隨著“互聯(lián)網(wǎng)+”模式的創(chuàng)新突破和快速應(yīng)用, 能源互聯(lián)網(wǎng)正在快速改變電力工業(yè)的生態(tài)環(huán)境, 電力工業(yè)呈現(xiàn)出了“廣泛互聯(lián)、高度智能、開放互動、靈活服務(wù)”的全新特點。全新的能源互聯(lián)網(wǎng)架構(gòu)及其新業(yè)務(wù)形態(tài)對電力信息網(wǎng)絡(luò)安全防護提出了新的演進需求, 由此也將帶來一系列的信息安全問題。同時, 國內(nèi)外愈發(fā)惡劣的網(wǎng)絡(luò)環(huán)境、新型網(wǎng)絡(luò)攻擊快速衍變, 也對電力信息安全工作提出了全新挑戰(zhàn)。

在此大背景下, 本文充分借鑒了國內(nèi)外先進信息安全治理和運營理念, 以立體化、全局式的智能防護和控制思想為出發(fā)點, 在繼承電力行業(yè)信息安全主動防護體系基礎(chǔ)之上, 提出了一種以“智能+防護+控制”為基礎(chǔ), 貫穿信息系統(tǒng)全生命周期的電力信息網(wǎng)絡(luò)安全架構(gòu), 并提出了演進路線, 以持續(xù)滿足電力行業(yè)“十三五”期間信息安全工作的新要求。

新一代電力信息網(wǎng)絡(luò)安全架構(gòu)模型

電力信息網(wǎng)絡(luò)安全應(yīng)集中反映大視角、多維度、全過程、一體化的高級信息安全防護思想。安全模型遵循整體性與分布性、主動性與動態(tài)性的原則。

新一代的電力信息網(wǎng)絡(luò)安全架構(gòu)模型按照“云+端+邊界”立體智能防護的要求, 結(jié)合國際先進信息安全管理體系(ISMS)理念, 合理確定電力信息網(wǎng)絡(luò)的安全需求, 從管理、策略、角色、技術(shù)多個安全維度綜合考慮應(yīng)對安全策略及管理措施。

安全需求

電力信息網(wǎng)絡(luò)安全防護需求在信息安全三要素(機密性、完整性、可用性)的基礎(chǔ)上, 擴充了可認證性、可控制性、可識別性、可追溯性、可驗證性和可預(yù)測性。其中, 可認證性指對用戶身份、用戶發(fā)送的信息內(nèi)容真實性和有效性的認證能力。可控制性指對信息網(wǎng)絡(luò)系統(tǒng)授權(quán)范圍內(nèi)的信息流向具有可以控制的能力。可識別性指對影響信息網(wǎng)絡(luò)系統(tǒng)中存在的安全風(fēng)險是可以主動鑒別的。可追溯性指對信息網(wǎng)絡(luò)系統(tǒng)的活動和狀態(tài)具有可以追蹤和審計能力。可驗證性指對信息安全相關(guān)指標的測試驗證能力。可預(yù)測性是指對信息網(wǎng)絡(luò)系統(tǒng)全網(wǎng)安全狀態(tài)實時感知和動態(tài)預(yù)警能力。

安全模型四維度

安全模型包括管理、策略、角色與技術(shù)四個維度。其中管理是基礎(chǔ)、策略是規(guī)則、角色是保障、技術(shù)是核心, 通過四個安全維度的建設(shè), 以有效消除安全威脅, 實現(xiàn)預(yù)期的安全需求。

管理是安全的重要基石, 滲透于從模型設(shè)計到運行過程的各個階段。策略是為發(fā)布、管理及保護信息資源而制定的一組制度和規(guī)定的總和, 是對信息資源使用和管理的規(guī)范性描述。角色是信息安全實現(xiàn)的主體, 所有策略、技術(shù)都是由相應(yīng)角色的人員設(shè)計或?qū)崿F(xiàn)的, 因此安全角色的劃分是否清晰合理對系統(tǒng)安全影響非常大。技術(shù)是完成信息安全風(fēng)險防控的保障手段。

安全模型應(yīng)用

安全模型在技術(shù)平面上涵蓋分級防護、事件感知、預(yù)警調(diào)度、應(yīng)急響應(yīng)、災(zāi)難恢復(fù)和攻防對抗六個環(huán)節(jié), 它們具有很強的時序性和動態(tài)性, 能夠較好地反映出新一代信息網(wǎng)絡(luò)安全架構(gòu)技術(shù)架構(gòu)的先進性、主動性和完備性。

分級防護確定信息系統(tǒng)保護對象, 并根據(jù)對象重要程度進行分等級的防護, 綜合采用網(wǎng)絡(luò)隔離、訪問控制、數(shù)據(jù)加密、權(quán)限控制、身份認證、防病毒等適當?shù)募夹g(shù)手段全方位保障信息系統(tǒng)生命周期的三個階段的信息安全。

事件感知通過安全檢測手段及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的攻擊行為, 及時識別系統(tǒng)存在的安全風(fēng)險與漏洞, 對網(wǎng)絡(luò)安全事件進行動態(tài)感知。

預(yù)警調(diào)度對可能發(fā)生的安全事件進行預(yù)警, 對安全事件的擴散范圍、持續(xù)時間進行預(yù)判, 并依據(jù)預(yù)警信息, 對安全防護力量進行動態(tài)調(diào)度。

應(yīng)急響應(yīng)針對預(yù)警的信息安全事件, 啟動應(yīng)急預(yù)案, 并對事件源進行定位、溯源和取證, 遏制安全事件的擴大化。

災(zāi)難恢復(fù)在系統(tǒng)遭受攻擊后, 及時恢復(fù)系統(tǒng)并快速提供正常的服務(wù), 有效降低安全事件造成的損失。

攻防對抗綜合采取各種手段對攻擊者進行反擊, 使其攻擊失效或者阻斷其攻擊。

新一代電力信息網(wǎng)絡(luò)安全體系應(yīng)秉承繼承創(chuàng)新、自主可控、協(xié)同對抗、智能防護的原則, 結(jié)合電力企業(yè)自身信息網(wǎng)絡(luò)發(fā)展特點, 在管理、策略、角色與技術(shù)等方面多措并舉, 穩(wěn)步形成適應(yīng)自身實際情況的新一代信息網(wǎng)絡(luò)安全架構(gòu)。

在架構(gòu)演進的過程中, 需重點做好三個方面的工作。

統(tǒng)一開展信息安全頂層設(shè)計

堅持信息安全同步業(yè)務(wù)發(fā)展的思路, 樹立大安全理念, 開展涵蓋電力全業(yè)務(wù)、全單位、全系統(tǒng)、全過程的信息安全頂層優(yōu)化設(shè)計, 為可持續(xù)信息安全工作的開展提供有效的方法論指導(dǎo)。

打造高水平信息安全專業(yè)隊伍

建設(shè)高水平的信息安全專業(yè)隊伍, 創(chuàng)新人才培養(yǎng)和選拔模式, 加快建設(shè)信息安全紅藍隊建設(shè), 重點提高人員技術(shù)能力和裝備技術(shù)水平, 構(gòu)建合理的信息安全人才梯隊。

 融合構(gòu)建新型信息安全技術(shù)防護體系

堅持信息系統(tǒng)自主可控發(fā)展戰(zhàn)略, 加快推進基礎(chǔ)軟件的安全可控以及密鑰算法的國產(chǎn)化工作, 構(gòu)建安全的研發(fā)與供應(yīng)鏈生態(tài)環(huán)境。完善安全基礎(chǔ)設(shè)施建設(shè), 構(gòu)建測試驗證中心、漏洞補丁中心、權(quán)限控制中心、日志審計中心、智能預(yù)警中心、攻防對抗中心等九大安全中心, 融合構(gòu)建新型信息安全協(xié)同聯(lián)動技術(shù)防護體系。

結(jié)語

本文對電力信息網(wǎng)絡(luò)安全面臨的挑戰(zhàn)進行了分析, 以立體化、全局式的智能防護和控制思想為出發(fā)點, 設(shè)計了一種適應(yīng)新一代電力信息網(wǎng)絡(luò)發(fā)展要求的安全架構(gòu)模型, 模型力求構(gòu)成要素合理完備, 可操作性強, 能夠適應(yīng)信息安全攻防高度對抗環(huán)境下電力信息網(wǎng)絡(luò)發(fā)展的需要。同時, 本文對新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的演進路線進行了闡述, 并就頂層設(shè)計、人才隊伍、技防體系等應(yīng)重點開展的工作給出了合理化建議。本文的研究成果為新一代電力信息網(wǎng)絡(luò)安全體系的建設(shè)提供了一定的理論支撐, 是應(yīng)對電力行業(yè)信息安全新挑戰(zhàn)并建立可持續(xù)信息安全新常態(tài)的一種積極嘗試, 以期為電力行業(yè)新時期信息安全工作的開展提供有效指導(dǎo)。