◆陈涛
(国网新疆电力有限公司新疆 830000)
当前,电力物联网边界防护设备逐渐暴露功能单一技术规范不统一处理高并发数据连接能力不足、自动监控功能不完善、产品类型复杂、设备选型困难等问题。
依托国网公司自主可控安全装备专项工作,结合以上新需求、新问题,研制技术先进、业务兼容,符合电网数字化新基建安全防护架构要求的新一代自主可控安全接入装备。面向不同业务发展需要,整合软硬件架构,形成不同业务场景下典型应用防护方案,实现基础网络安全统一应用安全防护精准的目标。
本方案遵循电力物联网总体防护要求,按照“自主可控、可信互联、安全接入、开放共享”的防护策略,以电力物联网边界安全防护装备(电力物联网安全接入网关、网络安全网络隔离装置)为核心,与公司智慧物联体系(物联管理平台、边缘物联代理)、“国网芯”安全芯片相联动,构建包含终端层、网络层、平台层的电力物联网安全防护解决方案。
方案整体以网络层的电力物联网边界安全防护装备为连结点,北向服务于企业物联管理平台,对上提供终端安全状态监测、终端安全管控的接口,同时与公司统一密码基础设施联结,进行证书等信息申请、查询;南向联结边缘物联代理,基于“国网芯”安全芯片对下进行终端身份认证、安全接入、访问控制等管理。提升终端接入、通信通道的安全防护能力,为综合能源服务与新业态提供安全保障。
通过边缘物联代理构建电力物联网终端的网络连接,实现物联网终端与物联管理平台之间的互联、边缘计算、区域自治等功能。与边缘物联代理构建硬件层面和软件层面的安全接口:在硬件层面,与国网自主研制的安全芯片(用电信息采集、配电自动化、移动作业等)进行接口集成,采用可插拔、模块化设计,根据业务需求更换和选择,满足互换性要求。在软件层面,在边缘物联代理系统层对嵌入式操作系统进行安全加固,建立可供电力物联网边界安全防护装备进行安全监测、联动处置的安全组件,实现上层应用与安全防护解耦。
图1 电力物联网安全防护方案示意图
电力物联网安全防护装备的关键核心组件及中间件实现国产化,安全装备技术架构、产品设计、研发集成等各环节均实现自主可控,全环节提高装备安全性、适用性及可靠性。电力物联网边界安全防护装备包含电力物联网安全接入网关和信息安全网络隔离装置,统一硬件架构、融合软件功能、集约业务场景,支持海量终端多业务场景的高并发接入,实现对输变电、配用电终端、移动终端和视频终端的集约化安全接入,并在电力物联网多业务场景推广应用。电力物联网安全接入网关实现接入业务的“通道加密、身份认证、安全接入、访问控制、数据过滤、集中监管”等安全能力。采用多身份认证与密钥协商功能实现不同类型物联终端的安全接入,采用国密SM系列密码算法,支持采用国密SSL VPN协议、SSAL自定义安全协议;对各类协议数据进行识别、分析、过滤以及数据隔离传输;与统一密码基础设施联动实现传输数据加密功能;通过安全芯片、安全TF卡、安全模块实现终端侧与网关的传输通道加密;支持访问控制与可视化的配置管理;通过安全监测功能实现安全装备及接入终端的运行状态指标监测。
建设物联管理平台,实现对海量接入的采集终端、边缘物联代理的统一监视、配置和管理,支持各专业智能应用的快速迭代和远程升级,汇集海量采集数据并标准化处理,构建开放共享的应用生态,支持存量业务系统的数据接入等。
本安全解决方案在进行了多业务场景应用,对网络边界安全提供了有力支撑,为电力物联网应用发展提供重要保障。图2为办公类业务场景、输变电业务场景的防护示意图。
图2 应用案例