（雅礱江流域水電開(kāi)發(fā)有限公司，四川 成都 610021）

0 引言

近年來(lái)網(wǎng)絡(luò)安全問(wèn)題日益突出，網(wǎng)絡(luò)安全面臨著嚴(yán)峻的挑戰(zhàn)，例如烏克蘭大面積停電、美國(guó)東部互聯(lián)網(wǎng)服務(wù)癱瘓、全球爆發(fā)勒索病毒、委內(nèi)瑞拉大停電[1]等事件，均引起全球轟動(dòng)，促使各行業(yè)不斷提高安全防護(hù)要求，采取可靠、穩(wěn)妥的管理與技術(shù)手段，深入開(kāi)展網(wǎng)絡(luò)安全防護(hù)工作。

1 水電廠網(wǎng)絡(luò)安全發(fā)展

水電是電力系統(tǒng)能源結(jié)構(gòu)中的組成部分，它的出現(xiàn)解決了國(guó)民經(jīng)濟(jì)發(fā)展中的能源短缺問(wèn)題，也有效改善生態(tài)環(huán)境，促進(jìn)區(qū)域經(jīng)濟(jì)的協(xié)調(diào)和可持續(xù)發(fā)展。隨著其重要性越來(lái)越突出，安全性也不斷凸顯出來(lái)。除去本行業(yè)內(nèi)的生產(chǎn)事故外，水電廠的網(wǎng)絡(luò)安全事故也不容小覷，國(guó)內(nèi)外也曾多次發(fā)生該類事件，造成不小的經(jīng)濟(jì)損失。

隨著科技的飛速發(fā)展，大數(shù)據(jù)、人工智能、全球物聯(lián)網(wǎng)、云計(jì)算等出現(xiàn)且逐漸推廣應(yīng)用，推動(dòng)水電行業(yè)向著數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展，各類控制系統(tǒng)、管理系統(tǒng)紛紛登場(chǎng)，自動(dòng)化程度不斷提高，逐步形成網(wǎng)絡(luò)集成化、智能化。水電廠控制系統(tǒng)、管理系統(tǒng)之間互通有無(wú)，在一定程度上帶來(lái)了技術(shù)變革和經(jīng)濟(jì)效益，但是也不可否認(rèn)的帶來(lái)了一些潛在的隱患威脅，那就是網(wǎng)絡(luò)安全。

裝置存在高危漏洞、程序開(kāi)發(fā)留有后門、產(chǎn)品沒(méi)有認(rèn)證授權(quán)、系統(tǒng)不進(jìn)行特殊加固，這些都是可能存在的問(wèn)題。當(dāng)帶病設(shè)備投入運(yùn)行，極易通過(guò)相互之間搭建的網(wǎng)絡(luò)通道，迅速傳染病毒，植入惡意代碼，開(kāi)展APT攻擊，占用系統(tǒng)資源，降低設(shè)備性能，給水電廠造成巨大的損失。

2 水電廠網(wǎng)絡(luò)安全防護(hù)

水電廠各類網(wǎng)絡(luò)安全事件，總是從接觸、控制的第一臺(tái)設(shè)備開(kāi)始發(fā)展、蔓延。做好網(wǎng)絡(luò)安全防護(hù)工作，必須從每一臺(tái)設(shè)備的網(wǎng)絡(luò)訪問(wèn)、設(shè)備接入、用戶登錄、人員操作等可疑事件入手，及早發(fā)現(xiàn)并處置網(wǎng)絡(luò)攻擊、病毒感染等各類不安全行為[2]。

要應(yīng)對(duì)無(wú)影無(wú)形的網(wǎng)絡(luò)攻擊，水電廠開(kāi)始了層層加固的安全防護(hù)，從中央到地方，從政府到企業(yè)，逐級(jí)壓實(shí)責(zé)任，監(jiān)管體系不斷完善，企業(yè)參與深度逐步擴(kuò)大，深入落實(shí)“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的防護(hù)總則，不斷提高管理水平，增強(qiáng)技術(shù)手段。

水電廠安全防護(hù)工作貫穿體系建設(shè)的整個(gè)生命周期，從設(shè)計(jì)研發(fā)到運(yùn)行維護(hù)、升級(jí)改造、退役報(bào)廢等，每個(gè)階段有相應(yīng)的要求和重點(diǎn)。例如設(shè)計(jì)研發(fā)，要確保負(fù)責(zé)開(kāi)發(fā)的產(chǎn)品無(wú)惡意安全隱患，滿足國(guó)家標(biāo)準(zhǔn)規(guī)范的要求，滿足行業(yè)實(shí)際需求，有相關(guān)機(jī)構(gòu)的安全檢測(cè)認(rèn)證等。

無(wú)論在哪個(gè)時(shí)期，都要有職責(zé)分明的管理，穩(wěn)妥可靠的技術(shù)，響應(yīng)迅速的應(yīng)急。在安全管理上，要落實(shí)企業(yè)主體責(zé)任，加大網(wǎng)絡(luò)安全投入，完善保障體系，創(chuàng)建專業(yè)的管控隊(duì)伍；在防護(hù)技術(shù)上，應(yīng)重點(diǎn)強(qiáng)調(diào)應(yīng)用分區(qū)隔離、惡意代碼防范、動(dòng)態(tài)可信驗(yàn)證等措施，建立定期測(cè)評(píng)和動(dòng)態(tài)評(píng)估機(jī)制，實(shí)時(shí)防護(hù)，防護(hù)得當(dāng)；在應(yīng)急處置上，要加強(qiáng)情報(bào)共享和應(yīng)急聯(lián)動(dòng)，開(kāi)展應(yīng)急演練，提升響應(yīng)能力。全方位開(kāi)展安防工作，不斷落實(shí)“重點(diǎn)保護(hù)、縱深防御、實(shí)時(shí)監(jiān)測(cè)”等一系列新的目標(biāo)、要求和標(biāo)準(zhǔn)，創(chuàng)建清朗、有序、安全的網(wǎng)絡(luò)空間。

3 水電廠網(wǎng)絡(luò)安全評(píng)估

水電廠網(wǎng)絡(luò)安全防護(hù)的手段有多種，主機(jī)加固、入侵檢測(cè)、入侵防御、漏洞掃描、病毒防范、安全審計(jì)、安全評(píng)估等。其中安全評(píng)估屬于運(yùn)用管理學(xué)手段開(kāi)展的一項(xiàng)常規(guī)工作，貫穿于電力監(jiān)控系統(tǒng)整個(gè)生命周期，主要是針對(duì)事物潛在影響正常執(zhí)行其職能的行為產(chǎn)生干擾或者破壞的因素進(jìn)行識(shí)別、評(píng)價(jià)的過(guò)程。安全評(píng)估采用自評(píng)估與檢查評(píng)估，主要以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充，自評(píng)估和檢查評(píng)估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機(jī)構(gòu)提供技術(shù)支持[3]。

對(duì)于水電廠來(lái)說(shuō)，專業(yè)隊(duì)伍的能力很重要，網(wǎng)絡(luò)安全防護(hù)工作是常態(tài)化。企業(yè)應(yīng)該加強(qiáng)內(nèi)部專業(yè)隊(duì)伍的建設(shè)，提高網(wǎng)絡(luò)安全防護(hù)運(yùn)維水平，掌握風(fēng)險(xiǎn)評(píng)估的思路、過(guò)程、方法，依托自身力量，充分結(jié)合檢查評(píng)估的情況，逐步豐富、完善自評(píng)估手段、方式方法，開(kāi)展有針對(duì)性的自評(píng)估，發(fā)現(xiàn)問(wèn)題，解決問(wèn)題。

3.1 安全評(píng)估思路

對(duì)于一項(xiàng)工作，要首先明確其工作思路，了解整個(gè)的流程，知道先干什么，后干什么。風(fēng)險(xiǎn)評(píng)估也是如此，其主要工作是找出系統(tǒng)中存在的風(fēng)險(xiǎn)，進(jìn)而消除風(fēng)險(xiǎn)。根據(jù)系統(tǒng)安全工程特點(diǎn)，風(fēng)險(xiǎn)可以用可能性和嚴(yán)重性來(lái)表示，即

R=f（F，C）

其中R表示風(fēng)險(xiǎn)；

F表示發(fā)生事故的可能性；

C表示發(fā)生事故的嚴(yán)重性。

結(jié)合網(wǎng)絡(luò)完全風(fēng)險(xiǎn)評(píng)估的需求，推算發(fā)生事故的可能性、嚴(yán)重性的影響因子，其主要涉及威脅識(shí)別、脆弱性識(shí)別、資產(chǎn)識(shí)別3個(gè)方面。對(duì)于威脅，就是系統(tǒng)中威脅因素等，包括人為因素和自然因素；脆弱性，則是系統(tǒng)中被威脅對(duì)象所存在弱點(diǎn)的等級(jí)或者嚴(yán)重度；而資產(chǎn)，則是系統(tǒng)中被威脅對(duì)象的價(jià)值，包括有形資產(chǎn)、無(wú)形資產(chǎn)。通過(guò)對(duì)威脅、脆弱性、資產(chǎn)的識(shí)別分析，對(duì)其結(jié)果進(jìn)行一定的賦值，來(lái)得出安全事件發(fā)生的可能性和造成的嚴(yán)重性，進(jìn)而計(jì)算出最后的風(fēng)險(xiǎn)值，達(dá)到預(yù)期的結(jié)果。

3.2 安全評(píng)估思路

在理清了風(fēng)險(xiǎn)評(píng)估的思路后，就要結(jié)合電廠的實(shí)際情況，開(kāi)展有針對(duì)性的風(fēng)險(xiǎn)評(píng)估。但是復(fù)雜的風(fēng)險(xiǎn)評(píng)估過(guò)程勢(shì)必會(huì)帶來(lái)冗余、繁雜的環(huán)節(jié)，給評(píng)估人員造成一定的影響，難以達(dá)到預(yù)期的評(píng)估效果，所以清晰、明了、簡(jiǎn)單、有效的評(píng)估流程很重要。

在確定要開(kāi)展風(fēng)險(xiǎn)評(píng)估后，就要做好前期準(zhǔn)備，確定評(píng)估對(duì)象、評(píng)估范圍、評(píng)估機(jī)構(gòu)及人員，針對(duì)此次評(píng)估收集相關(guān)的規(guī)程、規(guī)范，編制評(píng)估方案和應(yīng)急預(yù)案。按照評(píng)估思路進(jìn)行風(fēng)險(xiǎn)識(shí)別，確定影響因子，計(jì)算風(fēng)險(xiǎn)值，并對(duì)風(fēng)險(xiǎn)值進(jìn)行確認(rèn)，確保是按照評(píng)估的實(shí)施方案執(zhí)行，沒(méi)有超出識(shí)別、計(jì)算范圍，也沒(méi)有遺漏某一環(huán)節(jié)。當(dāng)確定風(fēng)險(xiǎn)所在后，則要根據(jù)其產(chǎn)生的原因、危害程度、整改的難易程度，制定行之有效的處理計(jì)劃，計(jì)劃的完整性及可執(zhí)行度，均要進(jìn)行評(píng)估和研究，確保無(wú)遺留潛在隱患因子，最后則將整改計(jì)劃付諸實(shí)施，完成合理的閉環(huán)。

3.3 安全評(píng)估方法

在風(fēng)險(xiǎn)評(píng)估的過(guò)程中，有一個(gè)重要環(huán)節(jié)，關(guān)系到整個(gè)風(fēng)險(xiǎn)評(píng)估的有效性，那就是評(píng)估方案中的評(píng)估方法，如何去評(píng)估，如何有效地評(píng)估。網(wǎng)絡(luò)安全的評(píng)估方法有定性分析法、定量分析法、輔助工具評(píng)估法、模型評(píng)估法等，其中有的方法需要借助大量的實(shí)驗(yàn)結(jié)果和廣泛的事故數(shù)據(jù)統(tǒng)計(jì)分析，例如定量分析法；有的需要借助輔助工具參與，依托模型實(shí)施，雖然很智能化，但是工具的可靠性和應(yīng)用性需要去推廣和實(shí)踐。找到適合當(dāng)前水電行業(yè)的有效的評(píng)估方式，也是目前正在完善和探索的方法。

當(dāng)前階段，水電廠網(wǎng)絡(luò)安全，因其涉及企業(yè)的安全問(wèn)題，也關(guān)乎行業(yè)發(fā)展，其局限性比較突出，難以收集大量的實(shí)驗(yàn)結(jié)果、安全事故統(tǒng)計(jì)，也難以在市面上找到合適的輔助工具和模型。所以目前主要是依托內(nèi)部人員，結(jié)合日常運(yùn)維管理經(jīng)驗(yàn)對(duì)設(shè)備設(shè)施、環(huán)境、人員和管理等方面進(jìn)行定性分析，判定其指標(biāo)是否滿足需求，目前比較傳統(tǒng)且具備可操作性的方式是檢查表法，是系統(tǒng)安全工程一種最基礎(chǔ)、最簡(jiǎn)便、廣泛應(yīng)用的風(fēng)險(xiǎn)評(píng)價(jià)方法。該類方法主要是依據(jù)相關(guān)的標(biāo)準(zhǔn)、規(guī)范、運(yùn)維經(jīng)驗(yàn)、典型事故案例等制定檢查項(xiàng)目，對(duì)評(píng)估對(duì)象進(jìn)行分解、歸類，逐一對(duì)比，逐項(xiàng)檢查，逐個(gè)打分，不漏掉任何可能引發(fā)危險(xiǎn)的關(guān)鍵因素，同時(shí)檢查項(xiàng)目在編制、實(shí)施檢查的過(guò)程中，也是對(duì)評(píng)估人員的一次學(xué)習(xí)、培訓(xùn)。但是這種方法有一個(gè)致命的缺點(diǎn)，那就是針對(duì)不同的評(píng)估對(duì)象需要編制大量的檢查表，制定詳細(xì)的檢查項(xiàng)目，這對(duì)評(píng)估人員或者網(wǎng)絡(luò)安全管理人員來(lái)說(shuō)，需要有豐富的理論水平和現(xiàn)場(chǎng)實(shí)踐經(jīng)驗(yàn)。

提到豐富的理論水平和現(xiàn)場(chǎng)實(shí)踐經(jīng)驗(yàn)，首先會(huì)想到專家，應(yīng)該充分利用電廠內(nèi)部專家資源，進(jìn)行集體評(píng)議，開(kāi)展大膽質(zhì)疑。將專家編入評(píng)估隊(duì)伍，帶動(dòng)評(píng)估人員的集體水平，制定初步的檢查表，運(yùn)用專家評(píng)議，進(jìn)行思維發(fā)散，對(duì)檢查項(xiàng)目共同探討，集思廣益形成高水平的檢查項(xiàng)目，參照該檢查項(xiàng)目，進(jìn)行問(wèn)題評(píng)估、分析，形成結(jié)果后，開(kāi)展專家質(zhì)疑，對(duì)問(wèn)題進(jìn)行探討、質(zhì)疑，討論限制因素，分析、歸納結(jié)果，給出預(yù)測(cè)和建議。

4 結(jié)語(yǔ)

網(wǎng)絡(luò)，已經(jīng)是繼陸地、海上、空中、太空后的第五大戰(zhàn)區(qū)，國(guó)家也提出了“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”的重大論斷。水電廠網(wǎng)絡(luò)安全防護(hù)工作是一項(xiàng)系統(tǒng)工程，需要不斷開(kāi)闊視野，提高認(rèn)識(shí)，大力提升網(wǎng)絡(luò)安全防護(hù)的技術(shù)和管理水平，構(gòu)建全面、牢固的防御體系。