近年來，隨著信息通信技術的不斷發(fā)展，為我國各行各業(yè)的生產模式和運行管理機制造成了巨大的變革，大幅度提高了相關產業(yè)的生產效率和質量，使很多領域進入了智能化和信息化時代。現代企業(yè)發(fā)展越來越重視信息化系統(tǒng)的建設，物聯網作為未來信息化發(fā)展的大趨勢，也受到了越來越多領域的重視。文章對泛在電力物聯網的全場景網絡安全防護體系進行了研究分析。
 

　　1 前言

　　當前，新一代科技革命快速推進，全球進入互聯網和數字經濟時代，用戶主導、跨界融合、顛覆式創(chuàng)新成為重要趨勢。物聯網產業(yè)快速發(fā)展為萬物互聯新時代提供了基礎。
 

　　2 物聯網的概述

　　物聯網與傳統(tǒng)的移動通信網絡相比，具有兩個革命性的變化。一個是萬物互聯，另一個是極低時延，基于信息的高速化，可以實現不同地區(qū)在1ms以內的延遲互動，這就為遠程操作提供了必要的技術基礎。物聯網在使用過程中通過傳感器，對物體表面參數和周圍環(huán)境變化情況信息進行讀取，并通過移動信息技術進行傳遞，再通過射頻識別技術，對各傳感器所上傳的信息數據進行識別和分析，根據系統(tǒng)指令完成相應的規(guī)定操作。在物聯網使用過程中，編碼是一個重要的環(huán)節(jié)，所謂的編碼是對實體進行一定規(guī)則的身份編號，每一個實體的編號都是獨一無二的，就像身份證一樣，在編碼內容中包含了該物體的信息描述，處在的地理位置，以及所具備的功能。而為了實現射頻識別技術，就需要閱讀器和標簽的存在，其中，射頻識別閱讀器是按照標簽中的規(guī)定數據格式規(guī)范，將實體信息進行提取并分析，這是實體進行自動識別的過程，通過通信系統(tǒng)將相應的數據傳遞給數據處理中心，完成下一階段的信息識別和處理。
 

　　3 物聯網安全風險分析

　　3.1 一般安全風險

　　3.1.1 物理設備破壞

　　物聯網系統(tǒng)的正常運行是基于物理系統(tǒng)存在的基礎上來完成的，如果在外力影響作用下，物理設備自身遭到了破壞，其基本的功能將無法實現，物聯網所使用的傳感器都是在自動程序的控制下完成的，如果在特殊情況下，這些傳感器或設備自身遭到破壞，就會導致整個數據傳輸過程的突然中斷，整個系統(tǒng)就會丟失一部分信息內容，無法對該部分設備進行實時的控制。

　　3.1.2 信息竊聽和篡改

　　由于物聯網實現萬物互聯的基礎是網絡信息技術，而在信息傳播的過程中通過特殊手段，可以獲取相應的信息內容，所有的信息都是通過傳感器來獲得的，并且通過有線或無線網絡，傳輸到信息處理核心中，而攻擊者則可以利用信號干擾的方式，導致這部分數據信息傳遞失誤，使得數據無法完成順利的傳輸和獲取工作。

　　3.1.3 分布式拒絕服務攻擊

　　該攻擊形式是讓節(jié)點或服務器無法完成正常的工作，利用一定的特殊手段，采用大量異地計算機僵尸，訪問物聯網的服務器，將物聯網服務器的資源耗盡，使其不能完成正常的訪問功能，拒絕服務攻擊的目的一般是破壞，但是在過程中也存在竊取信息的可能。

　　3.2 針對性安全風險

　　互聯網是將實體通過各種形式的網絡連接，結合為一個統(tǒng)一系統(tǒng)的通信網絡，這個網絡承擔著主體狀態(tài)，溫度、濕度、位置、方向等多維度信息的傳遞，整個信息構成相當復雜，存在跨網傳輸的現象，而正是由于這些特性也導致其面對了一些特殊的安全風險。

　　3.2.1 數據標簽攻擊

　　數據標簽攻擊的對象是物聯網的數據標簽，由于物聯網在進行信息識別時首先需要對識別對象的標簽進行信息獲取和識別。如果采取特殊方式標簽內容進行篡改或覆蓋，就會導致這一過程無法順利完成。同時，攻擊者可以通過誘騙或竊聽的手段獲取標簽的規(guī)范格式和內容，在進行攻擊時，通過對數據標簽內容或者格式進行修改，又或者采取重發(fā)數據內容的方式，就可以使服務器無法順利完成，對于該環(huán)節(jié)數據的獲取和處理，系統(tǒng)無法進入正常操作狀態(tài)。

　　3.2.2 跨網攻擊

　　由于極低延遲的特性，物聯網可以實現遠距離操縱和信息傳遞，而由于這一特性也導致其存在分布范圍極廣的特點，如果采用單獨的專用網絡來進行數據傳輸，成本極高，在實際的使用過程中無法得以實現，所以物聯網需要數據跨網跨域進行傳輸，而在跨網過程中，數據的安全系數會面臨一定程度的降低，而一旦攻擊效果已經使得整個系統(tǒng)的工作難以維持，系統(tǒng)也就無法再對攻擊源進行定位，并且系統(tǒng)由于失去了操控能力，所以會影響一系列設備的運轉。
 

　　4 全場景網絡安全防護體系建設

　　4.1 建設思路構建

　　與國網公司“三型兩網”企業(yè)相適應的全場景網絡安全防護體系，推廣“安全+業(yè)務”的防護理念，從物防、事防、人防三防切入，開展以“物防為基、事防為核、人防為本，可信連接為紐帶，安全服務促提升”為整體工作思路。

　　4.2 體系架構

　　電力物聯網面臨多種多樣的信息安全風險，對照泛在電力物聯網的架構，從感知層、網絡層、平臺層、應用層分別明確防護重點，按照電網業(yè)務網絡安全管理要求，建立全面的網絡安全防護體系，開展可信互聯、安全互動、智能防御相關技術的研究及應用，提出體系化的安全防護措施，筑牢“三道防線”，及時發(fā)現惡意的攻擊行為并快速處置，保障公司網絡安全。重點構建基于密碼基礎設施的快速、靈活、互認的身份認證機制，落實數據分類授權和數據防泄漏措施，強化APP應用防護，實現對物聯網安全態(tài)勢的動態(tài)感知、預警信息的自動分發(fā)、安全威脅的智能分析、響應措施的聯動處置，全面提高泛在電力物聯網的綜合防御能力。同時結合全生命周期的安全服務，保障物聯網內數據從采集、傳輸、整合到應用的全過程安全。

　　4.3 安全防護技術

　　4.3.1 物-物互信技術

　　每個物聯網終端都應具有唯一的標識，每個終端具有各自的證書密鑰，海量的物聯終端面臨標識和證書如何綁定、對應的問題。身份認證技術是在計算機網絡中確認操作者身份的過程而產生的有效解決方法。目前電網企業(yè)的身份認證系統(tǒng)大都是采用的基于公共密鑰基礎設施(PKI)的技術，PKI具有無法規(guī)模性產生公鑰、需要在線運行證書目錄以及易形成性能瓶頸等缺點，無法實現大面積規(guī)模化應用。通過組合公鑰(CPK)技術將標識與密鑰證書關聯，標識利用公鑰矩陣映射算法直接計算用戶證書，結合軟硬件密碼保護模塊實現標識即證書的快捷認證基礎，構建去中心化、輕量級的密鑰管理體系，其支持物聯終端海量分布式應用，支持端到端身份認證和端到端數據安全傳輸，支持離線身份認證機制，避免密鑰管理中心成為物聯應用的瓶頸。

　　4.3.2 行為分析技術

　　網絡訪問異常分析首先通過決策樹、貝葉斯網絡、聚類分析等各種機器學習算法挖掘網絡訪問行為數據，分析設備特征和屬性從而建立訪問行為分析模型，繪制設備興趣圖譜建立設備畫像，模型的數據結果與設備畫像對比檢測異常。泛在物聯網終端設備具有數量規(guī)模龐大、地域分布廣泛、本體防護難度大的特點，可能造成泄露用戶敏感數據、威脅企業(yè)正常生產經營，因此泛在物聯網終端本體安全、接入認證、監(jiān)測分析等安全問題需要解決，但是公司當前的安全接入、統(tǒng)一權限管理體系主要針對智能終端接入和人-機認證，不能完全覆蓋解決物聯網現場側的物-物互信問題，RFID標簽等部分非直接入網的終端對傳統(tǒng)的認證機制提出新的挑戰(zhàn);對于邊緣物聯代理所需具備的應用監(jiān)控、網絡流量監(jiān)控、行為異常分析等技術缺乏研究，無法解決海量異構終端的接入帶來的安全隱患。

　　4.3.3 態(tài)勢感知技術

　　態(tài)勢感知以安全設備監(jiān)測數據為基礎，結合威脅情報信息，從全局的視角對安全大數據進行綜合分析，實現對安全威脅的發(fā)現識別、理解分析、響應處置，為安全防護決策提供信息支撐。安全態(tài)勢感知運營平臺構建在現有的安全防護設施之上，兼容整合用戶網絡中現有的或待建設的各類安全設備、安全子系統(tǒng)或任何安全數據信息源，如防火墻、IDS、防病毒、WAF、APT、蜜罐系統(tǒng)以及威脅情報信息等?；谌我獍踩O備及數據源的對接，通過安全數據的融合分析及呈現，實現態(tài)勢感知能力，包括態(tài)勢信息的集中采集獲取、海量安全態(tài)勢信息的大數據存儲、面向態(tài)勢感知的大數據集中分析以及態(tài)勢感知的可視化呈現。
 

　　5 結語

　　互聯網所帶來的萬物互聯狀態(tài)，對于未來行業(yè)生產和生活方式，會產生顛覆性的影響，現階段隨著5G移動通信技術的不斷成熟，物聯網的落成又更近了一步，在使用物聯網提高工作效率和質量的同時，還要重視物聯網的信息安全問題，文章對影響互聯網信息安全的因素進行介紹和分析，并提出了相應的解決措施和意見，未來隨著相關研究的不斷深入，一定會有更多的方案出現，共同提高物聯網的安全系數。(來源：電力科技創(chuàng)新，排版省略參考文獻。作者 | 楊欣，邰煒  國網寶雞供電公司)