網(wǎng)絡(luò)安全基線在發(fā)電企業(yè)電力監(jiān)控系統(tǒng)的應(yīng)用與實(shí)踐

◆羅鈺

（貴州烏江水電開發(fā)有限責(zé)任公司構(gòu)皮灘發(fā)電廠 貴州 564408）

隨著現(xiàn)代工業(yè)和科學(xué)技術(shù)的發(fā)展，我國(guó)發(fā)電企業(yè)在經(jīng)歷自動(dòng)化建設(shè)、信息化轉(zhuǎn)型后，正向著數(shù)字化、智能化管理的階段快速邁進(jìn)。不論電力生產(chǎn)技術(shù)和管理方式走向何方，我們可以清晰看到發(fā)電企業(yè)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度在不斷增強(qiáng)。近十年，在遠(yuǎn)程控制技術(shù)的應(yīng)用下，發(fā)電集團(tuán)通過集控管理模式進(jìn)行電力生產(chǎn)和調(diào)度，在發(fā)電企業(yè)實(shí)現(xiàn)提質(zhì)增效的同時(shí)，也對(duì)發(fā)電企業(yè)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)提出了更多、更高的要求。電力監(jiān)控系統(tǒng)作為發(fā)電企業(yè)的生產(chǎn)系統(tǒng)和重要信息系統(tǒng)，系統(tǒng)安全穩(wěn)定運(yùn)行為電力安全生產(chǎn)提供了可靠保障；而網(wǎng)絡(luò)作為發(fā)電集團(tuán)集控指令發(fā)布的“神經(jīng)脈絡(luò)”，讓電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)成為發(fā)電企業(yè)安全生產(chǎn)建設(shè)中的重要內(nèi)容。本文以網(wǎng)絡(luò)安全基線建設(shè)為例，系統(tǒng)地介紹安全基線建設(shè)在發(fā)電企業(yè)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)工作中的設(shè)計(jì)及應(yīng)用。

1 網(wǎng)絡(luò)安全基線設(shè)計(jì)的背景

從外部來看，網(wǎng)絡(luò)互聯(lián)的日益普及，給企業(yè)辦公和職工生活帶來極大方便的同時(shí)，也給發(fā)電企業(yè)網(wǎng)絡(luò)帶來越來越多不安全因素，主要表現(xiàn)為計(jì)算機(jī)病毒感染、黑客攻擊等；從部?jī)?nèi)來看，其一，發(fā)電集團(tuán)下屬的各發(fā)電企業(yè)存在網(wǎng)絡(luò)安全管理制度和技術(shù)規(guī)范差異大、維護(hù)人員技術(shù)良莠不齊的問題；其二，發(fā)電企業(yè)電力監(jiān)控系統(tǒng)通過調(diào)度數(shù)據(jù)網(wǎng)構(gòu)成一個(gè)整體，但發(fā)電集團(tuán)下屬各發(fā)電企業(yè)電力監(jiān)控系統(tǒng)開發(fā)、建成的時(shí)間不同，使用的設(shè)備和軟件也不完全相同，缺乏統(tǒng)一的安全標(biāo)準(zhǔn)和配置規(guī)范。不論外部攻擊還是內(nèi)部隱患，都對(duì)發(fā)電企業(yè)網(wǎng)絡(luò)安全構(gòu)成了威脅。

網(wǎng)絡(luò)安全遵循“木桶原理”，即網(wǎng)絡(luò)系統(tǒng)的安全性取決于系統(tǒng)中安全性最薄弱的環(huán)節(jié)。如何避免發(fā)電企業(yè)網(wǎng)絡(luò)安全管理各自為戰(zhàn)，統(tǒng)一安全技術(shù)標(biāo)準(zhǔn)成為網(wǎng)絡(luò)安全建設(shè)過程中的首要問題。為此，需要發(fā)電集團(tuán)對(duì)發(fā)電企業(yè)電力監(jiān)控系統(tǒng)的設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫(kù)等進(jìn)行安全評(píng)估，分析電力監(jiān)控系統(tǒng)的實(shí)際現(xiàn)狀和風(fēng)險(xiǎn)來源，制定針對(duì)不同設(shè)備硬件、軟件的詳細(xì)檢查表格和操作指南，建立統(tǒng)一的安全配置規(guī)范，形成網(wǎng)絡(luò)安全基線，形成一個(gè)以其為基準(zhǔn)進(jìn)行檢測(cè)和度量的風(fēng)險(xiǎn)管控手段，為設(shè)備入網(wǎng)、系統(tǒng)驗(yàn)收、日常維護(hù)及安全檢查等工作提供可參照的統(tǒng)一標(biāo)準(zhǔn)。

2 安全基線建設(shè)的情況

2.1 安全基線建設(shè)的目標(biāo)

通過建立電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全運(yùn)行需求的基線，分析電力監(jiān)控系統(tǒng)實(shí)際現(xiàn)狀和面臨的風(fēng)險(xiǎn)來源，按需調(diào)整對(duì)應(yīng)的安全策略，協(xié)調(diào)不同設(shè)備不同的防護(hù)能力，綜合構(gòu)成統(tǒng)一的安全基線。發(fā)電企業(yè)結(jié)合網(wǎng)絡(luò)安全基線的標(biāo)準(zhǔn)和要求，對(duì)其電力監(jiān)控系統(tǒng)現(xiàn)有服務(wù)器、網(wǎng)絡(luò)交換設(shè)備和網(wǎng)絡(luò)防護(hù)設(shè)備進(jìn)行加固，實(shí)現(xiàn)安全配置。為發(fā)電企業(yè)推薦統(tǒng)一的機(jī)房設(shè)施、操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)交換設(shè)備、網(wǎng)絡(luò)防護(hù)設(shè)備的安全配置規(guī)范，減少人工維護(hù)干預(yù)成本。

2.2 安全基線建設(shè)步驟和方法

安全基線建設(shè)實(shí)施步驟分三個(gè)階段進(jìn)行：

（1）風(fēng)險(xiǎn)辨識(shí)階段，采用分解分析法將網(wǎng)絡(luò)安全從機(jī)房設(shè)施、操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)交換設(shè)備、網(wǎng)絡(luò)防護(hù)設(shè)備五個(gè)方面進(jìn)行分解，從中分析可能存在的風(fēng)險(xiǎn)及潛在的威脅。

（2）需求分析階段，采用四象限法則對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的需求進(jìn)行重要性與必要性的分析定義，然后把這些需求放進(jìn)對(duì)應(yīng)象限中，需求的優(yōu)先級(jí)別為“重要且必要”>“重要不必要”>“必要不重要”>“不重要也不必要”，將其中“重要且必要”、“重要不必要”、“必要不重要”的需求納入基線建設(shè)范疇。

圖1 四象限法則

（3）標(biāo)準(zhǔn)制定階段，參照國(guó)家、行業(yè)和上級(jí)調(diào)度機(jī)構(gòu)網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)，結(jié)合發(fā)電集團(tuán)及其下屬發(fā)電企業(yè)的自身情況，對(duì)經(jīng)需求分析后確定需要解決的風(fēng)險(xiǎn)制定符合自身要求的安全基線標(biāo)準(zhǔn)。

2.3 安全基線建設(shè)框架

基于發(fā)電企業(yè)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)設(shè)備硬件及軟件的使用情況，構(gòu)建網(wǎng)絡(luò)安全基線模型，如圖2 所示。

圖2 發(fā)電企業(yè)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全基線模型

從圖2 可以看出，網(wǎng)絡(luò)安全基線模型可劃分為三層，分別為業(yè)務(wù)層、功能架構(gòu)層和基線規(guī)范層。

（1）第一層是業(yè)務(wù)層，根據(jù)電力監(jiān)控系統(tǒng)不同業(yè)務(wù)的安全特性，從宏觀層面定義不同的安全防護(hù)要求，體現(xiàn)在賬號(hào)權(quán)限、訪問控制、安全審計(jì)以及狀態(tài)監(jiān)控等方面的要求。

（2）第二層是功能架構(gòu)層，將網(wǎng)絡(luò)安全分解為機(jī)房設(shè)施、操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)交換設(shè)備、網(wǎng)絡(luò)防護(hù)設(shè)備5 個(gè)模塊，這些模塊是對(duì)業(yè)務(wù)層安全防護(hù)細(xì)化后的要求。

（3）第三層是基線規(guī)范層，是對(duì)功能架構(gòu)層的進(jìn)一步分解，例如將機(jī)房設(shè)施分為環(huán)境、電源、靜電防護(hù)、接地、人員進(jìn)出、消防等模塊，操作系統(tǒng)分為Windows 操作系統(tǒng)和Linux 操作系統(tǒng)等模塊，這些模塊是對(duì)功能架構(gòu)層安全防護(hù)要求的實(shí)現(xiàn)。

2.3 安全基線的用途和擴(kuò)充

安全基線建立后，可以利用這些基準(zhǔn)數(shù)據(jù)進(jìn)行安全檢測(cè)，主要包括新信息系統(tǒng)上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)性安全檢查、日常安全運(yùn)維檢查等。安全基線不是一成不變的，在信息系統(tǒng)設(shè)備由于業(yè)務(wù)應(yīng)用和功能實(shí)現(xiàn)的不同，安全要求也就不同；同一設(shè)備隨著應(yīng)用的改變，安全要求也隨之改變。當(dāng)出現(xiàn)新的風(fēng)險(xiǎn)就必須對(duì)需求進(jìn)行重新分析，制定出新的安全標(biāo)準(zhǔn)。

3 安全基線建設(shè)在發(fā)電企業(yè)電力監(jiān)控系統(tǒng)中的應(yīng)用

在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》發(fā)布一年之際，烏江公司開展網(wǎng)絡(luò)安全基線建設(shè)項(xiàng)目，對(duì)區(qū)域內(nèi)發(fā)電企業(yè)電力監(jiān)控系統(tǒng)進(jìn)行一次全面的安全評(píng)估，建立了統(tǒng)一的機(jī)房設(shè)施、操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)交換設(shè)備、網(wǎng)絡(luò)防護(hù)設(shè)備的安全基線技術(shù)要求和執(zhí)行標(biāo)準(zhǔn)，該項(xiàng)目填補(bǔ)了公司網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)工作的空白。

《烏江公司網(wǎng)絡(luò)安全基線維護(hù)與檢查技術(shù)要求（試行）》的發(fā)布，進(jìn)一步拓展了網(wǎng)絡(luò)安全管理內(nèi)容，加大管理力度，對(duì)機(jī)房管理、設(shè)備管理、賬號(hào)管理、口令配置、日志審計(jì)、服務(wù)優(yōu)化等進(jìn)行規(guī)范，提高發(fā)電企業(yè)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理水平。公司區(qū)域內(nèi)發(fā)電企業(yè)信息管理部門牽頭對(duì)標(biāo)準(zhǔn)進(jìn)行宣貫和學(xué)習(xí)，維護(hù)部門結(jié)合標(biāo)準(zhǔn)內(nèi)容對(duì)管轄范圍內(nèi)網(wǎng)絡(luò)設(shè)備安全配置進(jìn)行檢查，對(duì)不滿足要求和不符合實(shí)際應(yīng)用的安全策略進(jìn)行整改、完善。避免了公司區(qū)域內(nèi)發(fā)電企業(yè)各自為戰(zhàn)，直接造成人力資源、財(cái)力資源、信息資源、技術(shù)資源和管理資源的浪費(fèi)。經(jīng)過一年的試行，公司區(qū)域內(nèi)發(fā)電企業(yè)網(wǎng)絡(luò)設(shè)備安全配置已基本滿足《網(wǎng)絡(luò)安全基線維護(hù)與檢查技術(shù)要求》各項(xiàng)標(biāo)準(zhǔn)，形成了公司整體網(wǎng)絡(luò)安全“統(tǒng)一部署、統(tǒng)一整改、統(tǒng)一達(dá)標(biāo)”的良性發(fā)展局面，為公司構(gòu)建網(wǎng)絡(luò)安全集中管控機(jī)制、打造“數(shù)字烏江”提供了良好環(huán)境。