電力企業網絡信息安全防護體系的構建

楊博 汪文麗

【摘要】論文以電力企業網絡信息安全為研究對象，根據電力企業信息安全現狀，介紹了電力企業網絡信息安全防護體系構建原則，闡述了電力企業網絡信息安全防護體系構建方法，以期為電力企業網絡信息系統安全、穩定運行提供依據。

【關鍵詞】電力企業;網絡信息;安全防護

【中圖分類號】TP393

【文獻標志碼】A

【文章編號】1673-1069（2018）11-0134-02

1引言

在電力企業網絡信息安全管理領域，黑客、病毒等計算機網絡風險因素的存在，對電力企業網絡信息系統穩定運行造成了極大的威脅。而通過電力企業網絡信息安全防護體系的構建，可以從根本上增強電力網絡信息抗風險能力，為電力體系安全運營提供保障。因此，在電力行業信息化改造過程中，加強計算機網絡信息安全防護管理具有非常重要的意義。

2電力企業網絡信息安全現狀及問題

2.1電力企業網絡信息安全現狀

十三五期間，電力企業信息化進入高速發展階段。在我國《國家信息化發展戰略》的帶領下，依據信息化推動工業化這一歷史目標，電力企業開展了全面信息化建設。現階段電力企業信息化管理系統已覆蓋了電力企業基礎設施建設、人力資源管理、財務信息管理、營銷財務管理等多個模塊。

2.2電力企業網絡信息安全問題

電力企業網絡信息安全主要包括工作環境安全問題、網絡協議風險、計算機病毒侵害等幾個模塊。其中工作環境安全問題主要為數據庫系統安全漏洞;而網絡協議風險主要為TCP/IP協議開放性導致的SMTP、Telnet風險問題;計算機病毒可通過代碼程序執行的方式對電力信息網絡系統造成危害。

3電力企業網絡信息安全防護體系構建原則

3.1全方位管理

電力網絡信息安全防護體系需涵蓋電力信息網絡建設、管理、運行、維護等整個過程。即除部分核心模塊增設防火墻以外，還需要依據信息安全生命周期特征，開展安全管理方案預先制定、人員安全培訓教育、工程實施安全管理等工作。

3.2分級保護

在電力企業網絡信息安全防護體系構建過程中，根據電力企業信息網絡資產應用等級、資產風險等級的區別，需制定相應等級安全管理方案，并確定相應等級資產管理安全標準。3.3動態調整

針對電力網絡系統風險特征，電力企業網絡信息安全維護人員也需要及時調整以往安全維護方案，或者增設新的技術。

4電力企業網絡信息安全防護體系構建方法

4.1明確電力企業網絡信息安全防護組織體系設計目標

首先，依據電力企業運營管理特點，電力信息安全主要可劃分為三個等級。基礎等級為電力系統物理威脅控制;二級信息防護為電力企業內部財務信息管理;三級信息為電力企業內部核心管理信息防控;四級信息為全面信息安全管理。在電力企業網絡信息安全防護時期，相關工作人員可以針對具體信息等級的變化，設定相應層次的安全管控服務目標。

其次，電力企業信息安全防護體系在實際運行階段，電力企業網絡信息安全防護人員需借鑒OOD、Middle Ware思想，加強常規數據信息管理。結合密匙管制計劃的預先設置，為后期電力網絡信息安全防護工作順利開展提供依據。

最后，現階段電力企業網絡信息安全防護體系主要包括安全技術、安全管理兩條主要線路。其中安全技術主要包括認證控制、冗余恢復、審計響應、冗余恢復、內容安全、鑒別認證等幾個模塊;而安全管理則包括安全運作管理、安全組織管理、安全管理策略幾個模塊。依據電力企業網絡信息安全防護體系管理情況，可以ISO15408信息技術安全評價國際標準為主導，結合電力信息安全體系應用標準ISO27001的相關規定，設定電力TF系統產品技術指標及管理指標。如依據電力企業自身信息安全需要，依據ISO27001標準對應域要求，可導出具體管理域控制目標及控制項目。

4.2優化電力企業網絡信息安全防護結構

首先，在電力企業網絡信息管理過程中，依據電力信息系統需要，可采用PKI作為安全管控基礎工具。即利用PKI身份認證、數據完整性維護、數據保密等安全服務功能，依據X.509標準，以Certificate Authorization為核心，進行電力企業網絡信息安全防護體系的構建。通過有限用戶團體證書的簽發，構建層次化安全證書管控結構。

其次，依據電力企業信息系統運行特點，基于PKI的電力企業網絡信息安全防護結構主要包括網絡端、省市端、區域局、縣局等幾個模塊。在實際CA證書設計過程中，為了滿足不同模塊電力信息安全管理的需要，可在CA證書間設置交叉驗證模塊。同時為了避免CA證書交叉驗證混亂對整體電力系統網絡信息鏈的不利影響，可將CA證書框架圖與相應模塊主體進行關聯分析。據此選擇魯棒性較強的認證系統，結合電力行業實時性管理，保證電力企業信息安全防護體系穩定運行。

最后，從物理層面進行分析，整體模塊體系結構為三維立體結構，包括安全服務、應用管理層、信息等級管理等三個維度。其中電力企業信息安全防護體系應用管理層主要包括數據鏈路層、網絡層、傳輸層、應用層等幾個模塊。在整體系統中TCP/IP協議為主流管控協議，信息服務等級為1級、2級、3級、4級四個等級。在電力信息安全防護系統中，信息等級劃分直接影響了信息安全服務效力。以1類信息保護為例，需要從物理層對1類信息進行維護;而對于2類信息，由于其需要與金融機構、電力資源使用客戶產生經濟網絡，且需要通過外部鏈接網絡。因此可依據Internet Engineering Task Force標準，或者Virtual Private Network工具，從網絡層入手進行信息安全維護。

電力企業信息安全防護體系主要安全服務類型為數據真實、審計、不可抵賴、數據保密、訪問控制、身份驗證、數據完整等幾個模塊。整體網絡結構主要是從下層向上層服務。加密、解密是基于PKI的電力企業信息安全防護系統基礎性能，依據現代密碼學Kerekhoffs假設，在基礎加密、解密模塊設置過程中，可以密匙保密為核心，進行加密算法、解密算法公開設置，即通過PKI密匙的注冊、存儲及分發，進行電力企業信息安全機制設置。

此外，針對電力企業信息安全防護特殊性，信息安全服務系統管理人員還需要針對電力信息安全防護盲區，設置適當的災后恢復、應急響應及戰略預警模塊。

4.3完善電力企業網絡信息安全防護內容體系

對于電力企業而言，信息安全主要為分布式計算環境信息儲存、訪問及信息傳輸安全，在電力企業網絡信息安全防護管理體系中，主要具有保密性、脆弱性、真實性、完整性四個方面影響因素。其中保密性主要是通過用戶授權的方式進行數據信息訪問，沒有授權用戶不可進入數據訪問終端;而脆弱性則是針對電力企業網絡信息系統運行過程中可能遇到的安全威脅，如計算機硬件毀壞威脅、工控機兼有威脅、電子竊聽、Deny Of Service攻擊、邏輯炸彈、TCP/IP漏洞威脅等;真實性及完整性主要以保證電力企業網絡信息真實完整為主要工作目標。在分布式網絡環境中，電力企業網絡信息安全防護人員可以綜合利用身份驗證、抗否認、審計管理、訪問控制等方法，從檢測、響應、障礙恢復、信息維護等方面，保證全過程電力信息安全保障。

5結語

綜上所述，網絡協議風險、工作環境風險等風險因素的存在，對電力企業信息系統穩定運行造成了嚴重威脅。因此，電力企業信息安全防護人員應針對本企業實際情況，依據全方位防控、分級保護、動態調整等電力安全防護體系構建原則，明確電力企業安全防護體系構建目標，豐富電力企業安全防護內容。結合現代化管理思想的借鑒，構建規范的電力企業信息安全防護體系，為電力企業信息系統安全、穩定運行提供保障。