電力關(guān)鍵信息基礎設施安全保護分析

王彬筌，蔣亞坤，張仕鵬，李曉耕，韓校，孫浩

（1. 云南電力調(diào)度控制中心，昆明 650051；2. 中國能源建設集團廣東省電力設計研究院有限公司，廣東 廣州 510663；3. 華南理工大學電力學院，廣東 廣州 510641）

0 前言

近年來，網(wǎng)絡安全形勢日益嚴峻[1-2]。在此背景下國家制定頒布了《中華人民共和國網(wǎng)絡安全法》，提出了網(wǎng)絡強國戰(zhàn)略，明確了網(wǎng)絡治理、網(wǎng)絡安全、核心技術(shù)等方面的要求。并提出對重要行業(yè)和領域的關(guān)鍵信息基礎設施（CII）實行重點保護。國家互聯(lián)網(wǎng)信息辦公室發(fā)布了關(guān)于《關(guān)鍵信息基礎設施安全保護條例》公開征求意見的通知[3]，對如何開展關(guān)鍵基礎設施安全保護工作提出了具體要求。

當前電力行業(yè)面臨日益嚴峻的網(wǎng)絡安全形勢，網(wǎng)絡安全攻擊事件時有發(fā)生，如伊朗核設施的震網(wǎng)病毒攻擊事件[4-5]、能源企業(yè)的Shamoon攻擊事件等。在此背景下國內(nèi)相關(guān)管理和研究機構(gòu)、學者和企業(yè)，開展了網(wǎng)絡安全防控技術(shù)和管理體系的研究[6-8]，提出了技術(shù)規(guī)范或標準以及網(wǎng)絡安全管理體系建設的要求。

1 電力行業(yè)CII保護的意義

1.1 CII與CI的關(guān)系

關(guān)鍵信息基礎設施（Critical Information Infrastructure，簡稱CII）與關(guān)鍵基礎設施（Critical Infrastructure，簡稱CI）即有緊密的聯(lián)系又有明顯的區(qū)別。關(guān)鍵基礎設施（CI）主要是指一旦遭受損壞將嚴重影響國家安全、國民經(jīng)濟發(fā)展和公眾健康的一系列物理或虛擬的系統(tǒng)和固定資產(chǎn)[9-12]。當前，關(guān)鍵信息基礎設施（CII）的定義，較為普遍認可的主要指在發(fā)生網(wǎng)絡安全事故后，會影響重要行業(yè)正常運行，對國家相應的行業(yè)或領域，以及人民生命財產(chǎn)造成嚴重損失的重要行業(yè)或企業(yè)的信息系統(tǒng)或工業(yè)控制系統(tǒng)[13-14]，其嚴重危害性特征顯著。

從兩者之間的定義來看，關(guān)鍵信息基礎設施（CII）是關(guān)鍵基礎設施（CI）中的一部分，其作用是支撐和保證關(guān)鍵基礎設施（CI）對應關(guān)鍵業(yè)務的持續(xù)穩(wěn)定運行，從而確保關(guān)鍵基礎設施（CI）的安全。前者保護的重點是信息系統(tǒng)或工業(yè)控制系統(tǒng)及其網(wǎng)絡安全，其在技術(shù)措施上明顯有別于關(guān)鍵基礎設施（CI）的保護，與信息和網(wǎng)絡技術(shù)的發(fā)展密切相關(guān)，并在安全防護措施上與之同步發(fā)展，是持續(xù)改進和不斷補充的過程。

1.2 CII保護與等級保護關(guān)系

網(wǎng)絡安全法明確了對于關(guān)鍵信息基礎設施的保護是在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護；網(wǎng)絡安全等級保護2.0標準中也強調(diào)了重要信息系統(tǒng)的優(yōu)先保護原則，使得等級保護和CII保護能夠有機銜接起來。在網(wǎng)絡安全等級保護2.0標準實施后，網(wǎng)絡安全等級保護是CII保護的基礎，而CII保護則是網(wǎng)絡安全等級保護的重點內(nèi)容。狹義上理解兩者均是針對信息系統(tǒng)或工業(yè)控制系統(tǒng)[15]，前者強調(diào)保護支撐關(guān)鍵業(yè)務的信息或工業(yè)系統(tǒng)的保護，其技術(shù)措施和管理要求均高于等級保護，更能凸顯國家網(wǎng)絡安全戰(zhàn)略；關(guān)鍵信息基礎設施（CII）范圍內(nèi)的對象受到安全威脅后，會影響重點行業(yè)關(guān)鍵業(yè)務正常運行，同時給關(guān)聯(lián)領域甚至國家安全造成嚴重損失。等級保護針對我國境內(nèi)所有的信息系統(tǒng)進行保護，其中安全定級較高的信息系統(tǒng)與關(guān)鍵信息基礎設施保護要求基本一致。

以電力行業(yè)為例，不同的電網(wǎng)或發(fā)電企業(yè)在工業(yè)化和信息化過程中，針對不同的具體業(yè)務建設了不同的電力監(jiān)控系統(tǒng)和管理信息系統(tǒng)。在未實施關(guān)鍵信息基礎設施保護前，均統(tǒng)一按照等級保護要求進行安全防護建設和管理，對支撐關(guān)鍵業(yè)務的電力監(jiān)控系統(tǒng)或信息系統(tǒng)的安全防護技術(shù)監(jiān)督、人力資源配置和資金支持等方面的投入未重點傾斜。

1.3 電力CII保護的意義

電能是當前主要的能源之一，不僅關(guān)系到國家能源安全、環(huán)境安全，還關(guān)系各行各業(yè)的健康發(fā)展和民生建設，其安全穩(wěn)定供應是國家安全戰(zhàn)略的重要內(nèi)容之一。

保障電能的安全穩(wěn)定供應，不僅需要對電力系統(tǒng)一次設備等資產(chǎn)進行保護，更需要對支撐電力行業(yè)關(guān)鍵業(yè)務運行的信息系統(tǒng)和電力監(jiān)控系統(tǒng)及承擔這些系統(tǒng)運行所需的軟硬件設備和通信網(wǎng)絡設施進行安全保護，即對電力CII進行重點保護，因為電力CII運行在通信網(wǎng)絡環(huán)境中，其安全形勢更為嚴峻和復雜，面臨的安全威脅更多。這些系統(tǒng)要么關(guān)系到電力系統(tǒng)的安全穩(wěn)定運行，要么系統(tǒng)內(nèi)的數(shù)據(jù)不允許泄露，一旦外泄會給國家安全造成嚴重損失。因此，加強對電力CII的保護，是確保國家能源安全的重要舉措。

2 信息基礎設施認定與識別

關(guān)鍵信息基礎設施的認定與識別是開展關(guān)鍵信息基礎設施保護的基礎。在充分認識電力CII保護意義的基礎上，只有通過全面梳理電力業(yè)務和信息系統(tǒng)現(xiàn)狀，明確電力關(guān)鍵業(yè)務，根據(jù)電力系統(tǒng)特點細化認定標準，才能更全面和準確地認定和識別出電力關(guān)鍵信息基礎設施。本章節(jié)主要對上述內(nèi)容中的關(guān)鍵點進行闡述，提出相應的方法和策略，以及重點關(guān)注內(nèi)容。

2.1 電力行業(yè)信息基礎設施現(xiàn)狀

電力工業(yè)化和信息化的發(fā)展，促進了電力系統(tǒng)中發(fā)、輸、配、用等環(huán)節(jié)的業(yè)務管理水平的極大提高，促進了供電可靠性的顯著提升。在這一過程中，各電力企業(yè)研究和建設了各類管理信息系統(tǒng)和電力監(jiān)控系統(tǒng)[16-17]，主要有電網(wǎng)運行控制系統(tǒng)、電網(wǎng)運行管理系統(tǒng)、營銷管理系統(tǒng)、電力交易系統(tǒng)、電力調(diào)度數(shù)據(jù)網(wǎng)、電網(wǎng)綜合數(shù)據(jù)網(wǎng)、變電站監(jiān)控系統(tǒng)、發(fā)電廠計算機控制系統(tǒng)、發(fā)電廠管理信息系統(tǒng)、電能量自動化計量系統(tǒng)、資產(chǎn)管理系統(tǒng)、人力資源管理系統(tǒng)、辦公自動化系統(tǒng)、水調(diào)自動化系統(tǒng)、圖紙管理系統(tǒng)等。

上述系統(tǒng)分別用于支撐電力行業(yè)中各企業(yè)不同的業(yè)務，如電網(wǎng)運行控制、輔助管理、用電量及電費核算等。根據(jù)系統(tǒng)所支撐業(yè)務不同，有的系統(tǒng)直接關(guān)系到電網(wǎng)安全穩(wěn)定運行和電力市場秩序；有的僅僅是使業(yè)務失去信息化支撐，對電網(wǎng)運行和電力市場秩序不造成大的影響。上述系統(tǒng)中部分系統(tǒng)實現(xiàn)了跨企業(yè)的網(wǎng)絡互聯(lián)，主要是電網(wǎng)運行控制系統(tǒng)通過電力調(diào)度數(shù)據(jù)網(wǎng)或?qū)＞€通道連接到發(fā)電廠、變電站的現(xiàn)場控制設備。

2.2 電力CII的認定識別方法

雖然國家頒發(fā)的CII相關(guān)法律和確定指南，對其認定和識別作出了總體的規(guī)定，但針對不同行業(yè)的細則卻不夠清晰，需要各行業(yè)根據(jù)本行業(yè)的具體情況，進行差別化處理，明確適用于本行業(yè)的具體細則。在電力行業(yè)的實踐中，需要根據(jù)電力行業(yè)的業(yè)務特點進行細化，才能對上述相關(guān)規(guī)定嚴格落實。例如對于電力關(guān)鍵業(yè)務的劃分，需要結(jié)合電力系統(tǒng)的組成環(huán)節(jié)進行認識和理解，才能做到有的放矢。同時電力CII的界定也需要與當前各電力企業(yè)事故事件管理內(nèi)容相結(jié)合。

在云南省電力行業(yè)關(guān)鍵信息基礎設施安全保護試點示范工作中，對CII認定與識別進行了細化，提出了如圖1所示的電力行業(yè)CII認定識別步驟及內(nèi)容，并在云南電力行業(yè)相關(guān)重點企業(yè)內(nèi)進行實踐，該方法能夠快速識別出企業(yè)內(nèi)的電力CII，識別和認定較為簡單、易操作。

圖1 電力CII認定識別步驟及內(nèi)容

2.2.1 確定關(guān)鍵業(yè)務

電力關(guān)鍵業(yè)務的確定是開展電力關(guān)鍵信息基礎設施認定和保護的基礎。只有確定了電力關(guān)鍵業(yè)務，才能從眾多的信息系統(tǒng)或控制系統(tǒng)中篩選出需要進行重點保護的部分。電力業(yè)務覆蓋電力系統(tǒng)發(fā)、輸、配、用等各環(huán)節(jié)，關(guān)鍵業(yè)務的確定應當以保證電力系統(tǒng)安全穩(wěn)定運行和電力市場有序運轉(zhuǎn)為目標，為滿足該目標而不能缺失的業(yè)務可認為是電力關(guān)鍵業(yè)務，主要包括電力生產(chǎn)、傳輸和配送等，涉及到支撐電網(wǎng)運行監(jiān)控、電力市場交易、電能計量結(jié)算、廠站計算機控制等系統(tǒng)。

利用彈丸超高速撞擊薄板產(chǎn)生碎片云這一現(xiàn)象，1947年，美國學者Whipple提出了被稱為Whipple結(jié)構(gòu)的空間碎片防護結(jié)構(gòu)，如圖8所示[4]。迄今，基于Whipple防護結(jié)構(gòu)，研究人員先后提出了各種增強型防護結(jié)構(gòu)，如多層沖擊防護結(jié)構(gòu)[5-6]、鋁網(wǎng)多層防護結(jié)構(gòu)[7-8]、蜂窩夾層板防護結(jié)構(gòu)[9]、填充Whipple防護結(jié)構(gòu)[10]和泡沫鋁防護結(jié)構(gòu)[11-12]。

電力關(guān)鍵業(yè)務影響分析主要從業(yè)務本身出發(fā)，明確業(yè)務中斷后對部門或企業(yè)運營、電網(wǎng)運行造成的影響，以及進一步對全社會造成的影響。以電網(wǎng)運行監(jiān)視與控制業(yè)務為例，該業(yè)務高度依賴于調(diào)度自動化系統(tǒng)[18-19]，當系統(tǒng)中斷后不能實時掌握電網(wǎng)運行狀態(tài)并及時對電網(wǎng)事件進行處理，系統(tǒng)也無法根據(jù)用電負荷變化及時調(diào)整電廠出力以確保電力平衡，從而給電網(wǎng)安全穩(wěn)定運行造成嚴重威脅。

2.2.2 確定業(yè)務數(shù)據(jù)

業(yè)務數(shù)據(jù)已成為企業(yè)的重要資產(chǎn)之一，尤其是核心數(shù)據(jù)更是關(guān)系到企業(yè)的發(fā)展戰(zhàn)略、經(jīng)營情況。電力產(chǎn)業(yè)是國家的支柱性產(chǎn)業(yè)，通過對電力數(shù)據(jù)尤其是用電量信息的分析能夠直接反應出國家的整體經(jīng)濟情況和產(chǎn)業(yè)分布。因此，在確定關(guān)鍵業(yè)務后，應當從數(shù)據(jù)敏感性、完整性、安全性、一致性等方面，分析關(guān)鍵業(yè)務生成的數(shù)據(jù)哪些應當進行重點保護。通過信息安全的保護實踐和電力監(jiān)控系統(tǒng)安全防護實踐，從電力系統(tǒng)安全、電力市場、生產(chǎn)調(diào)度等維度劃分出關(guān)鍵的業(yè)務數(shù)據(jù)，如電網(wǎng)實時監(jiān)控數(shù)據(jù)、電力交易數(shù)據(jù)、用電量數(shù)據(jù)、電網(wǎng)地理信息、調(diào)度控制指令等。

2.2.3 確定電力CII

在上述實踐中考慮了業(yè)務系統(tǒng)對經(jīng)濟社會運行的重要程度，以及該業(yè)務系統(tǒng)一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露后產(chǎn)生的危害和影響，將電壓等級和發(fā)電機裝機容量作為確定電力關(guān)鍵信息基礎設施的關(guān)鍵認定指標，主要將省、地級電網(wǎng)運行控制系統(tǒng)穩(wěn)態(tài)監(jiān)視與控制功能（即調(diào)度自動化系統(tǒng)）、省級電力調(diào)度數(shù)據(jù)網(wǎng)、省級營銷管理系統(tǒng)、省級電力交易系統(tǒng)、總裝機容量1000 MW或單機裝機容量300 MW及以上的發(fā)電廠或發(fā)電集控中心運行監(jiān)控系統(tǒng)、500 kV及以上變電站計算機監(jiān)控系統(tǒng)納入關(guān)鍵信息基礎設施范圍。這樣的考慮一方面便于發(fā)電企業(yè)和電網(wǎng)企業(yè)的相關(guān)管理部門實施和執(zhí)行關(guān)鍵信息基礎設施認定識別和保護工作；另一方面滿足上述條件的主站業(yè)務系統(tǒng)、通信系統(tǒng)及發(fā)電廠、變電站監(jiān)控系統(tǒng)在電力系統(tǒng)中占據(jù)重要地位，是保障區(qū)域電網(wǎng)運行的重要基礎。

2.2.4 確定CII邊界

信息化高度發(fā)展和數(shù)字化的全面建設，使得系統(tǒng)與系統(tǒng)之間的交互更為緊密。在不對系統(tǒng)邊界加以識別的前提下，將難以做到CII的重點、優(yōu)先保護。在電力CII保護中，主要是對其中關(guān)鍵業(yè)務范圍內(nèi)的信息系統(tǒng)進行保護，為此以確定后的關(guān)鍵業(yè)務及業(yè)務數(shù)據(jù)劃分的基礎上，通過關(guān)鍵業(yè)務數(shù)據(jù)來源、流向的分析，對關(guān)鍵業(yè)務鏈進行梳理形成業(yè)務鏈圖，來確定業(yè)關(guān)鍵業(yè)務和數(shù)據(jù)所使用的網(wǎng)絡設施、計算和存儲設備，形成最小邊界，從而降低電力CII的保護面，支撐關(guān)鍵信息基礎設施”重點、優(yōu)先保護”原則的具體實施，才能更好體現(xiàn)電力CII保護的重要意義。系統(tǒng)具體邊界不在本文作進一步闡述。

3 電力CII保護的建議

CII安全保護的組織機構(gòu)建設和責任落實是開展電力關(guān)鍵信息基礎設施保護的根本保障，也是國家相關(guān)法律和CII保護的基本要求。只有在統(tǒng)一CII組織機構(gòu)領導下，才能將CII保護落實到日常工作中并形成常態(tài)化。

3.1 電力CII安全管理能力建設

CII管理能力建設是一個持續(xù)性過程，需要適應網(wǎng)絡安全技術(shù)和安全威脅的發(fā)展與演變，不斷完善管理手段和職責。在電力CII的安全管理能力建設中，各企業(yè)可根據(jù)現(xiàn)有安全管理組織機構(gòu)和關(guān)鍵信息基礎設施在企業(yè)中分布情況，建立分級管理機制，分別在集團公司和分子公司建立以企業(yè)主要負責人為負責人的CII安全管理專門機構(gòu)，并在關(guān)鍵信息基礎設施運營部門落實專崗專職，統(tǒng)一對企業(yè)內(nèi)的關(guān)鍵信息基礎設施網(wǎng)絡安全進行管理。

3.2 電力CII安全防御體系建設

電力行業(yè)中電網(wǎng)運行及市場運營業(yè)務較為特殊，覆蓋了電力系統(tǒng)中發(fā)、輸、配、用等各個環(huán)節(jié)，除了跨區(qū)域、跨不同業(yè)務部門外，還具備跨企業(yè)特點。這里所說的跨企業(yè)主要是指電力調(diào)度中的電網(wǎng)運行監(jiān)控、電力交易、計量計費等業(yè)務與發(fā)電企業(yè)及用電企業(yè)密切相關(guān)。

在電力CII安全防御體系建設中，除了滿足“電力監(jiān)控系統(tǒng)安全防護”和網(wǎng)絡安全等級保護外，還需要重點考慮跨區(qū)域、跨企業(yè)的協(xié)同防御體系建設，構(gòu)筑電力CII保護的“四重防線”，實現(xiàn)對風險的有效管理[20]和防控。技術(shù)上滿足“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證、綜合防護”；管理上建立起跨區(qū)域和跨企業(yè)的協(xié)同機制，實時相互通報和共享CII網(wǎng)絡安全威脅和漏洞信息。電力CII的“四重防線”如下：

第一重防線：電力CII的本體和本質(zhì)安全，具備安全分級控制、國密算法加密、技術(shù)架構(gòu)安全等能力，通過安裝漏洞補丁、主機安全加固、禁用易受攻擊端口、禁用非必要服務、主機防病毒、高強度口令、雙因子認證及可信計算等措施予以保證；

第二重防線：電力CII邊界安全，包括跨安全區(qū)、跨地理位置、跨企業(yè)等的邊界安全，采用滿足國家要求的專用邊界安全防護設備、按最小化原則配置安全策略等進行安全控制；

第三重防線：電力CII相關(guān)人員安全管理，以從業(yè)人員資格認證和安全教育及培訓為根本管理措施，區(qū)分企業(yè)內(nèi)部和外部人員安全管理，重點加強對外部人員現(xiàn)場工作的管理和內(nèi)部關(guān)鍵崗位人員的管理；

第四重防線：電力CII網(wǎng)絡安全態(tài)勢感知，通過網(wǎng)絡行為跟蹤、流量分析、日志分析、安全掃描等技術(shù)措施實時監(jiān)測電力CII的網(wǎng)絡安全態(tài)勢，及時響應和開展應急處置工作。

3.3 電力CII安全攻防演練

攻防演練是檢驗電力CII安全防御體系是否有效和實用的有效手段，能夠檢驗電力CII安全防御中的技術(shù)措施、管理手段和人員安全意識等，并能夠在攻防演練中發(fā)現(xiàn)并及時解決問題，提高人員安全防范意識和管控處置能力。

近幾年來，通過參與實戰(zhàn)化的“護網(wǎng)行動”，極大加強了公司上下各級人員的安全防護意識，發(fā)現(xiàn)了企業(yè)內(nèi)各信息系統(tǒng)和電力監(jiān)控系統(tǒng)存在的潛在網(wǎng)絡安全問題，并及時完成整改。針對電力CII網(wǎng)絡安全的攻防演練需貼近實際，采用社會工程學、網(wǎng)絡入侵技術(shù)等手段，從物理設施、網(wǎng)絡通道、系統(tǒng)防御方面對電力CII的“四重防線”進行檢驗。

4 結(jié)束語

電力關(guān)鍵信息基礎設施是保障電力關(guān)鍵基礎設施的重要內(nèi)容之一，保證其安全穩(wěn)定運行，做到電力關(guān)鍵信息不泄露、關(guān)鍵業(yè)務不受網(wǎng)絡攻擊破壞，是保證電力基礎設施持續(xù)穩(wěn)定運行的重要方面。本文在網(wǎng)絡安全上升為國家戰(zhàn)略、關(guān)鍵信息基礎設施保護勢在必行的背景下，以云南省電力關(guān)鍵信息基礎設施安全保護試點示范工作為契機，提出了電力CII識別認定的方法以及構(gòu)筑電力CII保護的“四重防線”，這些內(nèi)容對開展電力CII保護具體實踐，提升電力行業(yè)的CII保護水平具有重要意義。