电力系统信息安全加固框架的研究.pdfVIP

2006车电力行业信息化车会论文第／信息安朔窖灾拄术 ” …”Z==罂蜀 电力系统信息安全加固框架的研究 余勇，林为民 (国网南京自动化研究院信息所，江苏省南京市210003) 【摘要】安全加固是电力系统信息安全防护的一项重要内容，它可以降低应用系统的风险，提 升整个应用系统的安全水平。文中详细阐述了电力系统安全信息安全加固的框架，包 括安全加固的原则、范围、流程，并指出电力系统的安全加固应该是一项长期持续的 工作。 【关键词】安全加固：资产：漏洞；风险控制 O引言 随着信息技术在电力系统中的应用日益广泛，特别是电力市场的发展，要求在调度中心、用户等 之间进行的数据交换也越来越频繁。电力系统一次设各的改善，其可控性已满足闭环的要求。电厂、 变电站减人增效，大量采用远方控制，这对电力控制系统和数据网络的安全性、可靠性、实时性提出 普及，但同时病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变电站在规划、设计、建设控 制系统和数据网络时，对网络安全问题重视不够，使得具有实时远方控制功能的监控系统，在没有有 效安全隔离的情况下与当地的MIS系统或其他数据网络互连，构成了对电网安全运行的严重隐患。除 此之外，还存在黑客在调度数据网中采用“搭接”的手段对传输的电力控制信息进行“窃听”和“篡 改”，进而对电力一次设备进行非法破坏性操作的威胁。因此电力系统的安全性和可靠性己成为一个非 常紧迫的问题。 信息安全加固“’“是电力系统安全防护的一项重要内容。它是指通过一定的技术手段，提高网络和 主机系统的安全性和抗攻击能力，它是保障电力系统信息安全的关键环节。常用的安全加固方式是对 系统和网络作相应的安全配置，并结合检测服务使得系统保持在一个较高的安全级别之上。在操作系 统级别上，主要进行系统后门检测、基本系统安全配置、口令与帐户安全审计、常见网络服务安全性 问题检查等工作；在数据库级别上，主要进行权限分配、口令与帐户的管理、日志审计、补丁情况等 工作；在网络设各级别上，主要进行远程管理和维护的安全性设置、口令安全性审计、配置确认与清 理、系统升级与补丁安装等工作。 通过安全加固，可以将整个应用系统的安全状况提升到一个较高的水平，尽可能地消除或降低应 用系统的安全风险。 1安全加固的原则 为了确保电力系统安全加固高效、顺利地进行，安全加固工作将遵循以下原则进行。 (1)标准性原则：安全加固方案的设计与实施应依据国内或国际的相关标准进行，如电监会的5 翼垦璧墼矍翼耋三二薹圣：：：二垡星塞全墨墨垄垄垄』坌堂鱼皇垄笪些笪塞丝圭叁丝塞箜 号令、SP800—14、SP800-44等。 (2)规范性原则：工作中的过程和文档，要求很好的规范性，可以便于项目的跟踪和控制； (3)可控性原则：加固的方法和过程要在双方认可的范围之内，加固服务的进度要跟上进度表的 安排，保证电力企业对于加固工作的可控性； (4)整体性原则：加固的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造 成未来的安全隐患； (5)最小影响原则：加固工作应尽可能小的影响系统和网络的正常运行，不会对正在的运行和业 务的正常提供产生显著影响，特别不能影响到电力生产控制系统的工作； (6)保密原则：对加固的过程数据和结果数据严格保密，未经授权不能泄露任何给任何单位和个 人，不能利用此数据进行任何破坏电力企业网络和系统的行为。 2安全加固的范围 安全加固应覆盖电力系统的网络、应用系统、业务流程以及相关管理制度。具体如下： (1)网络 包括网络架构及网络边界。主要内容包括电力网络带宽、通信协议、核心网络设各(如：交换机， 路由器等)、地理分布方式和网络管理方式等。网络的接入包括：各个业务系统之间的边界接口、电力 间的接口、与DMIS之间的接口以及拨号访问、ADSL访问、VPN等对象。 (2)系统软件 NT、Windows 包括操作系统、数据库系统、中问件系统等的配置及管理。操作系统包括Windows 2000、WindoWS2003、WindowsXP、Solads、AIX、HP