隨著“互聯網+”模式的創新突破和快速應用, 能源互聯網正在快速改變電力工業的生態環境, 電力工業呈現出了“廣泛互聯、高度智能、開放互動、靈活服務”的全新特點。全新的能源互聯網架構及其新業務形態對電力信息網絡安全防護提出了新的演進需求, 由此也將帶來一系列的信息安全問題。同時, 國內外愈發惡劣的網絡環境、新型網絡攻擊快速衍變, 也對電力信息安全工作提出了全新挑戰。

在此大背景下, 本文充分借鑒了國內外先進信息安全治理和運營理念, 以立體化、全局式的智能防護和控制思想為出發點, 在繼承電力行業信息安全主動防護體系基礎之上, 提出了一種以“智能+防護+控制”為基礎, 貫穿信息系統全生命周期的電力信息網絡安全架構, 并提出了演進路線, 以持續滿足電力行業“十三五”期間信息安全工作的新要求。

新一代電力信息網絡安全架構模型

電力信息網絡安全應集中反映大視角、多維度、全過程、一體化的高級信息安全防護思想。安全模型遵循整體性與分布性、主動性與動態性的原則。

新一代的電力信息網絡安全架構模型按照“云+端+邊界”立體智能防護的要求, 結合國際先進信息安全管理體系(ISMS)理念, 合理確定電力信息網絡的安全需求, 從管理、策略、角色、技術多個安全維度綜合考慮應對安全策略及管理措施。

安全需求

電力信息網絡安全防護需求在信息安全三要素(機密性、完整性、可用性)的基礎上, 擴充了可認證性、可控制性、可識別性、可追溯性、可驗證性和可預測性。其中, 可認證性指對用戶身份、用戶發送的信息內容真實性和有效性的認證能力。可控制性指對信息網絡系統授權范圍內的信息流向具有可以控制的能力。可識別性指對影響信息網絡系統中存在的安全風險是可以主動鑒別的。可追溯性指對信息網絡系統的活動和狀態具有可以追蹤和審計能力。可驗證性指對信息安全相關指標的測試驗證能力。可預測性是指對信息網絡系統全網安全狀態實時感知和動態預警能力。

安全模型四維度

安全模型包括管理、策略、角色與技術四個維度。其中管理是基礎、策略是規則、角色是保障、技術是核心, 通過四個安全維度的建設, 以有效消除安全威脅, 實現預期的安全需求。

管理是安全的重要基石, 滲透于從模型設計到運行過程的各個階段。策略是為發布、管理及保護信息資源而制定的一組制度和規定的總和, 是對信息資源使用和管理的規范性描述。角色是信息安全實現的主體, 所有策略、技術都是由相應角色的人員設計或實現的, 因此安全角色的劃分是否清晰合理對系統安全影響非常大。技術是完成信息安全風險防控的保障手段。

安全模型應用

安全模型在技術平面上涵蓋分級防護、事件感知、預警調度、應急響應、災難恢復和攻防對抗六個環節, 它們具有很強的時序性和動態性, 能夠較好地反映出新一代信息網絡安全架構技術架構的先進性、主動性和完備性。

分級防護確定信息系統保護對象, 并根據對象重要程度進行分等級的防護, 綜合采用網絡隔離、訪問控制、數據加密、權限控制、身份認證、防病毒等適當的技術手段全方位保障信息系統生命周期的三個階段的信息安全。

事件感知通過安全檢測手段及時發現網絡中存在的攻擊行為, 及時識別系統存在的安全風險與漏洞, 對網絡安全事件進行動態感知。

預警調度對可能發生的安全事件進行預警, 對安全事件的擴散范圍、持續時間進行預判, 并依據預警信息, 對安全防護力量進行動態調度。

應急響應針對預警的信息安全事件, 啟動應急預案, 并對事件源進行定位、溯源和取證, 遏制安全事件的擴大化。

災難恢復在系統遭受攻擊后, 及時恢復系統并快速提供正常的服務, 有效降低安全事件造成的損失。

攻防對抗綜合采取各種手段對攻擊者進行反擊, 使其攻擊失效或者阻斷其攻擊。

新一代電力信息網絡安全體系應秉承繼承創新、自主可控、協同對抗、智能防護的原則, 結合電力企業自身信息網絡發展特點, 在管理、策略、角色與技術等方面多措并舉, 穩步形成適應自身實際情況的新一代信息網絡安全架構。

在架構演進的過程中, 需重點做好三個方面的工作。

統一開展信息安全頂層設計

堅持信息安全同步業務發展的思路, 樹立大安全理念, 開展涵蓋電力全業務、全單位、全系統、全過程的信息安全頂層優化設計, 為可持續信息安全工作的開展提供有效的方法論指導。

打造高水平信息安全專業隊伍

建設高水平的信息安全專業隊伍, 創新人才培養和選拔模式, 加快建設信息安全紅藍隊建設, 重點提高人員技術能力和裝備技術水平, 構建合理的信息安全人才梯隊。

 融合構建新型信息安全技術防護體系

堅持信息系統自主可控發展戰略, 加快推進基礎軟件的安全可控以及密鑰算法的國產化工作, 構建安全的研發與供應鏈生態環境。完善安全基礎設施建設, 構建測試驗證中心、漏洞補丁中心、權限控制中心、日志審計中心、智能預警中心、攻防對抗中心等九大安全中心, 融合構建新型信息安全協同聯動技術防護體系。

結語

本文對電力信息網絡安全面臨的挑戰進行了分析, 以立體化、全局式的智能防護和控制思想為出發點, 設計了一種適應新一代電力信息網絡發展要求的安全架構模型, 模型力求構成要素合理完備, 可操作性強, 能夠適應信息安全攻防高度對抗環境下電力信息網絡發展的需要。同時, 本文對新一代電力信息網絡安全架構的演進路線進行了闡述, 并就頂層設計、人才隊伍、技防體系等應重點開展的工作給出了合理化建議。本文的研究成果為新一代電力信息網絡安全體系的建設提供了一定的理論支撐, 是應對電力行業信息安全新挑戰并建立可持續信息安全新常態的一種積極嘗試, 以期為電力行業新時期信息安全工作的開展提供有效指導。