基于等級(jí)保護(hù)2.0下的電力企業(yè)網(wǎng)絡(luò)安全體系建設(shè)

◆梁巖

（華能國際電力股份有限公司上安電廠 河北 050310）

新時(shí)期下，信息技術(shù)的應(yīng)用領(lǐng)域在不斷拓展。網(wǎng)絡(luò)協(xié)議、軟硬件設(shè)備是信息系統(tǒng)構(gòu)建的必要基礎(chǔ)，受開發(fā)環(huán)境、代碼缺陷等因素的綜合作用，難免會(huì)有諸多安全風(fēng)險(xiǎn)和漏洞的存在，進(jìn)而對(duì)信息系統(tǒng)的整體安全造成威脅。為提升網(wǎng)絡(luò)安全水平，國家出臺(tái)了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，要求結(jié)合信息系統(tǒng)的等級(jí)保護(hù)差異對(duì)系統(tǒng)采取強(qiáng)制性的保護(hù)措施。

1 網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 的重要作用

目前，我國網(wǎng)絡(luò)技術(shù)日趨成熟，信息從業(yè)人員也具備了更高的專業(yè)技能水平。但隨著云計(jì)算、大數(shù)據(jù)、工業(yè)物聯(lián)網(wǎng)等技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問題越來越突出。相較于過去的等級(jí)保護(hù)1.0，等級(jí)保護(hù)2.0較大程度上完善了保護(hù)標(biāo)準(zhǔn)、對(duì)象范圍等諸多內(nèi)容，將網(wǎng)絡(luò)基礎(chǔ)設(shè)施、重要信息系統(tǒng)、大數(shù)據(jù)中心、云應(yīng)用、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制等系統(tǒng)全部納入等級(jí)保護(hù)范圍，并將安全檢測(cè)、通報(bào)預(yù)警、數(shù)據(jù)防護(hù)、災(zāi)難備份、應(yīng)急處置、事件追溯等措施全部納入等級(jí)保護(hù)體系，通過制度建立促使我國網(wǎng)絡(luò)安全保護(hù)現(xiàn)狀得到進(jìn)一步優(yōu)化。

依據(jù)網(wǎng)絡(luò)安全等級(jí)2.0 制度要求，企業(yè)可以有效檢查與防范各種網(wǎng)絡(luò)攻擊行為，避免泄露、丟失網(wǎng)絡(luò)中的數(shù)據(jù)信息，信息系統(tǒng)的完整性、保密性得到增強(qiáng)，網(wǎng)絡(luò)的整體安全得到提升。同時(shí)，等級(jí)保護(hù)2.0 也對(duì)保護(hù)范圍進(jìn)行了擴(kuò)大，能夠?qū)Ω囝愋偷木W(wǎng)絡(luò)安全風(fēng)險(xiǎn)有效檢查。從技術(shù)層面來講，等級(jí)保護(hù)2.0 要求運(yùn)用先進(jìn)的保護(hù)技術(shù)，對(duì)安全監(jiān)測(cè)、數(shù)據(jù)備份、應(yīng)急處置等工作進(jìn)行了強(qiáng)化，這樣網(wǎng)絡(luò)安全得到了提升，網(wǎng)絡(luò)攻擊、病毒勒索概率顯著降低[1]?？傊燃?jí)保護(hù)2.0 綜合了技術(shù)、管理兩個(gè)層面，對(duì)于網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理提升有著重大意義。

2 網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 的創(chuàng)新內(nèi)容

2.1 創(chuàng)新網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估機(jī)制

相較于過去的等級(jí)保護(hù)1.0，等級(jí)保護(hù)2.0 要求建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估機(jī)制，以便有效監(jiān)測(cè)網(wǎng)絡(luò)安全的影響因素。通過對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，對(duì)網(wǎng)絡(luò)中的各類安全風(fēng)險(xiǎn)及誘發(fā)因素的檢測(cè)，給予用戶相應(yīng)的提醒，及時(shí)實(shí)施應(yīng)對(duì)措施。在進(jìn)行充分的風(fēng)險(xiǎn)評(píng)估與防范后，網(wǎng)絡(luò)系統(tǒng)遭受攻擊的概率將會(huì)顯著降低，用戶正常使用需求得到充分滿足，同時(shí)，網(wǎng)絡(luò)整體安全程度也可以得到提升。

2.2 網(wǎng)絡(luò)安全防護(hù)體系更加完善

等級(jí)保護(hù)1.0 在網(wǎng)絡(luò)安全防護(hù)體系方面不夠完善，而等級(jí)保護(hù)2.0則深入優(yōu)化了網(wǎng)絡(luò)安全防護(hù)體系?；诟鞣N現(xiàn)行經(jīng)驗(yàn)與先進(jìn)技術(shù)的支持，等級(jí)保護(hù)2.0 在安全防護(hù)體系中引入了安全管理中心。安全管理中心要求在系統(tǒng)管理、安全管理、審計(jì)管理三個(gè)方面實(shí)現(xiàn)集中管控，從被動(dòng)防護(hù)轉(zhuǎn)變到主動(dòng)防護(hù)，從靜態(tài)防護(hù)轉(zhuǎn)變到動(dòng)態(tài)防護(hù)，從單點(diǎn)防護(hù)轉(zhuǎn)變到整體防護(hù)，從粗放防護(hù)轉(zhuǎn)變到精準(zhǔn)防護(hù)，促使網(wǎng)絡(luò)安全防護(hù)的全面性顯著增強(qiáng)[2]。

2.3 網(wǎng)絡(luò)安全監(jiān)測(cè)機(jī)制更加健全

通過網(wǎng)絡(luò)安全監(jiān)測(cè)機(jī)制，能夠有效應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)受到的侵害與攻擊。網(wǎng)絡(luò)安全監(jiān)測(cè)能夠?qū)W(wǎng)絡(luò)防護(hù)薄弱部位全面監(jiān)測(cè)，且重點(diǎn)監(jiān)測(cè)那些病毒攻擊頻率較高的關(guān)鍵部位。即便遭受到了非法攻擊，也能夠及時(shí)應(yīng)對(duì)，且網(wǎng)絡(luò)安全監(jiān)測(cè)功能能夠?qū)W(wǎng)絡(luò)傳輸、數(shù)據(jù)保存的合法性實(shí)時(shí)監(jiān)測(cè)，及時(shí)處置可能會(huì)對(duì)網(wǎng)絡(luò)環(huán)境造成影響的信息，分析網(wǎng)絡(luò)安全形勢(shì)和網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì)，協(xié)調(diào)應(yīng)對(duì)系統(tǒng)性重大信息安全風(fēng)險(xiǎn)。

3 等級(jí)保護(hù)2.0 下的電力企業(yè)網(wǎng)絡(luò)安全體系建設(shè)

電力企業(yè)已廣泛應(yīng)用了云計(jì)算、大數(shù)據(jù)、工業(yè)互聯(lián)網(wǎng)等各項(xiàng)新興技術(shù)，等級(jí)保護(hù)2.0 下的電力企業(yè)網(wǎng)絡(luò)安全體系建設(shè)運(yùn)用風(fēng)險(xiǎn)評(píng)估、搭建網(wǎng)絡(luò)安全防護(hù)體系、實(shí)施安全監(jiān)測(cè)等諸多措施，科學(xué)構(gòu)建防治結(jié)合的網(wǎng)絡(luò)安全防控體系。

3.1 電力企業(yè)網(wǎng)絡(luò)信任體系建設(shè)

網(wǎng)絡(luò)信任體系作為網(wǎng)絡(luò)安全等級(jí)保護(hù)非常關(guān)鍵的一項(xiàng)內(nèi)容?；诘燃?jí)保護(hù)2.0 的要求，需要嚴(yán)格控制電力企業(yè)系統(tǒng)可信認(rèn)證、身份認(rèn)證等環(huán)節(jié)。而通過建設(shè)認(rèn)證體系，則可以滿足這一需求。其中，CA認(rèn)證體系得到了較為廣泛的應(yīng)用，其既可以對(duì)用戶信息統(tǒng)一管理，又能夠優(yōu)化控制登錄操作、網(wǎng)絡(luò)接入操作等環(huán)節(jié)，促使信息管理安全、業(yè)務(wù)經(jīng)營安全等得到實(shí)現(xiàn)。此外，CA 認(rèn)證體系還將身份認(rèn)證服務(wù)內(nèi)置于業(yè)務(wù)系統(tǒng)訪問過程中，這樣網(wǎng)絡(luò)信息系統(tǒng)遭受惡意攻擊的可能性將會(huì)大大降低[3]。

3.2 電力企業(yè)網(wǎng)絡(luò)安全技術(shù)體系建設(shè)

在電力企業(yè)網(wǎng)絡(luò)安全技術(shù)體系構(gòu)建過程中，需積極應(yīng)用先進(jìn)的安全技術(shù)，包括安全審計(jì)、邊界防護(hù)、訪問控制等等。為保證電力監(jiān)控系統(tǒng)中控制大區(qū)的網(wǎng)絡(luò)安全，需依照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的方針構(gòu)建控制系統(tǒng)的安全防護(hù)體系。而針對(duì)電力監(jiān)控系統(tǒng)管理系統(tǒng)大區(qū)則利用超融合、虛擬化技術(shù)，將身份認(rèn)定、數(shù)據(jù)加密等諸多技術(shù)綜合運(yùn)用于數(shù)據(jù)訪問路徑之中，促使安全防御目標(biāo)得到實(shí)現(xiàn)。網(wǎng)絡(luò)邊界部署主動(dòng)防御、防病毒網(wǎng)關(guān)與態(tài)勢(shì)感知聯(lián)動(dòng)的一體化防護(hù)系統(tǒng)。這樣能夠做到網(wǎng)絡(luò)間的安全隔離、又能做到主動(dòng)監(jiān)測(cè)各種威脅行為、抵御APT 攻擊，合理預(yù)判系統(tǒng)整體安全態(tài)勢(shì)，規(guī)避各種安全問題的出現(xiàn)。

3.3 電力企業(yè)網(wǎng)絡(luò)安全管理體系建設(shè)

電力企業(yè)網(wǎng)絡(luò)安全管理體系建設(shè)，需建立網(wǎng)絡(luò)安全管理組織機(jī)構(gòu)，制定科學(xué)有效全面的網(wǎng)絡(luò)安全管理制度，涵蓋管理制度、流程規(guī)范、安全策略等諸多方面的內(nèi)容，且嚴(yán)格貫徹與執(zhí)行。合理配備網(wǎng)絡(luò)安全管理人員，以便促使網(wǎng)絡(luò)安全日常管理工作得到有序開展。積極培訓(xùn)業(yè)務(wù)人員、安全管理人員，促使其安全意識(shí)、技能水平等得到提升。開展網(wǎng)絡(luò)安全事件應(yīng)急演練，以便有效應(yīng)對(duì)與處置各種突發(fā)事件。在系統(tǒng)安全建設(shè)規(guī)劃實(shí)踐中，需將等級(jí)保護(hù)制度要求、系統(tǒng)實(shí)際需求等充分納入規(guī)劃與建設(shè)范圍，做到“同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行”。組建安全運(yùn)維團(tuán)隊(duì)，或聘請(qǐng)有資質(zhì)的安全服務(wù)機(jī)構(gòu)。在運(yùn)維中，加強(qiáng)巡檢工作，嚴(yán)格檢查系統(tǒng)運(yùn)行狀態(tài)、安全策略配置狀況，掃描信息系統(tǒng)，及時(shí)查找漏洞及修復(fù)存在的安全風(fēng)險(xiǎn)。要借助日志審計(jì)、堡壘機(jī)、入侵檢測(cè)設(shè)備對(duì)用戶異常行為、網(wǎng)絡(luò)攻擊行為及時(shí)發(fā)現(xiàn)，進(jìn)而對(duì)安全策略針對(duì)性的調(diào)整。同時(shí)，基于各種突發(fā)事件的處置情況，構(gòu)建相應(yīng)的應(yīng)急管理體系。要基于滲透測(cè)試全面模擬黑客的攻擊方式，通過技術(shù)和管理手段，有針對(duì)性地修補(bǔ)薄弱環(huán)節(jié)。通過上述措施的落實(shí)，促使信息系統(tǒng)安全性得到整體提升。

4 結(jié)語

綜上所述，網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 對(duì)等級(jí)保護(hù)1.0 進(jìn)行了發(fā)展與完善，能夠?yàn)榫W(wǎng)絡(luò)安全防護(hù)工作的實(shí)施提供有效的指導(dǎo)。電力企業(yè)要結(jié)合網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 的要求，依照“一個(gè)中心、三重防護(hù)”的安全架構(gòu)優(yōu)化、完善網(wǎng)絡(luò)安全技術(shù)防護(hù)與管理防護(hù)，結(jié)合先進(jìn)技術(shù)的運(yùn)用以及管理體系的不斷完善，有效應(yīng)對(duì)各種安全風(fēng)險(xiǎn)問題，促使信息系統(tǒng)的整體安全得到進(jìn)一步增強(qiáng)。