趙偉

摘 要：隨著社會的不斷發(fā)展，電力信息系統(tǒng)也在不斷地發(fā)展，越來越受到電力部門的重視。該課題的目標(biāo)為解決電力工程安全體系建設(shè)中所面臨的問題。通過閱讀該課題可以理解信息安全建設(shè)的層次及過程，有效地將信息安全總體方案進(jìn)行貫徹執(zhí)行。

關(guān)鍵詞：電力 信息安全防護(hù) 等級保護(hù) 安全域

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2016）12（b）-0055-03

為深化電力信息化工程安全防護(hù)體系建設(shè)，落實工程安全防護(hù)總體方案，制定此操作指引，為電力信息化依據(jù)總體方案開展信息安全建設(shè)提供參考。

1 安全域劃分設(shè)計

依據(jù)國家電網(wǎng)公司安全分區(qū)、分級、分域及分層防護(hù)的原則，首先，各單位網(wǎng)絡(luò)分為管理信息大區(qū)與生產(chǎn)控制大區(qū)；其次，管理信息大區(qū)按照雙網(wǎng)隔離方案又分為信息內(nèi)網(wǎng)與信息外網(wǎng)。電力工程安全防護(hù)總體方案的設(shè)計作用范圍為信息內(nèi)網(wǎng)和信息外網(wǎng)的一體化平臺以及八大業(yè)務(wù)應(yīng)用相關(guān)系統(tǒng)，在進(jìn)行安全防護(hù)建設(shè)之前，應(yīng)首先實現(xiàn)對信息系統(tǒng)的安全域劃分。

對于一體化平臺與八大業(yè)務(wù)應(yīng)用安全域劃分依據(jù)總體方案中定義的“二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立分域”的方法進(jìn)行，信息內(nèi)網(wǎng)的系統(tǒng)基本上可分為：（1）ERP系統(tǒng)域；（2）電力市場交易系統(tǒng)域；（3）財務(wù)（資金）管理系統(tǒng)域；（4）辦公自動化系統(tǒng)域（總部）；（5）營銷管理系統(tǒng)域；（6）二級系統(tǒng)域；（7）桌面終端域。信息外網(wǎng)的系統(tǒng)可分為：（1）外網(wǎng)應(yīng)用系統(tǒng)域；（2）桌面終端域。

安全域的具體實現(xiàn)可采用物理防火墻隔離、虛擬防火墻隔離或Vlan隔離等形式。基本實現(xiàn)目標(biāo)為劃分各域網(wǎng)絡(luò)邊界并進(jìn)行訪問控制。

進(jìn)行安全域劃分后，國家電網(wǎng)公司總部、網(wǎng)省、地市所劃分出的安全域與數(shù)量如表1所示。

2 安全域的實現(xiàn)設(shè)計

安全域?qū)崿F(xiàn)方式以劃分邏輯區(qū)域為目標(biāo)，旨在實現(xiàn)各安全區(qū)域的邏輯隔離，明確邊界以對各安全域分別防護(hù)，并且進(jìn)行域間邊界控制，安全域的實體展現(xiàn)為一個或多個物理網(wǎng)絡(luò)或邏輯網(wǎng)段的集合。對安全域的劃分手段可以參考采用如下方式（以下方式可能出現(xiàn)技術(shù)重疊，以最終實現(xiàn)網(wǎng)絡(luò)分域并可進(jìn)行訪問控制為目標(biāo)）。

2.1 防火墻安全隔離

可采用雙接口或多接口防火墻進(jìn)行邊界隔離，在每兩個安全域的邊界部署雙接口防火墻，或是采用多接口防火墻的每個接口分別與不同的安全域連接以進(jìn)行訪問控制。

2.2 虛擬防火墻隔離

采用虛擬防火墻實現(xiàn)各安全域邊界隔離，虛擬防火墻可以將一臺防火墻在邏輯上劃分成多臺虛擬的防火墻，每個虛擬防火墻系統(tǒng)都可以被看成是一臺完全獨立的防火墻設(shè)備，可擁有獨立的系統(tǒng)資源、管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫等。在該方案中，可以實現(xiàn)為每個安全域建立獨立的虛擬防火墻進(jìn)行邊界安全防護(hù)。

2.3 三層交換機(jī)Vlan隔離

采用三層交換機(jī)為各安全域劃分Vlan，采用交換機(jī)訪問控制列表或防火墻模塊進(jìn)行安全域間訪問控制。

2.4 二層交換機(jī)Vlan隔離

在二層交換機(jī)上為各安全域劃分Vlan，采用Trunk與路由器或防火墻連接，在上聯(lián)的路由器或防火墻上進(jìn)行訪問控制。

對于一個應(yīng)用的子系統(tǒng)跨越多個物理環(huán)境如設(shè)備機(jī)房所帶來的分域問題，由于安全域為邏輯區(qū)域，可以將一個公司層面上的多個物理網(wǎng)絡(luò)或子網(wǎng)歸屬于同一安全域進(jìn)行安全體系建設(shè)。

3 明確所要防護(hù)的對象

在進(jìn)行安全防護(hù)體系建設(shè)之前，首先需明確所要防護(hù)的對象，將所要防護(hù)的對象對應(yīng)至整體信息網(wǎng)絡(luò)環(huán)境與相應(yīng)的安全域中，設(shè)計所保護(hù)域的邊界、網(wǎng)絡(luò)、主機(jī)及應(yīng)用。

（1）邊界安全防護(hù)。針對信息內(nèi)外網(wǎng)第三方邊界、縱向上下級單位邊界以及橫向域間邊界進(jìn)行安全防護(hù)。

①信息外網(wǎng)第三方邊界為國家電網(wǎng)公司信息外網(wǎng)與互聯(lián)網(wǎng)的網(wǎng)絡(luò)邊界。

②信息內(nèi)網(wǎng)第三方邊界為國家電網(wǎng)公司信息內(nèi)網(wǎng)與其他利益相關(guān)方（如銀行、代收機(jī)構(gòu)）間的網(wǎng)絡(luò)邊界。

③信息內(nèi)外網(wǎng)邊界為信息內(nèi)網(wǎng)與信息外網(wǎng)間的邊界，采用邏輯強(qiáng)隔離裝置進(jìn)行隔離。

④縱向上下級單位安全邊界包括國家電網(wǎng)總部與各網(wǎng)省分司間、各網(wǎng)省公司與地市公司間、地市與縣級單位間的網(wǎng)絡(luò)邊界。

⑤橫向域間邊界指劃分出的各安全域之間的邊界，如營銷管理系統(tǒng)域與ERP系統(tǒng)域之間的邊界屬于橫向邊界。

在進(jìn)行邊界安全防護(hù)之前，首先應(yīng)當(dāng)制定出邊界清單，對各網(wǎng)絡(luò)邊界進(jìn)行登記。

（2）網(wǎng)絡(luò)環(huán)境安全防護(hù)。包括所要防護(hù)的基礎(chǔ)網(wǎng)絡(luò)及安全域范圍內(nèi)的網(wǎng)絡(luò)設(shè)備和安全設(shè)備。

（3）主機(jī)系統(tǒng)安全防護(hù)。包括承載所防護(hù)的安全域中的應(yīng)用系統(tǒng)的操作系統(tǒng)、數(shù)據(jù)庫的安全防護(hù)。

（4）業(yè)務(wù)應(yīng)用安全防護(hù)。包括應(yīng)用系統(tǒng)及通過用戶接口、數(shù)據(jù)接口所傳輸數(shù)據(jù)的安全防護(hù)。

4 可共用的安全防護(hù)措施設(shè)計

劃分安全域防護(hù)帶來的成本增加主要為網(wǎng)絡(luò)邊界隔離設(shè)備的投入和網(wǎng)絡(luò)安全防護(hù)設(shè)備的投入。

（1）邏輯隔離設(shè)備的成本。如，防火墻、路由器等成本。針對邏輯隔離設(shè)備的成本控制，可采取將多接口防火墻、虛擬防火墻、網(wǎng)絡(luò)交換機(jī)Vlan間訪問控制等措施在多個安全域間共用的方式實現(xiàn)。

（2）網(wǎng)絡(luò)安全防護(hù)設(shè)備成本。包括實現(xiàn)防護(hù)所需的入侵檢測、弱點掃描系統(tǒng)等?？刹捎迷诙鄠€安全域共用一套入侵檢測系統(tǒng)，在各安全域僅部署入侵檢測探頭，所有安全域可采用統(tǒng)一的一套弱點掃描器等復(fù)用防護(hù)措施以降低防護(hù)投入。分域所帶來的只有邊界和網(wǎng)絡(luò)層面上的投入增加，對于主機(jī)、應(yīng)用相關(guān)的安全措施不會增加投入。

4.1 明確可共用的安全防護(hù)措施

分析所有設(shè)計的安全防護(hù)措施，考慮可共用的安全防護(hù)措施，整理目前已完成建設(shè)的安全措施，對于不能通過安全產(chǎn)品實現(xiàn)的，需通過功能開發(fā)或配置更改等方式來實現(xiàn)。

在網(wǎng)絡(luò)邊界部署邊界防護(hù)安全措施時，在滿足功能及性能要求的前提下，應(yīng)盡可能地采用較少的設(shè)備實現(xiàn)，例如：采用UTM或IPS設(shè)備可以實現(xiàn)網(wǎng)絡(luò)訪問控制功能且性能可以接受，則可不再專門部署防火墻。

對于通過部署安全產(chǎn)品實現(xiàn)的防護(hù)措施，可采用包括但不限于如下實現(xiàn)共用的方式。

（1）防火墻。

添加防火墻硬件接口模塊實現(xiàn)邊界訪問控制。

添加防火墻管理系統(tǒng)中的策略和對象資源實現(xiàn)邊界訪問控制。

多安全域共用多接口防火墻、虛擬防火墻、交換機(jī)Vlan隔離等方式實現(xiàn)域間訪問控制。

（2）UTM統(tǒng)一威脅管理。

添加UTM硬件接口模塊來實現(xiàn)統(tǒng)一威脅管理。

添加UTM管理系統(tǒng)中的策略和對象來實現(xiàn)對資源的統(tǒng)一威脅管理。

（3）入侵檢測系統(tǒng)。

添加軟件網(wǎng)絡(luò)入侵檢測系統(tǒng)的網(wǎng)卡以增加可監(jiān)測的網(wǎng)段。

在交換機(jī)上添加硬件網(wǎng)絡(luò)入侵檢測模塊以實現(xiàn)對多網(wǎng)段的監(jiān)聽。

在交換機(jī)上增加鏡像端口以實現(xiàn)對多網(wǎng)段的入侵檢測偵聽。

在網(wǎng)段分別部署硬件入侵檢測探頭以實現(xiàn)對多個安全域的分別監(jiān)測。

在各重要業(yè)務(wù)主機(jī)部署主機(jī)入侵檢測代理以實現(xiàn)對主機(jī)的入侵檢測。

（4）弱點掃描系統(tǒng)。

采用一套共用的弱點掃描系統(tǒng)，在掃描系統(tǒng)上添加授權(quán)主機(jī)的掃描地址范圍，將掃描系統(tǒng)安裝在筆記本電腦上以實現(xiàn)對各安全域系統(tǒng)的掃描。

（5）桌面終端安全管理系統(tǒng)。

采用統(tǒng)一的桌面安全管理系統(tǒng)，分別部署于信息內(nèi)外網(wǎng)集中進(jìn)行管理。

（6）防病毒系統(tǒng)。

在信息內(nèi)外網(wǎng)分別采用統(tǒng)一的網(wǎng)絡(luò)版防病毒系統(tǒng)，將所有Windows服務(wù)器安裝防病毒客戶端，統(tǒng)一進(jìn)行管理，或在服務(wù)器上安裝單機(jī)服務(wù)器版本的防病毒軟件。

（7）安全事件/日志分析系統(tǒng)。

在信息內(nèi)外網(wǎng)分別采用統(tǒng)一的安全事件及日志分析系統(tǒng)。

（8）入侵防護(hù)系統(tǒng)。

在信息外網(wǎng)應(yīng)用系統(tǒng)域的網(wǎng)絡(luò)邊界上通過添加入侵防護(hù)硬件實現(xiàn)對各系統(tǒng)互聯(lián)網(wǎng)發(fā)布應(yīng)用的入侵防護(hù)。

通過添加入侵防護(hù)管理系統(tǒng)中的策略和對象以實現(xiàn)對特定資源的入侵防護(hù)。

（9）備份恢復(fù)軟件。

可在信息內(nèi)外網(wǎng)分別采用一套統(tǒng)一的備份恢復(fù)軟件對各業(yè)務(wù)數(shù)據(jù)進(jìn)行統(tǒng)一備份，在各應(yīng)用服務(wù)器上添加備份代理。

4.2 設(shè)計不可共用的安全防護(hù)措施

對于不能通過安全產(chǎn)品實現(xiàn)的安全防護(hù)措施，可通過專項研發(fā)來實現(xiàn)。

對于通過安全產(chǎn)品實現(xiàn)的安全防護(hù)措施，依據(jù)安全防護(hù)總體方案中的安全防護(hù)措施設(shè)計來選擇安全產(chǎn)品。

產(chǎn)品選型時，對產(chǎn)品的選型原則、選型范圍、功能技術(shù)要求等方面進(jìn)行說明，然后依據(jù)產(chǎn)品選型要求對安全產(chǎn)品進(jìn)行測評和篩選。

5 安全防護(hù)措施實施設(shè)計

5.1 安全控制措施實施設(shè)計

實施安全控制措施應(yīng)該遵循總體方案設(shè)計，分階段落實安全控制措施建設(shè)。這包括安全控制開發(fā)和配置、安全控制集成、測試與驗收等主要環(huán)節(jié)。

（1）安全功能開發(fā)和配置。對于一些不能通過部署安全產(chǎn)品來實現(xiàn)的安全措施和安全功能，通過軟件功能設(shè)計、開發(fā)和配置來實現(xiàn)。

（2）安全控制集成。將不同的軟硬件產(chǎn)品集成起來，依據(jù)安全設(shè)計方案，將安全產(chǎn)品、系統(tǒng)軟件平臺和開發(fā)配置的安全控制與各種應(yīng)用系統(tǒng)綜合、整合成為一個系統(tǒng)。

（3）安全產(chǎn)品測試與驗收。在安全產(chǎn)品上線前應(yīng)當(dāng)對設(shè)計的功能進(jìn)行測試，并經(jīng)過試運行后完成驗收。

（4）安全運行維護(hù)。完成安全體系建設(shè)后，將進(jìn)入安全運行維護(hù)階段，各單位應(yīng)當(dāng)嚴(yán)格遵照國家電網(wǎng)公司相關(guān)運行維護(hù)要求及各安全產(chǎn)品的運行維護(hù)手冊及要求進(jìn)行系統(tǒng)運行維護(hù)。

5.2 安全控制措施變更設(shè)計

經(jīng)過一段時間運行后，隨業(yè)務(wù)系統(tǒng)及信息環(huán)境的變化，安全控制措施可能需要進(jìn)行變更，需注意以下幾點。

（1）確定是安全體系局部調(diào)整還是重大變更，如果涉及到安全域變化需要重新依據(jù)防護(hù)方案進(jìn)行設(shè)計；如果僅局部調(diào)整可修改安全控制措施的配置實現(xiàn)。

（2）由變更發(fā)起人向主管領(lǐng)導(dǎo)進(jìn)行書面申請并要記錄相應(yīng)變更行為，確保變更實施過程受到控制，保證變更對業(yè)務(wù)的影響最小。

（3）對變更目的、內(nèi)容、影響、時間和地點以及人員權(quán)限進(jìn)行審核，以確保變更合理、科學(xué)的實施。

（4）變更應(yīng)當(dāng)制定詳細(xì)的計劃并在非關(guān)鍵業(yè)務(wù)時段進(jìn)行，并制定相應(yīng)的回退計劃。

6 結(jié)語

該課題對電力公司信息系統(tǒng)等級保護(hù)安全策略進(jìn)行研究，采用了安全域劃分設(shè)計，通過該課題設(shè)計實現(xiàn)信息安全等級保護(hù)建設(shè)的層次及過程，有效地將信息安全總體方案進(jìn)行貫徹執(zhí)行。

參考文獻(xiàn)

[1] 吳國威.數(shù)字化變電站中信息處理及網(wǎng)絡(luò)信息安全分析[J].電力系統(tǒng)保護(hù)與控制，2007，35（12）：18-22.

[2] 胡炎，謝小榮，韓英鐸，等.電力信息系統(tǒng)安全體系設(shè)計方法綜述[J].電網(wǎng)技術(shù)，2005，29（1）：35-39.

[3] 胡炎，謝小榮，辛耀中.電力信息系統(tǒng)現(xiàn)有安全設(shè)計方法分析比較[J].電網(wǎng)技術(shù)，2006，30（4）：36-42.

[4] 胡炎，謝小榮，辛耀中.電力信息系統(tǒng)建模和定量安全評估[J].電力系統(tǒng)自動化，2005，29（10）：30-35.

[5] 宋燕敏，楊爭林，曹榮章，等.電力市場運營系統(tǒng)中的安全訪問控制[J].電力系統(tǒng)自動化，2006，30（7）：80-84.