)網(wǎng)絡(luò)安全態(tài)勢實時分析實用化場景，為電網(wǎng)省級網(wǎng)絡(luò)安全監(jiān)控中心提供了整體網(wǎng)絡(luò)安全態(tài)勢的實時分析，便于監(jiān)控分析人員及時掌握網(wǎng)絡(luò)攻擊動態(tài)；通過基于零信任的數(shù)據(jù)安全防護體系應(yīng)用場景，運維服務(wù)信息化水平和運維管理效率得到有效提升。基于零信任的數(shù)據(jù)安全防護體系場景應(yīng)用結(jié)果，主要成效體現(xiàn)如下。信息服務(wù)管理方面，原來計算事件按時解決率、一線解決率、事件平均響應(yīng)時長等信息服務(wù)指標需人工計算，耗時約45分鐘，通過基于零信任的數(shù)據(jù)安全防護分析，耗時約3分鐘，效率提升了約93%。作業(yè)管理方面，人工統(tǒng)計月度作業(yè)計劃數(shù)、作業(yè)開展情況、變更完成進度需耗時15分鐘，通過IOS開放數(shù)據(jù)應(yīng)用場景統(tǒng)計展示，耗時約1.5分鐘，效率提升了約90%。缺陷管理方面，人工統(tǒng)計緊急缺陷、高風(fēng)險缺陷、低風(fēng)險缺陷完成情況和超時缺陷數(shù)，耗時約10分鐘，通過基于零信任的數(shù)據(jù)安全防護體系應(yīng)用場景統(tǒng)計展示，耗時約1分鐘，效率提升了約90%。告警管理方面，按照告警等級人工統(tǒng)計告警數(shù)據(jù)和處理完成情況，耗時約18分鐘，通過基于零信任的數(shù)據(jù)安全防護分析計算，耗時約2分鐘，效率提升了約88.9%。在網(wǎng)絡(luò)安全態(tài)勢監(jiān)控方面，通過挖掘監(jiān)控中心關(guān)注的攻擊數(shù)據(jù)進行統(tǒng)一分析，有效提升監(jiān)控效率75%。

5 結(jié)語

本文針對工業(yè)互聯(lián)網(wǎng)背景下，電力數(shù)據(jù)面臨的攻擊危險日益增多的情況下，提出了基于零信任的電力數(shù)據(jù)安全防護體系，融合身份認證技術(shù)、技術(shù)加密技術(shù)、入侵檢測技術(shù)，并結(jié)合了電網(wǎng)業(yè)務(wù)場景開展論證。驗證結(jié)果表明，該體系架構(gòu)可滿足電力場景下的數(shù)據(jù)安全防護需求，有效保障了數(shù)據(jù)的全生命周期安全，提高了電網(wǎng)業(yè)務(wù)的數(shù)據(jù)保障水平。