论文部分内容阅读
摘要:泛在电力物联网是能源互联网和泛在物联网在电力行业的具体实现形式和应用落地,其信息安全与互联网、物联网的信息安全相比,即有共性也有特性。本文立足于电力物联网的实际,对其技术进行简单阐述,重点分析其面临的主要安全威胁,在此基础上探寻针对于电力物联网的防护手段,以期为电力企业优化防护水平提供参考。
关键词:泛在电力物联网;信息安全
引言
狭义的信息安全是指保持信息的机密性、完整性、可用性,另外也可能包含其他的特性,如真实性、可核查性、抗抵赖和可靠性等。广义的信息安全是将技术、管理、法规等相结合,保障网络系统的软件、硬件及系统中的信息受到保护,不因偶然或恶意攻击而受到威胁和破坏。在泛在电力物联网概念提出之前,信息安全在互联网、物联网的众多领域得到了广泛的应用,泛在电力物联网作为能源互联网和泛在物联网在电力行业的具体实现形式和应用落地,其信息安全与互联网、物联网的信息安全相比,既有共性也有特性,主要面临的有访问控制、数据机密性和完整性、身份认证、隐私保护、可用性和不可抵赖性等信息安全问题。
本文结合互联网信息安全、物联网信息安全和《泛在电力物联网建设大纲》,首先分析了泛在电力物联网建设过程中存在的主要信息安全需求,然后概述了泛在电力物联网的安全体系和信息安全,最后介绍了密码学特别是新型密码学技术在泛在电力物联网中的应用。
1关于泛在电力物联网的定义
现阶段对于泛在物联的定义是发生在任何时间、任何地方和任何人与物之间的交流。结合电力系统形成的泛在电力物联网则是电力使用者及设备、电力企业、发电厂及其设备、还有其他相关方及其设备的信息交流和互换。泛在电力物联网是将先进的物联网技术应用到电力系统的产物,本质还是各方间信息的交流与共享,最终形成具有自我标识、感知和智能处理行为的实体。各个物理实体间的合作与互动,会让相关物体相互感知和相互反馈,最后形成一个智能的电力系统。
2物联网的安全风险
2.1信息窃听与篡改
信息窃听与篡改是对物联网中所包含的信息进行非法操作以实现非法目的的过程,尤其是对于电气企业这一社会性部门来说,信息窃听与篡改会带来极大的影响,很容易造成电力企业信息系统的瘫痪。通常情况下,由于物联网的硬件设备构成较为复杂、且体量庞大,因此多为单独放置,且很少派驻专门的人员进行看守,信息传送则主要依托基于无线或有线网络的专用型的传感器,传感过程中也并无明显的人工干预,为非法攻击留下了一定的空间。不法分子主要通过信息干扰的介入形式,干扰原本处于正常传送状态的数据或是节点数据,那么该过程就难以平稳实现预期效果,也为非法攻击者留出了窃取、篡改以及做出其他破坏的空间,进而引发较为严重的恶劣后果。一般情况下,如果信息传送采用无线网络形式,那么数据遭受窃取的概率会更大。
2.2分布式拒绝服务攻击
该攻击形式是让節点或服务器无法完成正常的工作,利用一定的特殊手段,采用大量异地计算机僵尸,访问物联网的服务器,将物联网服务器的资源耗尽,使其不能完成正常的访问功能,拒绝服务攻击的目的一般是破坏,但是在过程中也存在窃取信息的可能。
2.3数据标签攻击
该攻击的立足点在于物联网本身的数据标签,攻击者可能通过窃听或是诱骗等形式,掌握物联网数据标签包含的内容与形式,进而通过一系列破坏行为导致数据识别受阻。
2.4跨网攻击
由于极低延迟的特性,物联网可以实现远距离操纵和信息传递,而由于这一特性也导致其存在分布范围极广的特点,如果采用单独的专用网络来进行数据传输,成本极高,在实际的使用过程中无法得以实现,所以物联网需要数据跨网跨域进行传输,而在跨网过程中,数据的安全系数会面临一定程度的降低,同时,由于数据分布的范围极广,所以攻击者能够选择的攻击方向和区域较多,并且在攻击过程时,如果对整体系统正常运作没有发生影响,就很难在过程中被发现,而一旦攻击效果已经使得整个系统的工作难以维持,系统也就无法再对攻击源进行定位,并且系统由于失去了操控能力,所以会影响一系列设备的运转。
3泛在电力物联网信息安全体系
3.1隐私保护
隐私保护是为了使用户既能享受各种应用和服务,又能保证其隐私不被泄露和滥用。隐私保护包含数据隐私保护、个人隐私保护和位置隐私保护。泛在电力物联网将电力系统的人和物联系起来,产生共享数据,实现人和物的互联互动,在交互的过程中必然会产生大量的时间、位置、行为、参与者、目的等信息,这些信息可能包含了人或物的敏感信息,如果不能进行有效的保护,容易在信息交互或共享的过程中被攻击者截取。个人信息若被泄露,可能给个人的财物、生活甚至是人身安全带来风险,设备信息若被滥用可能影响正常的生产秩序,构成严重的安全威胁。
3.2访问控制
访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户对任何资源进行访问的安全控制机制,基于角色的权限访问控制(Role-BasedAccessControl,RBAC)是目前信息系统中最常用的访问控制方式。访问控制包括主体、客体和安全访问策略,分为认证和授权2个过程。
泛在电力物联网用户在访问电力系统时,系统通过验证用户的口令或数字证书等对其身份进行鉴别,验证通过后赋予用户相应的角色,访问策略通过对用户的访问目的与预期目的比对后,用户可以获取到与其权限相对应的资源。
3.3加密技术
加密技术主要为电子标签RFID技术,其实质上是一种无线通信技术。当前学术界及实务界针对于RFID的研究较为丰富,包括Hash-Lock协议、分布式RFID询问–应答认证协议、Hash链协议、David的数字图书馆RFID协议、LCAP协议、随机化Hash-Lock协议和基于杂凑的ID变化协议等。
3.4数据安全
数据安全包括数据的机密性、完整性和可用性,机密性强调数据在授权范围内使用,完整性强调数据的防篡改功能,可用性强调数据能按需使用。
泛在电力物联网的核心是海量数据在电力系统的应用。海量数据在通信过程中,一方面要保障敏感数据的机密性,能安全地低达最终目的地;另一方面确保数据在传输的过程中没有被修改,若数据被非法篡改应能够识别和校验。此外,还需保障数据能够可靠、快速的传输。
3.5入侵检测与保护机制
该技术是一种“事后”防御机制,即管理者已经发现物联网中的安全威胁之后,组织一系列的防护操作。入侵检测包括网络入侵检测、基于主机的入侵检测以及基于组件的入侵检测。只有通过检测与保护手段的协同工作,才能达到理想的防护效果。
结语
随着国家电网有限公司泛在电力物联网建设大纲的落地,未来几年,建设和发展泛在电力物联网必将成为热点。泛在电力物联网的推广和运用,一方面将显著提高国家电网有限公司经济效益和电网系统运行效率;另一方面也对公民、企业,甚至是国家的信息安全和隐私保护等提出了严峻的挑战。有关部门应该未雨绸缪,尽早规划和研究泛在电力物联网的信息安全问题,为泛在电力物联网的安全运行和安全防护保驾护航。
参考文献
[1]国网互联网部.泛在电力物联网建设大纲(节选)[J].华北电业,2019,35(3):20-29.
[2]李艳杰.GB/T22080—2008《信息安全管理体系要求》解析解析系列五:GB/T22080—2008信息安全管理体系要求附录A.11—A.15解析[J].中国标准导报,2013,22(1):18-22.
[3]郭建伟,燕娜,陈佳宇,等.智慧城市(物联网)信息安全建设研究[J].通信技术,2017,50(11):2594-2599.
关键词:泛在电力物联网;信息安全
引言
狭义的信息安全是指保持信息的机密性、完整性、可用性,另外也可能包含其他的特性,如真实性、可核查性、抗抵赖和可靠性等。广义的信息安全是将技术、管理、法规等相结合,保障网络系统的软件、硬件及系统中的信息受到保护,不因偶然或恶意攻击而受到威胁和破坏。在泛在电力物联网概念提出之前,信息安全在互联网、物联网的众多领域得到了广泛的应用,泛在电力物联网作为能源互联网和泛在物联网在电力行业的具体实现形式和应用落地,其信息安全与互联网、物联网的信息安全相比,既有共性也有特性,主要面临的有访问控制、数据机密性和完整性、身份认证、隐私保护、可用性和不可抵赖性等信息安全问题。
本文结合互联网信息安全、物联网信息安全和《泛在电力物联网建设大纲》,首先分析了泛在电力物联网建设过程中存在的主要信息安全需求,然后概述了泛在电力物联网的安全体系和信息安全,最后介绍了密码学特别是新型密码学技术在泛在电力物联网中的应用。
1关于泛在电力物联网的定义
现阶段对于泛在物联的定义是发生在任何时间、任何地方和任何人与物之间的交流。结合电力系统形成的泛在电力物联网则是电力使用者及设备、电力企业、发电厂及其设备、还有其他相关方及其设备的信息交流和互换。泛在电力物联网是将先进的物联网技术应用到电力系统的产物,本质还是各方间信息的交流与共享,最终形成具有自我标识、感知和智能处理行为的实体。各个物理实体间的合作与互动,会让相关物体相互感知和相互反馈,最后形成一个智能的电力系统。
2物联网的安全风险
2.1信息窃听与篡改
信息窃听与篡改是对物联网中所包含的信息进行非法操作以实现非法目的的过程,尤其是对于电气企业这一社会性部门来说,信息窃听与篡改会带来极大的影响,很容易造成电力企业信息系统的瘫痪。通常情况下,由于物联网的硬件设备构成较为复杂、且体量庞大,因此多为单独放置,且很少派驻专门的人员进行看守,信息传送则主要依托基于无线或有线网络的专用型的传感器,传感过程中也并无明显的人工干预,为非法攻击留下了一定的空间。不法分子主要通过信息干扰的介入形式,干扰原本处于正常传送状态的数据或是节点数据,那么该过程就难以平稳实现预期效果,也为非法攻击者留出了窃取、篡改以及做出其他破坏的空间,进而引发较为严重的恶劣后果。一般情况下,如果信息传送采用无线网络形式,那么数据遭受窃取的概率会更大。
2.2分布式拒绝服务攻击
该攻击形式是让節点或服务器无法完成正常的工作,利用一定的特殊手段,采用大量异地计算机僵尸,访问物联网的服务器,将物联网服务器的资源耗尽,使其不能完成正常的访问功能,拒绝服务攻击的目的一般是破坏,但是在过程中也存在窃取信息的可能。
2.3数据标签攻击
该攻击的立足点在于物联网本身的数据标签,攻击者可能通过窃听或是诱骗等形式,掌握物联网数据标签包含的内容与形式,进而通过一系列破坏行为导致数据识别受阻。
2.4跨网攻击
由于极低延迟的特性,物联网可以实现远距离操纵和信息传递,而由于这一特性也导致其存在分布范围极广的特点,如果采用单独的专用网络来进行数据传输,成本极高,在实际的使用过程中无法得以实现,所以物联网需要数据跨网跨域进行传输,而在跨网过程中,数据的安全系数会面临一定程度的降低,同时,由于数据分布的范围极广,所以攻击者能够选择的攻击方向和区域较多,并且在攻击过程时,如果对整体系统正常运作没有发生影响,就很难在过程中被发现,而一旦攻击效果已经使得整个系统的工作难以维持,系统也就无法再对攻击源进行定位,并且系统由于失去了操控能力,所以会影响一系列设备的运转。
3泛在电力物联网信息安全体系
3.1隐私保护
隐私保护是为了使用户既能享受各种应用和服务,又能保证其隐私不被泄露和滥用。隐私保护包含数据隐私保护、个人隐私保护和位置隐私保护。泛在电力物联网将电力系统的人和物联系起来,产生共享数据,实现人和物的互联互动,在交互的过程中必然会产生大量的时间、位置、行为、参与者、目的等信息,这些信息可能包含了人或物的敏感信息,如果不能进行有效的保护,容易在信息交互或共享的过程中被攻击者截取。个人信息若被泄露,可能给个人的财物、生活甚至是人身安全带来风险,设备信息若被滥用可能影响正常的生产秩序,构成严重的安全威胁。
3.2访问控制
访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户对任何资源进行访问的安全控制机制,基于角色的权限访问控制(Role-BasedAccessControl,RBAC)是目前信息系统中最常用的访问控制方式。访问控制包括主体、客体和安全访问策略,分为认证和授权2个过程。
泛在电力物联网用户在访问电力系统时,系统通过验证用户的口令或数字证书等对其身份进行鉴别,验证通过后赋予用户相应的角色,访问策略通过对用户的访问目的与预期目的比对后,用户可以获取到与其权限相对应的资源。
3.3加密技术
加密技术主要为电子标签RFID技术,其实质上是一种无线通信技术。当前学术界及实务界针对于RFID的研究较为丰富,包括Hash-Lock协议、分布式RFID询问–应答认证协议、Hash链协议、David的数字图书馆RFID协议、LCAP协议、随机化Hash-Lock协议和基于杂凑的ID变化协议等。
3.4数据安全
数据安全包括数据的机密性、完整性和可用性,机密性强调数据在授权范围内使用,完整性强调数据的防篡改功能,可用性强调数据能按需使用。
泛在电力物联网的核心是海量数据在电力系统的应用。海量数据在通信过程中,一方面要保障敏感数据的机密性,能安全地低达最终目的地;另一方面确保数据在传输的过程中没有被修改,若数据被非法篡改应能够识别和校验。此外,还需保障数据能够可靠、快速的传输。
3.5入侵检测与保护机制
该技术是一种“事后”防御机制,即管理者已经发现物联网中的安全威胁之后,组织一系列的防护操作。入侵检测包括网络入侵检测、基于主机的入侵检测以及基于组件的入侵检测。只有通过检测与保护手段的协同工作,才能达到理想的防护效果。
结语
随着国家电网有限公司泛在电力物联网建设大纲的落地,未来几年,建设和发展泛在电力物联网必将成为热点。泛在电力物联网的推广和运用,一方面将显著提高国家电网有限公司经济效益和电网系统运行效率;另一方面也对公民、企业,甚至是国家的信息安全和隐私保护等提出了严峻的挑战。有关部门应该未雨绸缪,尽早规划和研究泛在电力物联网的信息安全问题,为泛在电力物联网的安全运行和安全防护保驾护航。
参考文献
[1]国网互联网部.泛在电力物联网建设大纲(节选)[J].华北电业,2019,35(3):20-29.
[2]李艳杰.GB/T22080—2008《信息安全管理体系要求》解析解析系列五:GB/T22080—2008信息安全管理体系要求附录A.11—A.15解析[J].中国标准导报,2013,22(1):18-22.
[3]郭建伟,燕娜,陈佳宇,等.智慧城市(物联网)信息安全建设研究[J].通信技术,2017,50(11):2594-2599.