趙偉

摘 要：該課題研究電力信息系統(tǒng)信息安全防護(hù)體系的分析和研究“三橫四縱”的總體架構(gòu)，設(shè)計建立電力信息安全防護(hù)體系，為系統(tǒng)管理員、安全管理員提供安全保障，為信息化安全管理對安全監(jiān)管、信息共享和發(fā)布提供安全保障支撐。

關(guān)鍵詞：電力信息系統(tǒng) 信息安全防護(hù) 安全域 分級分域

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2016）12（b）-0100-02

電力公司的安全防護(hù)體系根據(jù)省、市、縣安全防護(hù)不同層面防護(hù)要求各有側(cè)重、相互支撐、互為補(bǔ)充。根據(jù)各信息系統(tǒng)重要程度設(shè)計安全防護(hù)體系“三橫四縱”的總體架構(gòu)，建立信息安全防護(hù)體系。

1 信息安全防護(hù)策略設(shè)計目標(biāo)

信息安全保障體系的建設(shè)緊緊圍繞安全管理、安全技術(shù)和安全運維3個方面，在每個方面都有相應(yīng)的具體目標(biāo)。達(dá)到這個目標(biāo)就能為綜合服務(wù)平臺構(gòu)建一個多層次、多角度的立體縱深防御體系。

安全管理的建設(shè)目標(biāo)：

確定安全組織和責(zé)任劃分，確定安全策略，確定信息資產(chǎn)分類和分級。

實現(xiàn)安全變更管理、安全補(bǔ)丁管理、安全備份管理、應(yīng)急響應(yīng)計劃、業(yè)務(wù)持續(xù)性計劃、安全核心流程。

安全培訓(xùn)與教育、安全控制要求：

對信息資產(chǎn)進(jìn)行風(fēng)險評估，達(dá)到ISO27001管理標(biāo)準(zhǔn)。

安全技術(shù)的建設(shè)目標(biāo)：

根據(jù)業(yè)務(wù)需求劃分不同的安全域，安全邊界進(jìn)行防護(hù)。

實現(xiàn)安全系統(tǒng)強(qiáng)化功能、建立網(wǎng)絡(luò)和主機(jī)入侵檢測機(jī)制、實現(xiàn)高危數(shù)據(jù)加密傳輸、關(guān)鍵系統(tǒng)的日志審計、建立病毒防范體系、建立身份認(rèn)證體系、訪問控制體系、遠(yuǎn)程訪問安全機(jī)制。

建立數(shù)據(jù)安全存儲體系、時間同步機(jī)制、集中安全審計體系、安全事件管理平臺。

安全運維的建設(shè)目標(biāo)：

建立定期風(fēng)險評估機(jī)制。

定期對日志進(jìn)行審計、定期進(jìn)行滲透測試。

完善安全信息上報機(jī)制、定期對安全策略和標(biāo)準(zhǔn)進(jìn)行評估和修訂。

顯示安全的運維外包。

2 電力信息安全建設(shè)體系內(nèi)容

電力信息系統(tǒng)信息安全保障體系采用了“三橫四縱”的總體架構(gòu)，即橫向上分為3個層次，分別為應(yīng)用層、技術(shù)層、管理層；技術(shù)層次中縱向又分為4種主要體系，即以基礎(chǔ)安全服務(wù)設(shè)施、數(shù)據(jù)安全保護(hù)、網(wǎng)絡(luò)接入保護(hù)、平臺安全管理為支柱，信息安全基礎(chǔ)設(shè)施為基礎(chǔ)，通過信息安全管理體系為業(yè)務(wù)應(yīng)用提供可靠的安全保障。

一是應(yīng)用層。這是安全保障體系的主要對象。信息化建設(shè)的終極目標(biāo)是提供給用戶好用、易用、夠用的應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)是為了滿足不同用戶的不同業(yè)務(wù)需求，安全保障體系保障的核心就是應(yīng)用系統(tǒng)及其數(shù)據(jù)。

二是技術(shù)層。這是信息安全保障體系的主要體系。目前包括技術(shù)支撐體系、技術(shù)保障體系、網(wǎng)絡(luò)信任體系、安全服務(wù)體系。這4種體系已經(jīng)經(jīng)過多年的探索和建立，應(yīng)該說已經(jīng)覆蓋了技術(shù)上的所有方面。

三是管理層。包括等級保護(hù)安全策略、安全管理制度、法律法規(guī)和技術(shù)標(biāo)準(zhǔn)。通常說“三分技術(shù)、七分管理”，再好的技術(shù)也需要完善的管理才能保證技術(shù)發(fā)揮最大的效能。

3 信息安全防護(hù)設(shè)計

電力系統(tǒng)是一個由內(nèi)網(wǎng)、外網(wǎng)兩種網(wǎng)絡(luò)域構(gòu)成的龐大信息系統(tǒng)。各個網(wǎng)絡(luò)域執(zhí)行著不同的服務(wù)內(nèi)容：內(nèi)網(wǎng)是一個完整的電力系統(tǒng)辦公自動化環(huán)境，外網(wǎng)擔(dān)負(fù)著與公眾間信息溝通的責(zé)任。

如此復(fù)雜的應(yīng)用環(huán)境給系統(tǒng)帶來了大量潛在的安全隱患：黑客利用外網(wǎng)或?qū)＞W(wǎng)攻擊內(nèi)部網(wǎng)絡(luò)、數(shù)據(jù)在傳輸過程中的泄露、網(wǎng)頁遭篡改、偽造身份進(jìn)入系統(tǒng)、操作系統(tǒng)漏洞、病毒等。這些安全隱患不可能依靠某種單一的安全技術(shù)就能得到解決，必須在電力信息系統(tǒng)整體安全需求的基礎(chǔ)上構(gòu)筑一個完整的安全服務(wù)體系。

構(gòu)建一個完整的安全防護(hù)體系有組織地實現(xiàn)上述安全需求，我們提出的安全保障平臺由基礎(chǔ)安全服務(wù)設(shè)施、數(shù)據(jù)安全保護(hù)、網(wǎng)絡(luò)接入保護(hù)、平臺安全管理組成。

（1）基礎(chǔ)安全服務(wù)設(shè)施。

基礎(chǔ)安全服務(wù)設(shè)施防護(hù)設(shè)計主要包括部署平臺的應(yīng)用系統(tǒng)的身份認(rèn)證與訪問控制、基礎(chǔ)環(huán)境安全保護(hù)（訪問控制、防火墻、入侵檢測、安全審計、VPN）。

（2）數(shù)據(jù)安全保護(hù)。

數(shù)據(jù)安全保護(hù)方案是為部署在電力信息系統(tǒng)提供數(shù)據(jù)傳輸、數(shù)據(jù)訪問和數(shù)據(jù)存儲備份恢復(fù)的安全保障措施，主要分為4類：應(yīng)用保護(hù)、數(shù)據(jù)傳輸交換保護(hù)、數(shù)據(jù)備份與恢復(fù)設(shè)計。

（3）網(wǎng)絡(luò)接入保護(hù)。

統(tǒng)一管理集中建設(shè)互聯(lián)網(wǎng)接入點，實現(xiàn)電力各部門互聯(lián)網(wǎng)的安全接入和可管可控可剝離；各部門在統(tǒng)一的安全技術(shù)體系下，根據(jù)各自信息下發(fā)指令信息包括針對省級安全等級，建設(shè)、升級、完善安全系統(tǒng)；依托平臺建設(shè)省級安全接入機(jī)制，實現(xiàn)與接入統(tǒng)一監(jiān)控、統(tǒng)一管理和統(tǒng)一服務(wù)。

（4）平臺安全管理。

安全管理體系是信息安全保障體系建設(shè)的一個重要環(huán)節(jié)，安全管理體系的建設(shè)內(nèi)容包括：建立完善等級保護(hù)安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)運維管理、系統(tǒng)運維管理。

4 結(jié)語

該課題對電力公司信息安全防護(hù)策略和防護(hù)設(shè)計進(jìn)行研究，電力信息化安全服務(wù)平臺也基于電力信息系統(tǒng)安全需求設(shè)計安全防護(hù)體系，面向系統(tǒng)管理員、安全管理員提供安全保障，為各級信息化安全管理對安全監(jiān)管、信息共享和發(fā)布提供安全保障支撐。

參考文獻(xiàn)

[1] 高鵬，范杰，郭騫.電力系統(tǒng)信息安全技術(shù)督查策略研究[C]//電力通信管理暨智能電網(wǎng)通信技術(shù)論壇論文集.2012.

[2] 余勇，林為民，俞鋼.電力信息系統(tǒng)安全保障體系的研究[C]//2004年世界工程師大會電力和能源分會場論文集.2004.

[3] 陳秋園.淺談電力系統(tǒng)信息安全的防護(hù)措施[J].科技資訊，2011（14）：147.

[4] 楊尚瑾，董超.淺談電力系統(tǒng)信息安全策略[J].中國電力教育，2009（9）：219-220.

[5] 翟紹思.電力系統(tǒng)信息安全關(guān)鍵技術(shù)的研究[J].中國科技信息，2008（15）：109-110.