白话物联网安全系列文章:
第四章,我们探讨一个概念性的话题,泛在物联网,在这个基础上我们在试试站在甲方爸爸的角度上谈一谈泛在物联网的安全怎么做。
正文
其实之前没有明确的泛在物联网的概念,只有泛在网的这个名词,既即广泛存在的网络,它以无所不在、无所不包、无所不能为基本特征,以实现在任何时间、任何地点、任何人、任何物都能顺畅地通信为目标,咱们现在提出的泛在物联网,就是以物联网为基础去构造泛在网。
为什么突然在白话系列提出泛在物联网,主要是因为国家电网2019年1月13日发布的2019年1号文件中,排在年度重点工作首位的就是:推动电网与互联网深度融合,着力构建能源互联网。
2019年1号文件具体内容是:“持之以恒地建设运营好以特高压为骨干网架、各级电网协调发展的坚强智能电网……。充分应用移动互联、人工智能等现代信息技术和先进通信技术,实现电力系统各个环节万物互联、人机交互,打造状态全面感知、信息高效处理、应用便捷灵活的泛在电力物联网,为电网安全经济运行、提高经营绩效、改善服务质量,以及培育发展战略性新兴产业,提供强有力的数据资源支撑。承载电力流的坚强智能电网与承载数据流的泛在电力物联网,相辅相成、融合发展,形成强大的价值创造平台,共同构成能源流、业务流、数据流“三流合一”的能源互联网。”
其实在2018年10月,华为依托其领先的SingleRAN平台,推出了IoT-G 230MHz(eLTE-DSA)方案,此方案做的就是无线技术和电力行业的深度融合,给泛在电力物联网做准备。
在国家电网,2018年信通公司提出来要做SG-eIoT(electric Internet of Things),就是把电力的输电、变电、配电、用电、经营五大业务结合现在电力互联网,把终端、网络、平台、运维、安全五大体系融合进去,加上咱们常说的物联网,大数据,云,所有资源进行整合,电力泛在物联网想要做的,就要干的其实就是这个。
现在国网提出的三型两网,泛在电力物联网说了这么多,更多提的是一个概念上的事情,国网自己也说了,准备10年干成这个事,那么基于国网的现状,我们来做泛在电力物联网的安全会涉及那些东西。
泛在电力物联网咱们按照业务场景划分开,就是输电物联网、变电物联网、配电物联网、用电物联网,经营互联网主要的物联网体系涉及这四个方向业务场景。
抛开经营互联网来说,其他子模块是作为完整的物联网模块来接入电力泛在物联网的,那么他们的网络基本构架是要满足物联网接入的基本要求。咱们以配电物联网为例,说一说电力物联网在整体构架上划分架构整体上可划分为“云、管、边、端”(配电物联网体系架构,国网吕军在电网技术专栏提出的)。
- “端”就是咱们说的感知层,环境感知,电气测量,用能采集这三大块组成。
- “管”就是网络层,本地通信网和远程通信网这两大块。
- “边”介于网络层和应用层中间,主要是进行边缘计算,以容器方式提供边缘智能服务(实时业务,数据优化等等)。
- “云”指的是应用层,laas,pass,sass结合运维管理提供服务。
对咱们安全领域来说,纯粹的互联网上很难接触到“端”“管”的内容,黑客能够涉及到的突破口就是“边”,“云“,也就是应用层突破,侵入方向一定是通过应用进入IOT平台,如果IOT平台沦陷,会导致相关设备全部沦陷,这就意味着,在电力泛在物联网的设计里面。核心的API和大数据平台一定会像洋葱一样被深深包裹在里面,我大胆的构想一下,国网内部的传输构架基于0信任的基础,消息层层加密,每个节点层层解密,只有目的地才能拿到原始消息,即使某一个节点沦陷,也不会导致整体数据威胁。
下图是一个SG-eIoT架构下的配电网业务平台的架构图(输配电联盟所画),就此图来说,目前需要解决的安全问题有两个不可规避:
- 在五大业务场景下到底有多少设备,目前国网仅电表4.5亿,其他设备几千万,因采购方式,服务厂商等等问题,抛开这些设备本身的安全(咱们前面已经谈过了),物联网设备详细数量,具体开放了什么服务,如何管控,这个现在很难给出一个确定的答案。
- 现在的泛在电力物联网核心是IOT平台,那存储的设计和安全,接口调用的权限,这是很复杂的一个设计过程,其中的核心存在的安全问题就是认证和逻辑安全。
现在安全厂商稂莠不齐,说做态势感知平台,大数据平台,安全分析实验室,很多都是把大屏做的花里胡哨,没有真正将的WPDRRC模型融合在态势感知里面,真正态势感知是要以安全大数据为基础,真正的全局视角提升对安全威胁的发现识别、理解分析、响应处置,让安全能力的落地,让国网有“安全感:,而不是天天杯弓蛇影,草木皆兵。
后期预告
原计划第四章谈谈规则和指纹的,既然说到行业了,那就等下一章讲吧,开年工作繁忙,更新慢,不好意思哈。
