白話物聯網安全(四):泛在電力物聯網
*本文原創作者:大胖,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
前期回顧
第一章“什麼是物聯網的資訊保安”
https://www.freebuf.com/column/191098.html
我們講了什麼物聯網,包含了哪幾方面的東西,物聯網的資訊保安會涉及到什麼;
第二章“物聯網的安全檢測”
https://www.freebuf.com/articles/wireless/191065.html
我們從一個IOT漏洞自動化利用工具AutoSploit講起,講到我們該如何檢測我們常見的物聯網存在的安全問題;
第三章“IOT裝置的安全防禦”
https://www.freebuf.com/articles/wireless/192086.html
我們從三個方向去談了IOT裝置的安全,物理,近場和遠端,和現在市場上缺少的物聯網安全防禦體系。
第四章,我們探討一個概念性的話題,泛在物聯網,在這個基礎上我們在試試站在甲方爸爸的角度上談一談泛在物聯網的安全怎麼做。
正文
其實之前沒有明確的泛在物聯網的概念,只有泛在網的這個名詞,既即廣泛存在的網路,它以無所不在、無所不包、無所不能為基本特徵,以實現在任何時間、任何地點、任何人、任何物都能順暢地通訊為目標,咱們現在提出的泛在物聯網,就是以物聯網為基礎去構造泛在網。
為什麼突然在白話系列提出泛在物聯網,主要是因為國家電網2019年1月13日釋出的2019年1號檔案中,排在年度重點工作首位的就是:推動電網與網際網路深度融合,著力構建能源網際網路。
2019年1號檔案具體內容是:“持之以恆地建設運營好以特高壓為骨幹網架、各級電網協調發展的堅強智慧電網……。充分應用移動互聯、人工智慧等現代資訊科技和先進通訊技術,實現電力系統各個環節萬物互聯、人機互動,打造狀態全面感知、資訊高效處理、應用便捷靈活的泛在電力物聯網,為電網安全經濟執行、提高經營績效、改善服務質量,以及培育發展戰略性新興產業,提供強有力的資料資源支撐。承載電力流的堅強智慧電網與承載資料流的泛在電力物聯網,相輔相成、融合發展,形成強大的價值創造平臺,共同構成能源流、業務流、資料流“三流合一”的能源網際網路。”
其實在2018年10月,華為依託其領先的SingleRAN平臺,推出了IoT-G 230MHz(eLTE-DSA)方案,此方案做的就是無線技術和電力行業的深度融合,給泛在電力物聯網做準備。
在國家電網,2018年信通公司提出來要做SG-eIoT(electric Internet of Things),就是把電力的輸電、變電、配電、用電、經營五大業務結合現在電力網際網路,把終端、網路、平臺、運維、安全五大體系融合進去,加上咱們常說的物聯網,大資料,雲,所有資源進行整合,電力泛在物聯網想要做的,就要乾的其實就是這個。
現在國網提出的三型兩網,泛在電力物聯網說了這麼多,更多提的是一個概念上的事情,國網自己也說了,準備10年幹成這個事,那麼基於國網的現狀,我們來做泛在電力物聯網的安全會涉及那些東西。
泛在電力物聯網咱們按照業務場景劃分開,就是輸電物聯網、變電物聯網、配電物聯網、用電物聯網,經營網際網路主要的物聯網體系涉及這四個方向業務場景。
拋開經營網際網路來說,其他子模組是作為完整的物聯網模組來接入電力泛在物聯網的,那麼他們的網路基本構架是要滿足物聯網接入的基本要求。咱們以配電物聯網為例,說一說電力物聯網在整體構架上劃分架構整體上可劃分為“雲、管、邊、端”(配電物聯網體系架構,國網呂軍在電網技術專欄提出的)。
“端”就是咱們說的感知層,環境感知,電氣測量,用能採集這三大塊組成。 “管”就是網路層,本地通訊網和遠端通訊網這兩大塊。 “邊”介於網路層和應用層中間,主要是進行邊緣計算,以容器方式提供邊緣智慧服務(實時業務,資料優化等等)。 “雲”指的是應用層,laas,pass,sass結合運維管理提供服務。
對咱們安全領域來說,純粹的網際網路上很難接觸到“端”“管”的內容,黑客能夠涉及到的突破口就是“邊”,“雲“,也就是應用層突破,入侵方向一定是通過應用進入IOT平臺,如果IOT平臺淪陷,會導致相關裝置全部淪陷,這就意味著,在電力泛在物聯網的設計裡面。核心的API和大資料平臺一定會像洋蔥一樣被深深包裹在裡面,我大膽的構想一下,國網內部的傳輸構架基於0信任的基礎,訊息層層加密,每個節點層層解密,只有目的地才能拿到原始訊息,即使某一個節點淪陷,也不會導致整體資料威脅。
下圖是一個SG-eIoT架構下的配電網業務平臺的架構圖(輸配電聯盟所畫),就此圖來說,目前需要解決的安全問題有兩個不可規避:
1:在五大業務場景下到底有多少裝置,目前國網僅電錶4.5億,其他裝置幾千萬,因採購方式,服務廠商等等問題,拋開這些裝置本身的安全(咱們前面已經談過了),物聯網裝置詳細數量,具體開放了什麼服務,如何管控,這個現在很難給出一個確定的答案。 2:現在的泛在電力物聯網核心是IOT平臺,那儲存的設計和安全,介面呼叫的許可權,這是很複雜的一個設計過程,其中的核心存在的安全問題就是認證和邏輯安全。
現在安全廠商稂莠不齊,說做態勢感知平臺,大資料平臺,安全分析實驗室,很多都是把大屏做的花裡胡哨,沒有真正將的WPDRRC模型融合在態勢感知裡面,真正態勢感知是要以安全大資料為基礎,真正的全域性視角提升對安全威脅的發現識別、理解分析、響應處置,讓安全能力的落地,讓國網有“安全感:,而不是天天杯弓蛇影,草木皆兵。
後期預告
原計劃第四章談談規則和指紋的,既然說到行業了,那就等下一章講吧,開年工作繁忙,更新慢,不好意思哈。
*本文原創作者:大胖,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載