一、案例背景:
随着世界互联网大会乌镇峰会的召开,乌镇成为全球知名的互联网小镇。国网浙江省电力有限公司在乌镇开展物联网示范工程建设过程中,积极探索公司未来物联网安全的建设模式及应用方向,在乌镇示范工程中建设乌镇峰会会展区域物联网零信任安全防护体系,提升物联网的整体信息安全防护水平,确保电网安全可靠、稳定运行。
结合乌镇区域物联网综合示范项目,对乌镇镇区已建设完成的神经元智慧路灯和互联网之光全感知配电房,将实施终端网络安全防护,重点对感知层设备进行安全加固。神经元路灯系统作为物联网的一个落地场景,神经元路灯信息交互功能通过物联网技术和基础平台,获取路灯自身运行状态,以及附属其他传感器和智能设备(液位、空气质量、视频、广告机)的工作状态和感知数据,并加以分析计算后进行可视化展示,其积累的数据也通过数据中台形式提供给目标消费单位使用。构建基于物联网综合示范园区的零信任网络安全防护体系,提高园区物联网终端和用户的安全接入管控能力,提升能源管理系统的安全性和可靠性。
二、案例概述:
2021年选定乌镇西栅景区XXX配电房和云享乌镇多个应用为项目场景,验证零信任技术针对用户及物联设备安全防护的有效性和可靠性。6月完成XXX配电房智能电表、烟感、水浸等感知层终端设备接入到边缘物联代理,并在本地部署园区能源系统、零信任安全网关和零信任网络安全平台,实现乌镇园区物联网安全整体防护:
动态授权服务系统:构建统一动态权限库,预设最小权限,提供权限管理服务,同时对授权的动态策略进行配置,包括动态角色、权限风险策略等。
智能身份分析系统:构建统一身份认证库,创建用户、物联设备、业务应用的身份信息;针对用户认证提供动态口令、人脸识别、指纹识别等身份鉴别技术;针对终端设备提供基于设备属性的“身份”认证。
访问控制平台:接收终端环境感知系统推送的风险通报和智能身份分析系统提供的身份与权限信息,反馈执行相应的权限控制策略。
终端环境感知系统:建设智能终端环境实时监测能力,从版本号、固件信息、设备标识符、接入网络环境等属性分析安全风险,确定影响因素提高对终端信任度量准确度,为信任度评估提供支撑。
零信任示范项目网络安全架构
2.2部署建设
a) 终端接入
6月,项目组在乌镇西栅景区XXX配电房完成部分智能电表、烟感、水浸、温湿度、水位等终端安装共计51个(传感终端27个、智能电表24个),实现传感终端与边缘物联代理的对接测试。
b) 零信任网关&控制器部署
在XXX配电房本地部署零信任相关设备,通过SPA单包认证技术,实现了边缘代理装置与业务系统的网络隐身,只有经过零信任控制器认证初始授权后,边缘代理装置才会建立从零信任网关到业务系统的通道,实现安全接入。并通过控制器持续信任评估和零信任网关策略执行,实现物联终端和用户的安全管控、边缘物联代理的本体安全防护和用户最小化动态访问控制。
c) 零信任平台部署
零信任安全防护平台包括终端安全感知模块、持续信任评估模块、访问权限动态控制模块,主要实现终端持续感知、持续认证(网络隐身)、持续信任评估、访问权限控制、设备本体安全防护和运行状态监控等多项功能,并通过可视化界面实时展示安全态势。
零信任网络安全态势大屏
三、安全技术应用情况:
3.1边-端身份认证及访问控制
在终端设备与边缘物联代理之间建立双向鉴权机制,使用“一机一密”机制保证终端的可信及数据安全。
基于属性和角色的访问控制,在数据发送和接收都保证安全,限制对关键资源的访问,提高系统安全性,保护数据安全。
边-端访问控制除了对资源访问控制外,增加系统审计功能,实时还要对访问策略的执行过程进行追踪审计。发现异常情况时立即上报安全报警信息。安全模块在边缘侧将基于容器化部署,最大限度的减少对边缘物联代理设备的平台依赖性,同时便于安全模块的升级和运维
3.2物-物互信方面
针对物联网终端的高性能智能化、低功耗灵敏化2个发展趋势,结合PKI、CPK等密钥管理体系,实现终端的本体和行为防护。使用“一机一密”机制保证终端的可信及数据安全。
3.3终端行为监控方面
针对物联网终端通信协议的多样化特点完善监控措施,实现行为建模、异常发现和智能分析。
四、客户反馈效果:
通过对乌镇镇区神经元智慧路灯和互联网之光配电房物联网零信任安全防护,提高感知层、平台层和网络层等安全防护能力,利用该平台,提高物联网安全的监测效率,可以对业务操作进行全过程审计,并首次实现抓取业务访问真实ip地址与数据库访问过程相关联的三层关联审计,弥补之前只能抓取中间件ip地址的不足,实现对电力物联网系统的全面审计。在提高了安全性的情况下,实现了管理的创新与技术的创新,在保证生产正常运行的同时也节约了人力成本,并带来良好的经济效益。
通过该项目的实施,作为物联网零信任安全防护典型落地案例,在电力行业产生积极的影响,在后续其他行业的物联网安全防护起到推动和示范作用,具有较大的社会效益。