謹(jǐn)防內(nèi)患，電力系統(tǒng)安全審計(jì)促“合規(guī)”

2013-10-17 10:38:43 EP電力信息化網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

電力行業(yè)是國(guó)民經(jīng)濟(jì)的基礎(chǔ)產(chǎn)業(yè)，是國(guó)民經(jīng)濟(jì)發(fā)展和人民生活極其重要的基礎(chǔ)設(shè)施之一。近些年來(lái)，電力的信息化建設(shè)取得了非常顯著的成就，信息化建設(shè)已經(jīng)有了一定的規(guī)模，形成了微波、衛(wèi)星、光纖、無(wú)線移動(dòng)通信等多種類通信手段，通信范圍覆蓋全國(guó)。基本建成從國(guó)家電網(wǎng)公司→區(qū)域電網(wǎng)中心→省電力公司→地市電力公司→變電所（局）的四級(jí)計(jì)算機(jī)網(wǎng)絡(luò)和電力生產(chǎn)調(diào)度網(wǎng)絡(luò)，成為生產(chǎn)控制、電力調(diào)度以及信息傳輸和交換的重要基礎(chǔ)設(shè)施。但面對(duì)外圍行業(yè)中存在的網(wǎng)絡(luò)違規(guī)行為日益泛濫，電力行業(yè)各公司開(kāi)始認(rèn)識(shí)到強(qiáng)化對(duì)各直屬機(jī)構(gòu)的信息管理系統(tǒng)的安全建設(shè)的必要性，尤其是面對(duì)內(nèi)部大量調(diào)度信息等關(guān)鍵數(shù)據(jù)的操作的安全性，是電力行業(yè)“安全生產(chǎn)”的立命之本。面向業(yè)務(wù)安全的IT治理，加強(qiáng)對(duì)業(yè)務(wù)安全的監(jiān)控和管理，以保證電力系統(tǒng)安全生產(chǎn)成為重要的課題。

電力系統(tǒng)業(yè)務(wù)安全的指導(dǎo)思路

談到電力行業(yè)的IT治理，不得不從行業(yè)的幾個(gè)重要信息化指導(dǎo)性文件說(shuō)起。從2002年國(guó)家經(jīng)貿(mào)委的第30 號(hào)令（《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》），2004年國(guó)家電力監(jiān)管委員會(huì)第5 號(hào)令（《電力二次系統(tǒng)安全防護(hù)規(guī)定》），到2005年電力二次系統(tǒng)安全防護(hù)專家組和工作組提出的《電力二次系統(tǒng)安全防護(hù)總體方案》，都很大篇幅地涵蓋了IT治理方面的明確要求。天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)正是順應(yīng)了這樣的需求背景，滿足了電力行業(yè)IT治理的安全需求，并得到了一個(gè)又一個(gè)行業(yè)用戶的肯定。

電力行業(yè)的信息系統(tǒng)龐大復(fù)雜，IT系統(tǒng)治理難度大。按照《電力二次系統(tǒng)安全防護(hù)規(guī)定》的安全分區(qū)原則，調(diào)度中心（省調(diào)及以上）的所有二次系統(tǒng)應(yīng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)分為控制區(qū)和非控制區(qū)，管理信息大區(qū)分為生產(chǎn)管理區(qū)和管理信息區(qū)。這幾個(gè)區(qū)域都轄及了多個(gè)紛繁復(fù)雜的信息系統(tǒng)，例如，控制區(qū)內(nèi)有實(shí)時(shí)閉環(huán)控制的SCADA（Supervisory Control And Data Acquisition系統(tǒng)，即數(shù)據(jù)采集與監(jiān)視控制系統(tǒng))等系統(tǒng)；非控制區(qū)內(nèi)包含調(diào)度員培訓(xùn)、考核等系統(tǒng)；生產(chǎn)管理區(qū)內(nèi)有電力監(jiān)管信息系統(tǒng)和調(diào)度管理信息系統(tǒng)等；管理信息區(qū)內(nèi)有辦公自動(dòng)化等系統(tǒng)。

以上可見(jiàn)，電力信息系統(tǒng)的業(yè)務(wù)安全防護(hù)總體策略，主要側(cè)重在四個(gè)層面。

第一，引入審計(jì)機(jī)制，不僅要對(duì)網(wǎng)絡(luò)訪問(wèn)的結(jié)果進(jìn)行監(jiān)督，更重要的是要對(duì)訪問(wèn)過(guò)程進(jìn)行全程的監(jiān)督，其目的就是要加強(qiáng)內(nèi)部控制。

第二，引入強(qiáng)身份認(rèn)證技術(shù)，提升原有的身份認(rèn)證強(qiáng)度，杜絕出現(xiàn)口令泄漏、共用賬號(hào)、盜用賬號(hào)等問(wèn)題。

第三，引入訪問(wèn)控制機(jī)制，更合理地管理IT系統(tǒng)的資源及其訪問(wèn)權(quán)限。審計(jì)是一種事后稽查機(jī)制，更多地起到威懾和事后追查的作用；而控制機(jī)制則可以有效地遏制信息資源的盜用、濫用，避免信息資產(chǎn)遭到人為破壞。

第四，引入集中用戶管理技術(shù)，將全系統(tǒng)的用戶進(jìn)行集中管理，一方面降低系統(tǒng)管理的復(fù)雜度和難度，另一方面規(guī)避用戶管理混亂的問(wèn)題，從而使得全系統(tǒng)的用戶管理可以嚴(yán)格地按照相關(guān)的安全規(guī)定、安全策略來(lái)有效實(shí)施。

電力系統(tǒng)部署安全審計(jì)的必要性

電力行業(yè)是技術(shù)密集和裝備密集型產(chǎn)業(yè)，其獨(dú)特的生產(chǎn)與經(jīng)營(yíng)方式?jīng)Q定了其信息化發(fā)展的模式。通過(guò)對(duì)電力行業(yè)各類系統(tǒng)的分析和安全需求分析，我們認(rèn)為以審計(jì)系統(tǒng)為核心，加強(qiáng)IT信息系統(tǒng)的合規(guī)性管理，可以解決以下核心的業(yè)務(wù)安全問(wèn)題。

第一，保障業(yè)務(wù)的連續(xù)性，確保安全生產(chǎn)無(wú)隱患。

電力調(diào)度數(shù)據(jù)網(wǎng)作為電力系統(tǒng)的調(diào)度依據(jù)，與電力系統(tǒng)的安全穩(wěn)定運(yùn)行緊密關(guān)聯(lián)。事實(shí)上，很多的變電站通過(guò)接入調(diào)度中心SCADA系統(tǒng)以集調(diào)合一的模式實(shí)現(xiàn)無(wú)人值守，大量接入SCADA系統(tǒng)的后臺(tái)數(shù)據(jù)庫(kù)，因此，監(jiān)控系統(tǒng)和數(shù)據(jù)傳輸內(nèi)容是其業(yè)務(wù)連續(xù)性的核心。而部署天玥網(wǎng)絡(luò)審計(jì)系統(tǒng)就能很好解決數(shù)據(jù)傳輸內(nèi)容的監(jiān)控和接入管理問(wèn)題。天玥系統(tǒng)提供基于角色的訪問(wèn)控制與審計(jì)，不但能夠有效地控制運(yùn)維操作風(fēng)險(xiǎn)，而且能夠有效區(qū)分不同維護(hù)人員的身份，便于事后追查原因與界定責(zé)任，確保了電力調(diào)度數(shù)據(jù)網(wǎng)的業(yè)務(wù)連續(xù)和安全運(yùn)行。

第二，彌補(bǔ)傳統(tǒng)安全手段，強(qiáng)化深度防護(hù)能力，提升IT系統(tǒng)管理水平。

電力行業(yè)調(diào)度中心出于網(wǎng)絡(luò)安全防護(hù)的需要，往往設(shè)置了專用隔離裝置、防火墻、入侵檢測(cè)等設(shè)備。傳統(tǒng)的IDS、防火墻等安全設(shè)備針對(duì)攻擊、木馬、入侵等行為能夠起到有效的防范作用，但是針對(duì)內(nèi)部人員的正常操作訪問(wèn)所存在的風(fēng)險(xiǎn)卻愛(ài)莫能助。因?yàn)椴僮黠L(fēng)險(xiǎn)“看”起來(lái)更象是一種正常的業(yè)務(wù)行為，它通常來(lái)自內(nèi)部，而且與業(yè)務(wù)結(jié)合得非常緊密。天玥網(wǎng)絡(luò)審計(jì)系統(tǒng)將管理工具與各電力單位自身的管理制度相結(jié)合，針對(duì)電力信息系統(tǒng)中所有的業(yè)務(wù)操作行為進(jìn)行審計(jì)和監(jiān)控，提升了電力企業(yè)應(yīng)對(duì)突發(fā)事件的能力。

第三，細(xì)化違規(guī)操作行為的記錄，確保核心資產(chǎn)免遭破壞。

對(duì)電力企業(yè)的業(yè)務(wù)系統(tǒng)來(lái)說(shuō)，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個(gè)關(guān)鍵系統(tǒng)上（如數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器等），電力企業(yè)里負(fù)責(zé)運(yùn)維的部門通常擁有目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)設(shè)備的最高權(quán)限，如root帳號(hào)的口令，但是，由于目標(biāo)系統(tǒng)不能區(qū)別不同人員使用同一個(gè)帳號(hào)進(jìn)行維護(hù)操作，所以不能界定維護(hù)人員的真實(shí)身份，這增大了系統(tǒng)連續(xù)運(yùn)行的危險(xiǎn)性。天玥審計(jì)系統(tǒng)能夠加強(qiáng)對(duì)這些關(guān)鍵系統(tǒng)的訪問(wèn)控制與審計(jì)，從而有效減少核心信息資產(chǎn)的破壞和泄漏。

天玥安全審計(jì)系統(tǒng)的核心價(jià)值

第一，滿足合規(guī)性要求，順利通過(guò)IT審計(jì)。目前，越來(lái)越多的組織機(jī)構(gòu)面臨一種或者幾種合規(guī)性要求。例如：政府等行政部門或國(guó)有企業(yè)需遵循等級(jí)保護(hù)等合規(guī)性要求。天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了具有針對(duì)性的審計(jì)方案，有助于完善各組織機(jī)構(gòu)的IT內(nèi)控與審計(jì)體系，從而滿足各種合規(guī)性要求，使得各組織機(jī)構(gòu)能夠順利通過(guò)IT審計(jì)。

第二，有效減少業(yè)務(wù)系統(tǒng)核心信息資產(chǎn)的破壞和泄漏，降低損失。在業(yè)務(wù)系統(tǒng)中，真正重要的核心信息資產(chǎn)往往存放在關(guān)鍵系統(tǒng)上。通過(guò)使用天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，能夠加強(qiáng)對(duì)這些關(guān)鍵系統(tǒng)的訪問(wèn)控制與審計(jì)，從而有效減少核心信息資產(chǎn)的破壞和泄漏。

第三，有效控制運(yùn)維操作風(fēng)險(xiǎn)，便于事后取證免責(zé)。天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)采用基于角色的訪問(wèn)控制與審計(jì)機(jī)制，不僅能夠有效控制運(yùn)維操作風(fēng)險(xiǎn)，還能夠有效區(qū)分不同維護(hù)人員的身份，同時(shí)能夠完整回放事故當(dāng)時(shí)操作場(chǎng)景，定位事故真正責(zé)任人，便于事后追查原因與界定責(zé)任。

第四，有效控制業(yè)務(wù)運(yùn)行風(fēng)險(xiǎn)，全局把控業(yè)務(wù)系統(tǒng)安全狀況。天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供業(yè)務(wù)流量實(shí)時(shí)監(jiān)控與審計(jì)事件統(tǒng)計(jì)分析功能，能夠直觀地反映網(wǎng)絡(luò)環(huán)境的安全狀況，特別是系統(tǒng)維護(hù)、訪問(wèn)量、業(yè)務(wù)流量、業(yè)務(wù)訪問(wèn)分布、數(shù)據(jù)庫(kù)訪問(wèn)分布等重要信息，使得管理者可以直觀的實(shí)時(shí)了解業(yè)務(wù)系統(tǒng)安全狀況。

從長(zhǎng)遠(yuǎn)看，電力行業(yè)的合規(guī)性治理是一項(xiàng)復(fù)雜和艱巨的任務(wù)，通過(guò)部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，可以改善IT系統(tǒng)的治理結(jié)構(gòu)，完善信息安全的體系化建設(shè)。隨著《電力二次系統(tǒng)安全防護(hù)規(guī)定》在電力行業(yè)的層層推進(jìn)，天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)一定能為電力行業(yè)業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定運(yùn)行做出貢獻(xiàn)。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊