电力安全，恒久守护——安恒信息电力物联资产管控解决方案

电力IOT网络中的终端数量非常多，有打印机、考勤机、智能运检、在线监测、电缆监测、车辆识别、变电站巡检、视频监控、电缆监测、变电站集采等类型繁杂且广泛分布在外场环境，另外，终端扩建、更换较为频繁。在此背景下，依靠人力进行资产梳理和建档管理难度较大，依靠常规扫描产品由于缺乏相关指纹积累，无法识别电力专网内特有的终端，由此形成一个电力资产测绘难的局面。

电力物联终端大多以业务功能需求实现为核心目标，由于终端本身大多是嵌入式智能设备、算力有限，很多采用剪裁版Linux操作系统、Android操作系统。其物联终端可能存在着安全漏洞、弱密码、初始密码等资产弱点，一旦被利用，其关联的业务系统甚至将会面临瘫痪的风险。这些弱点可能将成为电力系统致命的弱点。

电力物联网由于随着信息化迭代升级，其边界的不断延伸，甚至逐渐模糊，有些场景缺乏物联终端接入身份认证和准入控制，仿冒、私接、未知、不合规的物联终端可轻而易举的接入网络，一旦某些物联终端中病毒或被恶意控制，很容易在局域网内横向扩散，对整个依托于物联终端构建的业务系统形成极大的安全威胁。

近年来，国家陆续出台了多项标准与规定，旨在强化电力信息系统对物联资产的安全管控，其中包括：

在此背景下，安恒信息基于直击核心问题，严防重大风险的思路，提出了安恒信息电力物联资产安全管控解决方案。

整体解决方案由2大核心组件构成。一是部署运维管理区的物联网安全感知与管理平台，实现整体观看；二是在厂站的汇聚交换机旁路部署安恒物联网安全准入系统，实现物联资产识别、弱点检测、异常行为检测，同时构建严格的物联资产准入管控机制。

以下为实际场景方案部署情况：

依托上述解决方案，给客户带来的核心价值为：

电力物联资产管控解决方案，能够对物联资产进行身份管理，快速识别仿冒、私接的物联网终端并且对这些终端进行安全封堵，只允许可信的物联网终端接入到电力物联网中。

电力物联资产管控解决方案，能够对回传的物联网感知数据进行国密加密，并且对回传的数据进行安全清洗，从而保证通道的加密性和安全性。

电力物联资产管控解决方案，能够对自动学习物联终端的访问行为，从而做到动态访问控制策略；另一方面可以解析物联网终端的协议或信令，可以基于协议和信令设置细粒度权限管理；并且可以测绘设备访问行为，对设备的行为进行溯源。

电力物联资产管控解决方案，能够通过基线测绘重要的业务系统，以及重要业务和物联终端交互的端口，从而减少非必要的开放端口和可能暴露的重要业务系统。

电力物联资产管控解决方案，能够实时监测和管控非法外发数据；能够监测物联网终端间的数据非法传输；能够持续检测违规外联、多网卡等外联数据泄露行为。

国网山东省**供电公司，历来重视网络安全风险，但是发现电力物联网终端可能存在以下风险，并且希望安恒信息能够对物联网终端进行安全加固。

没有统一的资产管理平台，并且物联终端安全状态难以掌控，没有统一的安全状态展示平台。

包括打印机、考勤机、在线监测、电缆监测、车辆识别、变电站巡检、视频监控、电缆监测、变电站集采等，均具有被攻击的威胁。

不但面临被冒用的风险，同时也面临着被非法操控的风险。

安恒信息采用电力物联资产管控解决方案对其进行防护，以下是对应的防护逻辑图：

基于主动扫描和流量分析的能力，实现了网内物联资产的全面测绘。收集了物联网终端设备IP、MAC地址、操作系统、端口开放状态等关键设备信息。如图：

基于快速采集物联终端的IP、MAC、系统信息、类型等信息生成唯一指纹，对物联网终端进行指纹识别，对指纹信息错误的物联终端实时阻断并告警；对物联终端进行实时管控，确保所有接入终端的安全可靠

对采集的数据进行机器学习的算法进行分析，获取设备运行的基线数据，监测设备运行中的异常情况，例如可以准确识别僵尸网络产生的异常流量数据，快速检测出系统中隐含的SYN、ACK、UDP流量攻击IP地址等信息，进行记录上报。通过监测异常流量，及时识别并阻止潜在的攻击行为。