連晨，謝銘，王健

（1.南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司，廣東 廣州 510700；2.廣西電網(wǎng)有限公司，廣西 南寧 530028）

0 引言

隨著工業(yè)領(lǐng)域不斷發(fā)展，信息系統(tǒng)的結(jié)構(gòu)更加多元，邊界非確定性逐漸增加，為適應(yīng)新基建的的安全防護(hù)技術(shù)要求，傳統(tǒng)的工業(yè)數(shù)據(jù)安全防護(hù)方式需要進(jìn)行迭代更新，現(xiàn)在面臨的防護(hù)形勢更加復(fù)雜，包括了以下方面。一是在信息系統(tǒng)上，隨著云計(jì)算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新人工智能技術(shù)的不斷發(fā)展與廣泛使用，新技術(shù)本身帶來的安全風(fēng)險(xiǎn)，也隨之嵌入了其攜帶的工業(yè)數(shù)據(jù)之中；二是在行業(yè)的各垂直業(yè)務(wù)中，隨著用戶需求不斷提高的過程中，越來越多定制化的信息安全產(chǎn)品，為滿足客戶互聯(lián)互通的商業(yè)需要，目前的工業(yè)產(chǎn)品更多著重于跨領(lǐng)域協(xié)同，重點(diǎn)關(guān)注于橫向交互融合、交互場景的需求，而縱向的安全服務(wù)能力有待提高；三是在信息系統(tǒng)上數(shù)據(jù)的安全，工業(yè)領(lǐng)域數(shù)據(jù)的周期包含了從客戶需求到設(shè)計(jì)研發(fā)制造的全生命周期，由于生命周期所涉及到的用戶和業(yè)務(wù)開發(fā)環(huán)節(jié)較多，不同環(huán)節(jié)涉及到的數(shù)據(jù)也更多樣復(fù)雜，因此隨著工業(yè)數(shù)據(jù)體量種類的多樣化復(fù)雜化的過程，重新對(duì)數(shù)據(jù)分類儲(chǔ)存、清洗分析等安全技術(shù)有了新的要求，技術(shù)上需要進(jìn)行創(chuàng)新改進(jìn)。

綜上所述，目前工業(yè)領(lǐng)域數(shù)據(jù)安全涉及面廣，數(shù)據(jù)關(guān)系復(fù)雜，如何保障數(shù)據(jù)安全已經(jīng)成為在各行各業(yè)必須要解決的重大問題。

1 工業(yè)平臺(tái)上的數(shù)據(jù)安全風(fēng)險(xiǎn)分析

目前，工業(yè)平臺(tái)上發(fā)生的數(shù)據(jù)風(fēng)險(xiǎn)主要有以下方面原因。一是數(shù)據(jù)采集風(fēng)險(xiǎn)，在數(shù)據(jù)采集的過程中需要保障數(shù)據(jù)采集來源的可靠，需要做到對(duì)采集的數(shù)據(jù)進(jìn)行分類，需要建立分級(jí)明確數(shù)據(jù)的分類分級(jí)制度，對(duì)于敏感數(shù)據(jù)在數(shù)據(jù)采集過程中就應(yīng)該提前做好分類工作，以防數(shù)據(jù)敏感數(shù)據(jù)被不法分子利用，導(dǎo)致出現(xiàn)敏感數(shù)據(jù)泄漏等情況；二是數(shù)據(jù)傳輸風(fēng)險(xiǎn)，從信息源到數(shù)據(jù)平臺(tái)的傳輸過程中，大多是通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)?，傳輸過程中經(jīng)過的多種電子通訊設(shè)備以及相關(guān)基礎(chǔ)措施，有可能受到外界的破壞或改造，導(dǎo)致數(shù)據(jù)在傳輸過程中面臨泄漏、篡改、監(jiān)聽等隱患；三是數(shù)據(jù)的儲(chǔ)存風(fēng)險(xiǎn)，數(shù)據(jù)在工業(yè)平臺(tái)上的存儲(chǔ)能力大部分依賴于工業(yè)存儲(chǔ)的設(shè)備情況，一旦設(shè)備存在老化故障等問題，會(huì)造成設(shè)備上的數(shù)據(jù)存在丟失或損壞等情況，另一方面，部分平臺(tái)的管理商為節(jié)省數(shù)據(jù)儲(chǔ)存空間，并未對(duì)數(shù)據(jù)進(jìn)行必要的容錯(cuò)或備份，一旦發(fā)生意外狀況，可能會(huì)導(dǎo)致重要數(shù)據(jù)丟失，甚至無法無法恢復(fù)。第四點(diǎn)是數(shù)據(jù)在使用過程中的風(fēng)險(xiǎn)，在平臺(tái)對(duì)數(shù)據(jù)進(jìn)行操作的過程中，存在由于管理員操作不當(dāng)，下發(fā)一系列不正確的操作指令，致使數(shù)據(jù)泄露或者損壞；另一方面，平臺(tái)系統(tǒng)在數(shù)據(jù)交換過程中，往往使用數(shù)據(jù)接口等工具，如果這些數(shù)據(jù)接口上的安全防護(hù)措施不到位，比如缺少對(duì)象驗(yàn)證、訪問控制、訪問授權(quán)、數(shù)字簽名、傳輸加密等安全手段，有可能會(huì)被不法分子有機(jī)可乘，從接口直接導(dǎo)出數(shù)據(jù)，導(dǎo)致數(shù)據(jù)泄露問題；第五點(diǎn)是數(shù)據(jù)的銷毀風(fēng)險(xiǎn)，在數(shù)據(jù)銷毀過程中，如果平臺(tái)管理人員使用的刪除操作為邏輯操作，有可能未徹底銷毀數(shù)據(jù)，一旦被黑客利用該漏洞進(jìn)行數(shù)據(jù)恢復(fù)，則會(huì)導(dǎo)致敏感數(shù)據(jù)被泄露；六是數(shù)據(jù)的合規(guī)風(fēng)險(xiǎn)，由于部分工業(yè)平臺(tái)的客戶或者供應(yīng)商的相關(guān)法律意識(shí)較為薄弱，未能遵守相關(guān)的網(wǎng)絡(luò)安全法，導(dǎo)致出現(xiàn)數(shù)據(jù)使用、共享有存在不合規(guī)甚至違法等情況；七是數(shù)據(jù)的審計(jì)風(fēng)險(xiǎn)，在平臺(tái)數(shù)據(jù)治理過程中，往往缺少客觀中立的第三方對(duì)數(shù)據(jù)風(fēng)險(xiǎn)進(jìn)行監(jiān)督，導(dǎo)致對(duì)工業(yè)平臺(tái)數(shù)據(jù)的全生命周期風(fēng)險(xiǎn)未能及時(shí)識(shí)別，潛在的風(fēng)險(xiǎn)安全問題未能及時(shí)提出[1]。

2 數(shù)據(jù)安全防護(hù)技術(shù)研究

從以上風(fēng)險(xiǎn)分析可以判斷，傳統(tǒng)的基于物理位置構(gòu)筑數(shù)據(jù)安全環(huán)境的防御架構(gòu)正面臨巨大威脅，傳統(tǒng)手段已不足以解決問題這些問題。因此需要引入新的基于零信任網(wǎng)絡(luò)架構(gòu)、身份認(rèn)證技術(shù)、加密技術(shù)和入侵檢測技術(shù)，構(gòu)建新的數(shù)據(jù)安全防御體系。

零信任原型旨在解決無邊界網(wǎng)絡(luò)安全問題，最早是由由機(jī)構(gòu)Forrester的首席分析師John以“從不信任，始終校驗(yàn)”提出，其目的是實(shí)現(xiàn)CARTA（持續(xù)適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估），2020年騰訊在零信任解決方案白皮書中，概括其核心思想是“不以網(wǎng)絡(luò)內(nèi)外網(wǎng)區(qū)分，訪問主體為驗(yàn)證的流量都默認(rèn)為不可信。”，隨著業(yè)界對(duì)零信任理論的不斷完善，其逐步從原型向主流網(wǎng)絡(luò)安全架構(gòu)演進(jìn)，其相關(guān)關(guān)鍵技術(shù)如下圖1，并基于零思想在數(shù)據(jù)安全防護(hù)系統(tǒng)場景中設(shè)計(jì)實(shí)驗(yàn)指標(biāo)。

其中，身份認(rèn)證技術(shù)分兩種典型應(yīng)用[2]。一是驗(yàn)證用戶身份后得到授權(quán)后進(jìn)行操作訪問，二是允許對(duì)合法的用戶和服務(wù)提供進(jìn)一步的數(shù)據(jù)交互。對(duì)于第一種場景，多采用訪問控制的技術(shù)，而后者則多采用密鑰協(xié)議進(jìn)行通信。密鑰協(xié)議多依賴于第三方進(jìn)行密鑰管理，常見的協(xié)議有Diffie-Hellman、基于口令和智能卡的認(rèn)證協(xié)議、基于生物特征的認(rèn)證協(xié)議（比如面部聲音指紋）、新型的在云環(huán)境下的認(rèn)證協(xié)議，包括采用一次性口令身份認(rèn)證，基于單點(diǎn)登錄的聯(lián)合身份認(rèn)證比如OPENI協(xié)議，基于云的RFID認(rèn)證協(xié)議，以及適用于云的雙因子和多因子認(rèn)證等身份認(rèn)證技術(shù)。

圖1 基于零信任的電力數(shù)據(jù)安全防護(hù)技術(shù)

在保護(hù)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸安全的過程中，可采用密碼技術(shù)支持的裝載有加解密、身份驗(yàn)證等模塊的智能網(wǎng)關(guān)，實(shí)現(xiàn)數(shù)據(jù)傳輸保密性。在加密過程，為防止木馬密碼字典等攻擊，可采用公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure）機(jī)制，依托于第三方管理中心，提高自身密碼管控能力。但是PKI機(jī)制由于過于依賴中心化，容易遭受到單點(diǎn)故障和拒絕服務(wù)攻擊。因此，不存在中心點(diǎn)進(jìn)行證書交換的基于身份標(biāo)識(shí)的IBC（Identitybased Cryptography）技術(shù)與可以減少PKI機(jī)制面臨的以上危險(xiǎn)，但是IBC機(jī)制由于私鑰存放在用戶側(cè)，如果用戶側(cè)私鑰泄露也會(huì)導(dǎo)致數(shù)據(jù)泄露[2]。

除了聚焦于加強(qiáng)認(rèn)證能力和加密技術(shù)，有效使用安全組件，比如防火墻、IPS、抗DDOS系統(tǒng)、抗APT攻擊系統(tǒng)、網(wǎng)閘等網(wǎng)絡(luò)安全組件可以有效進(jìn)行入侵檢測，抵抗外界攻擊和內(nèi)部攻擊。有效的入侵檢測包括以下方式。一是在網(wǎng)絡(luò)邊界處安裝入侵檢測系統(tǒng)（IDS），IDs采用協(xié)議分析、模式匹配、異常監(jiān)測等技術(shù)，在入侵檢測系統(tǒng)中，對(duì)下級(jí)接口上報(bào)的數(shù)據(jù)報(bào)文、數(shù)據(jù)包進(jìn)行實(shí)時(shí)監(jiān)視，及時(shí)預(yù)警；二是在網(wǎng)絡(luò)邊界處裝載安全防護(hù)組件進(jìn)行拒絕服務(wù)攻擊、端口掃描等終端處安全防護(hù)手段；三是面對(duì)更新迭代的攻擊技術(shù)，安全策略也需要是動(dòng)態(tài)的，這一點(diǎn)可以在安全監(jiān)測系統(tǒng)中，采用機(jī)器學(xué)習(xí)技術(shù)等人工智能技術(shù)，對(duì)攻擊行為進(jìn)行海量學(xué)習(xí)，實(shí)時(shí)優(yōu)化調(diào)整安全策略[3]，常用的算法有KNN、貝葉斯決策算法等[4]。

基于以上零信任思想與相關(guān)安全防護(hù)技術(shù)分析，本論文提出了一種新型電力數(shù)據(jù)安全防護(hù)體系。在身份安全基礎(chǔ)平臺(tái)上提供對(duì)遠(yuǎn)程用戶的訪問控制、入侵檢測及密碼服務(wù)；引入了身份認(rèn)證技術(shù)對(duì)用戶進(jìn)行身份鑒別與訪問；通過入侵檢測系統(tǒng)對(duì)數(shù)據(jù)報(bào)文進(jìn)行分析與監(jiān)控，同時(shí)裝載安全防護(hù)組件，并應(yīng)用人工智能技術(shù)提供智能識(shí)別與策論優(yōu)化，采用國產(chǎn)加密技術(shù)并建立健全的密鑰管理中心；具體數(shù)據(jù)安全防護(hù)體系見下圖2。

圖2 數(shù)據(jù)安全防護(hù)體系

3 應(yīng)用場景驗(yàn)證

3.1 數(shù)據(jù)安全防護(hù)系統(tǒng)場景

電力行業(yè)作為工業(yè)行業(yè)中的重要領(lǐng)域，現(xiàn)有的電力系統(tǒng)網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)模式比較復(fù)雜。現(xiàn)對(duì)于電力運(yùn)行監(jiān)控場景，進(jìn)行業(yè)務(wù)實(shí)驗(yàn)，驗(yàn)證基于零信任的數(shù)據(jù)安全防護(hù)體系架構(gòu)效果。實(shí)驗(yàn)選取了事件工單數(shù)據(jù)、月度作業(yè)計(jì)劃數(shù)據(jù)、作業(yè)變更數(shù)據(jù)、缺陷工單數(shù)據(jù)、告警明細(xì)數(shù)據(jù)進(jìn)行測試，目的是驗(yàn)證零信任架構(gòu)在電網(wǎng)業(yè)務(wù)中的數(shù)據(jù)保護(hù)性能。實(shí)驗(yàn)結(jié)果表明，基于零信任的數(shù)據(jù)安全防護(hù)體系的效果良好，測試結(jié)果充分表明了零信任架構(gòu)在電網(wǎng)業(yè)務(wù)中的有效性、安全性，可以支撐電力系統(tǒng)的數(shù)據(jù)安全與業(yè)務(wù)安全。

3.2 指標(biāo)設(shè)計(jì)

在網(wǎng)絡(luò)安全監(jiān)測分析工作中，通過采用基于零信任的數(shù)據(jù)安全防護(hù)體系，針對(duì)電網(wǎng)網(wǎng)絡(luò)安全監(jiān)測事件、缺陷及告警處理的專業(yè)場景，對(duì)事件工單、作業(yè)計(jì)劃、作業(yè)變更、缺陷工單、告警明細(xì)等數(shù)據(jù)的查準(zhǔn)率建立計(jì)算模型，通過計(jì)算基于零信任的數(shù)據(jù)安全防護(hù)各安全狀態(tài)因素值，獲得總體安全態(tài)勢值，設(shè)事件工單數(shù)據(jù)、月度作業(yè)計(jì)劃數(shù)據(jù)、作業(yè)變更數(shù)據(jù)、缺陷工單數(shù)據(jù)、告警明細(xì)數(shù)據(jù)安全狀態(tài)因素值的距離分別是Di，當(dāng)i=1,2,3,4,5,n時(shí)，通過下述公式求取安全狀態(tài)因素值的距離的值Di，影響參數(shù)為x，單類計(jì)算數(shù)據(jù)的調(diào)整因子為a，安全狀態(tài)因素值的距離的值Di具體為：

通過下述公式求取安全態(tài)勢的值S，具體為：

4 成效分析

基于零信任的數(shù)據(jù)安全防護(hù)體系，通過公司信息運(yùn)維管理實(shí)用化場景，可以對(duì)事件工單數(shù)據(jù)、月度作業(yè)計(jì)劃數(shù)據(jù)、作業(yè)變更數(shù)據(jù)、缺陷工單數(shù)據(jù)、告警明細(xì)數(shù)據(jù)指標(biāo)的進(jìn)行統(tǒng)計(jì)分析，為信息運(yùn)維管理決策分析提供具有針對(duì)性的數(shù)據(jù)支撐；通過電網(wǎng)網(wǎng)絡(luò)安全態(tài)勢實(shí)時(shí)分析實(shí)用化場景，為電網(wǎng)省級(jí)網(wǎng)絡(luò)安全監(jiān)控中心提供了整體網(wǎng)絡(luò)安全態(tài)勢的實(shí)時(shí)分析，便于監(jiān)控分析人員及時(shí)掌握網(wǎng)絡(luò)攻擊動(dòng)態(tài)；通過基于零信任的數(shù)據(jù)安全防護(hù)體系應(yīng)用場景，運(yùn)維服務(wù)信息化水平和運(yùn)維管理效率得到有效提升?；诹阈湃蔚臄?shù)據(jù)安全防護(hù)體系場景應(yīng)用結(jié)果，主要成效體現(xiàn)如下。信息服務(wù)管理方面，原來計(jì)算事件按時(shí)解決率、一線解決率、事件平均響應(yīng)時(shí)長等信息服務(wù)指標(biāo)需人工計(jì)算，耗時(shí)約45分鐘，通過基于零信任的數(shù)據(jù)安全防護(hù)分析，耗時(shí)約3分鐘，效率提升了約93%。作業(yè)管理方面，人工統(tǒng)計(jì)月度作業(yè)計(jì)劃數(shù)、作業(yè)開展情況、變更完成進(jìn)度需耗時(shí)15分鐘，通過IOS開放數(shù)據(jù)應(yīng)用場景統(tǒng)計(jì)展示，耗時(shí)約1.5分鐘，效率提升了約90%。缺陷管理方面，人工統(tǒng)計(jì)緊急缺陷、高風(fēng)險(xiǎn)缺陷、低風(fēng)險(xiǎn)缺陷完成情況和超時(shí)缺陷數(shù)，耗時(shí)約10分鐘，通過基于零信任的數(shù)據(jù)安全防護(hù)體系應(yīng)用場景統(tǒng)計(jì)展示，耗時(shí)約1分鐘，效率提升了約90%。告警管理方面，按照告警等級(jí)人工統(tǒng)計(jì)告警數(shù)據(jù)和處理完成情況，耗時(shí)約18分鐘，通過基于零信任的數(shù)據(jù)安全防護(hù)分析計(jì)算，耗時(shí)約2分鐘，效率提升了約88.9%。在網(wǎng)絡(luò)安全態(tài)勢監(jiān)控方面，通過挖掘監(jiān)控中心關(guān)注的攻擊數(shù)據(jù)進(jìn)行統(tǒng)一分析，有效提升監(jiān)控效率75%。

5 結(jié)語

本文針對(duì)工業(yè)互聯(lián)網(wǎng)背景下，電力數(shù)據(jù)面臨的攻擊危險(xiǎn)日益增多的情況下，提出了基于零信任的電力數(shù)據(jù)安全防護(hù)體系，融合身份認(rèn)證技術(shù)、技術(shù)加密技術(shù)、入侵檢測技術(shù)，并結(jié)合了電網(wǎng)業(yè)務(wù)場景開展論證。驗(yàn)證結(jié)果表明，該體系架構(gòu)可滿足電力場景下的數(shù)據(jù)安全防護(hù)需求，有效保障了數(shù)據(jù)的全生命周期安全，提高了電網(wǎng)業(yè)務(wù)的數(shù)據(jù)保障水平。