适应物联网安全新特征 提升电企安全防控本领_能谱网

作者:一分快三

二是未来安全风险不确定性增强,传统防护模式安全架构存在运维成本高、部署难度大,灵活性、针对性不强,发生损害影响范围大、恢复缓慢等问题,需研究构建适用性更强的防护体系。随着物联网建设深入推进,电力企业业务多样性增强,网络攻击、针对终端攻击的不可预估性也同步增加,处理数据庞大、节点众多、结构复杂,沿用的传统防护模式安全架构,将推高安全防御成本,适用效果可能不佳,难以满足高安全性、高稳定性、高灵活性需求。以传统集中式认证机制为例,每次设备认证都需调用核心身份服务器,极易造成针对该服务器的查询风暴冲击,从而引发服务器宕机,在一体化集成防护模式下,不得不持续增加投资,提升性能。

物联网业务种类多,规模差别大,安全投入不均衡,部分业务防护能力不足,影响业务安全运行。

随着物联网深入推进,接入设备及企业数量增加,各类业务在线化开展,与上下游企业的信息交互频繁,安全防护压力急剧增加,沿用一体化集成防护模式,将面临三方面的困难和挑战:

蜂窝物联网的主要应用场景有两类:一是智慧城市、智能家居、环境监测等行业应用,对速率要求不高,但需要待机时间长、模组成本低、覆盖能力强的物联网技术,NB-IoT 是此场景常用的技术。二是交通物流、个人穿戴等应用,对速率要求较高,需要支持移动性、支持语音的物联网技术,eMTC 是此场景常用的技术。此外,在NB-IoT、eMTC等低功耗物联网成熟之前,传统 2/3/4G 网络也常被用于接入各类物联网设备,实现通信需求。

和社会各界合力攻关安防难题

NB-IoT与各行业深度融合,业务逻辑复杂,应用协议多样,容易存在业务漏洞。

带来三方面的困难和挑战

(1)业务防护能力不足

三是新设备、新技术的广泛引入,使得电力行业物联网网络防护边界变得模糊,传统依赖物理边界进行防护的模式适用性不足,亟需创新各类终端联网的安全保障机制。未来电力企业内部网络将与外部应用平台、设备供应商、客户等业务系统实现更广泛的连接,网络数据传递过程中常见的拒绝服务、中间人攻击等网络威胁,软件漏洞、配置不合理等网络传输链上的软硬件安全,无线网络技术等带来的网络防护边界模糊等问题发生风险加大,以前依赖物理边界防护的集中式安全机制难以发挥作用,亟需优化数据传递安全保障机制。

NB-IoT 核心网一般与互联网相对隔离,网元之间相互信任而没有采取认证机制,随着网络更加开放化以及跨运营商网络之间的通信需求,NB-IoT核心网也会面临信令伪造、篡改、重放攻击等风险,核心网与互联网接口也会面临来自互联网的各种攻击。同时,大量终端接入网络也可能对核心网络发起攻击,影响业务运行。

过去电力行业经营相对封闭,安全防护工作聚焦企业信息安全、防止信息泄漏等,安全防护目标相对明确、任务相对单一,多采用一体化集成防护模式,为电力企业安全、平稳及高效运行提供了有力保障。

(2)业务漏洞风险大

整体来看,随着发电、电网、电工装备等领域物联网建设深入推进,在全息感知能力、泛在链接能力、开放共享能力和业务创新能力全面提升的同时,终端各类设备成为重要风险源,网络传输环节、数据处理环节安全可靠运行的压力也持续增加,对电力行业物联网安全管控提出了更高要求。

目前尚未形成全面的覆盖产业链的NB-IoT 安全标准,平台、终端安全防护能力参差不齐,无法按照统一的标准进行体系化安全防护。

三是“大集成”式数据处理模式下,海量数据汇到云平台处理,可靠计算压力增大。随着发电、电网、电工装备等领域物联网深入推进,数据量将越来越大,如都放到云端处理,会对频谱资源、传输带宽和数据处理能力造成挑战,一方面,云平台可能不堪重负:另一方面,极大推高了数据存储及处理成本。终端一旦发起大规模网络攻击、海量设备认证查询风暴等,容易引发云服务器物理机宕机。

NB-IoT产业链包括设备制造商、网络运营商、平台运营商、用户等角色,发生安全事件时可能存在安全责任不清的问题。例如,终端设备在设备制造商出厂时就存在安全隐患,设备归用户所有,使用运营商的网络接入平台,而用户在使用时未及时升级,终端被恶意控制后产生了危害,产业链中各角色的安全责任不清晰。

一是接入企业的终端数量快速增加,各类终端安全防护能力差异性较大,同时,电力行业安全防护责任界限扩展,安全防护压力增加。监测设备、电动汽车等不同终端的安全性能和对安全的需求在不同应用场景完全不同,部分很难单独部署安全软件或复杂加解密算法,电力企业短期内直面的安全责任较大。例如,对于高可靠安全通信,终端需要有快速接入认证、强加密算法的支持,传感器式终端则需轻量级的认证、加密算法。

总体目标

二是电力行业物联网网络传输结构复杂,通过破解通信协议影响系统安全的风险增加。随着各类设备、平台广泛接入电力系统,可能出现多种异构网络,通信传输模型更为复杂,可能出现通过破解算法、协议及中间人攻击等多攻击方式,对传输数据及指令进行篡改、屏蔽等。目前,已有黑客通过破解智能平衡车、无人机等物联网设备通信传输协议,实现对物联网终端的入侵、劫持。

大量NB-IoT应用运行在一个集中的平台上,如果没有进行有效的安全隔离和访问控制,容易引发不同应用之间的越权访问和操作。另外,如果没有对不同用户、设备进行有效隔离,也可能导致不同用户、设备之间的越权访问。

一是监管政策及标准体系完善相对缓慢,各类终端厂商安全投入不足的问题突出,电力企业落实主体防护责任,需构建高效防护体系弥补各类终端的安全防护缺陷。在安全标准体系建设方面,各类物联网相关终端技术更新快、应用设备多元,标准体系建设滞后于物联网发展,一直缺乏完善的安全标准体系和成熟的安全解决方案。这就导致在实际工作中,终端厂商对安全防御能力建设重视不够、安全投入不足。根据相关政策要求,电力企业作为关键信息基础设施运营者,承担主体防护责任,亟需创新构建高效防护模式,弥补各类终端安全防护能力的差异。

NB-IoT业务场景复杂,导致卡及终端形态多样,存在插拔式卡、嵌入式卡等形态,容易被恶意利用。例如使用插拔式卡的终端难以预防机卡分离,存在被用于发送垃圾短信等业务滥用的风险。

一是加快推动电力行业物联网领域相关安全标准的制定和完善。一方面,政府部门要发挥主导作用,加快《信息安全技术网络安全等级保护基本要求》《关键信息基础设施安全保护条例》等政策的落地实施;另一方面,要向行业主要电力企业充分授权,发挥企业的安全责任主体作用,建立安全性合规性监测机制,从安全框架体系、安全测评、风险评估、安全防范、安全处置方案等方面推动标准规范制订和落地。近期电力企业在招标相关物联网产品及设备时,可将安全防护性能作为重要参考指标。

(3)应急管控不足造成危害难以及时消除

二是电力企业要加强安全防控模式的顶层设计,与现行防护体系做好衔接。电力企业在推进物联网建设过程中,需系统研究面临的安全防护特点,在硬件、操作系统、通信技术、云服务器等各环节做好体系建设,明确不同环节的安全防护策略、设计标准、逻辑功能等,形成分层立体防御体系。同时,在安防体系改造升级过程中,在安全防控职责、设计标准、系统功能等方面与现行安全防控体系做好衔接,合理安排实施路径和时间表,稳妥有序推进各项工作。

2.4 终端风险分析

三是深入研究兼顾安全性和经济性、防护质量和推进效率的新型安全防控技术。国内外部分先进机构已探索实施新型分布式网络安全技术、边缘防控等安全防护技术,普遍将安全防控关口前移,在源头开展安全认证、安全防御,阻断攻击路径并隔离受损特定网络区域,实现全网免疫和安全,具有较强的适用性和灵活性。因此,应加强电力企业、信息及网络安全企业等各类主体的深度合作,发挥技术、应用场景的互补优势,实现多主体共保电力行业物联网安全,在安全防控核心关键技术、新兴技术等领域取得突破。

2017年6月,工业和信息化部办公厅发布的《关于全面推进移动物联网(NB-IoT)建设发展的通知》指出,建设广覆盖、大连接、低功耗的移动物联网基础设施,有助于推进网络强国和制造强国建设,同时要求,加快推进网络部署,构建NB-IoT网络基础设施,到 2017年末,实现NB-IoT网络覆盖直辖市、省会城市等主要城市,基站规模达到40万个;到2020年,NB-IoT网络实现全国普遍覆盖,面向室内、交通路网、地下管网等应用场景实现深度覆盖,基站规模达到150万个。

从近些年国内外物联网安全风险事件来看,各类接入的外部设备、软件等成为发动网络攻击的重要“跳板”,安全防护重点已从企业内部生产运营系统扩展到各类终端,安全防御的复杂性不断增强、防御难度持续增加。如根据我国国家信息安全漏洞共享平台披露,借助公共网络,利用可编程逻辑控制器PLC、数据采集与监视控制系统SCADA(广泛应用于产业制造、能源电力生产和通信等领域)漏洞,攻击企业内部生产系统已成为最常见的攻击方式。电力行业物联网安全防御呈现以下特点:

NB-IoT终端设备规模巨大,且分散安装、甚至位于户外,难以进行统一管理,一旦大量设备被恶意控制,就可能对其他网络系统发起大规模DDoS攻击,甚至导致大规模断网,传统安全问题的危害会被急剧放大。(2)公网传输导致重要数据泄露风险

近年来,物联网发展进入快车道,发电、电网、电工装备等企业也在积极探索,利用物联网实现人、机、物状态全面感知、信息高效处理、生产经营科学决策,提升业务运行效率和企业经营绩效。与传统互联网、工业物联网安全防御相比,电力行业物联网具有接入设备及企业多元、数量巨大、安全防护能力差异大,一旦发生风险影响范围广、危害程度大等特点,因此对电力企业安全防护体系提出了更高要求。

(4)安全标准不统一

加快电力行业物联网高质量发展需政府部门、电力企业和社会企业形成合力,在安全防控领域取得突破。

(1)设备规模巨大易引发大规模网络攻击

服务开放化。NB-IoT业务平台既有运营商平台也有互联网或用户自建的平台,可满足各种业务需求;同时,部分业务需要运营商开放云计算、位置查询、设备状态查询、认证等必要能力,使得运营商网络更加开放。因此,NB-IoT服务模式与传统的通信服务模式有较大不同,产业链将更长且不断产生各类新兴的商业模式,也相应地提出了新的网络信息安全需求。

多数NB-IoT应用的数据会集中存储在统一的物联网平台,并通过统一的平台对终端进行控制。若平台被恶意攻陷,就会导致大规模数据泄露,甚至大量终端设备被控制,进而影响工业生产及社会生活。

在我国大力推进 NB-IoT物联网基础设施建设之时,也应注意到网络信息安全问题给物联网的发展提出了全新的挑战。本白皮书基于物联网业务安全需求及应用场景,重点分析了当前正在大力建设的NB-IoT所面临的安全问题,提出了NB-IoT安全技术需求和安全架构,以期推动产业链在相关方面达成一致,尽快攻克核心技术难题,从而促进NB-IoT物联网健康持续发展。

1.1 业务简介

在万物互联时代,人们期待借助物联网实现人与物和物与物之间的信息交互和通信,进而获得更为便捷的生活体验。物联网是互联网的延伸,其应用范围覆盖了个人穿戴、家庭安防、交

2.5 管理风险分析

风险分析

1、业务安全:具备业务分级管控能力,满足不同业务的安全需求,并能基于终端、网络、平台的安全状态及业务运行情况,打造NB-IoT业务安全态势感知能力。同时,能够基于威胁情报交换、共享,预防业务安全事件。

1.3 行业现状

2.1 业务风险分析

NB-IoT设备受成本限制,通常计算能力较弱,无法实现安全级别高的认证机制、安全算法,抵御暴力破解等攻击的能力差,容易被恶意控制。

3、网络安全:提供身份保护和数据安全通道能力;同时,具备应急管控和网络安全防护能力以抵御来自互联网的攻击,并能及时消除物联网设备被控引发的危害。

连接海量化。据Gartner预测,到2020年全球将有260亿物联网设备,市场价值超过 3000亿美元,而DHL和思科联合发布的报告则预测到2020年物联网的连接数将达到 500亿。中国移动十三五规划提出到2020 年蜂窝物联网连接规模超过5亿。

图1典型NB-IoT业务体系架构

物联网应用的各类采集数据通过NB-IoT网络上传到对应的业务平台,传输过程跨越多个网络,经由大量网元进行处理,存在重要数据泄露的风险。

NB-IoT 设备通常由用户进行管理,普通用户安全意识缺失容易导致弱口令、安全配置缺陷等问题,进而引发安全事件。

(2)数据泄露风险

(2)安全意识不足

(1)越权操作风险

本文由一分快三发布,转载请注明来源

关键词: