首頁 > 關(guān)于我們 > 安恒動態(tài) > 2024 > 正文

電力安全，恒久守護——安恒信息電力物聯(lián)資產(chǎn)管控解決方案

閱讀量：次 文章來源：安恒信息

隨著智能融合終端、電力設施、智能電表、無人機、巡檢機器人等智能設備的普及，生產(chǎn)端、傳輸端、消費端數(shù)以億計的設備、機器、系統(tǒng)連接起來，打通端-邊-管-云形成了電力物聯(lián)網(wǎng)的“物聯(lián)基礎(chǔ)”，保障了數(shù)字能源戰(zhàn)略目標的達成。但隨著物聯(lián)終端部署數(shù)量增多，部署位置廣泛也使得電力物聯(lián)資產(chǎn)的“暴露面”急劇擴大、不可控因素極具增多。對此，安恒信息精心打造了電力行業(yè)物聯(lián)資產(chǎn)管控解決方案，為電力行業(yè)物聯(lián)資產(chǎn)的管控提供新思路，解決電力物聯(lián)資產(chǎn)測繪難、弱點多、管控弱等安全風險。

一

電力物聯(lián)資產(chǎn)安全風險

電力物聯(lián)資產(chǎn)—測繪難

電力IOT網(wǎng)絡中的終端數(shù)量非常多，有打印機、考勤機、智能運檢、在線監(jiān)測、電纜監(jiān)測、車輛識別、變電站巡檢、視頻監(jiān)控、電纜監(jiān)測、變電站集采等類型繁雜且廣泛分布在外場環(huán)境，另外，終端擴建、更換較為頻繁。在此背景下，依靠人力進行資產(chǎn)梳理和建檔管理難度較大，依靠常規(guī)掃描產(chǎn)品由于缺乏相關(guān)指紋積累，無法識別電力專網(wǎng)內(nèi)特有的終端，由此形成一個電力資產(chǎn)測繪難的局面。

電力物聯(lián)資產(chǎn)—弱點多

電力物聯(lián)終端大多以業(yè)務功能需求實現(xiàn)為核心目標，由于終端本身大多是嵌入式智能設備、算力有限，很多采用剪裁版Linux操作系統(tǒng)、Android操作系統(tǒng)。其物聯(lián)終端可能存在著安全漏洞、弱密碼、初始密碼等資產(chǎn)弱點，一旦被利用，其關(guān)聯(lián)的業(yè)務系統(tǒng)甚至將會面臨癱瘓的風險。這些弱點可能將成為電力系統(tǒng)致命的弱點。

電力物聯(lián)資產(chǎn)—管控弱

電力物聯(lián)網(wǎng)由于隨著信息化迭代升級，其邊界的不斷延伸，甚至逐漸模糊，有些場景缺乏物聯(lián)終端接入身份認證和準入控制，仿冒、私接、未知、不合規(guī)的物聯(lián)終端可輕而易舉的接入網(wǎng)絡，一旦某些物聯(lián)終端中病毒或被惡意控制，很容易在局域網(wǎng)內(nèi)橫向擴散，對整個依托于物聯(lián)終端構(gòu)建的業(yè)務系統(tǒng)形成極大的安全威脅。

二

電力物聯(lián)資產(chǎn)管控政策要求

近年來，國家陸續(xù)出臺了多項標準與規(guī)定，旨在強化電力信息系統(tǒng)對物聯(lián)資產(chǎn)的安全管控，其中包括：

GB/T 36047-2018?

電力信息系統(tǒng)安全檢查規(guī)范

GB/T 22239-2019?

信息安全技術(shù)?網(wǎng)絡安全等級保護基本要求

GB/T 39204-2022?

信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設施安全保護要求

三

安恒電力物聯(lián)資產(chǎn)管控解決方案

在此背景下，安恒信息基于直擊核心問題，嚴防重大風險的思路，提出了安恒信息電力物聯(lián)資產(chǎn)安全管控解決方案。

解決方案介紹

整體解決方案由2大核心組件構(gòu)成。一是部署運維管理區(qū)的物聯(lián)網(wǎng)安全感知與管理平臺，實現(xiàn)整體觀看；二是在廠站的匯聚交換機旁路部署安恒物聯(lián)網(wǎng)安全準入系統(tǒng)，實現(xiàn)物聯(lián)資產(chǎn)識別、弱點檢測、異常行為檢測，同時構(gòu)建嚴格的物聯(lián)資產(chǎn)準入管控機制。

以下為實際場景方案部署情況：

方案用戶價值

依托上述解決方案，給客戶帶來的核心價值為：

（1）可信的物聯(lián)網(wǎng)終端

電力物聯(lián)資產(chǎn)管控解決方案，能夠?qū)ξ锫?lián)資產(chǎn)進行身份管理，快速識別仿冒、私接的物聯(lián)網(wǎng)終端并且對這些終端進行安全封堵，只允許可信的物聯(lián)網(wǎng)終端接入到電力物聯(lián)網(wǎng)中。

（2）安全的通道

電力物聯(lián)資產(chǎn)管控解決方案，能夠?qū)貍鞯奈锫?lián)網(wǎng)感知數(shù)據(jù)進行國密加密，并且對回傳的數(shù)據(jù)進行安全清洗，從而保證通道的加密性和安全性。

（3）適當?shù)臋?quán)限

電力物聯(lián)資產(chǎn)管控解決方案，能夠?qū)ψ詣訉W習物聯(lián)終端的訪問行為，從而做到動態(tài)訪問控制策略；另一方面可以解析物聯(lián)網(wǎng)終端的協(xié)議或信令，可以基于協(xié)議和信令設置細粒度權(quán)限管理；并且可以測繪設備訪問行為，對設備的行為進行溯源。

（4）重要的業(yè)務

電力物聯(lián)資產(chǎn)管控解決方案，能夠通過基線測繪重要的業(yè)務系統(tǒng)，以及重要業(yè)務和物聯(lián)終端交互的端口，從而減少非必要的開放端口和可能暴露的重要業(yè)務系統(tǒng)。

（5）保護敏感的數(shù)據(jù)

電力物聯(lián)資產(chǎn)管控解決方案，能夠?qū)崟r監(jiān)測和管控非法外發(fā)數(shù)據(jù)；能夠監(jiān)測物聯(lián)網(wǎng)終端間的數(shù)據(jù)非法傳輸；能夠持續(xù)檢測違規(guī)外聯(lián)、多網(wǎng)卡等外聯(lián)數(shù)據(jù)泄露行為。

四

應用案例—國網(wǎng)山東省**供電公司

國網(wǎng)山東省**供電公司，歷來重視網(wǎng)絡安全風險，但是發(fā)現(xiàn)電力物聯(lián)網(wǎng)終端可能存在以下風險，并且希望安恒信息能夠?qū)ξ锫?lián)網(wǎng)終端進行安全加固。

（1）物聯(lián)終端分布廣泛

沒有統(tǒng)一的資產(chǎn)管理平臺，并且物聯(lián)終端安全狀態(tài)難以掌控，沒有統(tǒng)一的安全狀態(tài)展示平臺。

（2）風險暴露廣泛

包括打印機、考勤機、在線監(jiān)測、電纜監(jiān)測、車輛識別、變電站巡檢、視頻監(jiān)控、電纜監(jiān)測、變電站集采等，均具有被攻擊的威脅。

（3）終端面臨風險廣泛

不但面臨被冒用的風險，同時也面臨著被非法操控的風險。

安恒解決方案

安恒信息采用電力物聯(lián)資產(chǎn)管控解決方案對其進行防護，以下是對應的防護邏輯圖：

客戶收益

（1）物聯(lián)網(wǎng)資產(chǎn)測繪

基于主動掃描和流量分析的能力，實現(xiàn)了網(wǎng)內(nèi)物聯(lián)資產(chǎn)的全面測繪。收集了物聯(lián)網(wǎng)終端設備IP、MAC地址、操作系統(tǒng)、端口開放狀態(tài)等關(guān)鍵設備信息。如圖：

（2）資產(chǎn)異常管控

基于快速采集物聯(lián)終端的IP、MAC、系統(tǒng)信息、類型等信息生成唯一指紋，對物聯(lián)網(wǎng)終端進行指紋識別，對指紋信息錯誤的物聯(lián)終端實時阻斷并告警；對物聯(lián)終端進行實時管控，確保所有接入終端的安全可靠

（3）異常流量監(jiān)測

對采集的數(shù)據(jù)進行機器學習的算法進行分析，獲取設備運行的基線數(shù)據(jù)，監(jiān)測設備運行中的異常情況，例如可以準確識別僵尸網(wǎng)絡產(chǎn)生的異常流量數(shù)據(jù)，快速檢測出系統(tǒng)中隱含的SYN、ACK、UDP流量攻擊IP地址等信息，進行記錄上報。通過監(jiān)測異常流量，及時識別并阻止?jié)撛诘墓粜袨椤?

目前，安恒信息的電力物聯(lián)資產(chǎn)管控解決方案已在多個國網(wǎng)公司及發(fā)電廠成功應用，有效幫助用戶提升了電力系統(tǒng)的安全等級，保障了電力系統(tǒng)的安全與穩(wěn)定，未來，我們將持續(xù)關(guān)注電力物聯(lián)終端安全防護課題，繼續(xù)以客戶需求為導向，不斷創(chuàng)新和優(yōu)化解決方案，持續(xù)助力電力行業(yè)關(guān)鍵基礎(chǔ)設施的安全高效運行。