電力企業(yè)網(wǎng)絡(luò)信息安全防護體系的構(gòu)建

楊博，汪文麗

（國網(wǎng)廣水市供電公司，湖北 廣水 432700）

1 引言

在電力企業(yè)網(wǎng)絡(luò)信息安全管理領(lǐng)域，黑客、病毒等計算機網(wǎng)絡(luò)風(fēng)險因素的存在，對電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)穩(wěn)定運行造成了極大的威脅。而通過電力企業(yè)網(wǎng)絡(luò)信息安全防護體系的構(gòu)建，可以從根本上增強電力網(wǎng)絡(luò)信息抗風(fēng)險能力，為電力體系安全運營提供保障。因此，在電力行業(yè)信息化改造過程中，加強計算機網(wǎng)絡(luò)信息安全防護管理具有非常重要的意義。

2 電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀及問題

2.1 電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀

十三五期間，電力企業(yè)信息化進(jìn)入高速發(fā)展階段。在我國《國家信息化發(fā)展戰(zhàn)略》的帶領(lǐng)下，依據(jù)信息化推動工業(yè)化這一歷史目標(biāo)，電力企業(yè)開展了全面信息化建設(shè)。現(xiàn)階段電力企業(yè)信息化管理系統(tǒng)已覆蓋了電力企業(yè)基礎(chǔ)設(shè)施建設(shè)、人力資源管理、財務(wù)信息管理、營銷財務(wù)管理等多個模塊。

2.2 電力企業(yè)網(wǎng)絡(luò)信息安全問題

電力企業(yè)網(wǎng)絡(luò)信息安全主要包括工作環(huán)境安全問題、網(wǎng)絡(luò)協(xié)議風(fēng)險、計算機病毒侵害等幾個模塊。其中工作環(huán)境安全問題主要為數(shù)據(jù)庫系統(tǒng)安全漏洞；而網(wǎng)絡(luò)協(xié)議風(fēng)險主要為TCP/IP協(xié)議開放性導(dǎo)致的SMTP、Telnet風(fēng)險問題；計算機病毒可通過代碼程序執(zhí)行的方式對電力信息網(wǎng)絡(luò)系統(tǒng)造成危害[1]。

3 電力企業(yè)網(wǎng)絡(luò)信息安全防護體系構(gòu)建原則

3.1 全方位管理

電力網(wǎng)絡(luò)信息安全防護體系需涵蓋電力信息網(wǎng)絡(luò)建設(shè)、管理、運行、維護等整個過程。即除部分核心模塊增設(shè)防火墻以外，還需要依據(jù)信息安全生命周期特征，開展安全管理方案預(yù)先制定、人員安全培訓(xùn)教育、工程實施安全管理等工作。

3.2 分級保護

在電力企業(yè)網(wǎng)絡(luò)信息安全防護體系構(gòu)建過程中，根據(jù)電力企業(yè)信息網(wǎng)絡(luò)資產(chǎn)應(yīng)用等級、資產(chǎn)風(fēng)險等級的區(qū)別，需制定相應(yīng)等級安全管理方案，并確定相應(yīng)等級資產(chǎn)管理安全標(biāo)準(zhǔn)。

3.3 動態(tài)調(diào)整

針對電力網(wǎng)絡(luò)系統(tǒng)風(fēng)險特征，電力企業(yè)網(wǎng)絡(luò)信息安全維護人員也需要及時調(diào)整以往安全維護方案，或者增設(shè)新的技術(shù)。

4 電力企業(yè)網(wǎng)絡(luò)信息安全防護體系構(gòu)建方法

4.1 明確電力企業(yè)網(wǎng)絡(luò)信息安全防護組織體系設(shè)計目標(biāo)

首先，依據(jù)電力企業(yè)運營管理特點，電力信息安全主要可劃分為三個等級?；A(chǔ)等級為電力系統(tǒng)物理威脅控制；二級信息防護為電力企業(yè)內(nèi)部財務(wù)信息管理；三級信息為電力企業(yè)內(nèi)部核心管理信息防控；四級信息為全面信息安全管理。在電力企業(yè)網(wǎng)絡(luò)信息安全防護時期，相關(guān)工作人員可以針對具體信息等級的變化，設(shè)定相應(yīng)層次的安全管控服務(wù)目標(biāo)。

其次，電力企業(yè)信息安全防護體系在實際運行階段，電力企業(yè)網(wǎng)絡(luò)信息安全防護人員需借鑒OOD、Middle Ware思想，加強常規(guī)數(shù)據(jù)信息管理。結(jié)合密匙管制計劃的預(yù)先設(shè)置，為后期電力網(wǎng)絡(luò)信息安全防護工作順利開展提供依據(jù)。

最后，現(xiàn)階段電力企業(yè)網(wǎng)絡(luò)信息安全防護體系主要包括安全技術(shù)、安全管理兩條主要線路。其中安全技術(shù)主要包括認(rèn)證控制、冗余恢復(fù)、審計響應(yīng)、冗余恢復(fù)、內(nèi)容安全、鑒別認(rèn)證等幾個模塊；而安全管理則包括安全運作管理、安全組織管理、安全管理策略幾個模塊。依據(jù)電力企業(yè)網(wǎng)絡(luò)信息安全防護體系管理情況，可以IS015408信息技術(shù)安全評價國際標(biāo)準(zhǔn)為主導(dǎo)，結(jié)合電力信息安全體系應(yīng)用標(biāo)準(zhǔn)IS027001的相關(guān)規(guī)定，設(shè)定電力IT系統(tǒng)產(chǎn)品技術(shù)指標(biāo)及管理指標(biāo)。如依據(jù)電力企業(yè)自身信息安全需要，依據(jù)IS027001標(biāo)準(zhǔn)對應(yīng)域要求，可導(dǎo)出具體管理域控制目標(biāo)及控制項目。

4.2 優(yōu)化電力企業(yè)網(wǎng)絡(luò)信息安全防護結(jié)構(gòu)

首先，在電力企業(yè)網(wǎng)絡(luò)信息管理過程中，依據(jù)電力信息系統(tǒng)需要，可采用PKI作為安全管控基礎(chǔ)工具。即利用PKI身份認(rèn)證、數(shù)據(jù)完整性維護、數(shù)據(jù)保密等安全服務(wù)功能，依據(jù)X.509標(biāo)準(zhǔn)，以Certificate Authorization為核心，進(jìn)行電力企業(yè)網(wǎng)絡(luò)信息安全防護體系的構(gòu)建。通過有限用戶團體證書的簽發(fā)，構(gòu)建層次化安全證書管控結(jié)構(gòu)。

其次，依據(jù)電力企業(yè)信息系統(tǒng)運行特點，基于PKI的電力企業(yè)網(wǎng)絡(luò)信息安全防護結(jié)構(gòu)主要包括網(wǎng)絡(luò)端、省市端、區(qū)域局、縣局等幾個模塊。在實際CA證書設(shè)計過程中，為了滿足不同模塊電力信息安全管理的需要，可在CA證書間設(shè)置交叉驗證模塊。同時為了避免CA證書交叉驗證混亂對整體電力系統(tǒng)網(wǎng)絡(luò)信息鏈的不利影響，可將CA證書框架圖與相應(yīng)模塊主體進(jìn)行關(guān)聯(lián)分析。據(jù)此選擇魯棒性較強的認(rèn)證系統(tǒng)，結(jié)合電力行業(yè)實時性管理，保證電力企業(yè)信息安全防護體系穩(wěn)定運行。

最后，從物理層面進(jìn)行分析，整體模塊體系結(jié)構(gòu)為三維立體結(jié)構(gòu)，包括安全服務(wù)、應(yīng)用管理層、信息等級管理等三個維度。其中電力企業(yè)信息安全防護體系應(yīng)用管理層主要包括數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層等幾個模塊。在整體系統(tǒng)中TCP/IP協(xié)議為主流管控協(xié)議，信息服務(wù)等級為1級、2級、3級、4級四個等級。在電力信息安全防護系統(tǒng)中，信息等級劃分直接影響了信息安全服務(wù)效力。以1類信息保護為例，需要從物理層對1類信息進(jìn)行維護；而對于2類信息，由于其需要與金融機構(gòu)、電力資源使用客戶產(chǎn)生經(jīng)濟網(wǎng)絡(luò)，且需要通過外部鏈接網(wǎng)絡(luò)。因此可依據(jù)Internet Engineering Task Force標(biāo)準(zhǔn)，或者Virtual Private Network工具，從網(wǎng)絡(luò)層入手進(jìn)行信息安全維護。

電力企業(yè)信息安全防護體系主要安全服務(wù)類型為數(shù)據(jù)真實、審計、不可抵賴、數(shù)據(jù)保密、訪問控制、身份驗證、數(shù)據(jù)完整等幾個模塊。整體網(wǎng)絡(luò)結(jié)構(gòu)主要是從下層向上層服務(wù)。加密、解密是基于PKI的電力企業(yè)信息安全防護系統(tǒng)基礎(chǔ)性能，依據(jù)現(xiàn)代密碼學(xué)Kerckhoffs假設(shè)，在基礎(chǔ)加密、解密模塊設(shè)置過程中，可以密匙保密為核心，進(jìn)行加密算法、解密算法公開設(shè)置，即通過PKI密匙的注冊、存儲及分發(fā)，進(jìn)行電力企業(yè)信息安全機制設(shè)置。

此外，針對電力企業(yè)信息安全防護特殊性，信息安全服務(wù)系統(tǒng)管理人員還需要針對電力信息安全防護盲區(qū)，設(shè)置適當(dāng)?shù)臑?zāi)后恢復(fù)、應(yīng)急響應(yīng)及戰(zhàn)略預(yù)警模塊。

4.3 完善電力企業(yè)網(wǎng)絡(luò)信息安全防護內(nèi)容體系

對于電力企業(yè)而言，信息安全主要為分布式計算環(huán)境信息儲存、訪問及信息傳輸安全，在電力企業(yè)網(wǎng)絡(luò)信息安全防護管理體系中，主要具有保密性、脆弱性、真實性、完整性四個方面影響因素。其中保密性主要是通過用戶授權(quán)的方式進(jìn)行數(shù)據(jù)信息訪問，沒有授權(quán)用戶不可進(jìn)入數(shù)據(jù)訪問終端；而脆弱性則是針對電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)運行過程中可能遇到的安全威脅，如計算機硬件毀壞威脅、工控機兼有威脅、電子竊聽、Deny of Service攻擊、邏輯炸彈、TCP/IP漏洞威脅等；真實性及完整性主要以保證電力企業(yè)網(wǎng)絡(luò)信息真實完整為主要工作目標(biāo)。在分布式網(wǎng)絡(luò)環(huán)境中，電力企業(yè)網(wǎng)絡(luò)信息安全防護人員可以綜合利用身份驗證、抗否認(rèn)、審計管理、訪問控制等方法，從檢測、響應(yīng)、障礙恢復(fù)、信息維護等方面，保證全過程電力信息安全保障。

5 結(jié)語

綜上所述，網(wǎng)絡(luò)協(xié)議風(fēng)險、工作環(huán)境風(fēng)險等風(fēng)險因素的存在，對電力企業(yè)信息系統(tǒng)穩(wěn)定運行造成了嚴(yán)重威脅。因此，電力企業(yè)信息安全防護人員應(yīng)針對本企業(yè)實際情況，依據(jù)全方位防控、分級保護、動態(tài)調(diào)整等電力安全防護體系構(gòu)建原則，明確電力企業(yè)安全防護體系構(gòu)建目標(biāo)，豐富電力企業(yè)安全防護內(nèi)容。結(jié)合現(xiàn)代化管理思想的借鑒，構(gòu)建規(guī)范的電力企業(yè)信息安全防護體系，為電力企業(yè)信息系統(tǒng)安全、穩(wěn)定運行提供保障。