國家電網(wǎng)陳春霖:智能電網(wǎng)信息安全風(fēng)險(xiǎn)及應(yīng)對(duì)
發(fā)布時(shí)間:2016-12-09 來源:中國信息安全
根據(jù)《網(wǎng)絡(luò)安全法》中對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的定義���,電力系統(tǒng)是重要行業(yè)之一。國家電網(wǎng)在推動(dòng)智能電網(wǎng)建設(shè)上,落實(shí)安全管理要求����,積極構(gòu)建保障防御體系�,多舉措做好智能電網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障工作。
智能電網(wǎng)內(nèi)涵及安全挑戰(zhàn)
1.智能電網(wǎng)內(nèi)涵及特征
隨著經(jīng)濟(jì)的發(fā)展���、社會(huì)的進(jìn)步����、科技和信息化水平的提高以及全球資源和環(huán)境問題的日益突出�����,依靠現(xiàn)代信息�����、通信、控制技術(shù)構(gòu)建堅(jiān)強(qiáng)智能電網(wǎng)���,推動(dòng)全球能源互聯(lián)網(wǎng)建設(shè)���,形成以電為中心、以清潔能源為主導(dǎo)���、能源全球配置的新格局����,引領(lǐng)和推動(dòng)第三次工業(yè)革命已成為電力工業(yè)發(fā)展的選擇。國家電網(wǎng)公司以奉獻(xiàn)清潔能源、促進(jìn)經(jīng)濟(jì)發(fā)展���、服務(wù)社會(huì)為基本使命�����,提出了立足自主創(chuàng)新�����,加快建設(shè)以特高壓電網(wǎng)為骨干網(wǎng)架��,各級(jí)電網(wǎng)協(xié)調(diào)發(fā)展,具有信息化���、數(shù)字化�����、自動(dòng)化、互動(dòng)化特征的統(tǒng)一堅(jiān)強(qiáng)智能電網(wǎng)發(fā)展目標(biāo)�����,以滿足經(jīng)濟(jì)社會(huì)發(fā)展對(duì)電力的需求���,應(yīng)對(duì)資源環(huán)境問題帶來的挑戰(zhàn)�,適應(yīng)發(fā)用電多樣化的發(fā)展需求�,滿足多元化用電服務(wù)需求。
與現(xiàn)有電網(wǎng)相比����,智能電網(wǎng)體現(xiàn)出電力流、信息流和業(yè)務(wù)流高度融合的顯著特點(diǎn)�����,是堅(jiān)強(qiáng)可靠、經(jīng)濟(jì)高效��、清潔環(huán)保���、透明開放����、友好互動(dòng)的現(xiàn)代電網(wǎng)����。“堅(jiān)強(qiáng)”和“智能”是智能電網(wǎng)的基本內(nèi)涵���,網(wǎng)絡(luò)與信息安全戰(zhàn)略是智能電網(wǎng)發(fā)展過程中的關(guān)鍵��。
習(xí)近平總書記指出���,能源安全是關(guān)系國家經(jīng)濟(jì)社會(huì)發(fā)展的全局性、戰(zhàn)略性問題,對(duì)國家繁榮發(fā)展����、人民生活改善、社會(huì)長治久安至關(guān)重要�,要推動(dòng)能源消費(fèi)�、能源供給�、能源技術(shù)和能源體制四方面的革命,實(shí)現(xiàn)開放條件下的能源安全發(fā)展要求�����,構(gòu)建堅(jiān)強(qiáng)智能電網(wǎng)網(wǎng)絡(luò)與信息安全保障體系意義重大����。
2.智能電網(wǎng)網(wǎng)絡(luò)安全面臨的問題
智能電網(wǎng)和用戶雙向互動(dòng)性增強(qiáng)�,大量用戶側(cè)接入和訪問,智能采集終端和移動(dòng)作業(yè)終端的廣泛應(yīng)用和接入�����,無線公共網(wǎng)絡(luò)傳輸通道的應(yīng)用等對(duì)智能電網(wǎng)的發(fā)展提出了新的安全問題�����。且隨著信息安全形勢日益嚴(yán)峻�����,智能電網(wǎng)信息安全防護(hù)難度大大增加�。
問題1:信息通信技術(shù)的廣泛應(yīng)用將網(wǎng)絡(luò)信息安全問題傳導(dǎo)到電網(wǎng)系統(tǒng)
智能電網(wǎng)將先進(jìn)的信息技術(shù)���、通信技術(shù)、自動(dòng)控制技術(shù)與電網(wǎng)基礎(chǔ)設(shè)施有機(jī)融合���,可獲取電網(wǎng)的全景信息���,及時(shí)發(fā)現(xiàn)、預(yù)見可能發(fā)生的故障�,故障發(fā)生時(shí),電網(wǎng)可以快速隔離故障�,實(shí)現(xiàn)自我恢復(fù),從而避免大面積停電的發(fā)生���。但是�����,大數(shù)據(jù)�、云計(jì)算�����、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和軟件定義網(wǎng)絡(luò)�、寬帶無線等信息通信技術(shù)的應(yīng)用,也使得智能電網(wǎng)面臨病毒����、木馬、系統(tǒng)漏洞�����、拒絕服務(wù)等網(wǎng)絡(luò)攻擊����,對(duì)原先以物理防護(hù)為主的電網(wǎng)安全防護(hù)體系帶來了挑戰(zhàn)。最近發(fā)生的美國大面積網(wǎng)絡(luò)癱瘓事件�����,為關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)敲響了警鐘�,據(jù)安全專家分析�����,攻擊者利用物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)����,向互聯(lián)網(wǎng)服務(wù)商DNS(域名解析服務(wù))基礎(chǔ)設(shè)施發(fā)起了創(chuàng)紀(jì)錄的超大規(guī)模(據(jù)說流量超過1Tbps)DDoS攻擊���,導(dǎo)致大量網(wǎng)站無法訪問。
問題2:智能電網(wǎng)互動(dòng)化發(fā)展帶來了非傳統(tǒng)安全問題
智能電網(wǎng)與物聯(lián)網(wǎng)�����、互聯(lián)網(wǎng)等深度融合后�����,已經(jīng)成為社會(huì)公共平臺(tái)�����,建立電網(wǎng)側(cè)與用戶側(cè)雙向互動(dòng)的服務(wù)模式��,用戶可以實(shí)時(shí)了解供電能力�����、電能質(zhì)量����、電價(jià)狀況和停電信息�����,合理安排用電�����。同時(shí)��,使電網(wǎng)運(yùn)行控制更加靈活��、經(jīng)濟(jì)���,并能適應(yīng)大量分布式電源、微電網(wǎng)及電動(dòng)汽車充放電設(shè)施的接入�,引入無線公網(wǎng)接入電網(wǎng)主站,造成原有電網(wǎng)封閉隔離的網(wǎng)絡(luò)邊界模糊化���。攻擊者可以綜合利用電網(wǎng)業(yè)務(wù)邏輯等方面的薄弱環(huán)節(jié)進(jìn)行攻擊�,攻擊方式逐漸增多�����,具有定制化���、組織化�����、長期化特點(diǎn)�,潛伏性強(qiáng)����,危害巨大,影響電網(wǎng)生產(chǎn)安全和服務(wù)質(zhì)量�。據(jù)有關(guān)機(jī)構(gòu)統(tǒng)計(jì),國際上針對(duì)SCADA(數(shù)據(jù)采集與監(jiān)視控制系統(tǒng))等工控系統(tǒng)的攻擊數(shù)量年均翻番���,網(wǎng)絡(luò)安全形勢不容樂觀�。
問題3:行業(yè)開放新形勢使信息安全治理面臨挑戰(zhàn)
隨著智能電網(wǎng)��、全球能源互聯(lián)網(wǎng)����、“互聯(lián)網(wǎng)+電力”、新電改的全面實(shí)施���,分布式能源����、新能源、電力交易���、智能用電等新型業(yè)務(wù)不斷涌現(xiàn)��,運(yùn)營模式��、用戶群體都將發(fā)生較大變化�����,電力市場由相對(duì)專業(yè)向廣域競爭轉(zhuǎn)變�����,民營等各種主體也參與到電力市場�����,使得智能電網(wǎng)系統(tǒng)的標(biāo)準(zhǔn)����、開放��、互聯(lián)特性進(jìn)一步增強(qiáng)����,同時(shí)也使得智能電網(wǎng)網(wǎng)絡(luò)安全、業(yè)務(wù)安全和數(shù)據(jù)安全防護(hù)戰(zhàn)線不斷延伸�,給安全防護(hù)帶來新壓力,增加了“一點(diǎn)突破��,影響全網(wǎng)”的風(fēng)險(xiǎn)���。在本年度國家電網(wǎng)公司組織的專項(xiàng)檢查中發(fā)現(xiàn)���,部分電廠生產(chǎn)監(jiān)控網(wǎng)絡(luò)和互聯(lián)網(wǎng)相連,極大增加了系統(tǒng)安全風(fēng)險(xiǎn)�����。
電網(wǎng)安全防護(hù)的發(fā)展歷程
國家���、行業(yè)主管部門及國家電網(wǎng)公司一直以來高度重視網(wǎng)絡(luò)與信息安全工作���。自2002年以來,公安部��、國家能源局、發(fā)改委,以及原國家電力監(jiān)管委員會(huì)等國家和行業(yè)主管部門陸續(xù)頒布實(shí)施了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)�����、《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))��、《電力二次系統(tǒng)安全防護(hù)規(guī)定》([2004]電監(jiān)會(huì)5號(hào)令)等規(guī)章制度�,構(gòu)建了較完整的電力行業(yè)網(wǎng)絡(luò)與信息安全法規(guī)體系。自2014年起���,國家網(wǎng)信辦��、發(fā)改委�、公安部��、國家能源局等主管部門加大對(duì)電力信息安全的重點(diǎn)監(jiān)督管控����,相繼頒布了《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》(2014第14號(hào)令)等一系列法令、制度和標(biāo)準(zhǔn)����,進(jìn)一步明確了電網(wǎng)信息安全的重要性。
自2005年起國家電網(wǎng)公司啟動(dòng)電力二次系統(tǒng)安全防護(hù)工作,率先構(gòu)建了主網(wǎng)柵格狀縱深安全防護(hù)體系�。“十二五”期間���,針對(duì)智能電網(wǎng)安全防護(hù)需求,國家電網(wǎng)公司開展了具有“分區(qū)分域��、安全接入���、動(dòng)態(tài)感知�、全面防護(hù)”特點(diǎn)的網(wǎng)絡(luò)與信息安全主動(dòng)防御體系建設(shè)���,確保了智能電網(wǎng)系統(tǒng)安全運(yùn)行�����。自2015年底烏克蘭事件后�����,國家進(jìn)一步強(qiáng)化了對(duì)金融�、能源�����、電力、通信����、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)要求,網(wǎng)信辦要求“實(shí)施電力行業(yè)安全防護(hù)提升重大工程”�����,公安部將國家電網(wǎng)公司列為國家“網(wǎng)絡(luò)安全重點(diǎn)保衛(wèi)單位”�。隨著國家對(duì)網(wǎng)絡(luò)安全的重視程度日益提高,智能電網(wǎng)安全保障壓力持續(xù)增加�。
智能電網(wǎng)信息安全風(fēng)險(xiǎn)及應(yīng)對(duì)
1.安全風(fēng)險(xiǎn)分析
智能電網(wǎng)建設(shè)使得電網(wǎng)發(fā)電、輸電����、變電、配電�、用電、調(diào)度各環(huán)節(jié)更為開放��,帶來大量業(yè)務(wù)結(jié)構(gòu)的變化�,基于互聯(lián)網(wǎng)的社會(huì)服務(wù)和公眾參與度更高,多種基于互聯(lián)網(wǎng)的互動(dòng)化業(yè)務(wù)應(yīng)用發(fā)展迫切���,電網(wǎng)側(cè)����、用戶側(cè)交互與應(yīng)用更為頻繁,同時(shí)���,新技術(shù)的應(yīng)用引入新的風(fēng)險(xiǎn)�,對(duì)傳統(tǒng)防護(hù)結(jié)構(gòu)帶來沖擊���,具體體現(xiàn)在以下方面:
智能化業(yè)務(wù)面臨停電破壞威脅
電力監(jiān)控系統(tǒng)智能化發(fā)展使得停電風(fēng)險(xiǎn)進(jìn)一步顯現(xiàn),智能變電站系統(tǒng)����、配電自動(dòng)化系統(tǒng)、負(fù)荷控制系統(tǒng)等電力監(jiān)控系統(tǒng)控制功能更加依賴網(wǎng)絡(luò)通信技術(shù)���,易遭受控制指令篡改�����、業(yè)務(wù)邏輯破壞等網(wǎng)絡(luò)與信息安全攻擊�,引發(fā)業(yè)務(wù)故障或是控制指令設(shè)置異常����,導(dǎo)致停電風(fēng)險(xiǎn)加大�。2012年����,一家工業(yè)控制網(wǎng)絡(luò)交換機(jī)廠商的網(wǎng)絡(luò)“后門”曝光,利用此“后門”��,攻擊者不僅可以“監(jiān)聽”���,更可以“劫持”工業(yè)控制系統(tǒng)的控制權(quán)��,網(wǎng)絡(luò)技術(shù)的應(yīng)用成為一面“雙刃劍”��。
網(wǎng)絡(luò)安全邊界面臨模糊化不可控風(fēng)險(xiǎn)
無線局域網(wǎng)�����、移動(dòng)通信網(wǎng)絡(luò)�、衛(wèi)星通信等多種通信方式���、多種網(wǎng)絡(luò)協(xié)議并存��,電力通信網(wǎng)絡(luò)更加復(fù)雜��。無線通信技術(shù)和智能傳感技術(shù)信息傳輸過程中存在被非法竊聽��、篡改和破壞的風(fēng)險(xiǎn)��,網(wǎng)絡(luò)邊界變得模糊�,由于業(yè)務(wù)發(fā)展需要和地理位置限制,部分電力終端采用無線網(wǎng)絡(luò)連接上級(jí)系統(tǒng)���,使得網(wǎng)絡(luò)攻擊途徑有所增加�。因此迫切需要正確梳理防護(hù)需求��,提出適應(yīng)性更強(qiáng)的網(wǎng)絡(luò)邊界安全防護(hù)架構(gòu)���。
海量異構(gòu)終端存在安全接入風(fēng)險(xiǎn)
現(xiàn)代電網(wǎng)比傳統(tǒng)電網(wǎng)具有數(shù)量更龐大的異構(gòu)智能化交互終端、更泛在的網(wǎng)絡(luò)安全防護(hù)邊界����、更靈活多樣的業(yè)務(wù)安全接入需求,用戶終端存在信息泄露�、非法接入、被控制的風(fēng)險(xiǎn)�����,這對(duì)電網(wǎng)異構(gòu)終端自身完整性保護(hù)、攻擊防御��、漏洞挖掘等各方面都提出了更高的挑戰(zhàn)�,也對(duì)不同種類智能、移動(dòng)終端的安全控制�����、安全接入提出了更高的要求�����。在國家電網(wǎng)公司安全檢查中發(fā)現(xiàn)�,部分電力終端仍存在弱口令、遠(yuǎn)程服務(wù)防護(hù)策略不足等問題�����,終端安全防護(hù)亟待增強(qiáng)����。
敏感信息面臨更高的泄露風(fēng)險(xiǎn)
信息系統(tǒng)集成度、融合度更高��,系統(tǒng)依賴性更強(qiáng)����,業(yè)務(wù)系統(tǒng)之間����、業(yè)務(wù)系統(tǒng)與外界用戶實(shí)時(shí)交互更加豐富與頻繁����,數(shù)據(jù)的采集、存儲(chǔ)�、傳輸和處理方式發(fā)生了新的變化,暴露面擴(kuò)大��,增加了數(shù)據(jù)泄露的安全風(fēng)險(xiǎn)����,對(duì)數(shù)據(jù)安全保護(hù)提出了更高要求,一旦數(shù)據(jù)訪問權(quán)限設(shè)置不當(dāng)���,或業(yè)務(wù)邏輯設(shè)計(jì)導(dǎo)致系統(tǒng)缺陷,可能導(dǎo)致用戶個(gè)人信息等隱私泄露�。
2.國家電網(wǎng)智能電網(wǎng)信息安全主動(dòng)防御保障體系建設(shè)
總體防護(hù)策略
國家電網(wǎng)公司貫徹落實(shí)國家和行業(yè)網(wǎng)絡(luò)安全要求,主動(dòng)適應(yīng)“互聯(lián)網(wǎng)+”�����、新電改等新形勢業(yè)務(wù)發(fā)展以及信息化應(yīng)用需求,推進(jìn)電力關(guān)鍵信息基礎(chǔ)實(shí)施安全防護(hù)提升���,基于“可管�����、可控�、可知����、可信”的總體防護(hù)策略,打造下一代智能電網(wǎng)安全主動(dòng)防御保障體系��,全面提升信息安全監(jiān)測預(yù)警����、邊界防護(hù)、系統(tǒng)保障和數(shù)據(jù)保護(hù)能力��。
健全管理機(jī)制�����,加強(qiáng)內(nèi)控治理
深入學(xué)習(xí)網(wǎng)絡(luò)安全法��,健全公司網(wǎng)絡(luò)安全管理機(jī)制。進(jìn)一步加強(qiáng)組織領(lǐng)導(dǎo)�,公司舒印彪董事長擔(dān)任網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長。強(qiáng)化信息安全“三同步”���,以業(yè)務(wù)全生命周期安全保障為目標(biāo)����,健全覆蓋規(guī)劃���、可研��、設(shè)計(jì)�����、開發(fā)��、測試���、實(shí)施����、運(yùn)行��、下線等各個(gè)階段的網(wǎng)絡(luò)安全管控工作機(jī)制�����。建立風(fēng)險(xiǎn)報(bào)告和情報(bào)共享����、研判處置和通報(bào)應(yīng)急�、網(wǎng)絡(luò)安全運(yùn)行、安全稽查�����、評(píng)價(jià)考核等網(wǎng)絡(luò)安全工作機(jī)制��。完善內(nèi)控監(jiān)督評(píng)價(jià)��,常態(tài)開展內(nèi)控達(dá)標(biāo)治理工作�。強(qiáng)化網(wǎng)絡(luò)安全專業(yè)隊(duì)伍建設(shè),健全網(wǎng)絡(luò)安全人才培訓(xùn)體系建設(shè)�����,完善網(wǎng)絡(luò)安全職業(yè)認(rèn)證,持續(xù)開展網(wǎng)絡(luò)安全意識(shí)與能力建設(shè)���。
全面加強(qiáng)網(wǎng)絡(luò)邊界安全防控
實(shí)施“安全分區(qū)���、網(wǎng)絡(luò)專用、橫向隔離�、縱向認(rèn)證”的防護(hù)策略,分區(qū)部署����、運(yùn)行和管理各類電力監(jiān)控系統(tǒng),建設(shè)專用的電力調(diào)度數(shù)據(jù)網(wǎng)��,生產(chǎn)控制大區(qū)與管理信息大區(qū)采用物理級(jí)別的橫向隔離措施����,同一級(jí)別的安全區(qū)縱向上落實(shí)加密認(rèn)證措施。管理信息大區(qū)內(nèi)網(wǎng)和外網(wǎng)通過自主研發(fā)的信息網(wǎng)絡(luò)隔離裝置進(jìn)行隔離��。深化互聯(lián)網(wǎng)出口統(tǒng)一歸集管理��,提升互聯(lián)網(wǎng)邊界防護(hù)水平��。按照等保要求區(qū)分系統(tǒng)安全域���,各安全域的網(wǎng)絡(luò)設(shè)備按該域所確定的安全域的保護(hù)要求�,采用訪問控制����、安全加固、監(jiān)控審計(jì)�����、身份鑒別��、備份恢復(fù)��、資源控制等措施��。
構(gòu)建全方位安全態(tài)勢感知體系
開展基于大數(shù)據(jù)的信息安全事件深度分析��、安全態(tài)勢感知�����、智能預(yù)警分析�����、在線實(shí)時(shí)分析響應(yīng)等信息安全監(jiān)控預(yù)警技術(shù)研究與應(yīng)用。重點(diǎn)從點(diǎn)(安全基線維度)�����、線(合規(guī)���、預(yù)警�、審計(jì)維度)���、面(態(tài)勢分析維度)三個(gè)功能層次��,構(gòu)建公司統(tǒng)一的網(wǎng)絡(luò)與信息安全監(jiān)控預(yù)警體系�����,并充分利用云計(jì)算和大數(shù)據(jù)分析技術(shù)�����,統(tǒng)籌開展信息安全情報(bào)收集���、巡檢、監(jiān)測����、預(yù)警���、分析、研判與處置等工作��,增強(qiáng)公司資產(chǎn)感知���、脆弱性感知、安全事件感知和異常行為感知等網(wǎng)絡(luò)與信息安全全景可視能力�����。
借鑒可信思想�����,提升應(yīng)用保障能力
基于可信計(jì)算思想�����,加強(qiáng)智能電網(wǎng)主機(jī)����、終端�����、應(yīng)用和數(shù)據(jù)安全防護(hù)�。按照國家信息安全等級(jí)保護(hù)的要求��,采用相應(yīng)的身份認(rèn)證���、訪問控制等手段阻止未授權(quán)訪問��,采用主機(jī)防火墻��、數(shù)據(jù)庫審計(jì)���、可信服務(wù)等技術(shù)確保主機(jī)系統(tǒng)的安全。根據(jù)具體電力業(yè)務(wù)終端的類型�����、應(yīng)用環(huán)境以及通信方式等選擇適宜的防護(hù)措施��,主要采取接入認(rèn)證���、病毒防護(hù)����、安全桌面、可信芯片等防護(hù)措施保障終端安全�����。部署應(yīng)用加密和校驗(yàn)����、應(yīng)用安全加固��、應(yīng)用安全審計(jì)�、剩余信息保護(hù)、抗抵賴���、資源控制����、應(yīng)用數(shù)據(jù)備份與恢復(fù)���、代碼安全管控等應(yīng)用層安全防護(hù)措施����,保障業(yè)務(wù)應(yīng)用系統(tǒng)安全。按照涉密數(shù)據(jù)���、商密數(shù)據(jù)���、敏感數(shù)據(jù)、一般數(shù)據(jù)對(duì)公司數(shù)據(jù)進(jìn)行分級(jí)防護(hù)�����。根據(jù)不同的級(jí)別����,在數(shù)據(jù)的生成、傳輸和存儲(chǔ)過程中做好數(shù)據(jù)加密和校驗(yàn)���、備份與恢復(fù)等方面的數(shù)據(jù)安全控制措施���。
結(jié)束語
智能電網(wǎng)信息安全工作離不開國家及行業(yè)主管部門的幫助和指導(dǎo),離不開中央和行業(yè)單位之間的經(jīng)驗(yàn)交流與相互借鑒�����。隨著智能電網(wǎng)建設(shè)的深入推進(jìn)�����,國家電網(wǎng)公司將繼續(xù)落實(shí)相關(guān)安全要求,結(jié)合新形勢新要求����,加強(qiáng)新業(yè)務(wù)新技術(shù)安全防護(hù),以“十三五”智能防護(hù)體系建設(shè)為契機(jī)���,做好智能電網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障��。
