2018年2月7日，國家電網(wǎng)在其信息通信工作會議上首次明確提出將“打造全業(yè)務泛在的物聯(lián)網(wǎng)，建設智慧企業(yè)，引領具有卓越競爭力的世界一流能源互聯(lián)網(wǎng)企業(yè)”，2019年1月13日國家電網(wǎng)又在發(fā)布的2019年“1號文件”中將“打造狀態(tài)全面感知、信息高效處理、應用邊界靈活的泛在電力物聯(lián)網(wǎng)”排在年度重點工作首位。2019年3月8日發(fā)布的《泛在電力物聯(lián)網(wǎng)建設大綱》中明確了泛在電力物聯(lián)網(wǎng)的概念：泛在電力物聯(lián)是指任何時間、任何地點、任何人、任何物之間的信息連接和交互。目前，國網(wǎng)公司圍繞電力系統(tǒng)各個環(huán)節(jié)，正充分運用物聯(lián)網(wǎng)技術、大數(shù)據(jù)技術、人工智能技術等各項新技術，逐步實現(xiàn)狀態(tài)全面感知、信息高效處理、應用便捷靈活特征的智慧服務系統(tǒng)。

在泛在電力物聯(lián)網(wǎng)技術發(fā)展趨勢下，終端類型和結構日趨復雜，隨著網(wǎng)絡越來越開放，業(yè)務融合程度越來越高，任何一個微小的安全漏洞，都可能導致大批風電場和光伏電站陷入癱瘓，甚至導致人員損傷等嚴重的后果，實現(xiàn)端、邊、云的安全免疫，推進能源數(shù)據(jù)安全監(jiān)測與防護保障能力建設已迫在眉睫。針對目前泛在電力物聯(lián)網(wǎng)技術中存在的安全隱患，2019年5月中旬，由國網(wǎng)網(wǎng)安聯(lián)合網(wǎng)絡安全領域最具影響力的專業(yè)媒體之一——安在新媒體，共同發(fā)起面向全國安全領域廠商的2019泛在電力物聯(lián)網(wǎng)安全優(yōu)秀方案征集評選活動。

活動期間，30多家廠商的44個參選方案參與評選，近二十位評審對每套解決方案從針對性、有效性、靈活性、經(jīng)濟性、創(chuàng)新性、成熟性等六個方面進行階梯式打分，最終經(jīng)層層甄選，十佳廠商的優(yōu)秀解決方案脫穎而出。這其中由聯(lián)軟科技提出的基于可信數(shù)字網(wǎng)絡架構的泛在電力物聯(lián)網(wǎng)終端一體化管控方案（含泛電力物聯(lián)網(wǎng)行為分析）憑借其自身產(chǎn)品技術優(yōu)勢，強勢入選。

方案

聯(lián)軟科技根據(jù)國網(wǎng)相關要求，針對泛電力物聯(lián)網(wǎng)安全管控日趨嚴重的態(tài)勢，結合泛電力物聯(lián)網(wǎng)設備類型多、數(shù)量大、覆蓋面廣、物聯(lián)網(wǎng)設備功耗低、數(shù)據(jù)存在突發(fā)性集中性、網(wǎng)絡類型多樣等特點，提出了針對性的解決方案，包括物聯(lián)網(wǎng)設備識別和分類管理、物聯(lián)網(wǎng)設備邊界安全控制、物聯(lián)網(wǎng)設備行為管理、物聯(lián)網(wǎng)數(shù)據(jù)交互過程安全控制、終端全景安全展示五個方面，并在物聯(lián)網(wǎng)邊界設計過程中針對智能移動設備、視頻終端邊、感知設備提出針對性的安全邊界控制方案。具體如下：

一是：在物聯(lián)網(wǎng)設備識別和分類管理方面，針對發(fā)電、輸電、配電、用電等環(huán)節(jié)使用的大量、多種類型的物聯(lián)網(wǎng)設備，通過物聯(lián)網(wǎng)設備識別和分類管理模塊，綜合運用客戶端、探針、軟件模塊等多種方式，可實現(xiàn)設備唯一標識、設備精準識別、設備信息采集、設備分類統(tǒng)計、設備運行管理、設備風險評估、非合規(guī)設備處置等，從而協(xié)助用戶掌握設備底數(shù)，提高設備的合規(guī)率，及時發(fā)現(xiàn)存在脆弱性的設備，并向管理員預警。

二是：在物聯(lián)網(wǎng)設備邊界安全控制方面，可對泛電力物聯(lián)網(wǎng)中涉及的智能移動設備、視頻終端設備、邊緣計算設備接入后臺實現(xiàn)邊界安全控制，防止非授權、非合規(guī)設備接入，并針對感知終端特點，提出了通過邊緣計算設備接入后臺的解決方案，降低后臺壓力，同時發(fā)揮邊緣計算的特長。

1、智能移動設備邊界安全控制：從移動終端、安全隧道、管理平臺三部分對企業(yè)實行移動安全門戶統(tǒng)一入口，統(tǒng)一雙向認證、終端安全檢查、單點登錄，通過內(nèi)置的安全沙箱實現(xiàn)個人數(shù)據(jù)和企業(yè)數(shù)據(jù)隔離，并對企業(yè)數(shù)據(jù)采用高強度加密手段，防止數(shù)據(jù)被非法獲取和泄露，同時對數(shù)據(jù)安全通道實行應用隔離，對數(shù)據(jù)進行端到端加密，確保數(shù)據(jù)傳輸安全。另外，此次提供的解決方案本身還采用了業(yè)界領先的微服務技術架構，可以根據(jù)用戶業(yè)務能力進行橫向擴展，并將所有微服務在云端進行集中管控，適應多中心云部署需要。

2、視頻終端邊界安全控制：以旁路方式部署在被管網(wǎng)絡的核心或匯聚交換設備上，通過端口鏡像進行流量監(jiān)聽，適應各類組網(wǎng)方式的網(wǎng)絡。支持內(nèi)置、例外放行、設備指紋、AD、郵件等多種認證方式，實現(xiàn)視頻設備接入控制，可針對違規(guī)接入網(wǎng)絡的終端進行自動阻斷隔離，禁止接入網(wǎng)絡。針對已經(jīng)發(fā)現(xiàn)的攝像機實現(xiàn)動態(tài)ACL網(wǎng)絡權限控制，將風險降到最低。對于網(wǎng)內(nèi)存在的設備偽冒、異常訪問和異常攻擊行為的終端，可通過智能欺騙等技術主動發(fā)現(xiàn)網(wǎng)內(nèi)異常行為，并可聯(lián)動準入系統(tǒng)進行阻斷隔離；也可以對私接互聯(lián)網(wǎng)的行為進行主動探測，并可向管理員預警或依據(jù)現(xiàn)有策略及時阻斷。

3、邊緣代理設備邊界安全控制：針對泛電力物聯(lián)網(wǎng)中大量溫度、濕度等傳感設備，一般通過邊緣計算設備接入后臺，建議利用聯(lián)軟科技提供的軟件模塊嵌入邊緣計算設備，采用零信任機制，所有接入的邊緣計算設備通過雙向接入認證后，方可連接到接入網(wǎng)關訪問后臺相關業(yè)務，同時數(shù)據(jù)采用加密傳輸確保數(shù)據(jù)傳輸?shù)耐暾院蜋C密性，同時所有業(yè)務隱藏在安全網(wǎng)關之后，減少了業(yè)務服務器的攻擊面，確保了后臺業(yè)務安全穩(wěn)定運行。

三是：在物聯(lián)網(wǎng)設備行為管理方面，由于泛電力物聯(lián)網(wǎng)與傳統(tǒng)物聯(lián)網(wǎng)不同，設備接入非常復雜，面臨仿冒接入、DDoS攻擊、惡意數(shù)據(jù)竊取等風險，需要通過主動、被動等多種方式采集行為數(shù)據(jù)，并利用行為特征分析、威脅情報、欺騙技術等多種技術實施發(fā)現(xiàn)異常/惡意行為，并可對這些行為進行預警、處置和取證。

四是：在物聯(lián)網(wǎng)數(shù)據(jù)交互過程安全控制方面，由于移動終端、邊緣計算利用5G等公共網(wǎng)絡接入后臺，需通過數(shù)據(jù)傳輸加密、數(shù)據(jù)加密存儲、數(shù)據(jù)外發(fā)管控等技術，確保數(shù)據(jù)交互安全。

五是：在終端全景安全展示方面，設置集中管理平臺，統(tǒng)一收集接入、網(wǎng)絡、終端、數(shù)據(jù)使用等記錄，利用大數(shù)據(jù)關聯(lián)分析、可視化等技術，實現(xiàn)用戶、行為、風險全景安全展示。

本次聯(lián)軟科技《泛在電力物聯(lián)網(wǎng)安全參評技術實施方案》的入選，為國家電網(wǎng)打造狀態(tài)全面感知、信息高效處理、應用邊界靈活的泛在電力物聯(lián)網(wǎng)提供了有力的支持，助力國家電網(wǎng)實現(xiàn)電力信息傳感設備與通信信息資源結合，將傳統(tǒng)電力生產(chǎn)、傳輸、消費的所有環(huán)節(jié)信息化，推動電網(wǎng)與互聯(lián)網(wǎng)深度融合。