基于零信任的电力数据安全防护体系研究

连晨，谢铭，王健

（1.南方电网数字电网研究院有限公司，广东 广州 510700；2.广西电网有限公司，广西 南宁 530028）

0 引言

随着工业领域不断发展，信息系统的结构更加多元，边界非确定性逐渐增加，为适应新基建的的安全防护技术要求，传统的工业数据安全防护方式需要进行迭代更新，现在面临的防护形势更加复杂，包括了以下方面。一是在信息系统上，随着云计算、大数据、人工智能、物联网等新人工智能技术的不断发展与广泛使用，新技术本身带来的安全风险，也随之嵌入了其携带的工业数据之中；二是在行业的各垂直业务中，随着用户需求不断提高的过程中，越来越多定制化的信息安全产品，为满足客户互联互通的商业需要，目前的工业产品更多着重于跨领域协同，重点关注于横向交互融合、交互场景的需求，而纵向的安全服务能力有待提高；三是在信息系统上数据的安全，工业领域数据的周期包含了从客户需求到设计研发制造的全生命周期，由于生命周期所涉及到的用户和业务开发环节较多，不同环节涉及到的数据也更多样复杂，因此随着工业数据体量种类的多样化复杂化的过程，重新对数据分类储存、清洗分析等安全技术有了新的要求，技术上需要进行创新改进。

综上所述，目前工业领域数据安全涉及面广，数据关系复杂，如何保障数据安全已经成为在各行各业必须要解决的重大问题。

1 工业平台上的数据安全风险分析

目前，工业平台上发生的数据风险主要有以下方面原因。一是数据采集风险，在数据采集的过程中需要保障数据采集来源的可靠，需要做到对采集的数据进行分类，需要建立分级明确数据的分类分级制度，对于敏感数据在数据采集过程中就应该提前做好分类工作，以防数据敏感数据被不法分子利用，导致出现敏感数据泄漏等情况；二是数据传输风险，从信息源到数据平台的传输过程中，大多是通过网络进行传输的，传输过程中经过的多种电子通讯设备以及相关基础措施，有可能受到外界的破坏或改造，导致数据在传输过程中面临泄漏、篡改、监听等隐患；三是数据的储存风险，数据在工业平台上的存储能力大部分依赖于工业存储的设备情况，一旦设备存在老化故障等问题，会造成设备上的数据存在丢失或损坏等情况，另一方面，部分平台的管理商为节省数据储存空间，并未对数据进行必要的容错或备份，一旦发生意外状况，可能会导致重要数据丢失，甚至无法无法恢复。第四点是数据在使用过程中的风险，在平台对数据进行操作的过程中，存在由于管理员操作不当，下发一系列不正确的操作指令，致使数据泄露或者损坏；另一方面，平台系统在数据交换过程中，往往使用数据接口等工具，如果这些数据接口上的安全防护措施不到位，比如缺少对象验证、访问控制、访问授权、数字签名、传输加密等安全手段，有可能会被不法分子有机可乘，从接口直接导出数据，导致数据泄露问题；第五点是数据的销毁风险，在数据销毁过程中，如果平台管理人员使用的删除操作为逻辑操作，有可能未彻底销毁数据，一旦被黑客利用该漏洞进行数据恢复，则会导致敏感数据被泄露；六是数据的合规风险，由于部分工业平台的客户或者供应商的相关法律意识较为薄弱，未能遵守相关的网络安全法，导致出现数据使用、共享有存在不合规甚至违法等情况；七是数据的审计风险，在平台数据治理过程中，往往缺少客观中立的第三方对数据风险进行监督，导致对工业平台数据的全生命周期风险未能及时识别，潜在的风险安全问题未能及时提出[1]。

2 数据安全防护技术研究

从以上风险分析可以判断，传统的基于物理位置构筑数据安全环境的防御架构正面临巨大威胁，传统手段已不足以解决问题这些问题。因此需要引入新的基于零信任网络架构、身份认证技术、加密技术和入侵检测技术，构建新的数据安全防御体系。

零信任原型旨在解决无边界网络安全问题，最早是由由机构Forrester的首席分析师John以“从不信任，始终校验”提出，其目的是实现CARTA（持续适应风险与信任评估），2020年腾讯在零信任解决方案白皮书中，概括其核心思想是“不以网络内外网区分，访问主体为验证的流量都默认为不可信。”，随着业界对零信任理论的不断完善，其逐步从原型向主流网络安全架构演进，其相关关键技术如下图1，并基于零思想在数据安全防护系统场景中设计实验指标。

其中，身份认证技术分两种典型应用[2]。一是验证用户身份后得到授权后进行操作访问，二是允许对合法的用户和服务提供进一步的数据交互。对于第一种场景，多采用访问控制的技术，而后者则多采用密钥协议进行通信。密钥协议多依赖于第三方进行密钥管理，常见的协议有Diffie-Hellman、基于口令和智能卡的认证协议、基于生物特征的认证协议（比如面部声音指纹）、新型的在云环境下的认证协议，包括采用一次性口令身份认证，基于单点登录的联合身份认证比如OPENI协议，基于云的RFID认证协议，以及适用于云的双因子和多因子认证等身份认证技术。

图1 基于零信任的电力数据安全防护技术

在保护通信网络数据传输安全的过程中，可采用密码技术支持的装载有加解密、身份验证等模块的智能网关，实现数据传输保密性。在加密过程，为防止木马密码字典等攻击，可采用公钥基础设施（Public Key Infrastructure）机制，依托于第三方管理中心，提高自身密码管控能力。但是PKI机制由于过于依赖中心化，容易遭受到单点故障和拒绝服务攻击。因此，不存在中心点进行证书交换的基于身份标识的IBC（Identitybased Cryptography）技术与可以减少PKI机制面临的以上危险，但是IBC机制由于私钥存放在用户侧，如果用户侧私钥泄露也会导致数据泄露[2]。

除了聚焦于加强认证能力和加密技术，有效使用安全组件，比如防火墙、IPS、抗DDOS系统、抗APT攻击系统、网闸等网络安全组件可以有效进行入侵检测，抵抗外界攻击和内部攻击。有效的入侵检测包括以下方式。一是在网络边界处安装入侵检测系统（IDS），IDs采用协议分析、模式匹配、异常监测等技术，在入侵检测系统中，对下级接口上报的数据报文、数据包进行实时监视，及时预警；二是在网络边界处装载安全防护组件进行拒绝服务攻击、端口扫描等终端处安全防护手段；三是面对更新迭代的攻击技术，安全策略也需要是动态的，这一点可以在安全监测系统中，采用机器学习技术等人工智能技术，对攻击行为进行海量学习，实时优化调整安全策略[3]，常用的算法有KNN、贝叶斯决策算法等[4]。

基于以上零信任思想与相关安全防护技术分析，本论文提出了一种新型电力数据安全防护体系。在身份安全基础平台上提供对远程用户的访问控制、入侵检测及密码服务；引入了身份认证技术对用户进行身份鉴别与访问；通过入侵检测系统对数据报文进行分析与监控，同时装载安全防护组件，并应用人工智能技术提供智能识别与策论优化，采用国产加密技术并建立健全的密钥管理中心；具体数据安全防护体系见下图2。

图2 数据安全防护体系

3 应用场景验证

3.1 数据安全防护系统场景

电力行业作为工业行业中的重要领域，现有的电力系统网络架构、业务模式比较复杂。现对于电力运行监控场景，进行业务实验，验证基于零信任的数据安全防护体系架构效果。实验选取了事件工单数据、月度作业计划数据、作业变更数据、缺陷工单数据、告警明细数据进行测试，目的是验证零信任架构在电网业务中的数据保护性能。实验结果表明，基于零信任的数据安全防护体系的效果良好，测试结果充分表明了零信任架构在电网业务中的有效性、安全性，可以支撑电力系统的数据安全与业务安全。

3.2 指标设计

在网络安全监测分析工作中，通过采用基于零信任的数据安全防护体系，针对电网网络安全监测事件、缺陷及告警处理的专业场景，对事件工单、作业计划、作业变更、缺陷工单、告警明细等数据的查准率建立计算模型，通过计算基于零信任的数据安全防护各安全状态因素值，获得总体安全态势值，设事件工单数据、月度作业计划数据、作业变更数据、缺陷工单数据、告警明细数据安全状态因素值的距离分别是Di，当i=1,2,3,4,5,n时，通过下述公式求取安全状态因素值的距离的值Di，影响参数为x，单类计算数据的调整因子为a，安全状态因素值的距离的值Di具体为：

通过下述公式求取安全态势的值S，具体为：

4 成效分析

基于零信任的数据安全防护体系，通过公司信息运维管理实用化场景，可以对事件工单数据、月度作业计划数据、作业变更数据、缺陷工单数据、告警明细数据指标的进行统计分析，为信息运维管理决策分析提供具有针对性的数据支撑；通过电网网络安全态势实时分析实用化场景，为电网省级网络安全监控中心提供了整体网络安全态势的实时分析，便于监控分析人员及时掌握网络攻击动态；通过基于零信任的数据安全防护体系应用场景，运维服务信息化水平和运维管理效率得到有效提升。基于零信任的数据安全防护体系场景应用结果，主要成效体现如下。信息服务管理方面，原来计算事件按时解决率、一线解决率、事件平均响应时长等信息服务指标需人工计算，耗时约45分钟，通过基于零信任的数据安全防护分析，耗时约3分钟，效率提升了约93%。作业管理方面，人工统计月度作业计划数、作业开展情况、变更完成进度需耗时15分钟，通过IOS开放数据应用场景统计展示，耗时约1.5分钟，效率提升了约90%。缺陷管理方面，人工统计紧急缺陷、高风险缺陷、低风险缺陷完成情况和超时缺陷数，耗时约10分钟，通过基于零信任的数据安全防护体系应用场景统计展示，耗时约1分钟，效率提升了约90%。告警管理方面，按照告警等级人工统计告警数据和处理完成情况，耗时约18分钟，通过基于零信任的数据安全防护分析计算，耗时约2分钟，效率提升了约88.9%。在网络安全态势监控方面，通过挖掘监控中心关注的攻击数据进行统一分析，有效提升监控效率75%。

5 结语

本文针对工业互联网背景下，电力数据面临的攻击危险日益增多的情况下，提出了基于零信任的电力数据安全防护体系，融合身份认证技术、技术加密技术、入侵检测技术，并结合了电网业务场景开展论证。验证结果表明，该体系架构可满足电力场景下的数据安全防护需求，有效保障了数据的全生命周期安全，提高了电网业务的数据保障水平。