基于电力监控系统的等保2.0三级安全加固方案
电力监控系统是电力行业的调度生产系统,作为电力工业生产的“神经中 枢”,是电力系统关键信息基础设施的核心组成,其安全直接关系到人民生命财产安全、社会稳定甚至国家安全。它的极端重要性决定其极易成为网络攻击和网络战的重要目标,未来也将很可能进一步成为国家间网络对抗的重要目标,以及黑客组织实施攻击破坏的重点对象。
行业背景
近年来,随着信息技术发展和各国网络安全政策的不断演变,网络安全形势日益严峻,网络攻击国家化的趋势明显,已成为政治、经济斗争的一种重要形式。同时攻击的针对性、持续性、隐蔽性显著增强,大大增加了安全防护难度。
从发展形势来看,勒索软件等病毒呈现爆发性增长态势,安全漏洞频发将成为常态,并且从常见的Windows扩大到Linux操作系统,影响范围从IT与互联网扩大到工控领域,全球范围内利用物联网设备实施的网络攻击事件频发,能源等关键信息基础设施已成为重点攻击的目标。
电力监控系统是电力行业的调度生产系统,作为电力工业生产的“神经中枢”, 是电力系统关键信息基础设施的核心组成,其安全直接关系到人民生命财产安全、社会稳定甚至国家安全。它的极端重要性决定了其极易成为网络攻击和网络战的重要目标,未来也将很可能进一步成为国家间网络对抗的重要目标,以及黑客组织实施攻击破坏的重点对象。无论是广度还是深度,电力监控系统将面临更趋多样化的网络攻击手段,这对其安全防护提出了更大的挑战。
另一方面,电网智能化程度的提升与发展,增加了安全管控的难度。随着大量分布式电源、微电网及电动汽车充电设施、储能设备等业务的发展,在智能电网的接 入、无线公网通信广泛应用,将导致电力监控系统原有封闭隔离的网络边界模糊化。随着分布式能源、新能源、电力交易、智能用电等新型业务的不断涌现,智能电网的开放互联特性进一步增强,使得电网的业务安全和数据安全防护战线不断延伸。信息新技术应用给网络安全带来了严峻挑战。大数据、云计算、物联网、边缘计算、IPv6 等新技术发展应用迅猛,不可避免带来了新的网络安全风险。通信新技术应用也增加了风险不确定性。
随着市场化改革的推进,不同市场主体纷纷涌现,地方电网及相关市场主体安全基础薄弱,网络安全隐患愈发突出,电力体制改革对网络安全提出更高的要求。另一方面,随着电力市场化和现货交易的不断深入,网络安全不仅仅要防范由于外部入侵造成的系统失灵、误调、误控风险,也要防范电力市场交易数据等重要数据泄密的风险。
这一系列的因素对电力监控系统的安全提出了更高的要求,随着等级保护2.0的发布,对于电力监控系统必然提出了新的要求,各地电力监控系统建设在安全方面的建设力度是否满足未来发展的要求都是对现有信息系统建设能力储备的考量。
方案概述
解决方案的建设目标是结合电力监控系统的网络安全现状,确定电力监控系统安全建设需求,遵循“安全分区,网络专用,横向隔离,纵向加密”的电力安全防护原则,并且加强“监测预警系统”、“终端安全查杀能力”、“应急响应手段”、“大数据安全平台”、“信息系统等级保护建设”的推进工作,全面提升电力监控系统的网络安全保护及整网安全能力,并建立一个完善的信息安全预防、监测、防御和响应的纵深防御的安全体系。
解决方案的设计原则安全体系的建设,主要依据等级保护2.0的三级系统建设要求,加电力监控系统内网安全进行加固设计。
方案设计原则
Ø 统筹推进、重点建设原则
坚持依规建设、整合资源、规范应用、分级保障、安全可控,形成党政领导、综治牵头、公安负责、部门配合、社会参与的工作格局。依据国家相关法律、法规、政策和技术标准,应用安全可控的技术和产品,统筹电力监控系统的安全建设,避免重复投资;按照维护国家安全、社会公共安全的实际需要,推动安全系统建设;加强部门间工作协作和业务协同,规范管理、确保安全,应用牵引、分步实施、权责一致, 分级分类投入、社会参与。
Ø 重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统, 实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
Ø 风险管理原则
进行安全风险管理,确认可能影响信息系统的安全风险,正确的识别风险、合理的管理风险,并让信息系统的安全风险降低到可以接受的水平以内。
Ø 分权制衡原则
在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。
Ø 经济、实用、先进原则
采用性价比较高的产品,既能满足基层管理的实际需求,又能减少前期建设的投入成本。同时,在系统运维的设计过程中,充分考虑基层管理人员技术功底薄弱等因素,对系统进行优化设计,方便系统的后期使用与维护,降低系统综合费用开销,采用最先进的安全技术,打造一体化防护体系。
Ø 利旧原则
坚持利旧原有所有安全设备,除非原有设备不能进行业务拓展的要求,统筹兼顾,节省成本,在保障信息系统安全运营的同时,有效杜绝重复建设的情况发生。
Ø 部署简单、可实施性强
本次规划立足于可实施的目标,针对所有安全控制措施的部署一方面要满足安全保护,同时要与实际情况相结合,部署要简单。
Ø 技术与管理并重原则
在安全系统建设过程中,技术与管理都是安全体系的重要组成部分,疏忽哪方面的工作都会带来安全风险及安全隐患,因此两方面工作需要同步建设。本期方案利用现代信息技术和科学的管理手段,采用先进的安全设备和前沿的大数据分析技术,进行统一的安全规划,科学实施,建设功能齐备、技术先进、安全稳定。