等保2.0時(shí)代電力監(jiān)控系統(tǒng)安全防護(hù)體系建設(shè)研究

李政達(dá)，楊 繼，姜添元

(中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所，北京 100083)

0 引言

隨著我國信息技術(shù)安全法律體系建設(shè)日趨完善，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度同步提出了更全面細(xì)致的網(wǎng)絡(luò)安全保護(hù)要求。2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施，網(wǎng)絡(luò)安全上升到國家戰(zhàn)略層面，其中第三十一條明確規(guī)定：“國家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)?！?019年實(shí)施的等級(jí)保護(hù)2.0測評(píng)體系更加注重全方位的主動(dòng)防御、動(dòng)態(tài)防御、精準(zhǔn)防控和整體防護(hù)，明確了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)要求[1]。

電力監(jiān)控系統(tǒng)是以計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)為基礎(chǔ)，對(duì)電力生產(chǎn)和供電過程進(jìn)行監(jiān)視控制的業(yè)務(wù)系統(tǒng)。電力監(jiān)控系統(tǒng)作為關(guān)鍵信息基礎(chǔ)設(shè)施，系統(tǒng)的安全運(yùn)行不僅關(guān)系到發(fā)電企業(yè)的穩(wěn)定和發(fā)展，而且會(huì)直接影響公共利益和安全，以及國民經(jīng)濟(jì)的健康發(fā)展。電力監(jiān)控系統(tǒng)與傳統(tǒng)信息系統(tǒng)相比，其網(wǎng)絡(luò)結(jié)構(gòu)更復(fù)雜、各層次的組件更多，且大多使用私有協(xié)議，這使得電力監(jiān)控系統(tǒng)的安全保護(hù)更加困難。此外，發(fā)電企業(yè)對(duì)網(wǎng)絡(luò)安全重視不高，缺乏防護(hù)手段，人員安全意識(shí)薄弱，使電力監(jiān)控系統(tǒng)面臨巨大的安全風(fēng)險(xiǎn)。

近年來，國外電力安全事故頻發(fā)，例如2015年烏克蘭因惡意軟件破壞發(fā)生了大規(guī)模停電事件，委內(nèi)瑞拉近年來因網(wǎng)絡(luò)攻擊發(fā)生多次全國范圍的大停電。同時(shí)勒索事件頻繁發(fā)生，嚴(yán)重影響了電力監(jiān)控系統(tǒng)的可用性，巴西電力公司、葡萄牙跨國能源公司、美國電力公司、國內(nèi)某大型水電廠均曾遭到勒索病毒攻擊，導(dǎo)致數(shù)據(jù)可用性、業(yè)務(wù)連續(xù)性受到威脅，嚴(yán)重影響企業(yè)的安全生產(chǎn)。

目前國內(nèi)的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)建設(shè)均依據(jù)GB/T 36572-2018《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則》，其規(guī)定了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的基本原則、體系架構(gòu)、防護(hù)技術(shù)、應(yīng)急備用措施和安全管理要求。國家發(fā)展改革委員會(huì)2014年第14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》對(duì)區(qū)域劃分與隔離、網(wǎng)絡(luò)通信與認(rèn)證提出相應(yīng)的建設(shè)要求。國家能源局2015年發(fā)布的《電力監(jiān)控系統(tǒng)安全防護(hù)方案》對(duì)發(fā)電、變電、配電、調(diào)度四種不同的電力監(jiān)控系統(tǒng)做出詳細(xì)的安全防護(hù)方案指導(dǎo)。目前針對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)發(fā)布的國標(biāo)和法規(guī)均無安全管理中心的建設(shè)要求，也未發(fā)布詳細(xì)的安全計(jì)算環(huán)境、安全區(qū)域邊界的建設(shè)方案。

1 電力監(jiān)控系統(tǒng)現(xiàn)狀與需求分析

1.1 電力監(jiān)控系統(tǒng)安全現(xiàn)狀

電力監(jiān)控系統(tǒng)依據(jù)現(xiàn)有指導(dǎo)文件進(jìn)行建設(shè)時(shí)往往忽略入侵行為檢測與阻斷、安全漏洞發(fā)現(xiàn)與升級(jí)、病毒木馬網(wǎng)絡(luò)與主機(jī)的協(xié)同防御等網(wǎng)絡(luò)安全基線的建設(shè)，因此電力監(jiān)控系統(tǒng)現(xiàn)有的防護(hù)方案在應(yīng)對(duì)黑客發(fā)展迅猛的入侵技術(shù)時(shí)顯得捉襟見肘，尤其是面對(duì)有組織的高級(jí)持續(xù)性威脅(Advanced Persistent Threat，APT)，其特點(diǎn)主要包括：入侵手段多樣化、0day漏洞信息差、病毒木馬隱蔽性不斷提高、針對(duì)單一系統(tǒng)持續(xù)化攻擊。因此，電力監(jiān)控系統(tǒng)亟需更全面、標(biāo)準(zhǔn)化可落地、適度超前的安全建設(shè)方案，以應(yīng)對(duì)頻發(fā)的網(wǎng)絡(luò)攻擊。

本文對(duì)河南地區(qū)20家發(fā)電企業(yè)的49個(gè)電力監(jiān)控系統(tǒng)進(jìn)行調(diào)研得出：使用2021年新版算分方法的電力行業(yè)等級(jí)保護(hù)測評(píng)項(xiàng)目，安全保護(hù)等級(jí)為第三級(jí)的電力監(jiān)控系統(tǒng)測評(píng)結(jié)論九成為“中”，而傳統(tǒng)信息系統(tǒng)、云計(jì)算系統(tǒng)的測評(píng)結(jié)論超九成為“良”。在對(duì)被調(diào)研的電力監(jiān)控系統(tǒng)進(jìn)行現(xiàn)場測評(píng)時(shí)，安全管理中心、安全計(jì)算環(huán)境、安全區(qū)域邊界的測評(píng)項(xiàng)中存在關(guān)鍵指標(biāo)不符合的情況，舊的安全體系已經(jīng)無法滿足等保2.0測評(píng)體系的安全要求。

1.2 電力監(jiān)控系統(tǒng)現(xiàn)有架構(gòu)

依據(jù)國家能源局發(fā)布的《電力監(jiān)控系統(tǒng)安全防護(hù)方案》，電力監(jiān)控系統(tǒng)安全防護(hù)的總體原則為“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”[2]。圖1為現(xiàn)有電力監(jiān)控系統(tǒng)安全防護(hù)總體架構(gòu)。

圖1 現(xiàn)有電力監(jiān)控系統(tǒng)安全防護(hù)總體框架示意圖

(1)安全分區(qū)：將電力監(jiān)控系統(tǒng)分為生產(chǎn)控制大區(qū)和信息管理大區(qū)，生產(chǎn)控制大區(qū)可分為控制區(qū)和非控制區(qū)?？刂茀^(qū)是電力生產(chǎn)的重要環(huán)節(jié)，直接實(shí)現(xiàn)對(duì)電力生產(chǎn)的實(shí)時(shí)監(jiān)控。

(2)網(wǎng)絡(luò)專用：縱向數(shù)據(jù)傳輸采用專用網(wǎng)絡(luò)，使用虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)劃分實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)。

(3)橫向隔離：在生產(chǎn)大區(qū)和信息管理大區(qū)之間部署物理隔離裝置實(shí)現(xiàn)正向、反向隔離。生產(chǎn)大區(qū)內(nèi)部部署帶訪問控制功能的隔離裝置或防火墻實(shí)現(xiàn)邏輯隔離。電力監(jiān)控系統(tǒng)與傳統(tǒng)的數(shù)字網(wǎng)絡(luò)均是采用單向隔離裝置進(jìn)行強(qiáng)邏輯隔離。

(4)縱向認(rèn)證：生產(chǎn)控制大區(qū)在不同企業(yè)之間的縱向進(jìn)行數(shù)據(jù)遠(yuǎn)程通信時(shí)，采用認(rèn)證加密、訪問控制技術(shù)措施保證數(shù)據(jù)交互過程中的保密性和完整性。

1.3 現(xiàn)有架構(gòu)風(fēng)險(xiǎn)

1.3.1 區(qū)域邊界與通信網(wǎng)絡(luò)風(fēng)險(xiǎn)分析

現(xiàn)有電力監(jiān)控系統(tǒng)的安全防護(hù)架構(gòu)僅限于區(qū)域間的安全隔離與縱向通信網(wǎng)絡(luò)的加密傳輸，隔離手段使用傳統(tǒng)防火墻、單向隔離裝置等防護(hù)措施，采用白名單方式控制數(shù)據(jù)進(jìn)出，使用VPN、縱向加密認(rèn)證等技術(shù)實(shí)現(xiàn)生產(chǎn)大區(qū)之間的縱向數(shù)據(jù)傳輸與認(rèn)證，無法實(shí)現(xiàn)協(xié)議級(jí)的高效解析，數(shù)據(jù)包內(nèi)包含的攻擊載荷無法被及時(shí)發(fā)現(xiàn)。

而且，現(xiàn)有架構(gòu)在系統(tǒng)區(qū)域邊界缺少入侵防范檢測與阻斷手段，未部署集中的網(wǎng)絡(luò)流量審計(jì)系統(tǒng)，現(xiàn)階段入侵者通常在數(shù)據(jù)層面構(gòu)造攻擊負(fù)載對(duì)系統(tǒng)進(jìn)行攻擊，但是目前大部分電力監(jiān)控系統(tǒng)使用的安全設(shè)備僅能在數(shù)據(jù)包地址、端口層面進(jìn)行限制，無法對(duì)數(shù)據(jù)內(nèi)容的安全性進(jìn)行檢測。

1.3.2 計(jì)算環(huán)境風(fēng)險(xiǎn)分析

由于工業(yè)控制軟件普遍較為復(fù)雜、兼容性差，導(dǎo)致安裝防入侵軟件會(huì)影響生產(chǎn)過程的連續(xù)性與可靠性，大部分電力監(jiān)控系統(tǒng)只注重可用性，忽略了安全性。即便部分企業(yè)對(duì)工控終端主機(jī)安裝了防入侵軟件來實(shí)現(xiàn)安全防護(hù)，但是防入侵軟件需要定期升級(jí)最新的特征庫，電力監(jiān)控系統(tǒng)在與外界網(wǎng)絡(luò)隔離的環(huán)境下無法保證特征庫實(shí)時(shí)更新[3]。

通過分析國內(nèi)外的電力安全事故，在邊界防護(hù)策略設(shè)置合理的情況下，對(duì)電力監(jiān)控系統(tǒng)的有效攻擊大多以工控終端為突破口，不規(guī)范的數(shù)據(jù)傳輸方法使系統(tǒng)被植入木馬，導(dǎo)致系統(tǒng)失陷。如果安裝入侵檢測系統(tǒng)則可以很大程度防止此類事件的發(fā)生，這樣即便單個(gè)設(shè)備失陷，風(fēng)險(xiǎn)在內(nèi)網(wǎng)傳播時(shí)也會(huì)很快被發(fā)現(xiàn)并阻斷。

1.3.3 安全配置風(fēng)險(xiǎn)分析

大多數(shù)企業(yè)沒有建立安全管理中心或未單獨(dú)劃分安全區(qū)域，缺乏整體安全系統(tǒng)規(guī)劃，部署的安全產(chǎn)品之間存在交互壁壘，無法實(shí)現(xiàn)網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備和計(jì)算設(shè)備的集中監(jiān)測，以及對(duì)系統(tǒng)配置、安全配置、審計(jì)信息的集中管理與監(jiān)測?，F(xiàn)有的安全設(shè)備只能執(zhí)行單點(diǎn)或單一層面保護(hù)，防護(hù)體系呈扁平化結(jié)構(gòu)，沒有形成統(tǒng)一的安全防護(hù)體系，難以做到綜合分析和協(xié)同防護(hù)[4]。

依據(jù)等級(jí)保護(hù)2.0標(biāo)準(zhǔn)對(duì)電力監(jiān)控系統(tǒng)進(jìn)行測評(píng)時(shí)，安全管理、審計(jì)管理、集中管控等控制點(diǎn)出現(xiàn)較多不符合項(xiàng)。根據(jù)中關(guān)村信息安全測評(píng)聯(lián)盟發(fā)布的《網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)高風(fēng)險(xiǎn)判定指引》，運(yùn)行監(jiān)控措施缺失、安全事件發(fā)現(xiàn)處置措施缺失被判定為高風(fēng)險(xiǎn)問題，如果測評(píng)過程存在上述問題，會(huì)導(dǎo)致測評(píng)結(jié)果不通過[5]。

1.4 安全建設(shè)需求

舊的電力監(jiān)控系統(tǒng)安全建設(shè)體系已無法滿足當(dāng)前的安全防護(hù)需求，加強(qiáng)電力監(jiān)控系統(tǒng)的安全防護(hù)刻不容緩，對(duì)電力監(jiān)控系統(tǒng)的安全建設(shè)需要根據(jù)系統(tǒng)特點(diǎn)，設(shè)計(jì)實(shí)際可行的安全防護(hù)體系方案[6]。電力生產(chǎn)企業(yè)比傳統(tǒng)企業(yè)更加注重系統(tǒng)的可用性與實(shí)時(shí)性，所以在進(jìn)行安全建設(shè)時(shí)不能影響數(shù)據(jù)傳輸?shù)母咝Ш蜏?zhǔn)確[7]。

等級(jí)保護(hù)2.0的安全建設(shè)體系有針對(duì)性地在工業(yè)控制系統(tǒng)擴(kuò)展中提出了相應(yīng)的安全防護(hù)要求，其“一個(gè)中心，三重防護(hù)”的防護(hù)思想對(duì)現(xiàn)有的防護(hù)體系更加細(xì)化：建立以計(jì)算環(huán)境安全為基礎(chǔ)，以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障，以安全管理中心為核心的信息安全整體保障體系，安全防護(hù)與安全監(jiān)測有機(jī)結(jié)合，形成“1+1＞2”的安全防護(hù)模式，構(gòu)建主動(dòng)防御體系[8]。

電力生產(chǎn)、調(diào)度等相關(guān)企業(yè)亟需根據(jù)等級(jí)保護(hù)2.0指導(dǎo)文件中的安全建設(shè)思路進(jìn)行系統(tǒng)安全防護(hù)升級(jí)改造，建設(shè)更完善的防護(hù)體系，以便通過等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等合規(guī)性的安全測評(píng)，保障電力監(jiān)控系統(tǒng)基礎(chǔ)設(shè)施持續(xù)、穩(wěn)定、安全運(yùn)行。

2 安全防護(hù)建設(shè)

電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)采用頂層設(shè)計(jì)結(jié)構(gòu)。在建立橫向隔離、縱向認(rèn)證安全防護(hù)體系的基礎(chǔ)上，重點(diǎn)在等級(jí)保護(hù)2.0新增安全防護(hù)建設(shè)要求上拓展安全防護(hù)的新思路，具體體現(xiàn)在構(gòu)建網(wǎng)絡(luò)攻擊主動(dòng)發(fā)現(xiàn)能力，建立可信安全機(jī)制，統(tǒng)籌安全、日志、管理信息有效集成，搭建安全管理制度體系，組建專業(yè)的安全管理團(tuán)隊(duì)，提升安全防護(hù)能力等方面[9]。

2.1 安全架構(gòu)頂層設(shè)計(jì)

在現(xiàn)有的系統(tǒng)生產(chǎn)架構(gòu)上劃分出獨(dú)立的網(wǎng)絡(luò)區(qū)域構(gòu)建集中管理網(wǎng)。在等級(jí)保護(hù)2.0體系中提出的安全管理中心概念是為了建立集安全管理、安全監(jiān)測、安全運(yùn)維為一體的集中管理平臺(tái)，為電力監(jiān)控系統(tǒng)的安全可靠運(yùn)行安裝一個(gè)“智能大腦”。目前的安全管理中心實(shí)踐方案并不是通過單一的設(shè)備實(shí)現(xiàn)的，而是通過安全監(jiān)測、日志審計(jì)、系統(tǒng)管理等相應(yīng)的集中管理設(shè)備共同建設(shè)的，通過設(shè)備集合共同實(shí)現(xiàn)安全管理中心。

由于電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的特殊性，其各大區(qū)的數(shù)據(jù)流向有嚴(yán)格的管控措施，在建立集中管理網(wǎng)時(shí)不能打破“安全分區(qū)，橫向隔離，網(wǎng)絡(luò)專用”的原則。由于是企業(yè)內(nèi)部建設(shè)，故無需繼續(xù)“縱向認(rèn)證”，但橫向應(yīng)當(dāng)與原有區(qū)域之間的安全隔離邊界保持平行，如圖2所示，在原有的系統(tǒng)上層建設(shè)集中管理網(wǎng)，集中管理網(wǎng)同樣采用橫向隔離。

生產(chǎn)控制大區(qū)的控制區(qū)和非控制區(qū)分別部署區(qū)域安全管理系統(tǒng)，用于各自區(qū)域的安全管理、系統(tǒng)管理、日志收集，并將收集到的設(shè)備日志與網(wǎng)絡(luò)流量發(fā)送至集中管理網(wǎng)的信息管理區(qū)，通過集中審計(jì)設(shè)備與安全分析設(shè)備，做到對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析，并時(shí)刻檢測網(wǎng)絡(luò)流量中的特征值和各個(gè)設(shè)備上報(bào)的安全信息，做到全網(wǎng)的實(shí)時(shí)檢測和主動(dòng)防御。

2.2 區(qū)域安全詳細(xì)設(shè)計(jì)

如圖3所示，生產(chǎn)控制大區(qū)安全防護(hù)架構(gòu)是圖2整體架構(gòu)中安全I(xiàn)區(qū)的進(jìn)一步細(xì)化設(shè)計(jì)。該架構(gòu)圖以火力發(fā)電企業(yè)生產(chǎn)控制大區(qū)為例，生產(chǎn)控制區(qū)分為操作網(wǎng)和控制網(wǎng)，操作網(wǎng)用于操作員站、歷史站等設(shè)備的接入，實(shí)現(xiàn)DCS生產(chǎn)操作、數(shù)據(jù)采集和處理、監(jiān)控畫面顯示、故障診斷和報(bào)警等功能?？刂凭W(wǎng)用于工程師站、DCS服務(wù)器等設(shè)備的接入，實(shí)現(xiàn)對(duì)DCS組態(tài)上傳、下載和修改，并對(duì)控制站進(jìn)行配置。

圖2 電力監(jiān)控系統(tǒng)安全防護(hù)新思路整體架構(gòu)

圖3 典型發(fā)電企業(yè)生產(chǎn)控制大區(qū)安全防護(hù)架構(gòu)

2.2.1 典型生產(chǎn)控制區(qū)通信網(wǎng)絡(luò)、區(qū)域邊界防護(hù)

在通信網(wǎng)絡(luò)方面，采用全流量采集的方法，通過交換機(jī)鏡像口發(fā)送流量數(shù)據(jù)至工控安全流量分析器，通過N-gram算法進(jìn)行報(bào)文切分，然后通過關(guān)鍵詞提取算法提取關(guān)鍵詞，最后依據(jù)提取的關(guān)鍵詞進(jìn)行報(bào)文聚類對(duì)工控協(xié)議報(bào)文分類[10]，實(shí)現(xiàn)對(duì)流量的初步過濾，結(jié)合單分類器與集成學(xué)習(xí)訓(xùn)練出二層分類模型，從而對(duì)工業(yè)控制網(wǎng)絡(luò)流量進(jìn)行異常檢測[11]，消除流量數(shù)據(jù)中的噪聲，防止集中審計(jì)系統(tǒng)流量過載。集中審計(jì)系統(tǒng)的流量審計(jì)模塊通過解析工控網(wǎng)絡(luò)流量、深度分析工控協(xié)議與系統(tǒng)內(nèi)置的協(xié)議特征庫，實(shí)現(xiàn)實(shí)時(shí)流量監(jiān)測以及異?；顒?dòng)及時(shí)告警。

同時(shí)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測與日志收集，對(duì)日志進(jìn)行持久化存儲(chǔ)，并對(duì)安全事件日志進(jìn)行統(tǒng)計(jì)分析。實(shí)現(xiàn)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處的檢測，防止并限制從外部或內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為，幫助電力生產(chǎn)用戶實(shí)時(shí)掌握網(wǎng)絡(luò)的運(yùn)行狀況，發(fā)現(xiàn)潛在網(wǎng)絡(luò)流量安全問題。

2.2.2 典型生產(chǎn)控制區(qū)安全計(jì)算環(huán)境防護(hù)

在終端的安全管理方面，工業(yè)控制系統(tǒng)對(duì)可用性和連續(xù)性要求較高。當(dāng)前采用特征值比對(duì)黑名單的終端安全防護(hù)產(chǎn)品時(shí)容易導(dǎo)致工業(yè)軟件與系統(tǒng)內(nèi)核的交互和一些操作指令被誤判為惡意操作，影響工控系統(tǒng)的高可用性[12]。由于工控主機(jī)用途比較單一，運(yùn)行的軟件固定，對(duì)外交互數(shù)據(jù)格式固定，因此使用白名單的終端安全和可信保護(hù)系統(tǒng)應(yīng)運(yùn)而生。

終端安全可信保護(hù)系統(tǒng)部署在每個(gè)終端和服務(wù)器上，安全可信保護(hù)系統(tǒng)由硬件設(shè)備層的可信芯片、操作系統(tǒng)層的可信軟件基、應(yīng)用層組成，其中應(yīng)用層由可信安全管理平臺(tái)、可信軟件庫組成[13]。可信安全管理平臺(tái)統(tǒng)一管理所有接入終端的應(yīng)用、安全軟件和系統(tǒng)環(huán)境。可信終端軟件是安裝在終端操作系統(tǒng)中的安全執(zhí)行軟件，可信軟件庫為信息系統(tǒng)提供可信軟件，受信任的芯片提供了信任的根源，系統(tǒng)架構(gòu)圖如圖4所示，其中可信安全管理平臺(tái)和可信軟件庫為圖3中工業(yè)網(wǎng)絡(luò)安全管理平臺(tái)的子模塊。

圖4 安全可信計(jì)算環(huán)境實(shí)現(xiàn)思路

可信軟件基利用可信芯片的特性，為應(yīng)用、系統(tǒng)、硬件設(shè)備的運(yùn)行建立可信的安全計(jì)算環(huán)境，通過可信連接形成可信體系，實(shí)現(xiàn)硬件、操作系統(tǒng)、應(yīng)用系統(tǒng)的融合。由可信芯片提供可信指令，在操作系統(tǒng)層由可信軟件基構(gòu)建安全計(jì)算環(huán)境，實(shí)現(xiàn)操作系統(tǒng)層面的身份鑒別、安全審計(jì)、訪問控制、入侵防范，在數(shù)據(jù)層面實(shí)現(xiàn)數(shù)據(jù)的備份、恢復(fù)，保證數(shù)據(jù)的完整性、保密性，同時(shí)實(shí)現(xiàn)對(duì)操作系統(tǒng)的漏洞發(fā)現(xiàn)、安全策略配置、惡意代碼檢測、系統(tǒng)補(bǔ)丁升級(jí)等安全相關(guān)配置的集中管理[14]。

在應(yīng)用層通過在可信安全管理平臺(tái)設(shè)置工業(yè)控制軟件程序及關(guān)聯(lián)程序?yàn)榘酌麊?，?duì)其進(jìn)行安全分析和安全規(guī)則制定。每一個(gè)被設(shè)置為可信的軟件都有其安全特征值，在軟件使用過程中，都會(huì)匹配特征值，一旦攻擊者利用漏洞進(jìn)行攻擊，可信計(jì)算支撐平臺(tái)會(huì)根據(jù)軟件的安全規(guī)則進(jìn)行攔截，有效彌補(bǔ)已知、未知安全漏洞未及時(shí)修補(bǔ)造成的安全威脅。

2.3 安全制度建設(shè)

技術(shù)為網(wǎng)絡(luò)安全防護(hù)提供支撐，人員是安全防護(hù)的實(shí)施者與受益者，電力監(jiān)控系統(tǒng)運(yùn)營人員普遍存在重視生產(chǎn)安全，忽視網(wǎng)絡(luò)安全的情況，網(wǎng)絡(luò)安全知識(shí)欠缺。國家法律法規(guī)、行業(yè)監(jiān)管安全防護(hù)要求不斷提高，發(fā)電企業(yè)亟需組建具有較高專業(yè)性的網(wǎng)絡(luò)安全運(yùn)維團(tuán)隊(duì)來提供高效的網(wǎng)絡(luò)安全保障服務(wù)，需加強(qiáng)以下管理工作：

(1)制定完善的網(wǎng)絡(luò)安全制度，包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、系統(tǒng)建設(shè)管理安全、系統(tǒng)安全運(yùn)維管理等相關(guān)制度體系，使安全運(yùn)維工作有章可循、有法可依。

(2)實(shí)時(shí)監(jiān)控系統(tǒng)警告、預(yù)警，制定安全事件報(bào)告和處置管理制度，明確不同安全事件的報(bào)告、處置和響應(yīng)流程，規(guī)定安全事件的現(xiàn)場處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)等[15]。

(3)做好應(yīng)急預(yù)案框架，明確應(yīng)急處理流程，定期開展應(yīng)急預(yù)案培訓(xùn)，并進(jìn)行應(yīng)急演練，在演練過程中尋找到安全防護(hù)體系的短板，通過“發(fā)現(xiàn)-驗(yàn)證-修補(bǔ)-再驗(yàn)證”不斷迭代的方式提升安全防護(hù)能力。

3 應(yīng)用效果

該方案以河南某發(fā)電企業(yè)電力監(jiān)控系統(tǒng)生產(chǎn)控制區(qū)為建設(shè)試點(diǎn)，在不改變電力生產(chǎn)控制原有軟硬件架構(gòu)，并保證電力監(jiān)控系統(tǒng)能夠正常穩(wěn)定運(yùn)行的前提下，該系統(tǒng)在完成安全建設(shè)后在等級(jí)保護(hù)測評(píng)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中均取得較好的成績，如表1所示，等級(jí)保護(hù)測評(píng)結(jié)論由加固前的“差”(60分以下并存在高等級(jí)安全風(fēng)險(xiǎn))提升為“良”(80分以上且不含高等級(jí)安全風(fēng)險(xiǎn))，其中不符合測評(píng)指標(biāo)均不是高危風(fēng)險(xiǎn)，中低風(fēng)險(xiǎn)不符合項(xiàng)顯著降低。由于主機(jī)部署終端安全可信保護(hù)系統(tǒng)，加固前滲透測試發(fā)現(xiàn)的高風(fēng)險(xiǎn)漏洞均無法再被利用，系統(tǒng)的整體防護(hù)水平明顯提高。

表1 系統(tǒng)安全防護(hù)建設(shè)前后效果比較

4 結(jié)論

隨著電力監(jiān)控系統(tǒng)的智能化程度逐步提高，其網(wǎng)絡(luò)安全面臨嚴(yán)峻威脅，漏洞挖掘技術(shù)的不斷成熟，使電力監(jiān)控系統(tǒng)中的安全漏洞數(shù)量明顯增多，針對(duì)電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)攻擊事件層出不窮。

等級(jí)保護(hù)2.0時(shí)代電力監(jiān)控系統(tǒng)的安全防護(hù)需要在現(xiàn)有的安全防護(hù)基礎(chǔ)上，結(jié)合等級(jí)保護(hù)新增安全防護(hù)要求項(xiàng)，做好頂層設(shè)計(jì)，做精底層防護(hù)。以“一個(gè)中心”為安全建設(shè)的核心，以“三重防護(hù)”為基本，構(gòu)建可信主動(dòng)防御，事后分析、溯源、加固的防御體系，全方位提升電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全感知能力和防護(hù)能力，維持電力企業(yè)穩(wěn)定、安全的電力生產(chǎn)，保障國民經(jīng)濟(jì)的發(fā)展和人民生活的安定。