楊博 汪文麗

【摘要】論文以電力企業(yè)網(wǎng)絡(luò)信息安全為研究對(duì)象，根據(jù)電力企業(yè)信息安全現(xiàn)狀，介紹了電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系構(gòu)建原則，闡述了電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系構(gòu)建方法，以期為電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全、穩(wěn)定運(yùn)行提供依據(jù)。

【關(guān)鍵詞】電力企業(yè);網(wǎng)絡(luò)信息;安全防護(hù)

【中圖分類號(hào)】TP393

【文獻(xiàn)標(biāo)志碼】A

【文章編號(hào)】1673-1069（2018）11-0134-02

1引言

在電力企業(yè)網(wǎng)絡(luò)信息安全管理領(lǐng)域，黑客、病毒等計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)因素的存在，對(duì)電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)穩(wěn)定運(yùn)行造成了極大的威脅。而通過電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系的構(gòu)建，可以從根本上增強(qiáng)電力網(wǎng)絡(luò)信息抗風(fēng)險(xiǎn)能力，為電力體系安全運(yùn)營(yíng)提供保障。因此，在電力行業(yè)信息化改造過程中，加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)管理具有非常重要的意義。

2電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀及問題

2.1電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀

十三五期間，電力企業(yè)信息化進(jìn)入高速發(fā)展階段。在我國(guó)《國(guó)家信息化發(fā)展戰(zhàn)略》的帶領(lǐng)下，依據(jù)信息化推動(dòng)工業(yè)化這一歷史目標(biāo)，電力企業(yè)開展了全面信息化建設(shè)?，F(xiàn)階段電力企業(yè)信息化管理系統(tǒng)已覆蓋了電力企業(yè)基礎(chǔ)設(shè)施建設(shè)、人力資源管理、財(cái)務(wù)信息管理、營(yíng)銷財(cái)務(wù)管理等多個(gè)模塊。

2.2電力企業(yè)網(wǎng)絡(luò)信息安全問題

電力企業(yè)網(wǎng)絡(luò)信息安全主要包括工作環(huán)境安全問題、網(wǎng)絡(luò)協(xié)議風(fēng)險(xiǎn)、計(jì)算機(jī)病毒侵害等幾個(gè)模塊。其中工作環(huán)境安全問題主要為數(shù)據(jù)庫系統(tǒng)安全漏洞;而網(wǎng)絡(luò)協(xié)議風(fēng)險(xiǎn)主要為TCP/IP協(xié)議開放性導(dǎo)致的SMTP、Telnet風(fēng)險(xiǎn)問題;計(jì)算機(jī)病毒可通過代碼程序執(zhí)行的方式對(duì)電力信息網(wǎng)絡(luò)系統(tǒng)造成危害。

3電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系構(gòu)建原則

3.1全方位管理

電力網(wǎng)絡(luò)信息安全防護(hù)體系需涵蓋電力信息網(wǎng)絡(luò)建設(shè)、管理、運(yùn)行、維護(hù)等整個(gè)過程。即除部分核心模塊增設(shè)防火墻以外，還需要依據(jù)信息安全生命周期特征，開展安全管理方案預(yù)先制定、人員安全培訓(xùn)教育、工程實(shí)施安全管理等工作。

3.2分級(jí)保護(hù)

在電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系構(gòu)建過程中，根據(jù)電力企業(yè)信息網(wǎng)絡(luò)資產(chǎn)應(yīng)用等級(jí)、資產(chǎn)風(fēng)險(xiǎn)等級(jí)的區(qū)別，需制定相應(yīng)等級(jí)安全管理方案，并確定相應(yīng)等級(jí)資產(chǎn)管理安全標(biāo)準(zhǔn)。3.3動(dòng)態(tài)調(diào)整

針對(duì)電力網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)特征，電力企業(yè)網(wǎng)絡(luò)信息安全維護(hù)人員也需要及時(shí)調(diào)整以往安全維護(hù)方案，或者增設(shè)新的技術(shù)。

4電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系構(gòu)建方法

4.1明確電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)組織體系設(shè)計(jì)目標(biāo)

首先，依據(jù)電力企業(yè)運(yùn)營(yíng)管理特點(diǎn)，電力信息安全主要可劃分為三個(gè)等級(jí)。基礎(chǔ)等級(jí)為電力系統(tǒng)物理威脅控制;二級(jí)信息防護(hù)為電力企業(yè)內(nèi)部財(cái)務(wù)信息管理;三級(jí)信息為電力企業(yè)內(nèi)部核心管理信息防控;四級(jí)信息為全面信息安全管理。在電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)時(shí)期，相關(guān)工作人員可以針對(duì)具體信息等級(jí)的變化，設(shè)定相應(yīng)層次的安全管控服務(wù)目標(biāo)。

其次，電力企業(yè)信息安全防護(hù)體系在實(shí)際運(yùn)行階段，電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)人員需借鑒OOD、Middle Ware思想，加強(qiáng)常規(guī)數(shù)據(jù)信息管理。結(jié)合密匙管制計(jì)劃的預(yù)先設(shè)置，為后期電力網(wǎng)絡(luò)信息安全防護(hù)工作順利開展提供依據(jù)。

最后，現(xiàn)階段電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系主要包括安全技術(shù)、安全管理兩條主要線路。其中安全技術(shù)主要包括認(rèn)證控制、冗余恢復(fù)、審計(jì)響應(yīng)、冗余恢復(fù)、內(nèi)容安全、鑒別認(rèn)證等幾個(gè)模塊;而安全管理則包括安全運(yùn)作管理、安全組織管理、安全管理策略幾個(gè)模塊。依據(jù)電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系管理情況，可以ISO15408信息技術(shù)安全評(píng)價(jià)國(guó)際標(biāo)準(zhǔn)為主導(dǎo)，結(jié)合電力信息安全體系應(yīng)用標(biāo)準(zhǔn)ISO27001的相關(guān)規(guī)定，設(shè)定電力TF系統(tǒng)產(chǎn)品技術(shù)指標(biāo)及管理指標(biāo)。如依據(jù)電力企業(yè)自身信息安全需要，依據(jù)ISO27001標(biāo)準(zhǔn)對(duì)應(yīng)域要求，可導(dǎo)出具體管理域控制目標(biāo)及控制項(xiàng)目。

4.2優(yōu)化電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)結(jié)構(gòu)

首先，在電力企業(yè)網(wǎng)絡(luò)信息管理過程中，依據(jù)電力信息系統(tǒng)需要，可采用PKI作為安全管控基礎(chǔ)工具。即利用PKI身份認(rèn)證、數(shù)據(jù)完整性維護(hù)、數(shù)據(jù)保密等安全服務(wù)功能，依據(jù)X.509標(biāo)準(zhǔn)，以Certificate Authorization為核心，進(jìn)行電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系的構(gòu)建。通過有限用戶團(tuán)體證書的簽發(fā)，構(gòu)建層次化安全證書管控結(jié)構(gòu)。

其次，依據(jù)電力企業(yè)信息系統(tǒng)運(yùn)行特點(diǎn)，基于PKI的電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)結(jié)構(gòu)主要包括網(wǎng)絡(luò)端、省市端、區(qū)域局、縣局等幾個(gè)模塊。在實(shí)際CA證書設(shè)計(jì)過程中，為了滿足不同模塊電力信息安全管理的需要，可在CA證書間設(shè)置交叉驗(yàn)證模塊。同時(shí)為了避免CA證書交叉驗(yàn)證混亂對(duì)整體電力系統(tǒng)網(wǎng)絡(luò)信息鏈的不利影響，可將CA證書框架圖與相應(yīng)模塊主體進(jìn)行關(guān)聯(lián)分析。據(jù)此選擇魯棒性較強(qiáng)的認(rèn)證系統(tǒng)，結(jié)合電力行業(yè)實(shí)時(shí)性管理，保證電力企業(yè)信息安全防護(hù)體系穩(wěn)定運(yùn)行。

最后，從物理層面進(jìn)行分析，整體模塊體系結(jié)構(gòu)為三維立體結(jié)構(gòu)，包括安全服務(wù)、應(yīng)用管理層、信息等級(jí)管理等三個(gè)維度。其中電力企業(yè)信息安全防護(hù)體系應(yīng)用管理層主要包括數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層等幾個(gè)模塊。在整體系統(tǒng)中TCP/IP協(xié)議為主流管控協(xié)議，信息服務(wù)等級(jí)為1級(jí)、2級(jí)、3級(jí)、4級(jí)四個(gè)等級(jí)。在電力信息安全防護(hù)系統(tǒng)中，信息等級(jí)劃分直接影響了信息安全服務(wù)效力。以1類信息保護(hù)為例，需要從物理層對(duì)1類信息進(jìn)行維護(hù);而對(duì)于2類信息，由于其需要與金融機(jī)構(gòu)、電力資源使用客戶產(chǎn)生經(jīng)濟(jì)網(wǎng)絡(luò)，且需要通過外部鏈接網(wǎng)絡(luò)。因此可依據(jù)Internet Engineering Task Force標(biāo)準(zhǔn)，或者Virtual Private Network工具，從網(wǎng)絡(luò)層入手進(jìn)行信息安全維護(hù)。

電力企業(yè)信息安全防護(hù)體系主要安全服務(wù)類型為數(shù)據(jù)真實(shí)、審計(jì)、不可抵賴、數(shù)據(jù)保密、訪問控制、身份驗(yàn)證、數(shù)據(jù)完整等幾個(gè)模塊。整體網(wǎng)絡(luò)結(jié)構(gòu)主要是從下層向上層服務(wù)。加密、解密是基于PKI的電力企業(yè)信息安全防護(hù)系統(tǒng)基礎(chǔ)性能，依據(jù)現(xiàn)代密碼學(xué)Kerekhoffs假設(shè)，在基礎(chǔ)加密、解密模塊設(shè)置過程中，可以密匙保密為核心，進(jìn)行加密算法、解密算法公開設(shè)置，即通過PKI密匙的注冊(cè)、存儲(chǔ)及分發(fā)，進(jìn)行電力企業(yè)信息安全機(jī)制設(shè)置。

此外，針對(duì)電力企業(yè)信息安全防護(hù)特殊性，信息安全服務(wù)系統(tǒng)管理人員還需要針對(duì)電力信息安全防護(hù)盲區(qū)，設(shè)置適當(dāng)?shù)臑?zāi)后恢復(fù)、應(yīng)急響應(yīng)及戰(zhàn)略預(yù)警模塊。

4.3完善電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)內(nèi)容體系

對(duì)于電力企業(yè)而言，信息安全主要為分布式計(jì)算環(huán)境信息儲(chǔ)存、訪問及信息傳輸安全，在電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)管理體系中，主要具有保密性、脆弱性、真實(shí)性、完整性四個(gè)方面影響因素。其中保密性主要是通過用戶授權(quán)的方式進(jìn)行數(shù)據(jù)信息訪問，沒有授權(quán)用戶不可進(jìn)入數(shù)據(jù)訪問終端;而脆弱性則是針對(duì)電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行過程中可能遇到的安全威脅，如計(jì)算機(jī)硬件毀壞威脅、工控機(jī)兼有威脅、電子竊聽、Deny Of Service攻擊、邏輯炸彈、TCP/IP漏洞威脅等;真實(shí)性及完整性主要以保證電力企業(yè)網(wǎng)絡(luò)信息真實(shí)完整為主要工作目標(biāo)。在分布式網(wǎng)絡(luò)環(huán)境中，電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)人員可以綜合利用身份驗(yàn)證、抗否認(rèn)、審計(jì)管理、訪問控制等方法，從檢測(cè)、響應(yīng)、障礙恢復(fù)、信息維護(hù)等方面，保證全過程電力信息安全保障。

5結(jié)語

綜上所述，網(wǎng)絡(luò)協(xié)議風(fēng)險(xiǎn)、工作環(huán)境風(fēng)險(xiǎn)等風(fēng)險(xiǎn)因素的存在，對(duì)電力企業(yè)信息系統(tǒng)穩(wěn)定運(yùn)行造成了嚴(yán)重威脅。因此，電力企業(yè)信息安全防護(hù)人員應(yīng)針對(duì)本企業(yè)實(shí)際情況，依據(jù)全方位防控、分級(jí)保護(hù)、動(dòng)態(tài)調(diào)整等電力安全防護(hù)體系構(gòu)建原則，明確電力企業(yè)安全防護(hù)體系構(gòu)建目標(biāo)，豐富電力企業(yè)安全防護(hù)內(nèi)容。結(jié)合現(xiàn)代化管理思想的借鑒，構(gòu)建規(guī)范的電力企業(yè)信息安全防護(hù)體系，為電力企業(yè)信息系統(tǒng)安全、穩(wěn)定運(yùn)行提供保障。