等級保護2.0時代下的電力系統身份安全研究

◆楊 軼 宋延成 遲宏哲

等級保護2.0時代下的電力系統身份安全研究

◆楊 軼1宋延成2遲宏哲2

（1.中電投東北新能源發展有限公司 遼寧 110181；2.國家電投東北電力有限公司 遼寧 110181）

在信息化建設過程中，網絡防護、數據保護、黑客入侵防范等建設往往被更多關注，而“身份與訪問控制”被選擇性忽略，從而形成信息安全短板。本文基于信息安全技術網絡安全等級保護基本要求，分析了網絡安全等級保護發展歷程、等保2.0的特點、面向電力系統網絡身份安全面臨的挑戰，提出了針對電力系統身份安全的等保措施，建立應用的攻防對抗機制，多層次多角度減少內部誤操作，遏制外部攻擊。

網絡防護；等保2.0；身份安全；攻防對抗

隨著電網互聯的進一步發展，要求各地市供電公司和相關單位具有一個穩定可靠的網絡平臺來保證電力企業的安全運行，但各地市供電公司以及相關單位的局域網和城域網安全防護手段單一，缺乏對安全威脅態勢的動態感知和提前預警。隨著電力部門對外開放的接口不斷增加，進行雙網隔離后仍舊無法抵御各種持續變化和升級的攻擊手段。相對部署邏輯強隔離的專網，電力系統的外網安全更是岌岌可危。而公司需要通過安全等級較低的外網進行比如財務報稅，員工收發郵件、移動終端接入等必要行為，這將存在很大的安全隱患及潛在脆弱性，成為整個電力系統網絡的信息安全洼地，被惡意攻擊所利用，成為安全防御體系的突破口，從而造成巨大的經濟損失。

據Imperva調查發現：有73%的企業員工表示，他們可以很輕松訪問到內部敏感數據，Gartner的報告顯示，全球網絡安全支出2019年將超1240億美元人，而Facebook安全事件造成用戶身份泄露，被罰款50億美元。身份安全驗證是保證信息不被泄露的基本保障，如何保證身份安全是面向電力系統網絡安全的首要前提。

2019年5月10日，《信息安全技術網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》、《信息安全技術網絡安全等級保護安全設計技術要求》（以下稱等保2.0）正式發布，將于2019年12月1日正式實施。等保2.0的發布，是對除傳統信息系統之外的新型網絡系統安全防護能力提升的有效補充，是貫徹落實《中華人民共和國網絡安全法》、實現國家網絡安全戰略目標的基礎。等保2.0較之前的舊標準有突破性的進展，尤其在移動互聯、云計算、物聯網等新的業務環境均提供了安全建設標準和指導，也為電力系統網絡安全建設，特別是身份安全研究指明了方向。

1 網絡安全等級保護發展歷程

1994年，國務院147號令第一次提出“計算機信息系統實行安全等級保護”概念；

2007年，《信息安全等級保護管理辦法》發布信息安全等級保護制度正式實施，進入等保1.0時代；

2008年，GB/T 22239-2008 《信息安全技術信息系統安全等級保護基本要求》國家標準發布實施；

2017年《網絡安全法》第二十一條規定國家實行網絡安全等級保護制度，標志著等級保護制度的法律地位；

2019年5月13日，GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》國家標準正式頒布，標志著“等保2.0”時代正式到來。

2 等保2.0的特點

網絡安全等級保護2.0新標準具有以下三個特點：

（1）在等保的基本要求方面、測評要求方面和安全設計技術要求方面框架統一，也就是說，安全管理中心具有三重防護結構框架；

（2）等保2.0不但體現通用安全要求，同時也考慮新型應用安全擴展要求，將包括云計算、移動互聯、物聯網、工業控制系統等列入標準規范；

（3）將可信計算及驗證列入各級別和各環節主要功能要求。

作為等保2.0的性特點，可信計算的基本思想是，首先在計算機系統中構建一個信任根，信任根的可信性由物理安全、技術安全和管理安全共同確保；再建立一條信任鏈，從信任根開始到軟硬件平臺、到操作系統、再到應用，一級度量認證一級、一級信任一級，把這種信任擴展到整個計算機系統，從而確保整個計算機系統的可信?？尚庞嬎銥樯矸莅踩峁┝吮ＷC和支撐。相比等保1.0，等保2.0增加了可信計算的相關要求?？尚庞嬎阖灤┑缺?.0從一級到四級整個標準，在安全通信網絡、安全區域邊界與安全計算環境中均有明確要求。

3 身份安全面臨的挑戰

（1）缺乏身份標準規范

主要表現為缺乏權威身份數據的確認，缺乏身份認證的統一標準，各系統創建賬號缺乏統一規范等。

（2）缺乏管控流程

主要舉措應包括人員的錄轉調離的管控，權限最小化管控流程，對外部人員的管理，對應用上線管控等。

（3）缺乏技術保障

主要表現為沒有完整的自助服務，依賴員工自覺遵守，需要記憶各種賬號密碼，缺乏統一的登錄入口等。

（4）身份混亂

主要表現為應用系統多，每個系統都建立不同的賬號，難以識別；內外部用戶多，包含集成商、供應商等；關鍵資源特權賬號root，dba管控混亂等。

（5）賬號和權限混亂

主要表現為IT不知道員工需要哪些權限，無法對人員全生命周期進行合理管理，員工離職，容易造成漏刪賬號，形成安全隱患。

（6）標準形同虛設

主要表現為將過于復雜密碼寫在文檔或便簽上，輕松繞過標準（如堡壘機），出借賬號給其他人員，輕易被釣魚等。

4 面向電力系統的等保措施

（1）身份鑒別

應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施；當進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽，應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。

（2）可信驗證

可基于可信根對計算設備的系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證，并在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。

（3）訪問控制

應對登錄的用戶分配賬戶和權限；應重命名或刪除默認賬戶，修改默認賬戶的默認口令；應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；應授予管理用戶所需的最小權限，實現管理用戶的權限分離；應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問；訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級；應對重要主體和客體設置安全標記，并控制主體對有安全標記信息資源的訪問。

（4）安全審計

應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；應對審計進程進行保護，防止未經授權的中斷。

（5）數據保密性

采用密碼技術保證重要數據在傳輸過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等；采用密碼技術保證重要數據在存儲過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等。

（6）數據完整性

應采用校驗技術或密碼技術保證重要數據在傳輸過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等；應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。

（7）個人信息保護

應僅采集和保存業務必需的用戶個人信息；應禁止未授權訪問和非法使用用戶個人信息。

5 結束語

等保2.0更加普適性，覆蓋行業范圍更廣，技術領域更加全面，保護業務與數據安全為核心，要求身份可信與業務邊界安全。等級保護2.0提供了企業網絡安全戰略規劃目標，配套網絡安全法，將對企業管理者提供方向上的指引。本文基于等保2.0規范，回顧了網絡安全等級保護發展歷程、等保2.0的特點、重點分析了面向電力系統網絡身份安全面臨的挑戰，開展了電力系統身份安全等保措施研究，以期為電力系統的網絡安全建設提供理論支撐和技術支持。

[1]CNCERT.2014年我國互聯網網絡安全態勢報告.2015，4.

[2] GB/T 22239.3，信息安全技術網絡安全等級保護基本要求[S].

[3]全國信息安全標準化技術委員會. GB/T 22239-2008信息系統安全等級保護基本要求[S].中國標準出版社，2008..

[4]沈昌祥．我國信息安全等級保護制度的創新與發展[J].網絡空間安全，2016，7（11/12）：5-6.

[5]胡建康，徐霞,等.基于決策樹的Webshell檢測方法[J].網絡新媒體技術，2012，12，第I卷第6期.

[6]傅鈺．網絡安全等級保護2.0下的安全體系建設[J].網絡安全技術與應用，2018，18（8）：16-19.

[7]陳廣勇，祝國邦，范春玲.《信息安全技術網絡安全等級保護測評要求》（GB/T 28448-2019）標準解讀[J].信息網絡安全，2019（07）：1-7.

[8]賈覲.信息安全等級保護制度在計算機網絡搭建中的應用[J].信息與電腦（理論版），2019（12）：203-204.

[9]宮平.信息安全等級保護測評中網絡安全現場測評方法研究[J].網絡安全技術與應用，2019（05）：17-18.

[10]魏興民，賀江敏.信息安全等級保護技術之強制訪問控制技術探討[J].電子世界，2019（08）：148-150.

[11]余入麗，馬先平，楊雅.通過信息安全等級保護提升信息系統管理水平[J].信息與電腦（理論版），2019（07）：196-197.