電力信息系統等級保護安全策略的研究

趙偉

摘 要：隨著社會的不斷發展，電力信息系統也在不斷地發展，越來越受到電力部門的重視。該課題的目標為解決電力工程安全體系建設中所面臨的問題。通過閱讀該課題可以理解信息安全建設的層次及過程，有效地將信息安全總體方案進行貫徹執行。

關鍵詞：電力 信息安全防護 等級保護 安全域

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-098X（2016）12（b）-0055-03

為深化電力信息化工程安全防護體系建設，落實工程安全防護總體方案，制定此操作指引，為電力信息化依據總體方案開展信息安全建設提供參考。

1 安全域劃分設計

依據國家電網公司安全分區、分級、分域及分層防護的原則，首先，各單位網絡分為管理信息大區與生產控制大區；其次，管理信息大區按照雙網隔離方案又分為信息內網與信息外網。電力工程安全防護總體方案的設計作用范圍為信息內網和信息外網的一體化平臺以及八大業務應用相關系統，在進行安全防護建設之前，應首先實現對信息系統的安全域劃分。

對于一體化平臺與八大業務應用安全域劃分依據總體方案中定義的“二級系統統一成域，三級系統獨立分域”的方法進行，信息內網的系統基本上可分為：（1）ERP系統域；（2）電力市場交易系統域；（3）財務（資金）管理系統域；（4）辦公自動化系統域（總部）；（5）營銷管理系統域；（6）二級系統域；（7）桌面終端域。信息外網的系統可分為：（1）外網應用系統域；（2）桌面終端域。

安全域的具體實現可采用物理防火墻隔離、虛擬防火墻隔離或Vlan隔離等形式。基本實現目標為劃分各域網絡邊界并進行訪問控制。

進行安全域劃分后，國家電網公司總部、網省、地市所劃分出的安全域與數量如表1所示。

2 安全域的實現設計

安全域實現方式以劃分邏輯區域為目標，旨在實現各安全區域的邏輯隔離，明確邊界以對各安全域分別防護，并且進行域間邊界控制，安全域的實體展現為一個或多個物理網絡或邏輯網段的集合。對安全域的劃分手段可以參考采用如下方式（以下方式可能出現技術重疊，以最終實現網絡分域并可進行訪問控制為目標）。

2.1 防火墻安全隔離

可采用雙接口或多接口防火墻進行邊界隔離，在每兩個安全域的邊界部署雙接口防火墻，或是采用多接口防火墻的每個接口分別與不同的安全域連接以進行訪問控制。

2.2 虛擬防火墻隔離

采用虛擬防火墻實現各安全域邊界隔離，虛擬防火墻可以將一臺防火墻在邏輯上劃分成多臺虛擬的防火墻，每個虛擬防火墻系統都可以被看成是一臺完全獨立的防火墻設備，可擁有獨立的系統資源、管理員、安全策略、用戶認證數據庫等。在該方案中，可以實現為每個安全域建立獨立的虛擬防火墻進行邊界安全防護。

2.3 三層交換機Vlan隔離

采用三層交換機為各安全域劃分Vlan，采用交換機訪問控制列表或防火墻模塊進行安全域間訪問控制。

2.4 二層交換機Vlan隔離

在二層交換機上為各安全域劃分Vlan，采用Trunk與路由器或防火墻連接，在上聯的路由器或防火墻上進行訪問控制。

對于一個應用的子系統跨越多個物理環境如設備機房所帶來的分域問題，由于安全域為邏輯區域，可以將一個公司層面上的多個物理網絡或子網歸屬于同一安全域進行安全體系建設。

3 明確所要防護的對象

在進行安全防護體系建設之前，首先需明確所要防護的對象，將所要防護的對象對應至整體信息網絡環境與相應的安全域中，設計所保護域的邊界、網絡、主機及應用。

（1）邊界安全防護。針對信息內外網第三方邊界、縱向上下級單位邊界以及橫向域間邊界進行安全防護。

①信息外網第三方邊界為國家電網公司信息外網與互聯網的網絡邊界。

②信息內網第三方邊界為國家電網公司信息內網與其他利益相關方（如銀行、代收機構）間的網絡邊界。

③信息內外網邊界為信息內網與信息外網間的邊界，采用邏輯強隔離裝置進行隔離。

④縱向上下級單位安全邊界包括國家電網總部與各網省分司間、各網省公司與地市公司間、地市與縣級單位間的網絡邊界。

⑤橫向域間邊界指劃分出的各安全域之間的邊界，如營銷管理系統域與ERP系統域之間的邊界屬于橫向邊界。

在進行邊界安全防護之前，首先應當制定出邊界清單，對各網絡邊界進行登記。

（2）網絡環境安全防護。包括所要防護的基礎網絡及安全域范圍內的網絡設備和安全設備。

（3）主機系統安全防護。包括承載所防護的安全域中的應用系統的操作系統、數據庫的安全防護。

（4）業務應用安全防護。包括應用系統及通過用戶接口、數據接口所傳輸數據的安全防護。

4 可共用的安全防護措施設計

劃分安全域防護帶來的成本增加主要為網絡邊界隔離設備的投入和網絡安全防護設備的投入。

（1）邏輯隔離設備的成本。如，防火墻、路由器等成本。針對邏輯隔離設備的成本控制，可采取將多接口防火墻、虛擬防火墻、網絡交換機Vlan間訪問控制等措施在多個安全域間共用的方式實現。

（2）網絡安全防護設備成本。包括實現防護所需的入侵檢測、弱點掃描系統等。可采用在多個安全域共用一套入侵檢測系統，在各安全域僅部署入侵檢測探頭，所有安全域可采用統一的一套弱點掃描器等復用防護措施以降低防護投入。分域所帶來的只有邊界和網絡層面上的投入增加，對于主機、應用相關的安全措施不會增加投入。

4.1 明確可共用的安全防護措施

分析所有設計的安全防護措施，考慮可共用的安全防護措施，整理目前已完成建設的安全措施，對于不能通過安全產品實現的，需通過功能開發或配置更改等方式來實現。

在網絡邊界部署邊界防護安全措施時，在滿足功能及性能要求的前提下，應盡可能地采用較少的設備實現，例如：采用UTM或IPS設備可以實現網絡訪問控制功能且性能可以接受，則可不再專門部署防火墻。

對于通過部署安全產品實現的防護措施，可采用包括但不限于如下實現共用的方式。

（1）防火墻。

添加防火墻硬件接口模塊實現邊界訪問控制。

添加防火墻管理系統中的策略和對象資源實現邊界訪問控制。

多安全域共用多接口防火墻、虛擬防火墻、交換機Vlan隔離等方式實現域間訪問控制。

（2）UTM統一威脅管理。

添加UTM硬件接口模塊來實現統一威脅管理。

添加UTM管理系統中的策略和對象來實現對資源的統一威脅管理。

（3）入侵檢測系統。

添加軟件網絡入侵檢測系統的網卡以增加可監測的網段。

在交換機上添加硬件網絡入侵檢測模塊以實現對多網段的監聽。

在交換機上增加鏡像端口以實現對多網段的入侵檢測偵聽。

在網段分別部署硬件入侵檢測探頭以實現對多個安全域的分別監測。

在各重要業務主機部署主機入侵檢測代理以實現對主機的入侵檢測。

（4）弱點掃描系統。

采用一套共用的弱點掃描系統，在掃描系統上添加授權主機的掃描地址范圍，將掃描系統安裝在筆記本電腦上以實現對各安全域系統的掃描。

（5）桌面終端安全管理系統。

采用統一的桌面安全管理系統，分別部署于信息內外網集中進行管理。

（6）防病毒系統。

在信息內外網分別采用統一的網絡版防病毒系統，將所有Windows服務器安裝防病毒客戶端，統一進行管理，或在服務器上安裝單機服務器版本的防病毒軟件。

（7）安全事件/日志分析系統。

在信息內外網分別采用統一的安全事件及日志分析系統。

（8）入侵防護系統。

在信息外網應用系統域的網絡邊界上通過添加入侵防護硬件實現對各系統互聯網發布應用的入侵防護。

通過添加入侵防護管理系統中的策略和對象以實現對特定資源的入侵防護。

（9）備份恢復軟件。

可在信息內外網分別采用一套統一的備份恢復軟件對各業務數據進行統一備份，在各應用服務器上添加備份代理。

4.2 設計不可共用的安全防護措施

對于不能通過安全產品實現的安全防護措施，可通過專項研發來實現。

對于通過安全產品實現的安全防護措施，依據安全防護總體方案中的安全防護措施設計來選擇安全產品。

產品選型時，對產品的選型原則、選型范圍、功能技術要求等方面進行說明，然后依據產品選型要求對安全產品進行測評和篩選。

5 安全防護措施實施設計

5.1 安全控制措施實施設計

實施安全控制措施應該遵循總體方案設計，分階段落實安全控制措施建設。這包括安全控制開發和配置、安全控制集成、測試與驗收等主要環節。

（1）安全功能開發和配置。對于一些不能通過部署安全產品來實現的安全措施和安全功能，通過軟件功能設計、開發和配置來實現。

（2）安全控制集成。將不同的軟硬件產品集成起來，依據安全設計方案，將安全產品、系統軟件平臺和開發配置的安全控制與各種應用系統綜合、整合成為一個系統。

（3）安全產品測試與驗收。在安全產品上線前應當對設計的功能進行測試，并經過試運行后完成驗收。

（4）安全運行維護。完成安全體系建設后，將進入安全運行維護階段，各單位應當嚴格遵照國家電網公司相關運行維護要求及各安全產品的運行維護手冊及要求進行系統運行維護。

5.2 安全控制措施變更設計

經過一段時間運行后，隨業務系統及信息環境的變化，安全控制措施可能需要進行變更，需注意以下幾點。

（1）確定是安全體系局部調整還是重大變更，如果涉及到安全域變化需要重新依據防護方案進行設計；如果僅局部調整可修改安全控制措施的配置實現。

（2）由變更發起人向主管領導進行書面申請并要記錄相應變更行為，確保變更實施過程受到控制，保證變更對業務的影響最小。

（3）對變更目的、內容、影響、時間和地點以及人員權限進行審核，以確保變更合理、科學的實施。

（4）變更應當制定詳細的計劃并在非關鍵業務時段進行，并制定相應的回退計劃。

6 結語

該課題對電力公司信息系統等級保護安全策略進行研究，采用了安全域劃分設計，通過該課題設計實現信息安全等級保護建設的層次及過程，有效地將信息安全總體方案進行貫徹執行。

參考文獻

[1] 吳國威.數字化變電站中信息處理及網絡信息安全分析[J].電力系統保護與控制，2007，35（12）：18-22.

[2] 胡炎，謝小榮，韓英鐸，等.電力信息系統安全體系設計方法綜述[J].電網技術，2005，29（1）：35-39.

[3] 胡炎，謝小榮，辛耀中.電力信息系統現有安全設計方法分析比較[J].電網技術，2006，30（4）：36-42.

[4] 胡炎，謝小榮，辛耀中.電力信息系統建模和定量安全評估[J].電力系統自動化，2005，29（10）：30-35.

[5] 宋燕敏，楊爭林，曹榮章，等.電力市場運營系統中的安全訪問控制[J].電力系統自動化，2006，30（7）：80-84.