面向電網(wǎng)安全的零信任動(dòng)態(tài)訪問(wèn)控制

摘要：隨著信息通信技術(shù)在電力信息系統(tǒng)中的不斷發(fā)展和應(yīng)用，電網(wǎng)的防護(hù)邊界逐漸模糊，外部攻擊和內(nèi)部威脅日益嚴(yán)重，急需對(duì)電力系統(tǒng)信息資源的訪問(wèn)進(jìn)行有效控制，確保數(shù)據(jù)安全。本文在電網(wǎng)二次系統(tǒng)安全防護(hù)總體框架的基礎(chǔ)上，結(jié)合零信任安全機(jī)制，提出面向電網(wǎng)信息安全的零信任動(dòng)態(tài)訪問(wèn)控制模型。該模型通過(guò)分析電網(wǎng)系統(tǒng)的訪問(wèn)主體屬性與行為信息的特點(diǎn)，綜合考慮威脅行為、滑動(dòng)窗口、懲罰機(jī)制等因素對(duì)訪問(wèn)控制的影響，實(shí)現(xiàn)對(duì)訪問(wèn)主體信任值的持續(xù)評(píng)估和動(dòng)態(tài)控制。仿真實(shí)驗(yàn)結(jié)果表明，增加推薦信任能合理兼顧主觀和客觀2 種信任評(píng)價(jià)，使電網(wǎng)訪問(wèn)主體的信任值評(píng)估更準(zhǔn)確。此外，針對(duì)外部威脅行為，信任評(píng)估引擎會(huì)迅速更新訪問(wèn)者的綜合信任值，使非法主體無(wú)法獲得系統(tǒng)的訪問(wèn)權(quán)限，具有更好的控制細(xì)粒度。

關(guān)鍵詞：零信任；電網(wǎng)信息安全；動(dòng)態(tài)訪問(wèn)控制；安全防護(hù)架構(gòu)；信任值

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1000-582X（2024）08-081-09

隨著國(guó)家電網(wǎng)提出“三型兩網(wǎng)，世界一流”的戰(zhàn)略目標(biāo)，工業(yè)智能電網(wǎng)的安全格局發(fā)生了質(zhì)的變化，暴露在外的電網(wǎng)終端成為攻擊者目標(biāo)，電網(wǎng)安全威脅也隨之出現(xiàn)。目前，中國(guó)電力系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)主要以邊界隔離為主，總體遵循“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則。但大規(guī)模終端設(shè)備和用戶在電力物聯(lián)網(wǎng)環(huán)境中的廣泛接入增加了網(wǎng)絡(luò)暴露，這對(duì)以邊界隔離為特征的保護(hù)系統(tǒng)提出嚴(yán)重挑戰(zhàn)。此外，電網(wǎng)終端設(shè)備和用戶的認(rèn)證、訪問(wèn)控制大多采用“一次認(rèn)證、一次授權(quán)、長(zhǎng)效”的方式，難以應(yīng)對(duì)來(lái)自內(nèi)部和外部設(shè)備以及擁有合法權(quán)利的用戶威脅，用戶的安全認(rèn)證與信任度評(píng)估存在嚴(yán)重不足[1?4]。

為保護(hù)電網(wǎng)中的信息資源，研究人員積極開(kāi)展融合零信任的系統(tǒng)安全防護(hù)研究。零信任網(wǎng)絡(luò)以保護(hù)服務(wù)數(shù)據(jù)安全為目標(biāo)，強(qiáng)調(diào)網(wǎng)絡(luò)的一切實(shí)體均不可信，為電網(wǎng)終端的安全保護(hù)提供顛覆性的解決方案[5?8]。此外，零信任要求在每次訪問(wèn)或通信時(shí)都進(jìn)行身份驗(yàn)證，而不僅僅是在用戶登錄時(shí)。對(duì)于電網(wǎng)中潛在的攻擊行為，零信任框架強(qiáng)調(diào)實(shí)時(shí)檢測(cè)和快速響應(yīng)，及時(shí)檢測(cè)潛在威脅并采取適當(dāng)措施。文獻(xiàn)[9]提出基于角色的訪問(wèn)控制（role-based access control，RBAC）和基于屬性的訪問(wèn)控制（attribute-based access control，ABAC），前者根據(jù)各個(gè)角色的工作職能分配相應(yīng)的權(quán)限并完成授權(quán)，但缺少環(huán)境上下文及對(duì)權(quán)限分配是靜態(tài)、粗粒度的訪問(wèn)控制。后者以實(shí)體屬性為基礎(chǔ)進(jìn)行授權(quán)決策，依據(jù)實(shí)體屬性的變化動(dòng)態(tài)更新訪問(wèn)控制決策，但其與RBAC相比，無(wú)法進(jìn)行事前審計(jì)，一旦屬性及規(guī)則過(guò)多，整個(gè)系統(tǒng)響應(yīng)會(huì)很慢。文獻(xiàn)[10]針對(duì)電網(wǎng)數(shù)據(jù)安全問(wèn)題，提出分布式數(shù)據(jù)庫(kù)細(xì)粒度訪問(wèn)控制，結(jié)合ABAC 和RBAC 的優(yōu)勢(shì)，但沒(méi)考慮外部威脅行為對(duì)訪問(wèn)主體信任的影響。

綜上，本文針對(duì)目前電力信息系統(tǒng)外部攻擊與內(nèi)部潛在威脅層出不窮的問(wèn)題，在現(xiàn)有電力二次系統(tǒng)安全防護(hù)總體框架基礎(chǔ)上，提出面向電網(wǎng)信息安全的零信任動(dòng)態(tài)訪問(wèn)控制模型。該模型對(duì)用戶、設(shè)備、環(huán)境和訪問(wèn)主體信任值進(jìn)行持續(xù)評(píng)估和動(dòng)態(tài)訪問(wèn)控制。此外，綜合考慮威脅行為、滑動(dòng)窗口、懲罰機(jī)制對(duì)訪問(wèn)主體信任值的影響，實(shí)時(shí)更新訪問(wèn)主體的信任閾值，降低數(shù)據(jù)安全風(fēng)險(xiǎn)隱患，提高電力系統(tǒng)的數(shù)據(jù)安全與業(yè)務(wù)安全。

1 面向電網(wǎng)安全的零信任安全防護(hù)架構(gòu)

1.1 電網(wǎng)系統(tǒng)安全防護(hù)總體框架

電網(wǎng)二次系統(tǒng)安全防護(hù)總體框架如圖1 所示。其電力安全保護(hù)總體策略主要基于以下4 個(gè)步驟[11]：1）安全分區(qū)：根據(jù)業(yè)務(wù)重要性和對(duì)主系統(tǒng)的影響，將電網(wǎng)安全保護(hù)平臺(tái)劃分為4 個(gè)安全區(qū)域，通過(guò)加密和身份驗(yàn)證加強(qiáng)對(duì)實(shí)時(shí)控制系統(tǒng)等關(guān)鍵區(qū)域的保護(hù)；2）橫向隔離：使用不同強(qiáng)度的安全隔離設(shè)備，對(duì)實(shí)時(shí)控制系統(tǒng)與各級(jí)電網(wǎng)管理信息系統(tǒng)之間進(jìn)行有效的安全隔離，隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離；3）網(wǎng)絡(luò)專業(yè)化：調(diào)度數(shù)據(jù)網(wǎng)絡(luò)內(nèi)置于專用通道中，實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò)的物理隔離，通過(guò)MPLS-VPN 或IPsec-VPN 技術(shù)，在專用網(wǎng)絡(luò)中形成相互隔離的VPN，避免安全區(qū)域之間的垂直交叉；4）縱向認(rèn)證：采用經(jīng)過(guò)認(rèn)證的加密和訪問(wèn)控制技術(shù)，實(shí)現(xiàn)生產(chǎn)控制數(shù)據(jù)的遠(yuǎn)程安全傳輸和垂直邊界的安全保護(hù)。