随着信息技术在电力行业经营管理中的广泛应用,信息安全问题越来越显得重要。电力系统信息安全问题威胁到电力系统的安全、稳定、经济、优质的运行,影响着数字电力系统信息化的实现进程。维护网络安全,确保业务系统的稳定可靠、防止“内外部黑客”的攻击,制定电力系统信息遭受外部攻击时的应急响应措施等都是电力网络信息系统安全不可忽视的组成部分。
1. 电力信息系统安全现状概述
近年来,信息技术在电力企业管理、生产管理和过程管理中的应用,提高了电力企业的生产运行和经营管理水平。电力行业是国家重要的能源支柱产业,也是我们日常工作和生活的基础保障。
全国电力行业覆盖了五大发电集团和两大电网公司,电力网络采用全网统一调度,分级管理的管理模式。安全防护的核心业务系统包括二次系统,电力市场监控系统,完成生产过程中控制、调节、保护和监测管理的信息系统。其运行的基础网络平台包括调度数据网和数据通信网。电力系统核心网络按业务类型划分,可以分成四大区域:实时控制区、非控制区、生产管理区和管理信息区。
2002年国家经贸委根据我国电网调度系统的具体情况发布了《电网和电厂计算机监控系统及调度数据网络安全防护规定》,电网和电厂围绕着加强电力调度数据网络安全、保证电力安全生产等方面作了大量工作,采取了许多有效措施防止病毒入侵和黑客攻击。但在网络建设、网络划分及网络连接等过程中仍然存在不同程度的隐患。为了使电力调度数据网络安全在建设、运行、维护和管理等方面有章可循、有法可依,2005年国家电力监管委员会又颁布了《电力二次系统安全防护规定》。
东软NetEye一直专注于电力行业并致力于提供从网络平台到应用系统的行业全面解决方案,并在各省市数十家电力企业成功地完成安全方案设计和实施工作,广泛的行业成功经验帮助我们准确、深入、全面地掌握电力行业的需求,这是我们的核心竞争力。
2. 东软NetEye电力信息系统安全风险分析
由于近年来电力网络系统与外界接口的增加,特别是与银行等预算单位中间业务的接口、网上电力服务、数据大集中应用等需求的发展,改变了一直以来网络结构和业务系统的相对封闭性,使得安全问题不仅仅源于内部事件,来自外界的攻击已越来越多。网络应用的扩大,网络安全风险变得更加严重和复杂,原来由单个计算机安全事故引起的损害可能通过网络传播到其他系统和主机,引起大范围的瘫痪和损失;另外,加上网络用户人员缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险可谓日益加重。归结起来,针对电力网络系统安全的威胁主要涉及两个层面:
l 信息网络安全体系层面
电力系统虽然制定了指导整个电力信息网络系统安全运行的管理规范,但尚未建立同电力行业特点相适应的健全的信息网络安全体系。面临着包括网络边界安全风险:不同安全域之间的网络连接没有有效访问控制措施,来自Internet的访问请求可达各服务器资源,存在潜在的扫描攻击、DOS攻击、非法侵入等;业务安全风险:缺乏严格的验证机制导致非法用户使用关键业务系统,不同业务系统之间缺少较细粒度的访问控制;数据传输的安全风险:如调度数据网的数据在不同级调度中心之间进行交互时被窃听;系统基础平台安全风险:全网所有终端和服务器的平台安全,系统或设备的安全漏洞所带来的风险;病毒安全风险:全网任何一点感染病毒都将带来巨大的破坏,网络化的环境需要网络化的防病毒方案,多层次的防护体系。所以,为保证电力系统安全、稳定、高效运行,应建立一套结合电力行业特点的信息网络安全体系。
l 安全管理层面
为保证庞大的电力信息网络系统不间断的正常运行,需要定期对系统进行安全状况评估和加固,并具备一套完整的应急响应机制。安全服务需要资深的专家队伍和昂贵的安全评估设备,并且涉及到各种网络信息技术领域。在现有条件下,单纯依赖于电力系统自有人员来进行安全服务是不现实的。
3. 东软NetEye解决方案
东软NetEye在最先进的安全技术产品和在电力行业多年经验的基础上,认真分析国家经贸委关于《电网和电厂计算机监控系统及调度数据网络安全防护规定》、《电力二次系统安全防护规定》,结合当前电力行业的总体信息安全现状,总体信息安全需求,提出从安全策略的建立到完整信息安全体系建立,包括应急响应制度、安全队伍建设所有内容的完整解决方案,成为电力行业可靠的安全顾问,为电力行业业务安全提供坚强的后盾。
从前面分析目前电力行业面临的所有的风险和问题来看,建议采取三方面针对性的解决方案:
首先,需建设全面的安全防护体系,对现有网络和数据的保护进行加固。为了实现全面的安全目标,需要全面考虑对于安全产品的布署需求。因此建议有重点的布署安全产品:
l 安全域划分与边界安全访问控制,明确资产分布及数据敏感程度,在关键业务和数据网段部署先进的防火墙系统;
建立网络入侵检测系统,增强审计响应手段,提高对异常行为的深度检测和安全事件的集中分析、定位、追查等能力;