“新基建“時代下的電力工控安全建設(shè)思考

張金山

摘要：工業(yè)控制系統(tǒng)是電力、交通、能源、水利、冶金、航空航天等國家重要基礎(chǔ)設(shè)施的“大腦”和“中樞神經(jīng)”，而電力工控系統(tǒng)安全直接關(guān)乎國計民生，在“新基建”背景下，中國能源企業(yè)面臨著諸多的機遇和挑戰(zhàn)。本文分析電力行業(yè)安全現(xiàn)狀與威脅，解析電力系統(tǒng)面臨哪些工控安全風險，評估受攻擊后可能造成的嚴重后果，提出電力行業(yè)工控安全建設(shè)方面的建議，可為中國能源企業(yè)網(wǎng)絡(luò)安全建設(shè)提供依據(jù)和借鑒。

關(guān)鍵詞：工控安全;電力工控安全;安全態(tài)勢感知;電力安全大數(shù)據(jù);電力安全建設(shè)

Thoughts on the Safety Construction of Electric Power Industrial Control in the Era of "New Infrastructure"

ZHANG Jinshan

（Data Operation and Maintenance Department of China Energy Fusion Smart Technology Co.， Ltd.， Beijing， 100080 China）

Abstract： Industrial control system is the "brain" and "central nerve" of important national infrastructure such as power， transportation， energy， water conservancy， metallurgy， aerospace， etc. The safety of power industrial control system is directly related to the national economy and people's livelihood. Under the background of "New Capital Construction "， Chinese energy enterprises are faced with opportunities and challenges to invest in power market. This paper analyzes the security status and threats of the power industry， analyzes which industrial control security risks the power system faces， evaluates the possible serious consequences after being attacked， and puts forward suggestions on industrial control security construction of the power industry， which can provide basis and reference for network security construction of Chinese energy enterprises.

Key Words： Industrial control safety; Electric power industrial control safety; Security situation awareness; Power safety big data; Electric power safety construction

0 引言

當前，隨著云計算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)與制造技術(shù)加速融合，工業(yè)信息安全形勢日趨嚴峻，“十三五”規(guī)劃開始，網(wǎng)絡(luò)空間安全已上升至國家安全戰(zhàn)略，工控網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)安全中的薄弱而又至關(guān)重要部分，全方位感知工控系統(tǒng)的安全態(tài)勢成為亟待解決的重要問題之一。

工業(yè)控制系統(tǒng)是電力、交通、能源、水利、冶金、航空航天等國家重要基礎(chǔ)設(shè)施的“大腦”和“中樞神經(jīng)”，超過80%的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)實現(xiàn)自動化作業(yè)。關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)也是可能遭到重點攻擊的目標，這些基礎(chǔ)設(shè)施一旦被攻擊，具有極大的破壞性和殺傷力，尤其是電力系統(tǒng)。

隨著中共中央政治局委員會在2020年3月4日召開的會議中指出，要加快推進國家規(guī)劃已明確的重大工程和基礎(chǔ)設(shè)施，其中要加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)進度，“新基建”驟然成為各界關(guān)注的新焦點，新基建的核心在于傳統(tǒng)產(chǎn)業(yè)的數(shù)字化轉(zhuǎn)型，傳統(tǒng)基礎(chǔ)設(shè)施的數(shù)字化改造。

同時，“新基建”孕育著巨大的發(fā)展空間，如疫情期間遠程辦公、遠程醫(yī)療、遠程教育和線上購物等數(shù)字經(jīng)濟產(chǎn)業(yè)快速發(fā)展，但隨著新型基礎(chǔ)設(shè)施建設(shè)和應(yīng)用的開展，潛藏其中的數(shù)據(jù)安全問題也衍生出新一輪的網(wǎng)絡(luò)安全挑戰(zhàn)。

1 工控系統(tǒng)典型安全事件

1.1 國際工控典型安全事件

近年來，隨著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和物聯(lián)網(wǎng)環(huán)境變得更加開放與多變，工業(yè)控制系統(tǒng)則相對變得更加脆弱，工控系統(tǒng)的安全性面臨巨大的挑戰(zhàn)。

1.1.1 "震網(wǎng)"病毒襲擊伊朗核設(shè)施

2009年上半年，“震網(wǎng)Stuxnet”病毒滲入伊朗核設(shè)施網(wǎng)絡(luò)，改變數(shù)千臺離心機發(fā)動機的運轉(zhuǎn)速度。這種突然的改變發(fā)動機轉(zhuǎn)速會對離心機造成無法修復(fù)的傷害，從而達到破壞伊朗核研究的目的，也導(dǎo)致伊朗原子能機構(gòu)的負責人迫于壓力辭職。外界猜測是某西方大國的網(wǎng)絡(luò)情報機構(gòu)，通過“震網(wǎng)病毒”實施的一次工控APT攻擊，“震網(wǎng)”病毒使伊朗的核計劃延遲了至少2年^[1]。

1.1.2 委內(nèi)瑞拉大規(guī)模停電事件

2019年3月7日下午5時，包括首都加拉加斯在內(nèi)的委內(nèi)瑞拉全國發(fā)生大規(guī)模停電。這是委內(nèi)瑞拉自2012年以來持續(xù)時間最長、影響范圍最廣的停電，超過一半地區(qū)數(shù)日內(nèi)多次完全停電。此次電力系統(tǒng)的崩潰沒有任何預(yù)兆，多數(shù)地區(qū)的供水和通信網(wǎng)絡(luò)也相應(yīng)受到了嚴重影響。而到了7月22日，委內(nèi)瑞拉再次發(fā)生大規(guī)模停電，此次停電的主要原因是提供全國六成以上電力的古里水電站計算機系統(tǒng)中樞遭受到了網(wǎng)絡(luò)攻擊^[2]。

1.2 國內(nèi)典型工控安全事件

1.2.1 四川二灘水力發(fā)電廠停機事件

2000年，四川二灘水力發(fā)電廠的兩臺工控設(shè)備調(diào)速器在實際運行中出現(xiàn)故障，收到一個異常命令信號，致使該廠在7秒鐘之內(nèi)甩掉89萬千瓦的出力，造成川西電網(wǎng)瞬間缺電80萬KW，這個事故導(dǎo)致四川電網(wǎng)幾近瓦解。事后總結(jié)發(fā)現(xiàn)，電廠存在一些重大設(shè)計缺陷，其中的最大問題是把控制系統(tǒng)和辦公自動化系統(tǒng)結(jié)合在一起，異常命令就是由辦公自動化系統(tǒng)傳到控制系統(tǒng)，從而引起電網(wǎng)大面積停電。

1.2.2 臺灣工控產(chǎn)品存在安全漏洞

2019年3月，Ivan Boyko等研究人員報告了Moxa工控產(chǎn)品的12個安全漏洞，包括：緩沖區(qū)溢出漏洞，遠程攻擊者可利用該漏洞執(zhí)行惡意代碼;跨站請求偽造漏洞，攻擊者可利用該漏洞執(zhí)行未授權(quán)的操作;跨站腳本漏洞，該漏洞源于程序沒有正確地驗證用戶輸入，遠程攻擊者可利用該漏洞注入惡意腳本;訪問控制錯誤漏洞，該漏洞源于程序沒有正確地驗證權(quán)限，攻擊者可利用該漏洞修改配置;安全漏洞，該漏洞源于程序沒有充分地限制身份驗證請求的次數(shù)，攻擊者可通過實施暴力破解攻擊利用該漏洞獲取密碼;存在越界讀取漏洞，該漏洞源于程序沒有正確地驗證數(shù)組邊界，攻擊者可利用該漏洞讀取任意地址上的設(shè)備內(nèi)存，進而檢索敏感數(shù)據(jù)或造成設(shè)備重啟等12個漏洞。

2 國內(nèi)電力工控安全問題

2.1 基礎(chǔ)設(shè)備老化嚴重

發(fā)電廠基礎(chǔ)設(shè)施、控制設(shè)備運行時間較長，使用過程也較為封閉，缺乏維護及更新，導(dǎo)致設(shè)備嚴重老化。而傳統(tǒng)的工控系統(tǒng)安全偏向于功能安全、設(shè)備硬件安全屬于生產(chǎn)事故或者故障范濤，卻極少關(guān)注信息安全。

由于這些工業(yè)控制系統(tǒng)和設(shè)備大都比較老舊，生產(chǎn)、制造和使用的過程也較為封閉，使得信息安全問題（包含軟件、固件、網(wǎng)絡(luò)等安全問題）暴露的幾率極低。

2.2 系統(tǒng)老舊漏洞較多

在電廠所使用的DCS工程師站、DCS操作員站、DCS歷史站、DCS上位機等服務(wù)器，大量采用windows操作系統(tǒng)，并且由于設(shè)備采購較早，一些服務(wù)器還運行著windows XP、windows NT、windows server 2008這樣老舊的系統(tǒng)，由于操作系統(tǒng)生產(chǎn)商對此類老舊的操作系統(tǒng)停止了技術(shù)支持，所以這類系統(tǒng)上存在著大量的默認配置、弱口令及系統(tǒng)漏洞。

2.3 工控漏洞缺少防護

英特爾、思科、羅克韋爾、西門子、施耐德和ICS-CERT等工控系統(tǒng)生產(chǎn)廠家、硬件生產(chǎn)廠家、安全研究團隊，在網(wǎng)上發(fā)布許多公開的工控風險漏洞。而對于已公開的工控風險漏洞，多數(shù)電廠由于技術(shù)實力不足以及系統(tǒng)環(huán)境較為封閉，大多補救不當或根本沒有防護措施，導(dǎo)致工控系統(tǒng)中存在大量嚴重漏洞。

2.4 已知問題難以修復(fù)

即使發(fā)現(xiàn)病毒、木馬或者黑客攻擊，各電廠難以定位病毒或木馬的感染范圍，甚至部分系統(tǒng)沒有補丁來修復(fù)漏洞。這些工控系統(tǒng)中存在的安全問題就像是一個個定時炸彈一樣，隱藏在系統(tǒng)之中，嚴重威脅到電力行業(yè)的安全^[3]。

2.5 未知問題難以發(fā)現(xiàn)

由于工業(yè)控制中的網(wǎng)絡(luò)流量大多是由工控設(shè)備按照生產(chǎn)工藝自動產(chǎn)生，與傳統(tǒng)互聯(lián)網(wǎng)流量有極大的區(qū)別。

因此，傳統(tǒng)安全產(chǎn)品不能有效的識別工控網(wǎng)絡(luò)流量的特點，導(dǎo)致無法檢測到工控網(wǎng)絡(luò)中存在的威脅。使得在工控網(wǎng)絡(luò)中發(fā)生信息安全事件之后，難以還原“第一案發(fā)現(xiàn)場”，從而難以排查故障問題和安全問題。

3 傳統(tǒng)安全存在缺陷

3.1 傳統(tǒng)特征識別方式較滯后

當前的傳統(tǒng)工控安全產(chǎn)品分析方法，普遍基于系統(tǒng)中的特征庫匹配已知風險行為。而針對工控系統(tǒng)的攻擊行為是一個實施過程，并不具備能夠被實時檢測出來的明顯特征，無法被實時檢測。

3.2 傳統(tǒng)安全監(jiān)測缺乏實時性

傳統(tǒng)工控安全產(chǎn)品基于被動的檢測方式，只有發(fā)生威脅后，應(yīng)急取證調(diào)查才會被啟動。事實上威脅已經(jīng)發(fā)生了，因為沒有實時的威脅追蹤而被無視。這是由于傳統(tǒng)安全產(chǎn)品缺乏實時威脅的分析機制。

而發(fā)現(xiàn)威脅最有效的手段是對大數(shù)據(jù)網(wǎng)絡(luò)元數(shù)據(jù)進行發(fā)現(xiàn)、分析、溯源，并借助大數(shù)據(jù)關(guān)聯(lián)分析與可視化的分析，在黑客試圖繞過安全系統(tǒng)、攻擊造成損害之前將其抓獲。

3.3 安全產(chǎn)品工控防護能力弱

傳統(tǒng)安全產(chǎn)品現(xiàn)有的控制方法對于Stuxnet、Havex 等APT 攻擊的檢測存在漏洞。Stuxnet會修改電站下層的運行參數(shù)，而對上層的 HMI 瞞報一個正常的值。而 Havex 是通過對自身的復(fù)制在移動介質(zhì)和固定設(shè)備之間進行傳播，同時通過對移動介質(zhì)的驅(qū)動和固定設(shè)備硬盤的固件進行更改來隱藏自己，傳統(tǒng)安全產(chǎn)品無法對工控系統(tǒng)相關(guān)操作進行阻斷^[4]。

3.4 缺乏對運維人員操作監(jiān)管

由于國內(nèi)在技術(shù)方面還存在一定的差距，出于對質(zhì)量和性能等方面的考慮，工控行業(yè)大量地采用了國外廠商的設(shè)備，而當需要對這些設(shè)備進行維護時，通常都需要專業(yè)的技術(shù)人員來對其進行操作。

而對廠商運維人員的操作缺乏技術(shù)監(jiān)管措施，難以發(fā)現(xiàn)廠商人員所使用的筆記本電腦、移動存儲介質(zhì)（如U盤、移動硬盤）等設(shè)備是否存在病毒，通過工控網(wǎng)絡(luò)發(fā)出的指令是否存在誤操作、惡意操作等問題。

3.5 工控安全事件溯源取證難

傳統(tǒng)工控安全產(chǎn)品對已發(fā)生的安全事件，不能快速的追蹤、溯源、取證，故無法實現(xiàn)事后追溯。主要是由于缺乏對工控各安全區(qū)域流量的記錄、分析、存儲，導(dǎo)致無法實現(xiàn)對工控環(huán)境的安全威脅、可疑問題的感知。

只有還原安全事件發(fā)生過程，才能了解事件嚴重程度和影響范圍，進而做出正確的響應(yīng)防御措施。

4 傳統(tǒng)安全與工控安全區(qū)別

4.1 工控安全可用性要求更高

工業(yè)控制系統(tǒng)以“可用性”為第一安全需求，而傳統(tǒng)信息系統(tǒng)以“機密性”為第一安全需求。在信息安全的三個屬性機密性、完整性、可用性中，傳統(tǒng)信息系統(tǒng)的優(yōu)先順序是機密性、完整性、可用性，而工業(yè)控制系統(tǒng)則是可用性、完整性、機密性。這一差異，導(dǎo)致工業(yè)控制系統(tǒng)中的信息安全產(chǎn)品，必須從軟硬件設(shè)計上達到更高的可靠性。

5 電力工控安全建設(shè)思考

縱觀工控行業(yè)信息安全事件，針對工業(yè)控制系統(tǒng)的病毒、木馬等攻擊行為近年來大幅度增長，這些病毒、木馬長期潛伏在控制系統(tǒng)及設(shè)備中，當收到激活指令時，輕則引發(fā)整個控制系統(tǒng)的故障;重則導(dǎo)致惡性安全事故，對人員、設(shè)備和環(huán)境造成嚴重的后果。

但是幸運的是，國家已經(jīng)意識到工控系統(tǒng)網(wǎng)絡(luò)安全的重要性，無論從國家政策層面還是企業(yè)實際落地層面都得到了積極的重視，伴隨著國家“新基建”、“互聯(lián)網(wǎng)+制造業(yè)”等政策的不斷推進落實，工業(yè)互聯(lián)網(wǎng)的推進速度必將不斷加快，電力工控安全任重而道遠。

5.1 電力安全大數(shù)據(jù)建設(shè)

利用“新基建5G大發(fā)展”信息通信等優(yōu)勢，加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)，在能源數(shù)據(jù)匯聚、轉(zhuǎn)換、消納過程中的樞紐作用，打造出數(shù)據(jù)廣泛匯聚、資源融通共享、服務(wù)優(yōu)質(zhì)高效、技術(shù)安全可靠的“電力安全大數(shù)據(jù)”平臺，為電力企業(yè)以及地方經(jīng)濟發(fā)展，提供高質(zhì)量的能源支撐體系。

還可以利用泛“電力安全大數(shù)據(jù)平臺”覆蓋全產(chǎn)業(yè)鏈關(guān)聯(lián)的優(yōu)勢，可以將影響擴展到供應(yīng)鏈、產(chǎn)業(yè)布局等方面。通過“電力安全大數(shù)據(jù)平臺”支持智慧能源多維度評估評價，評價結(jié)果更具價值;基于數(shù)學(xué)模型、神經(jīng)網(wǎng)絡(luò)、人工智能、區(qū)塊鏈技術(shù)等泛能源大數(shù)據(jù)，可以為國家、地方政府、能源企業(yè)用戶，在管理、診斷、預(yù)測、應(yīng)急、優(yōu)化、戰(zhàn)略等方面提供智慧解決方案。

5.2 電力安全態(tài)勢感知建設(shè)

對于電力工控企業(yè)來說，加強所有區(qū)域的安全分析與感知才是重點，所以持續(xù)的監(jiān)測分析是安全保障工作對的根本，那么電力工控企業(yè)的安全防護可以從兩個方面努力：

5.2.1 借助全流量分析技術(shù)，形成了從“異常發(fā)現(xiàn)-實時分析-追溯取證”的安全防護策略

（1）目標：電力行業(yè)工控信息安全是一個進攻與防御不斷演化的過程，對待不斷發(fā)展的攻擊手段，要立足于電力行的現(xiàn)狀，對目標設(shè)備或區(qū)域提供多維防護和完整的分析策略。（2）分析：通過對實時控制區(qū)（安全I區(qū)）、非控制生產(chǎn)區(qū)（安全II區(qū)）、生產(chǎn)管理區(qū)（安全III區(qū)）、管理信息區(qū)（安全IV區(qū)）網(wǎng)絡(luò)全流量的分析，在每一個區(qū)域及環(huán)節(jié)做到全流量分析。（3）思路：建立一套“事前預(yù)判、事中防控、事后取證分析”的安全防護模型形成立體防護手段，有效避免類似“震網(wǎng)事件”的發(fā)生，做到安全的可控。

5.2.2 借助安全態(tài)勢感知平臺，匯總各安全區(qū)域流量，分析哪些安全區(qū)域存在網(wǎng)絡(luò)威脅

通過對業(yè)務(wù)的全流量監(jiān)控，檢測攻擊事件，還原被攻擊場景進行詳細描述，對業(yè)務(wù)影響進行有效評估，不僅需要對入侵行為進行識別，甚至需要追溯入侵鏈路，看清一步一步入侵的全過程，做到自動化的入侵取證，實現(xiàn)安全的可管。

5.3 電力安全分析團隊建設(shè)

電力行業(yè)信息安全管理者需要加強工控系統(tǒng)信息安全事件預(yù)警?！袄砬濉⒖辞濉惫た叵到y(tǒng)存在的問題，而安全保障工作需要加強安全分析團隊的建設(shè)，根據(jù)實際情況組建安全分析師團隊，實時分析生產(chǎn)控制大區(qū)（控制區(qū)+非控制區(qū)）、管理信息大區(qū)的安全威脅情況^[5]，工作職責如下：

5.3.1 安全需求溝通

安全分析團隊與安全部門和業(yè)務(wù)部門需要保持定期交流，目的是要熟悉網(wǎng)絡(luò)架構(gòu)、系統(tǒng)架構(gòu)、業(yè)務(wù)場景、安全隱患及系統(tǒng)運行情況等，結(jié)合實際情況制定工控系統(tǒng)的保障預(yù)案。

5.3.2 業(yè)務(wù)資產(chǎn)可視化梳理

把實時控制區(qū)（安全I區(qū)）、非控制生產(chǎn)區(qū)（安全II區(qū)）、生產(chǎn)管理區(qū)（安全III區(qū)）、管理信息區(qū)（安全IV區(qū)）運行的資產(chǎn)梳理清晰，并且要精準識別哪些是核心資產(chǎn)，哪些屬于邊緣資產(chǎn)，從而重兵防護核心環(huán)節(jié)。

5.3.3 安全策略可視化梳理

把已經(jīng)運行的工控安全產(chǎn)品的策略梳理清楚，檢查各個安全區(qū)域的安全產(chǎn)品是否在有效的運行，并找業(yè)務(wù)部門確認策略制定的合理程度，把沒用的策略刪除，減少因安全產(chǎn)品產(chǎn)生的隱患。

5.3.4 訪問關(guān)系可視化梳理

分別采集安全I、II、III區(qū)的網(wǎng)絡(luò)流量，梳理各安全區(qū)域間的訪問關(guān)系，了解區(qū)域之間是否真實有流量，搞清區(qū)域間訪問關(guān)系、交互內(nèi)容，看清電站的安全洼地，看透當前的安全隱患。

5.3.5 驗證安全產(chǎn)品告警

安全分析師借助流量分析工具第一時間對生產(chǎn)控制大區(qū)（控制區(qū)+非控制區(qū)）安全產(chǎn)品的告警事件進行流量回放，驗證告警的真實性，并借助工控安全威脅情報確定威脅性質(zhì);

5.3.6 主動分析可疑行為

持續(xù)主動的分析實時控制區(qū)（安全I區(qū)）、非控制生產(chǎn)區(qū)（安全II區(qū)）、生產(chǎn)管理區(qū)（安全III區(qū)）、管理信息區(qū)（安全IV區(qū)），各區(qū)域關(guān)鍵節(jié)點的流量構(gòu)成和行為，從中找出異常事件，并通過網(wǎng)絡(luò)流量還原異常事件過程;

5.3.7 持續(xù)調(diào)整安全策略

網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗，安全分析師對工控專有協(xié)議進行深度分析，層層拆解數(shù)據(jù)包、深入剖析數(shù)據(jù)包結(jié)構(gòu)與內(nèi)容，確保數(shù)據(jù)包的合法性，不斷調(diào)整安全產(chǎn)品的策略規(guī)則，從而實現(xiàn)工控網(wǎng)絡(luò)的深度防護^[6]。

5.3.8 安全威脅分析報告

每日向安全部門上報安全保障工作動態(tài)，讓安全部門實時了解當前各工控系統(tǒng)和安全區(qū)的安全狀態(tài)。

5.3.9 電力安全運維保障建設(shè)

電力工控系統(tǒng)的安全運維是日常保障工控系統(tǒng)安全最重要的一步。因此，一定從技術(shù)保障、管理保障和運維保障三方面進行建設(shè)：（1）建立安全運維監(jiān)控中心。在生產(chǎn)控制大區(qū)（控制區(qū)+非控制區(qū)），對控制區(qū)的每個工控系統(tǒng)和設(shè)備進行運行質(zhì)量的監(jiān)控，以幫助電力企業(yè)安全管理部門建立安全運維監(jiān)測中心，同時對生產(chǎn)控制大區(qū)（控制區(qū)+非控制區(qū)）產(chǎn)生的各類安全問題做出快速、準確的定位。（2）建立安全運維告警中心。與業(yè)務(wù)管理部門梳理安全運行基線，形成工控設(shè)備、工控系統(tǒng)、工控安全產(chǎn)品的規(guī)則策略，展現(xiàn)生產(chǎn)控制大區(qū)（控制區(qū)+非控制區(qū)）、管理信息大區(qū)中的設(shè)備、系統(tǒng)運行警事件，幫助運維管理人員快速定位系統(tǒng)故障、排查業(yè)務(wù)問題。（3）建立安全運維事件響應(yīng)中心。以電力企業(yè)的工作流程模型作為參考為標準，開發(fā)圖形化、可配置的工作流程管理系統(tǒng)，以任務(wù)和工作單傳遞的方式開展運維管理工作，并通過科學(xué)的、符合電力企業(yè)運維管理規(guī)范的工作流程進行處理，實現(xiàn)智能的記錄運維安全事件，從而還原運維事件處理過程中的各個環(huán)節(jié)。

5.4 電力安全應(yīng)急響應(yīng)建設(shè)

電力工控信息系統(tǒng)安全應(yīng)急響應(yīng)不但是一門復(fù)雜的系統(tǒng)學(xué)科，也是一門需綜合技術(shù)、管理和人的技術(shù)學(xué)科。在技術(shù)中，不該單考慮具體的產(chǎn)品和技術(shù)，而是要更深入電力行業(yè)信息系統(tǒng)體系結(jié)構(gòu)中：（1）管理建設(shè)：需建立綜合的信息系統(tǒng)安全保障制度、信息化的組織管理體系和相應(yīng)的崗位職責分配制度，其中信息系統(tǒng)安全保障制度必須嚴格執(zhí)行。（2）人員建設(shè)：需提高所有使用信息系統(tǒng)人員的安全意識和能力，還有信息系統(tǒng)專業(yè)人員的專業(yè)技能等。信息系統(tǒng)安全保障作為一種項目性的臨時行為，不但要全過程融入工控信息系統(tǒng)的生命周期，更要覆蓋工控信息系統(tǒng)的計劃組織、開發(fā)采購、實施交付、運行維護和廢棄的整個生命周期，以形成工控信息系統(tǒng)安全保障能力的長效機制。（3）工作建設(shè)：不僅要同步規(guī)劃、同步建設(shè)信息系統(tǒng)安全保障工作與信息化建設(shè)工作，還要加強安全工程的建設(shè)和監(jiān)理管理等。

工控信息系統(tǒng)安全保障的根本目的，是通過保護信息系統(tǒng)從而保障所支持的工控設(shè)備的安全運行，電力工控的安全也意味著國家安全。

5.5 電力安全風險評估建設(shè)

安全風險評估的好處是我們可以針對不同事件的處理采取相應(yīng)的安全策略并形成合理的方案。工業(yè)控制系統(tǒng)的風險評估應(yīng)該基于成熟的風險評估方法，并且應(yīng)該特別關(guān)注控制系統(tǒng)的特殊要求，以便根據(jù)控制系統(tǒng)的特點確保系統(tǒng)的正常運行。

電力工控系統(tǒng)風險評估與分析是安全策略制定的依據(jù)，即對系統(tǒng)的安全風險因素進行評估、分析和報告。風險評估包含兩個方面：

5.5.1 對資產(chǎn)的安全等級進行評估

也就是多大的杯子裝多少份量的水，多少價值的東西應(yīng)投入多大精力進行安全保護。這是制訂適應(yīng)性安全策略的依據(jù)。

根據(jù)工控業(yè)務(wù)資產(chǎn)作用、價值、存儲的數(shù)據(jù)等方面，進行分級分類評估，標記出資產(chǎn)的所有者（如部門、系統(tǒng)、管理人員等）;并根據(jù)資產(chǎn)承載的系統(tǒng)以及業(yè)務(wù)的敏感程度，進行敏感分級，將分類的工控業(yè)務(wù)資產(chǎn)劃分不同的敏感級別（如公開、內(nèi)部、敏感等）。

5.5.2 對目標的安全風險進行評估

安全風險可以分為兩個方面：（1）安全防護對象方面：評估工控系統(tǒng)內(nèi)部的脆弱性與存在的潛在威脅。在實施過程中，把信息反饋給策略制定者，便于動態(tài)調(diào)整策略，改進措施，逐步提高系統(tǒng)的安全性。（2）安全防護技術(shù)方面：針對工控系統(tǒng)結(jié)構(gòu)和系統(tǒng)中各安全漏洞、安全威脅而采取相應(yīng)的技術(shù)防護措施。

5.5.3 對業(yè)務(wù)的定期安全檢測與評估

電力工控業(yè)務(wù)信息安全風險評估是一種長期的安全工作，需要開展定期的安全監(jiān)測和評估：（1）定期安全監(jiān)測：針對電力企業(yè)的信息安全現(xiàn)狀進行分析，其中包括資產(chǎn)識別、威脅識別、脆弱性識別、安全措施識別與確認、風險分析、風險處理等。（2）定期安全評估：信息安全風險評估不但要定期進行，還要做到常態(tài)化開展。在風險評估實施過程中，依據(jù)自身安全需要，需按照風險評估流程定義劃分信息安全風險等級，此外，要重點保護信息資產(chǎn)及威脅脆弱性差異化，并對此進行風險處理，讓企業(yè)信息安全風險等級降到最低，同時增加信息化建設(shè)投資效益比。

5.6 電力紅藍對抗活動建設(shè)

在國內(nèi)網(wǎng)絡(luò)安全形勢愈發(fā)嚴峻、信息安全內(nèi)控機制逐步精益的情況下，電力企業(yè)需要定期組織信息安全“紅藍隊對抗”活動，需立足于“紅隊攻點、定點挖掘;藍隊防面、全面消缺”的定位，通過“以賽促學(xué)、以賽促練、以賽促用”，實現(xiàn)以主動攻擊促防御穩(wěn)固、以實戰(zhàn)檢驗促機制完善的目標：（1）通過防“紅藍對抗”活動，發(fā)現(xiàn)電力企業(yè)工控網(wǎng)絡(luò)安全存在的深層次問題和隱患;（2）對活動中發(fā)現(xiàn)的突出問題進行應(yīng)急整改，檢驗各個部門的安全應(yīng)急能力;（3）加強電力企業(yè)各部門與外部單位、公安機關(guān)、安全廠商力量的合成作戰(zhàn)、協(xié)調(diào)配合能力;（4）通過不斷的在系統(tǒng)上進行深入的漏洞挖掘、攻擊研究，從而檢驗電力工控網(wǎng)絡(luò)的安全性，確保在國家重要節(jié)日期間的信息安全保衛(wèi)工作萬無一失。

總之“紅藍對抗”活動建設(shè)是通過攻防對抗，檢驗電力企業(yè)的對安全事件的監(jiān)測發(fā)現(xiàn)、防護響應(yīng)、應(yīng)急處置的綜合能力。通過對抗讓安全部門在復(fù)盤、研討中總結(jié)經(jīng)驗教訓(xùn)，“在攻防的對立統(tǒng)一中尋求突破”進而整體提升電力企業(yè)的安全保障能力和水平。

參考文獻：

[1]本刊采編部.“震網(wǎng)”病毒襲擊伊朗核設(shè)施[J].信息安全與通信保密，2016（09）：24.

[2]劉迎.委內(nèi)瑞拉大規(guī)模停電事件對我國工業(yè)信息安全發(fā)展的啟示[J].保密科學(xué)技術(shù)，2019（03）：25-28.

[3]王樂樂. 惡意程序動態(tài)行為分析關(guān)鍵技術(shù)研究[D].戰(zhàn)略支援部隊信息工程大學(xué)，2020.

[4]李明. 基于DNS請求序列檢測APT攻擊[D].吉林大學(xué)，2020.

[5]王世偉. 工業(yè)防火墻軟件框架設(shè)計及規(guī)則自學(xué)習(xí)方法研究[D].太原科技大學(xué)，2018.

[6]李藝. 工業(yè)控制網(wǎng)絡(luò)安全防御體系及關(guān)鍵技術(shù)研究[D].華北電力大學(xué)（北京），2017.