电网企业信息安全保障体系研究与应用.pdf

第一届电力安全论坛论文集 电网企业信息安全防护体系研究与应用 江龙才 ( 安徽省电力公司池州供电公司2 4 7 0 0 0 ) 摘要：电网企业信息化应用日臻成熟，网络系统向广度、复杂度延伸，应用系统向深度、企业级发展由于信息技术更新 发展迅速，复杂的网络与业务应用系统的漏洞、脆弱性日益暴露，继之而来的安全防护显得越来越重要。本文通过对企业信 息安全工作的实践，提出电网企业信息安全防护体系设计和建设框架，从而最大限度、可持续地保障企业网络与信息系统的 安全性。 关键词：电网企业：信息安全：防护体系；研究；应用 A b s t r a c t ：T h ee l e c t r i c a ln e t w o r ke n t e r p r i s ei n f o r m a t i o na p p l i c a t i o nr i p e n sd a yb yd a y a n dt h en e t w o r ks y s t e m p r o l o n g st os c o p ea n dc o m p l e x i t y ，a n dt h ea p p li c a t i o ns y s t e mi sd e v e l o p e dt od e g r e eo fd e p t ha n de n t e r p r i s e l e v e l O w i n gt ot h ei n f o r m a t i o nt e c h n o l o g yr e n e w i n gt od e v e l o pr a p i d y 。t h el e a ko fc o m p l i c a t e dn e t w o r ka n d v o c a t i o n a lw o r ka p p li c a t i o ns y s t e ma n df r a i l t ye x p o s ei n c r e a s i n g l y ，a n dt h es a f ep r o t e c t i O nt h a tc o n t i n u e si t a n dc o 皿e s1 0 0 k sm o r ea n dm o r ei m p o r t a n t T h i st e x ti sb yw a yo ft h ep r a c t i c et oe n t e r p r i s ei n f o r m a t i o ns e c u r J t y w o r k ，p u t sf o r w a r de l e c t r i c a ln e t w o r ke n t e r p r i s ei n f o r m a t i o ns e c u r i t yp r o t e c t i n gs y s t e m d e s i g na n d t h e c o n s t r u c t i o nf r a m e ，t h u su t m o s ta n ds a f en a t u r eo fg u a r a n t e ee n t e r p r i s en e t w o r kb r a n c h e r ya n di n f o r m a t i o ns y s t e m w i t hg o i n go n K e y w o r d s ：E l e c t r i c a lN e t w o r kE n t e r p r i s e ；I n f o r m a t i o nS e c u r i t y ；P r o t e c t e dS y s t e m ：R e s e a r c h ；A p p l i c a t i o n 1 引言 随着电网企业信息化工作的深入，国家电网公司“S G l 8 6 ”：l l 程不断上线，电网企业的信息化程度得 到了空前的提升，数字化电网、信息化企业的蓝图逐步实现。随之信息安全的薄弱日益凸现，网络与信息 系统的脆弱性成为企业现代化管理的危险点。由于电网涉及到国计民生，是国家经济发展的能源保障，其 在国民经济发展过程中占据着举足轻重的地位。因此，电网企业信息安全尤为重要。自国家电网公司开始， 直至基层供电企业，均重视信息安全工作，但信息安全工作没有成功的经验可循，如何构筑企业安全的信 息防护体系，是摆在电网企业面前的课题。 2 电网企业信息化及信息安全现状 自2 0 0 6 年国家电网公司提出实施“S G l 8 6 ”信息化丁程以来，电网企业信息化j r 作突飞猛进，网络架 构越来越复杂，覆盖范围越来越广，业务应用越来越深，电网数字化程度越米越高。“S G l 8 6 ”工科的一体 化平台、八人业务应用进展很快，而7 i 大支撑体系建设相对滞后。鉴于电网企业信息安全的重要性，电网 企业信息化分为生产控制火区和管理信息人区，国家电力监管委员会山台了电力二次系统安全防护规 第一届电力安全论坛论文集 定，实行安全分区、网络专用、横向隔离、纵向认证的原则，保障电力监控系统和电力调度数据网络的 安全；在管理大区，实行内外网强隔离措施，保障企业内部管理信息的安全。尽管如此，电网企业的信息 安全仍不容乐观，不安全因素并不是来源于技术，而是管理。一是管理职能的定位，二是管理的规范性， 三是管理的科学性。 3 电网企业信息安全防护需求 信息安全的总需求是物理安全、网络安全、信息内容安全、应用系统安全，安全的最终目标是确保信 息的机密性、完整性、可用性、可控性和抗抵赖性，以及企业对信息资源的控制。由于电力二次系统仅限 于电网层面，基本上是独立的信息处理区，而管理大区相对复杂，生产管理面对更多的关联企业，营销服 务更是面向全社会，其安全隐患也就不言而喻。因此，除了二次系统安全防护规定、内外网强隔离以及防 火墙、防病毒等一些常规技术措施外，还要注重来自外部单位、社会民众的边界防护。面对错综复杂的信 息安全局面，如何构建可信的信息安全防护体系呢? 2 0 0 7 年池州公司有幸成为国网公司信息安全等级保护试点单位之一，并开展了信息安全风险评估工 作。根据信息安全等级保护试点情况，结合省公司信息安全防护工作要求和池州公司实际，设计了池州供 电公司信息安全防护技术方案，并结合等级保护逐步实施。通过信息安全等级保护和风险评估实践，证明 信息安全防护重点在于管理。现代企业管理实践也证明，任何工作都是三分技术，七分管理。电网企业信 息安全工作也不例外，技术只是最基本的手段，规范、科学的管理才是展根本的保障。笔者通过十八年从 事信息化工作的经验，认为信息安全防护体系设计在考虑技术体系之外，还应设计管理体系、监督体系和 考核体系。 4 电网企业信息安全防护体系设计 4 1 信息安全防护技术体系 4 1 1 安全域划分 在设计信息安全防护技术体系时，应按照等级保护的原则进行。根据业务系统的重要程度分成若干个 安全域，并有选择性地进行深度防护，同时需要分析网络与应用的边界，重点加强边界防护。电力二次系 统分为控制区( 安全区I ) 、非控制区( 安全区I I ) ，并与管理大区( 内网) 交换数据，其边界点较少，且 安全性较高( 由于职能定位不同，此处不作阐述) 。管理大区分为内网和外网，外网是一独立系统，通过 隔离装置与内网交换数据，内网相对复杂。边界点较多。根据国家信息安全等级保护要求，对企业网络与 信息系统划分为不同的安全域，定义其受保护的级别，然后设计其防护的深度。根据目前市级供电企业业 务性质，可分为财务系统安全域、营销系统安全域、在线监测系统安全域、直供农电安全域、局域网服务 器安全域、存储备份系统安全域等。财务安全域与公司内部局域网、外网存在边界营销安全域与公司局 域网、外网、银行专线联网存在边界，在线监测安全域和直供农电安全域与公司局域网存在边界。市级供 电企业信息内网安全域划分示意图如图l 。 第一届电力安全论坛论文集 省公司内网县公司内网 ?十J工 l 局域网( 内网) 牟TT：，一，3TT 财务系 一l 营销系统安 一 l 直供农电在线监服务器存储备 拙 八 1 i 全域( 含负 1 1 系统安全测系统系统安份系统 纠L X 土 域 荷管理、集 域安全域 全域安全域 抄等系统) lIlI 上上JJ 银行、税务银行数电费代电费代收 数据交换据交换收点( 外 点( 外网) ( 外网)( 专线)网) 图1市级供电公司信息内网安全域及边界划分示意图 一网络边界- 一应用边界 4 1 2 信息安全深度防护设计 4 1 2 1 管理大区信息外网安全防护设计 管理大区信息外网是一独立系统，并且县、市、省公司通过统一出口连接互联网，省公司在网络出口 部署了防火墙和防病毒系统，市公司层面部署了上网行为管理系统。同时需要从管理上严禁内外网机器混 用。信息外网安全技术防护如图2 所示。 图2 市级供电企业信息外网技术防护示意图 4 1 2 2 管理大区信息内网安全防护设计 信息内网在定义清楚企业信息安全域后，进行深度防护设计时，应根据防护级别区别对待。除考虑常 规防火墙、身份鉴别与认证、系统访问控制、入侵检测、防病毒等技术外，还应考虑网络边界和应用边界 第一届电力安伞论坛论文集 的防护，特别是应用边界容易被忽视。 4 1 2 2 1 网络边界防护设计 网络边界防护根据企业业务应用的实际和安全等级界定。在重点边界采用硬件防火墙进行防护，在非 重点边界采用安全策略进行防护。我们在至省公司、财务系统区、直供农电系统区、服务器区、银电联网 区部署了防火墙，在至县公司处部署了安全网关，其它区域与局域网之间采用安全策略进行防护。市级供 电公司信息内网安全技术防护设计框图如图3 。 省公司内网 县公司内网 防火墙 网关 ： I 善田一# 呐刚t 甲t 防火墙 策略防护 防火墙 策略防护防火墙策略防护 财务系统营销系统安全域 直供农电在线监服务器 存储备 安全域( 含负荷管理、 系统安全测系统 系统安份系统 集抄等系统) 域安全域全域 安全域 银行、税防刽墙电费代 t 务数据交收点 换( 通过 银行数 ( 通过 电费代收 据交换点( 通过 外网)外网) ( 专线)外网) 图3 市级供电公司信息内网安全技术防护设计框图 4 1 2 2 2 应用边界防护设计 由于直供农电系统与营销系统、营销系统与财务系统、财务系统与生产系统等均为紧耦合业务应用， 并且系统之间交换的数据关系企业生产、经营的数据安全，因此需要对应用边界进行安全防护设计。对于 应用边界的防护应考虑三个方面内容，一是在应用开发阶段对数据交换要考虑合法的用户、进行合法地请 求、业务范围内的数据服务，杜绝自动触发式的强行写数据( 非本文内容，不作展开) ；二是建立统一的 应用系统服务认证系统，对业务数据交换进行认证、跟踪、事件记录( 便于审计) ；三是建立数据加密机 制。目前，在省公司的统一部署下，正在着于建立网络与应用系统统一认证系统。 4 1 2 2 3 网络与信息系统整体防护设计 信息安全整体防护是对企业整体而言，应包括网络入侵检测、网络防病毒、网络与应用系统访问认证 等。目前，我们已经部署了网络入侵检测、网络防病毒系统。 4 1 2 2 4 信息系统灾难恢复与备份设计 为保障应用系统在故障情况下能快速恢复正常运行，并最大限度地保障企业数据的完整性和安全性， 需要设计灾难恢复与备份系统。2 0 0 7 年我们建立了S A N 存储网络，并实现了数据远程容灾存储，同时建 立了一套在线数据备份系统。 4 2 信息安全防护管理体系 网络与信息系统是企业现代化管理的基石。由于网络与信息系统的复杂性、动态性和脆弱性，建立健 第一届电力安全论坛论文集 全信息安全管理体系是保障网络与信息系统安全的根本。笔者通过从事信息化工作的实践，认为管理体系 需要从规范的运行管理，科学的维护检修管理，完善的应急管理，可靠的风险管理等几个方面来建立。 4 2 1 规范的运行管理 运行维护工作需要一定的技术标准支撑，以监视系统运行的状态，及时发现系统存在的漏洞和不安全 因素，并加以排除。国家电网公司曾制定了国家电网公司信息网络运行管理规程( 试行) ，以规范信息 网设备、系统的运行管理。但一直未形成行业或系统正式技术标准，仍作为一般的管理措施对待，其执行 的效果也就大打折扣。 4 2 2 科学的维护检修管理 由于网络交换机、路由器、服务器、安全产品等信息网设备需要维护、检修。过去技术人员存在盲目 维护、检修，随意性很大，存在安全隐患。我们通过实践摸索，汇总设备需要检测的项目及要求形成规范 化的维护项目：借鉴电力生产作业指导书管理经验，对信息网设备检修制定规范的检修作业指导书。逐步 建立信息网设备维护、检修的规范性和科学性。 4 2 3 完善的应急机制 保障网络与信息系统安全稳定运行的管理体系不仅仅是对运行维护、检修的规范化、标准化的要求， 还要建立应急处理机制和预案，在网络与信息系统出现突发事件时能从容应对，快速恢复系统的运行，将 损失和破坏降到最低。 4 2 4 可靠的风险管理 通过实践证明，应急只是突发事件的被动处理，更重要的是要建立风险管理机制，及早发现安全隐患， 是主动的安全管理方式。国家电网公司现己制定了国家电网公司信息安全风险评估实施指南等技术标 准，为可靠的风险管理提供了技术支撑。 4 3 信息安全防护监督体系 由于人的作业行为受主观因素的左右，或多或少地存在随意性，需要进行监督。因此，信息安全监督 职能需要从运行、检修、管理职能中分离出来，并对人的运行、检修行为规范进行监督。 4 3 1 作业行为规范监督 电力安全生产由电力安全工作规程来规范作业者的行为，其核心是工作票管理，通过规范填写安 全措施来保障人身和设备安全。我们通过借鉴，制定了池州供电公司网络与信息系统安全工作规程， 以网络和应用两种工作票的执行为重点，对网络与信息系统作业人员进行行为监督、保密约束。 4 3 2 安全审计 信息安全审计是技术层而的安全监督，是技术与管理的交叉点，大部分人把它纳入信息安全技术体系， 笔者认为将其纳入监督体系比较合适。因为技术体系由技术管理层面人员承担，前面说过，人的工作行为 需要可靠监督。如果安全审计仍由技术管理人员承担，就可能疏忽或遗漏审计结果的应用，安全审计纳入 监督体系，不但可以从监督角度来分析网络与信息系统的安全性，还可以通过审计来发现技术人员从事技 术工作的完整性和可靠性。信息安全审计包括对网络系统的审计、主机系统的审计、应用系统的审计等。 4 4 信息安全防护考核评价体系 管理体系是信息安全的基本保障，监督体系是对管理过程的规范监督，而考核评价体系则是信息安全 激励改进措施，以提高网络与信息系统的运行管理水平。 5 电网企业信息安全防护体系实践与运用 电网企业自2 0 0 6 年全面实施“S G l 8 6 ”信息化工程以来，信息网络发展迅速，信息应用广泛而深入， 2 0 0 8 年安徽省公司义在强力推广应用E R P 系统。为了保障企业信息安全，建立健全安全防护体系十分重 要。在技术层面，我们借信息安全等级保护试点之机设计了信息安全技术防护方案，并逐步实施：在管 第一届电力安全论坛论文集 理层面，自2 0 0 3 年安徽省电力公司开展信息化管理年活动开始，我们一直在探索研究信息化管理体系， 在国家电网公司信息网络运行管理规程的基础上，制定并执行池州供电公司网络与信息系统运行规 程企业信息化技术标准，取得了良好的效果：在监督层面，2 0 0 7 年我们借鉴电力安全生产监督体系实践 经验，制定了池州供电公司网络与信息安全工作规程，突出网络和应用“两票”管理，实现了有效的 安全监督；在考核层面，我们已将信息安全纳入安全生产体系，同步开展、同步检查、同步考核奖惩。 6 结束语 尽管电网企业信息安全防护工作逐步受到重视，但由于其动态性、发展性、复杂性，信息化工作职能 定位、功能划分还需要在实践中不断完善、逐步清晰。因此，电网企业信息安全防护体系建设任重而道远。 参考文献： 1 俞承杭。信息安全技术北京：科学出版社，2 0 0 5 作者简介： 江龙才( 1 9 6 8 - ) ，本科学士高级工程师，现从事信息技术管理工作 联系电话：0 5 6 6 - 2 0 9 8 1 2 0 E m a i hj l c 6 8 5 12 6 t o m 9 1 电网企业信息安全防护体系研究与应用电网企业信息安全防护体系研究与应用 作者：江龙才 作者单位：安徽省电力公司池州供电公司 247000 相似文献(10条)相似文献(10条) 1.期刊论文 沈曙明.SHEN Shuming ISO/IEC信息安全管理标准在电网企业中的应用 -电力系统自动化2007,31(14) 随着信息技术被广泛地应用于电力行业,信息已经成为现代供电企业的一种重要资产,网络与信息安全问题越来越引起人们的关注.解决网络与信息安 全问题不仅要从技术方面着手,同时更应加强其管理工作.嘉兴电力引入ISO/IEC 17799和ISO/IEC 27001这2个信息安全管理标准,对网络与信息安全进行 全面规划,建立信息安全管理体系,通过系统的信息安全管理方法来实现信息安全的可控、能控、在控,成效显著. 2.会议论文 吴国庆.赵琳娣 电网公司基于ISO标准的信息安全管理 2008 随着信息化的持续推进，电网企业的信息安全问题越来越突出。嘉兴电力率先开展信息集中化建设，信息化从专业级应用、部门级应用全面迈向企 业级应用，信息化整合工作初见成效。继2004年引入ITIL服务管理以后，2006年又实现了信息安全的标准化管理，通过引入ISO/IEC27001:2005，建立一 体化的企业级信息安全管理体系，彻底扭转了信息安全管理的被动局面，成为嘉兴电力信息化建设的强力保障。由于电网企业管理模式的相似性，嘉兴 的管理成果可以为同行起到很好的借鉴作用。 3.会议论文 王志强.李建刚.吴国庆.赵琳娣 电网企业信息安全管理体系建设初探 2007 本文基于电网企业实际提出通过引入国际标准和最佳业务实践建立、实施、运行、监视、评审、保持和改进文件化的ISMS来实现对信息安全的“预控 、在控、可控、能控“,并就如何把握重要资产识别、风险评估、体系文件编制3个影响ISMS质量的重要环节阐述了要点. 4.会议论文 章敏 风险管理技术在电网企业信息安全管理中的应用 2008 将企业信息安全管理体系的建立纳入企业安全生产管理的战略之中，以“安全第一，预防为主，综合治理”为安全生产指导方针来构建绿色电力 IT，突出领导重视，全员参与，应用现代项目管理和质量控制方法和手段，通过全过程的风险管理，采取主动的防御策略，有效识别信息安全风险，建 立现代质量管理PDCA循环工作方式，实现只有起点、没有终点的持续改进，进而完善企业信息安全，切实做到信息安全风险可控、能控和在控。 5.会议论文 江龙才 电网企业信息安全防护体系研究与应用 2008 电网企业信息化应用日臻成熟，网络系统向广度、复杂度延伸，应用系统向深度、企业级发展。由于信息技术更新发展迅速，复杂的网络与业务应 用系统的漏洞、脆弱性日益暴露，继之而来的安全防护显得越来越重要。本文通过对企业信息安全工作的实践，提出电网企业信息安全防护体系设计和 建设框架，从而最大限度、可持续地保障企业网络与信息系统的安全性。 6.会议论文 江龙才 电网企业信息安全等级保护工作试点综述 2008 国家电网公司信息安全等级保护工作于2006年下半年开始启动，安徽池州供电公司为试点单位之一。介绍池州供电公司信息安全等级保护试点工作 进展情况、应用效果及推进建议。 7.会议