5G時代到來,物聯網、大數據、雲計算、人工智能等前沿技術在燃氣行業融合日趨深入,這些新技術能夠很好的採用智能化和信息化的手段支撐客戶內部傳統的業務和管理變革,既給客戶運營商帶來降本增效的收益,又給用戶帶來新時代的便利和友好體驗。但是新技術的應用也是一把雙刃劍,解決方案的設計不合理或者方案實施、運維不到位,對應的網絡安全和信息安全問題也會給客戶和用戶帶來極大的不便。
2017年6月,國家發佈《網絡安全法》,要求對水、電、氣、熱等涉及國家民生行業進行重點安全保護,防止數據洩露和網絡設備破壞。2020年1月,《密碼法》正式實施,要求在有線、無線通信中傳遞的國家秘密信息,以及存儲、處理國家秘密信息的信息系統,應使用核心密碼、普通密碼進行加密保護、安全認證。
由於燃氣行業的特殊性,涉及到地理信息、管網分佈信息、人口信息、國有資產信息等多種敏感數據源,因此對囊括數據採集、數據分析、數據轉化和業務數據在內的智慧燃氣平臺系統的安全和隱私保護力度顯得尤為重要。如何保障信息安全,成為智慧燃氣長效發展的關鍵問題。
金卡智能在推出物聯網遠程燃氣抄表解決方案後,持續投入端到端方案安全的研究和應用,全面推行數據安全解決方案,同時聯合華為、阿里、中國網安等開展了多個項目的開發。目前,金卡智能已部署數十萬臺帶有國密安全的NB-IoT智能燃氣表,配合雲端部署的安全網關、密鑰管理服務,有效對燃氣運營數據進行了加密管理,杜絕了數據竊取、終端仿冒、中間人攻擊、重放攻擊、網絡劫持、非授權控制等安全隱患,得到了業主單位的好評。解決方案所使用的密碼產品都具有商用密碼二級認證,整體方案通過了等保三級安全認證。
數據安全解決方案按照雲-管-端的架構設計,從終端層、網絡層、平臺層、應用層四大層面構建安全體系。具有如下特點:
● 構建與燃氣表能力匹配且端雲協同的端側安全
● 構建基於智慧燃氣惡意終端檢測與隔離的網絡及物聯網開放平臺安全
● 構建智慧燃氣平臺和數據保護的雲端和應用側安全
● 構建端到端的智慧燃氣安全運維與管控機制
● 在業務層實現燃氣終端和後臺系統間的雙向身份認證
● 遠程指令必須具備防重放性
● 端到端業務數據保密性
● 實現安全的密鑰管理體系
在終端層,採用符合商用密碼二級標準的安全芯片,保護數據完整性;採用輕量級安全操作系統的隔離機制,提高終端業務操作可靠性;採用輕量級易集成的安全應用插件進行終端異常分析和加密通信等;通過安全訪問白名單防止惡意代碼非法訪問。
在網絡層,利用NB-IoT無線移動通信的物理層傳輸特性,通過認證、加密和安全傳輸等技術,防止未知位置的竊聽和增加中間人攻擊的難度。基於無線標準進行雙向認證,確保經過驗證的合法的終端接入合法的網絡。
在平臺層,採用SSL(安全套接層)安全加密機制,實現IoT終端的安全接入和管理、IoT平臺自身安全防護、IoT平臺數據安全管理,對用戶敏感性數據加密。
在應用層,給雲服務配備了計劃於商用密碼服務器的密鑰管理系統;數據存儲層面提供安全隔離機制,數據傳輸過程保證機密性、完整性;保證雲端訪問時進行強制認證和業務權限控制,PC和移動等端點存儲時進行有效加密和隔離。
2018年,某燃氣公司將網絡安全和信息安全建設提升至公司戰略層面,與金卡智能成立聯合項目組,雙方共同定義加密體系的安全芯片技術標準,同時與運營商共同打通表端與網絡、業務層與網絡的安全通道。
目前,該方案已經通過了專業安全機構的評測,正式商用運行。投入使用該解決方案後,該燃氣公司客戶內部的密鑰管理委託給嚴格加固的商用密碼產品,杜絕了人為因素洩露密鑰的風險。
在客戶系統層面,具備了針對物聯網應用的態勢感知能力,能夠監測整個物聯網系統中出現的終端仿冒、重放攻擊、密鑰過期等事件。在燃氣表端,採用安全芯片保護核心參數和計量數據不被篡改,杜絕了通過存儲區篡改實施盜氣的行為。同時,系統下發的關鍵指令都具有防止重放、不可抵賴的安全機制,保證終端不會被非法控制和串改。
