电网企业信息安全防护体系研究与应用研究.pdfVIP

中国电机工程学会地世界青年学术会议 ·吉林 电网企业信息安全防护体系研究与应用 江龙才 （安徽省电力公司池州供电公司 湖南 安徽 247000 ） 摘要：电网企业信息化应用日臻成熟，网络系统向广度、复杂度延伸，应用系统向深度、企业级发展。由于信息技术更 新发展迅速，复杂的网络与业务应用系统的漏洞、脆弱性日益暴露，继之而来的安全防护显得越来越重要。本文通过对企业 信息安全工作的实践，提出电网企业信息安全防护体系设计和建设框架，从而最大限度、可持续地保障企业网络与信息系统 的安全性。 关键词：电网企业；信息安全；防护体系；研究；应用 1 引言 随着电网企业信息化工作的深入，国家电网公司“SG186 ”工程不断上线，电网企业的信息化程度得 到了空前的提升，数字化电网、信息化企业的蓝图逐步实现。随之信息安全的薄弱日益凸现，网络与信息 系统的脆弱性成为企业现代化管理的危险点。由于电网涉及到国计民生，是国家经济发展的能源保障，其 在国民经济发展过程中占据着举足轻重的地位。因此，电网企业信息安全尤为重要。自国家电网公司开始， 直至基层供电企业，均重视信息安全工作，但信息安全工作没有成功的经验可循，如何构筑企业安全的信 息防护体系，是摆在电网企业面前的课题。 2 电网企业信息化及信息安全现状 自2006 年国家电网公司提出实施“SG186”信息化工程以来，电网企业信息化工作突飞猛进，网络架 构越来越复杂，覆盖范围越来越广，业务应用越来越深，电网数字化程度越来越高。“SG186”工程的一体 化平台、八大业务应用进展很快，而六大支撑体系建设相对滞后。鉴于电网企业信息安全的重要性，电网 企业信息化分为生产控制大区和管理信息大区，国家电力监管委员会出台了《电力二次系统安全防护规 定》，实行安全分区、网络专用、横向隔离、纵向认证的原则，保障电力监控系统和电力调度数据网络的 安全；在管理大区，实行内外网强隔离措施，保障企业内部管理信息的安全。尽管如此，电网企业的信息 安全仍不容乐观，不安全因素并不是来源于技术，而是管理。一是管理职能的定位，二是管理的规范性， 三是管理的科学性。 3 电网企业信息安全防护需求 信息安全的总需求是物理安全、网络安全、信息内容安全、应用系统安全，安全的最终目标是确保信 息的机密性、完整性、可用性、可控性和抗抵赖性，以及企业对信息资源的控制。由于电力二次系统仅限 于电网层面，基本上是独立的信息处理区，而管理大区相对复杂，生产管理面对更多的关联企业，营销服 务更是面向全社会，其安全隐患也就不言而喻。因此，除了二次系统安全防护规定、内外网强隔离以及防 火墙、防病毒等一些常规技术措施外，还要注重来自外部单位、社会民众的边界防护。面对错综复杂的信 息安全局面，如何构建可信的信息安全防护体系呢？ 2007 年池州公司有幸成为国网公司信息安全等级保护试点单位之一，并开展了信息安全风险评估工 作。根据信息安全等级保护试点情况，结合省公司信息安全防护工作要求和池州公司实际，设计了池州供 电公司信息安全防护技术方案，并结合等级保护逐步实施。通过信息安全等级保护和风险评估实践，证明 信息安全防护重点在于管理。现代企业管理实践也证明，任何工作都是三分技术，七分管理。电网企业信 息安全工作也不例外，技术只是最基本的手段，规范、科学的管理才是最根本的保障。笔者通过十八年从 事信息化工作的经验，认为信息安全防护体系设计在考虑技术体系之外，还应设计管理体系、监督体系和 考核体系。 - 1900 - 中国电机工程学会地世界青年学术会议 ·吉林 4 电网企业信息安全防护体系设计 4.1 信息安全防护技术体系 4.1.1 安全域划分 在设计信息安全防护技术体系时，应按照等级保护的原则进行。根据业务系统的重要程度分成若干个 安全域，并有选择性地进行深度防护，同时需要分析网络与应用的边界，重点加强边界防护。电力二次系 统分为控制区（安全区 I）、非控制区（安全区 II），并与管理大区（内网）交换数据，其边界点较少，且安 全性较高（由于职能定位不同，此处不作阐述）。管理大区分为内网和外网，外网是一独立系统，通过隔 离装置与内网交换数据，内网相对复杂，边界点较多。根据国家信息安全等级保护要求，对企业网络与信 息系统划分为不同的安全域，定义其受保护