2015年12月23日,烏克蘭電力部門(mén)遭受惡意代碼攻擊,導致7個(gè)110KV的變電站和23個(gè)35KV的變電站出現故障,讓80000多戶(hù)家庭陷入停電窘境。
2016年1月23日,以色列國家電力局受到重大網(wǎng)絡(luò )攻擊侵襲,且已經(jīng)有多份報告表明勒索軟件正是造成事故的直接原因。
這是全球電力行業(yè)遭受黑客攻擊的開(kāi)始,且遠非結束。
信息網(wǎng)絡(luò )技術(shù)與電力系統深度融合的智能電網(wǎng),對于促進(jìn)節能減排,實(shí)現能源安全和經(jīng)濟社會(huì )可持續發(fā)展具有重大意義,但也讓電力系統暴露在了易于遭受網(wǎng)絡(luò )攻擊的復雜環(huán)境之中。而一旦受到攻擊,不僅會(huì )造成大面積停電、信息外泄等風(fēng)險,也會(huì )帶來(lái)巨大的經(jīng)濟損失并危及國家能源安全。
問(wèn):拿什么保護你,智能電網(wǎng)?
智能電網(wǎng)深系民生、部署廣泛、規模龐大,其網(wǎng)絡(luò )邊界更是擁有海量的接入終端,往往成為黑客入侵的目標,致使電力系統信息安全存在極大的安全隱患。以國網(wǎng)四川省電力公司為例,公司信息網(wǎng)絡(luò )設備達8000余臺,各類(lèi)終端10萬(wàn)余臺,接入終端數量大、種類(lèi)多,特別是攝像頭、打印機等不需要安裝認證客戶(hù)端的啞終端設備,成為了網(wǎng)絡(luò )安全的薄弱環(huán)節。對于已經(jīng)接入公司內網(wǎng)的終端,如果繼續通過(guò)3G/4G網(wǎng)卡或無(wú)線(xiàn)等方式同時(shí)接入外網(wǎng),這種內網(wǎng)外聯(lián)的行為不啻為黑客入侵架起了一座橋梁。
要應對這樣的安全場(chǎng)景,傳統的網(wǎng)絡(luò )安全防護體系顯然已經(jīng)力不從心。由防火墻、入侵檢測、入侵防御等安全設備構建的邊界防護模式,雖然能對網(wǎng)絡(luò )出口進(jìn)行有效防護,但是對于網(wǎng)絡(luò )終端的防御能力明顯不足,而傳統終端準入環(huán)節由于商業(yè)考慮或技術(shù)壁壘,存在網(wǎng)絡(luò )安全難以和終端安全有機結合、安全措施難以逐項落實(shí)到每臺網(wǎng)絡(luò )設備和終端設備等諸多安全隱患和威脅。
那么,如何讓智能電網(wǎng)盡享信息技術(shù)之美,而免于信息技術(shù)之殤?
答:4大創(chuàng )新 12項技術(shù)專(zhuān)利化解智能電網(wǎng)的“達摩克利斯之劍”
在網(wǎng)絡(luò )準入、桌面管理等關(guān)鍵技術(shù)基礎上開(kāi)展重要創(chuàng )新,研制具有自主知識產(chǎn)權、達到國際同類(lèi)產(chǎn)品先進(jìn)水平、適用于智能電網(wǎng)各類(lèi)準入場(chǎng)景的大規模網(wǎng)絡(luò )及終端一體化管控平臺,實(shí)現終端安全和網(wǎng)絡(luò )安全的統籌規劃,解決終端準入和網(wǎng)絡(luò )安全一體化信息安全的難題——這就是身為新IT解決方案領(lǐng)導者的新華三攜手國網(wǎng)四川省電力公司、國網(wǎng)福建省電力有限公司共同給出的回答。
4大創(chuàng )新、12項技術(shù)專(zhuān)利、2件軟件著(zhù)作權,共同支撐起 “智能電網(wǎng)大規模網(wǎng)絡(luò )及終端一體化管控平臺”的多業(yè)務(wù)安全接入管理平臺。所謂“魔高一尺,道高一丈”,這個(gè)傾注了新華三和兩家電力公司若干心血的一體化管控平臺,其中每項創(chuàng )新與專(zhuān)利均直指伴隨智能電網(wǎng)而生的安全缺陷,并重點(diǎn)突破了海量接入終端與網(wǎng)絡(luò )設備的安全策略智能聯(lián)動(dòng)、大規模信息網(wǎng)絡(luò )不完整邊界的智能識別與重構、基于操作系統內核構建細粒度安全控制策略、虛擬化分布式網(wǎng)關(guān)等核心技術(shù)難題。
(智能電網(wǎng)大規模網(wǎng)絡(luò )及終端一體化管控平臺鑒定測試證書(shū)、軟件測試報告)
“技術(shù)復雜、難度大,成果創(chuàng )新性突出,總體達到國際先進(jìn)水平。”——2016年5月,四川省科技廳2016年5月組織頂尖專(zhuān)家教授對 “智能電網(wǎng)大規模網(wǎng)絡(luò )及終端一體化管控平臺”進(jìn)行了成果鑒定,一致認為該平臺能有效保障電力系統信息網(wǎng)絡(luò )的內網(wǎng)、外網(wǎng)及終端的正常運行與安全防御,從而打破了國外企業(yè)在該領(lǐng)域的壟斷地位,不僅能切實(shí)保障智能電網(wǎng)運行安全,同時(shí)亦有利于國家能源安全的實(shí)現。
智能電網(wǎng)大規模網(wǎng)絡(luò )及終端一體化管控平臺技術(shù)解讀:
技術(shù)創(chuàng )新一
網(wǎng)絡(luò )及終端安全策略智能聯(lián)動(dòng)技術(shù)
該技術(shù)將終端身份認證和安全狀態(tài)相結合,對入網(wǎng)終端進(jìn)行深度檢測,基于檢查結果聯(lián)動(dòng)網(wǎng)絡(luò )設備和安全設備,對接入設備、用戶(hù)終端進(jìn)行不同級別的安全控制。該技術(shù)攻克了網(wǎng)絡(luò )及終端安全策略各自為政、終端安全管控能力不足、終端規范性管理力度不足等技術(shù)難題,實(shí)現了網(wǎng)絡(luò )安全策略與終端安全策略的深度耦合,極大提升了全局安全防護能力。
技術(shù)創(chuàng )新二
終端仿冒檢測技術(shù)
與現有國內外技術(shù)相比,該技術(shù)開(kāi)發(fā)出基于操作系統內核的網(wǎng)絡(luò )驅動(dòng)過(guò)濾層,安全策略直達操作系統底層核心,攻克了安全策略部署難、客戶(hù)端軟件被暴力破解、終端仿冒等技術(shù)難題,實(shí)現了終端內聯(lián)和外聯(lián)的策略保障,極大提升了終端的網(wǎng)絡(luò )訪(fǎng)問(wèn)管控能力。
技術(shù)創(chuàng )新三
分布式網(wǎng)絡(luò )接入控制系統的分級管理技術(shù)
該技術(shù)通過(guò)分級、分域的管理方法與深度的流量分析技術(shù),突破了網(wǎng)絡(luò )與終端分割管理、網(wǎng)絡(luò )邊界管理盲區等技術(shù)難題,達到了簡(jiǎn)化管理、網(wǎng)絡(luò )邊界動(dòng)態(tài)構建的效果。
技術(shù)創(chuàng )新四
高安全性Portal接入技術(shù)
通過(guò)支持證書(shū)認證的客戶(hù)端、服務(wù)器、接入設備,實(shí)現了終端在Portal認證過(guò)程中使用證書(shū)進(jìn)行強身份認證,防止了重放攻擊,也實(shí)現了接入終端數據的零配置。
自2009年起,“智能電網(wǎng)大規模網(wǎng)絡(luò )及終端一體化管控平臺”陸續在國網(wǎng)四川省電力公司、國網(wǎng)福建省電力有限公司和其他二十幾家省級電力公司和直屬單位上線(xiàn)應用,迄今為止從未出現因終端安全防護能力不足而引發(fā)的安全事故。其中的防內網(wǎng)外聯(lián)、分布式網(wǎng)關(guān)虛擬化、深度智能巡檢等核心技術(shù)也已在政府、電力、金融、教育、交通等行業(yè)推廣應用,用戶(hù)單位包括國務(wù)院辦公廳、國家統計局、國稅總局、國家人事部、新華通信社總社、中石油、中國外運集團、百度集團、深圳機場(chǎng)等,應用終端節點(diǎn)超過(guò)800萬(wàn)個(gè)。
信息安全問(wèn)題如同懸于智能電網(wǎng)之上的“達摩克利斯之劍”,但智能電網(wǎng)的“智慧”之處亦在于,絕不會(huì )任由自己身處危險之境——以新IT技術(shù)防范安全之殤,這也正是新華三踐行中的新IT智慧。
