基于等級保護2.0下的電力企業網絡安全體系建設

◆梁巖

（華能國際電力股份有限公司上安電廠 河北 050310）

新時期下，信息技術的應用領域在不斷拓展。網絡協議、軟硬件設備是信息系統構建的必要基礎，受開發環境、代碼缺陷等因素的綜合作用，難免會有諸多安全風險和漏洞的存在，進而對信息系統的整體安全造成威脅。為提升網絡安全水平，國家出臺了網絡安全等級保護制度，要求結合信息系統的等級保護差異對系統采取強制性的保護措施。

1 網絡安全等級保護2.0 的重要作用

目前，我國網絡技術日趨成熟，信息從業人員也具備了更高的專業技能水平。但隨著云計算、大數據、工業物聯網等技術的發展，網絡安全問題越來越突出。相較于過去的等級保護1.0，等級保護2.0較大程度上完善了保護標準、對象范圍等諸多內容，將網絡基礎設施、重要信息系統、大數據中心、云應用、物聯網系統、工業控制等系統全部納入等級保護范圍，并將安全檢測、通報預警、數據防護、災難備份、應急處置、事件追溯等措施全部納入等級保護體系，通過制度建立促使我國網絡安全保護現狀得到進一步優化。

依據網絡安全等級2.0 制度要求，企業可以有效檢查與防范各種網絡攻擊行為，避免泄露、丟失網絡中的數據信息，信息系統的完整性、保密性得到增強，網絡的整體安全得到提升。同時，等級保護2.0 也對保護范圍進行了擴大，能夠對更多類型的網絡安全風險有效檢查。從技術層面來講，等級保護2.0 要求運用先進的保護技術，對安全監測、數據備份、應急處置等工作進行了強化，這樣網絡安全得到了提升，網絡攻擊、病毒勒索概率顯著降低[1]。總之，等級保護2.0 綜合了技術、管理兩個層面，對于網絡安全、網絡管理提升有著重大意義。

2 網絡安全等級保護2.0 的創新內容

2.1 創新網絡安全風險評估機制

相較于過去的等級保護1.0，等級保護2.0 要求建立網絡安全風險評估機制，以便有效監測網絡安全的影響因素。通過對系統進行風險評估，對網絡中的各類安全風險及誘發因素的檢測，給予用戶相應的提醒，及時實施應對措施。在進行充分的風險評估與防范后，網絡系統遭受攻擊的概率將會顯著降低，用戶正常使用需求得到充分滿足，同時，網絡整體安全程度也可以得到提升。

2.2 網絡安全防護體系更加完善

等級保護1.0 在網絡安全防護體系方面不夠完善，而等級保護2.0則深入優化了網絡安全防護體系。基于各種現行經驗與先進技術的支持，等級保護2.0 在安全防護體系中引入了安全管理中心。安全管理中心要求在系統管理、安全管理、審計管理三個方面實現集中管控，從被動防護轉變到主動防護，從靜態防護轉變到動態防護，從單點防護轉變到整體防護，從粗放防護轉變到精準防護，促使網絡安全防護的全面性顯著增強[2]。

2.3 網絡安全監測機制更加健全

通過網絡安全監測機制，能夠有效應對網絡系統受到的侵害與攻擊。網絡安全監測能夠對網絡防護薄弱部位全面監測，且重點監測那些病毒攻擊頻率較高的關鍵部位。即便遭受到了非法攻擊，也能夠及時應對，且網絡安全監測功能能夠對網絡傳輸、數據保存的合法性實時監測，及時處置可能會對網絡環境造成影響的信息，分析網絡安全形勢和網絡安全發展態勢，協調應對系統性重大信息安全風險。

3 等級保護2.0 下的電力企業網絡安全體系建設

電力企業已廣泛應用了云計算、大數據、工業互聯網等各項新興技術，等級保護2.0 下的電力企業網絡安全體系建設運用風險評估、搭建網絡安全防護體系、實施安全監測等諸多措施，科學構建防治結合的網絡安全防控體系。

3.1 電力企業網絡信任體系建設

網絡信任體系作為網絡安全等級保護非常關鍵的一項內容。基于等級保護2.0 的要求，需要嚴格控制電力企業系統可信認證、身份認證等環節。而通過建設認證體系，則可以滿足這一需求。其中，CA認證體系得到了較為廣泛的應用，其既可以對用戶信息統一管理，又能夠優化控制登錄操作、網絡接入操作等環節，促使信息管理安全、業務經營安全等得到實現。此外，CA 認證體系還將身份認證服務內置于業務系統訪問過程中，這樣網絡信息系統遭受惡意攻擊的可能性將會大大降低[3]。

3.2 電力企業網絡安全技術體系建設

在電力企業網絡安全技術體系構建過程中，需積極應用先進的安全技術，包括安全審計、邊界防護、訪問控制等等。為保證電力監控系統中控制大區的網絡安全，需依照“安全分區、網絡專用、橫向隔離、縱向認證”的方針構建控制系統的安全防護體系。而針對電力監控系統管理系統大區則利用超融合、虛擬化技術，將身份認定、數據加密等諸多技術綜合運用于數據訪問路徑之中，促使安全防御目標得到實現。網絡邊界部署主動防御、防病毒網關與態勢感知聯動的一體化防護系統。這樣能夠做到網絡間的安全隔離、又能做到主動監測各種威脅行為、抵御APT 攻擊，合理預判系統整體安全態勢，規避各種安全問題的出現。

3.3 電力企業網絡安全管理體系建設

電力企業網絡安全管理體系建設，需建立網絡安全管理組織機構，制定科學有效全面的網絡安全管理制度，涵蓋管理制度、流程規范、安全策略等諸多方面的內容，且嚴格貫徹與執行。合理配備網絡安全管理人員，以便促使網絡安全日常管理工作得到有序開展。積極培訓業務人員、安全管理人員，促使其安全意識、技能水平等得到提升。開展網絡安全事件應急演練，以便有效應對與處置各種突發事件。在系統安全建設規劃實踐中，需將等級保護制度要求、系統實際需求等充分納入規劃與建設范圍，做到“同步規劃、同步建設、同步投入運行”。組建安全運維團隊，或聘請有資質的安全服務機構。在運維中，加強巡檢工作，嚴格檢查系統運行狀態、安全策略配置狀況，掃描信息系統，及時查找漏洞及修復存在的安全風險。要借助日志審計、堡壘機、入侵檢測設備對用戶異常行為、網絡攻擊行為及時發現，進而對安全策略針對性的調整。同時，基于各種突發事件的處置情況，構建相應的應急管理體系。要基于滲透測試全面模擬黑客的攻擊方式，通過技術和管理手段，有針對性地修補薄弱環節。通過上述措施的落實，促使信息系統安全性得到整體提升。

4 結語

綜上所述，網絡安全等級保護2.0 對等級保護1.0 進行了發展與完善，能夠為網絡安全防護工作的實施提供有效的指導。電力企業要結合網絡安全等級保護2.0 的要求，依照“一個中心、三重防護”的安全架構優化、完善網絡安全技術防護與管理防護，結合先進技術的運用以及管理體系的不斷完善，有效應對各種安全風險問題，促使信息系統的整體安全得到進一步增強。