電網(wǎng)企業(yè)網(wǎng)絡(luò)安全應(yīng)急管理研究

劉曉峻

（國網(wǎng)宜昌供電公司信息通信分公司 湖北 宜昌 443000）

引言

當(dāng)前網(wǎng)絡(luò)攻擊日益顯現(xiàn)集團(tuán)化、國家化趨勢，例如，伊朗震網(wǎng)病毒事件、美國東海岸停電事件等，都說明國家安全的邊界已經(jīng)超越地理空間的限制。因此及時(shí)全面梳理重大網(wǎng)絡(luò)安全應(yīng)急處置場景清單并制定應(yīng)急預(yù)案，建立省地常態(tài)聯(lián)動(dòng)機(jī)制，制定常態(tài)監(jiān)測、聯(lián)合分析、情報(bào)共享規(guī)范流程。使電網(wǎng)企業(yè)安全防護(hù)水平得到有效提升，十分必要，也是當(dāng)務(wù)之急。

1 原因分析

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，電網(wǎng)企業(yè)面臨來自內(nèi)部和外部的雙重安全威脅。在企業(yè)外部，新的病毒、木馬、DDoS攻擊、APT攻擊等層出不窮，在電網(wǎng)調(diào)度自動(dòng)化、發(fā)電廠控制自動(dòng)化、變電站自動(dòng)化、配網(wǎng)自動(dòng)化，電力負(fù)荷裝置、電力市場交易、電力用戶信息采集、智能用電等多個(gè)領(lǐng)域，安全威脅更加嚴(yán)峻。除此之外，企業(yè)內(nèi)部安全風(fēng)險(xiǎn)同樣不容小覷，比如日益增多的企業(yè)內(nèi)部終端接入點(diǎn)會(huì)成為安全隱患和威脅來源、內(nèi)部眾多應(yīng)用系統(tǒng)與業(yè)務(wù)平臺(tái)存在不可預(yù)計(jì)的安全漏洞等。面對(duì)突發(fā)的網(wǎng)絡(luò)安全事件，我們該如何應(yīng)對(duì)？

2 目標(biāo)設(shè)定

為提高電網(wǎng)企業(yè)處置網(wǎng)絡(luò)與信息安全突發(fā)事件的能力，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機(jī)制，確保重要電力信息系統(tǒng)的實(shí)體安全、運(yùn)行安全和數(shù)據(jù)安全，最大程度地預(yù)防和減少網(wǎng)絡(luò)與信息安全突發(fā)事件及其造成地?fù)p害，保障信息資產(chǎn)安全。因此，梳理重大網(wǎng)絡(luò)安全應(yīng)急處置場景清單并制定應(yīng)急預(yù)案，建立省地常態(tài)聯(lián)動(dòng)機(jī)制，制定常態(tài)監(jiān)測、聯(lián)合分析、情報(bào)共享規(guī)范流程，有效保障供電企業(yè)網(wǎng)絡(luò)系統(tǒng)安全，有效防控各類網(wǎng)絡(luò)安全攻擊，避免發(fā)生七級(jí)以上電網(wǎng)網(wǎng)絡(luò)安全事件[1]。

3 解決措施

3.1 規(guī)范應(yīng)急響應(yīng)技術(shù)服務(wù)實(shí)施流程

根據(jù)對(duì)電網(wǎng)企業(yè)業(yè)務(wù)影響的分析，應(yīng)急響應(yīng)技術(shù)保障小組可制定網(wǎng)絡(luò)安全事件技術(shù)應(yīng)對(duì)表，同時(shí)要明確小組成員的職責(zé)和溝通方式。該服務(wù)流程并非一個(gè)固定不變的教條，需要應(yīng)急響應(yīng)服務(wù)人員在實(shí)際中靈活變通，可適當(dāng)簡化，但任何變通都必須紀(jì)錄有關(guān)的原因。詳細(xì)的記錄對(duì)于找出事件的真相、查出威脅的來源與安全弱點(diǎn)、找到問題正確的解決方法，甚至判定事故的責(zé)任，避免同類事件的發(fā)生都有著極其重要的作用。

3.2 制定應(yīng)急響應(yīng)組織保障要求

3.2.1 組織和職責(zé)

根據(jù)應(yīng)急工作的具體要求需要有以上人員組成臨時(shí)的應(yīng)急響應(yīng)小組，需要在各種安全事件中承擔(dān)不同的工作職責(zé)，應(yīng)包括以下組織和職責(zé)：

①應(yīng)急響應(yīng)安全領(lǐng)導(dǎo)小組、部門的負(fù)責(zé)人共同組成，主要負(fù)責(zé)重大安全事件的應(yīng)急指揮和決策；②信息安全應(yīng)急響應(yīng)組長：主要負(fù)責(zé)全年應(yīng)急工作的整體原則把控，是重大安全事件爆發(fā)時(shí)的決策層面；③信息安全應(yīng)急響應(yīng)副組長：主要是落實(shí)和安排應(yīng)急工作的具體事項(xiàng)，是重大安全事件發(fā)生時(shí)的管理協(xié)調(diào)層面；④應(yīng)急響應(yīng)處理成員是由網(wǎng)絡(luò)管理部、安全管理部、信息系統(tǒng)專業(yè)技術(shù)人員、部門信息系統(tǒng)維護(hù)人員共同組成，主要負(fù)責(zé)重大安全事件的協(xié)調(diào)管理和嚴(yán)重安全事件的直接管理，以及在重大安全事件、嚴(yán)重安全事件及一般安全事件的內(nèi)部協(xié)調(diào)管理；⑤應(yīng)急響應(yīng)聯(lián)絡(luò)員是指對(duì)各類型安全事件進(jìn)行協(xié)調(diào)人員、各業(yè)務(wù)系統(tǒng)產(chǎn)品廠商、集成商以及專業(yè)的安全廠商，主要負(fù)責(zé)事件的通報(bào)、應(yīng)急響應(yīng)處置的協(xié)調(diào)組織[2]。

3.2.2 安全事故報(bào)告和處理

①在發(fā)現(xiàn)信息系統(tǒng)出現(xiàn)異常后應(yīng)該及時(shí)通知相應(yīng)應(yīng)急響應(yīng)聯(lián)絡(luò)處（中心各應(yīng)用系統(tǒng)技術(shù)開發(fā)維護(hù)部門、網(wǎng)絡(luò)管理部），接到報(bào)告后及時(shí)填寫《一般安全事件應(yīng)急處理記錄》（附件一），遇到緊急情況無法及時(shí)填寫記錄表的在事件初步處理完畢24小時(shí)內(nèi)應(yīng)補(bǔ)齊《一般安全事件應(yīng)急處理記錄》。應(yīng)急處理成員技術(shù)人員接到報(bào)告后立即開始調(diào)查事件，確定事件的性質(zhì)和影響范圍，如果事件對(duì)業(yè)務(wù)不構(gòu)成嚴(yán)重威脅，在《一般安全事件應(yīng)急處理記錄》中記錄事件調(diào)查、處理結(jié)果后由安全管理部領(lǐng)導(dǎo)簽字確認(rèn)并由應(yīng)急響應(yīng)聯(lián)絡(luò)員存檔，關(guān)閉此次應(yīng)急處理；

②如果應(yīng)急事件需要調(diào)動(dòng)其他部門人員、資源進(jìn)行處理，由應(yīng)急響應(yīng)聯(lián)絡(luò)員負(fù)責(zé)協(xié)調(diào)處理，在事件初步處理完畢后由安全管理部簽字確認(rèn)并歸檔；

③事件通過初步處理無法確認(rèn)性質(zhì)和影響范圍的，由信息安全應(yīng)急響應(yīng)副組長負(fù)責(zé)召集公司應(yīng)急處理小組人員進(jìn)行協(xié)同處理和分析，如確定為嚴(yán)重安全事件需由安全管理部填寫《嚴(yán)重安全事件處理記錄》（附件二），并向信息安全應(yīng)急響應(yīng)組長匯報(bào)該事件性質(zhì)、影響范圍、處理結(jié)果等信息，并由信息安全應(yīng)急響應(yīng)組長簽字確認(rèn)，由安全管理部歸檔。如確定為重大安全事件，需立即上報(bào)信息安全應(yīng)急響應(yīng)副組長和應(yīng)急處理聯(lián)絡(luò)員，由應(yīng)急響應(yīng)成員填寫《重大安全事件處理記錄》（附件三），由信息安全應(yīng)急響應(yīng)副組長審批簽字，并做出決策，指導(dǎo)該事件的處理并全程關(guān)注事件的進(jìn)展，在事件處理完畢后信息安全應(yīng)急響應(yīng)組長簽字確認(rèn)并由應(yīng)急響應(yīng)聯(lián)絡(luò)員歸檔[3]；

④在應(yīng)急處理中需要使用快速反應(yīng)通道與政府、行業(yè)應(yīng)急響應(yīng)管理和協(xié)調(diào)機(jī)構(gòu)、各業(yè)務(wù)系統(tǒng)產(chǎn)品廠商、集成商以及專業(yè)的安全廠商進(jìn)行溝通，并需要其提供支援性工作的，可以由信息安全應(yīng)急響應(yīng)聯(lián)絡(luò)員通過平時(shí)建立好的快速反應(yīng)通道及時(shí)聯(lián)系相關(guān)人員，填寫《應(yīng)急響應(yīng)處理支持記錄》（附件四），并將支持處理結(jié)果及時(shí)補(bǔ)全該記錄表，在事件處理完畢后，由信息安全應(yīng)急響應(yīng)副組長簽字確認(rèn)并由應(yīng)急響應(yīng)聯(lián)絡(luò)員歸檔。各個(gè)聯(lián)系單位應(yīng)記錄在《應(yīng)急響應(yīng)處理聯(lián)絡(luò)表》（附件五）中，并隨時(shí)更新；

⑤應(yīng)該使所有員工和簽約方知道報(bào)告安全事故的程序，并應(yīng)該要求他們在發(fā)現(xiàn)異常后盡快報(bào)告此類事故。

3.2.3 角色的劃分

本公司應(yīng)急響應(yīng)工作機(jī)構(gòu)按角色劃分為：

①應(yīng)急響應(yīng)負(fù)責(zé)人；②應(yīng)急響應(yīng)技術(shù)人員，

信息安全事件發(fā)生后，在應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組的統(tǒng)一部署下，工作人員各施其職，并嚴(yán)格按照應(yīng)急響應(yīng)計(jì)劃組織實(shí)施應(yīng)急響應(yīng)工作。

3.2.4 角色的職責(zé)

3.2.4.1 應(yīng)急響應(yīng)負(fù)責(zé)人

應(yīng)急響應(yīng)負(fù)責(zé)人是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，組長應(yīng)由組織最高管理層成員擔(dān)任。負(fù)責(zé)人的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要職責(zé)如下：

①制定工作方案；②提供人員和物質(zhì)保證；③審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算；④審核并批準(zhǔn)恢復(fù)策略；⑤審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃；⑥批準(zhǔn)并監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；⑦指導(dǎo)應(yīng)急響應(yīng)實(shí)施小組的應(yīng)急處置工作；⑧啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃以及負(fù)責(zé)組織的外部協(xié)作[4]。

3.2.4.2 應(yīng)急響應(yīng)技術(shù)人員，主要職責(zé)如下：

①編制應(yīng)急響應(yīng)計(jì)劃文檔；②應(yīng)急響應(yīng)的需求分析，確定應(yīng)急策略和等級(jí)以及策略的實(shí)現(xiàn)；③備份系統(tǒng)的運(yùn)行和維護(hù)，協(xié)助災(zāi)難恢復(fù)系統(tǒng)實(shí)施；④信息安全突發(fā)事件發(fā)生時(shí)的損失控制和損害評(píng)估；⑤組織應(yīng)急響應(yīng)計(jì)劃的測試和演練。

3.2.5 組織的外部協(xié)作

依據(jù)服務(wù)對(duì)象信息安全事件的影響程度，如需向上級(jí)部門及時(shí)通報(bào)準(zhǔn)確情況或向其他單位尋求支持時(shí)，應(yīng)與相關(guān)管理部門以及外部組織機(jī)構(gòu)保持聯(lián)絡(luò)和協(xié)作。

3.2.6 保障措施

3.2.6.1 應(yīng)急人力保障

加強(qiáng)信息安全人才培養(yǎng)，強(qiáng)化信息安全宣傳教育，建設(shè)一支高素質(zhì)、高技術(shù)的信息安全核心人才和管理隊(duì)伍，提高信息安全防御意識(shí)。大力發(fā)展信息安全服務(wù)業(yè)，增強(qiáng)協(xié)會(huì)應(yīng)急支援能力。

3.2.6.2 物質(zhì)條件保障

安排一定的資金用于預(yù)防或應(yīng)對(duì)信息安全突發(fā)事件，提供必要的交通運(yùn)輸保障，優(yōu)化信息安全應(yīng)急處理工作的物資保障條件。

3.2.6.3 技術(shù)支撐保障

設(shè)立信息安全應(yīng)急響應(yīng)中心，建立預(yù)警與應(yīng)急處理的技術(shù)平臺(tái)，進(jìn)一步提高安全事件的發(fā)現(xiàn)和分析能力。從技術(shù)上逐步實(shí)現(xiàn)發(fā)現(xiàn)、預(yù)警、處置、通報(bào)等多個(gè)環(huán)節(jié)和不同的網(wǎng)絡(luò)、系統(tǒng)、部門之間應(yīng)急處理的聯(lián)動(dòng)機(jī)制[5]。

4 結(jié)語

按照國家能源安全戰(zhàn)略目標(biāo)，電力系統(tǒng)越來越開放，越來越重視用戶體驗(yàn)的背景下，任何一個(gè)服務(wù)，例如我們的語音服務(wù)、微信服務(wù)等等，都有可能增加安全漏洞。合理建立電力系統(tǒng)安全突發(fā)事件的應(yīng)急管理體系，在有限投入的基礎(chǔ)上，最大程度地降低信息安全突發(fā)事件的負(fù)面影響，需要我們?nèi)ザ嗨伎肌⒐餐?，?gòu)建省地常態(tài)聯(lián)動(dòng)機(jī)制，制定常態(tài)監(jiān)測、聯(lián)合分析、情報(bào)共享規(guī)范流程，形成一體的、一流的、安全的電網(wǎng)。