基于等保2.0標準的火電企業(yè)等級保護探究

神華神東電力重慶萬州港電有限責任公司 重慶 萬州 404000

1 引言

隨著技術的不斷發(fā)展，火電企業(yè)在網絡技術的應用上越來越廣泛，提升了企業(yè)的運行能力和效率，但是其隨之而來的安全問題也給企業(yè)的運行帶來困擾，如何有效的建立全面、科學的防控系統(tǒng)，實現(xiàn)防控能力的發(fā)揮，提升企業(yè)的安全優(yōu)勢，是火電企業(yè)不斷探索和關注的問題。

2 網絡安全等級保護2.0的概念及特點

2.1 概念 網絡安全等級保護2.0納入了云計算、大數(shù)據(jù)、AI等方面新內容，由傳統(tǒng)的計算機信息系統(tǒng)防護轉向云計算、移動互聯(lián)、工業(yè)控制、物聯(lián)網和大數(shù)據(jù)等新型計算環(huán)境下的網絡空間主動防御體系建設。

2.2 特點

(1)可信計算。在信任根的依據(jù)下，通過信任鏈條識別和控制鏈條，判斷其安全性，實現(xiàn)在整個系統(tǒng)上能發(fā)揮出良好的系統(tǒng)優(yōu)勢，通過軟硬件系統(tǒng)平臺的配合，通過各個應用升級手段，全面提升系統(tǒng)的信用安全控制能力。

(2)安全監(jiān)測。安全監(jiān)測主要是能銅鼓對于運行操作過程的各個步驟環(huán)節(jié)跟蹤控制，通過對往往安全日志有效的分析，做到在安全控制方面能做到全過程監(jiān)督。在安全識別控制的過程中，要能做到對于風險識別、安全報警等安全監(jiān)控流程的可靠性、靈敏性保障，提升了網絡安全。

(3)通報預警。安全監(jiān)測的重要表達手段就是能做到在安全尺度的把控下，通過監(jiān)測系統(tǒng)和分析系統(tǒng)，能實現(xiàn)安全風險及時的控制。

(4)應急處置。通過對于各種網絡安全問題有效的分析，做到在安全控制方面能實現(xiàn)科學化的安全保障，落實有關的安全控制流程和基本措施，實現(xiàn)在安全控制方面能發(fā)揮出良好的安全應對能力，通過及時、科學的應急處理，減少損失，控制有關的安全問題持續(xù)發(fā)展。

3 當前火電企業(yè)網絡信息安全管理存在的問題

3.1 安全基礎不可控 傳統(tǒng)的網絡信息安全控制手段，是利用企業(yè)的網絡控制優(yōu)勢，實現(xiàn)安全控制能力的提升，在安全識別的過程中，能通過利用各種已知的安全防控手段，比如防火墻、入侵檢測、常規(guī)病毒查殺等手段，提升防控能力，這些手段的安全控制方式和能力是已知的，很多安全管理優(yōu)勢不能具備較高的保障基礎，比如對于新興的網絡攻擊，因為對于全新網絡信息安全防控體系來去，其不具備有效的安全管理基礎，安全管理問題不能有效的解決。

3.2 安全管理人員思想認識不夠 在思想認知不夠的前提下，很多工作的規(guī)范性、全面性保障機制不能科學的發(fā)揮出來，導致了工作人員的科學職業(yè)責任優(yōu)勢不能發(fā)揮，很多工作開展的過程中，不能具備安全管理上的諸多科學應對方式，很多問題不能科學的解決。導致因為安全防控體系構建和管理執(zhí)行上的不科學，導致了思想認知不能發(fā)揮出良好的安全控制效果。

3.3 相關標準跟不上技術的發(fā)展 技術發(fā)展的速度十分迅速，如果相關的技術標準不能有效的發(fā)揮作用，就會導致在技術層面上不能體現(xiàn)出科學的技術指導和規(guī)范優(yōu)勢。導致企業(yè)的安全管理不能具備科學性、明確性的指導能力。

4 基于等保2.0標準的火電企業(yè)等級保護實踐策略

4.1 網絡安全防護體系完善 安全防控體系要能不斷的完善，避免存在安全防控漏洞，體系建設要能具備一定的原則指導能力，按照“安全分區(qū)、網絡專用、橫向隔離、縱向認證”的原則規(guī)劃安全防控體系。在網絡安全防控體系的指導下，落實工控系統(tǒng)，以最科學的網絡安全配置策略，滿足等級保護要求。

4.2 建立科學的網絡安全防護技術方案

(1)安全區(qū)域劃分。區(qū)域劃分是在火電企業(yè)不同的生產需求和管理內容下，通過科學的區(qū)域劃分，在執(zhí)行網絡安全的防控上，能提升安全防控的專業(yè)性和科學性，提升安全防控的能力，同時在配置安全防控手段的過程中，更加具備安全性和專業(yè)性。在生產控制一區(qū)、生產控制二區(qū)、管理信息大區(qū)的標準分區(qū)結構之下，可根據(jù)火電企業(yè)的不同網絡拓撲結構，遵循網絡安全的邏輯進一步細化，比如生產控制一區(qū)劃分為DCS網絡區(qū)域、NCS網絡區(qū)域等；管理信息大區(qū)細化為：服務器區(qū)域、安全防護區(qū)域、視頻監(jiān)控區(qū)域、視頻會議區(qū)域、辦公設備區(qū)域等。更進一步優(yōu)化各區(qū)域安全防護策略，加強安全防護手段，確保網絡信息安全。

(2)入侵防范手段建立。在關鍵的網絡安全控制節(jié)點，設置科學有效的安全監(jiān)控機制，通過分析過濾各項操作行為，提升安全識別監(jiān)控能力，一般要能建立標準性的安全控制協(xié)議，根據(jù)協(xié)議內容識別判斷各個行為的安全性。因此協(xié)議內容要全面、科學、細致，要能及時的維護更新，確保具備足夠的安全防控能力。

(3)細化訪問控制。在工控系統(tǒng)中，生產控制區(qū)一般遵循只讀且不可寫的原則，即生產控制區(qū)的各種生產數(shù)據(jù)原則上只能單向傳遞給企業(yè)其它系統(tǒng)，而其他系統(tǒng)不能向工控系統(tǒng)傳遞控制指令和數(shù)據(jù)?；诖嗽瓌t配置工控系統(tǒng)邊界訪問控制策略，可以大大減少通過傳統(tǒng)信息網絡對工控系統(tǒng)發(fā)起的攻擊行為。

(4)加強主機安全防護。將文件和允許使用的各種程序、應用信息化，也就是建立白名單，實現(xiàn)主機系統(tǒng)的安全識別優(yōu)勢建立，對于進入的各種非信息程序，要能科學的識別、控制。同時要能對于各種不安全的行為進行有效的控制，比如U盤的隨意使用等。主機安全防護系統(tǒng)可以實現(xiàn)包括賬戶策略、審核策略、日志審計在內的統(tǒng)一的基線安全配置。通過截取系統(tǒng)調用、接管底層驅動等方式，提升安全控制能力。

(5)建設安全管理中心。建設安全管理中心可以理解為等級保護2.0一個管理中心，是執(zhí)行安全控制的核心部分，其主要是在安全控制系統(tǒng)的運行過程中，能全面的做到在日志分析、安全維護、安全控制等方面協(xié)調管理，提升主控能力。安全管理中心的有效構建，提升了企業(yè)對于安全保護系統(tǒng)的安全識別和安全控制能力，在信息收集、方案執(zhí)行監(jiān)督、事后分析評價方面都能發(fā)揮出優(yōu)勢特點。

5 結語

等保2.0標準下的火電企業(yè)網絡安全控制，要能全面提升在安全策略系統(tǒng)構建以及策略執(zhí)行方面的優(yōu)勢，提升安全問題應對能力。