信息安全：电力系统拿什么应急

　　电力安全事件预警

　　如某电力公司的门户网站被黑客非法篡改，在网页上用红色醒目字体留言：电价将在某日后上涨，而日后电费又没有涨价。这是一个典型的黑客攻击例子。究其原因在于当时没有网站备用系统，没有应急处理预案，网管员不能及时恢复网页。

　　又如，另一电力公司的邮件服务器由于其地市电力员工的邮件中继攻击而瘫痪；还有某电力公司内部员工出于某种目的进入电量计费系统数据库非法更改用电量等。这些安全事件在社会上造成了较大的影响，严重威胁到电网安全、稳定的运行。

　　笔者在做安全咨询时，经常有电力企业的员工问，单位已经部署了网络防病毒系统，自己也安装了客户端杀毒软件，但机器上还是经常感染病毒。

　　后来，笔者发现他们杀毒软件的病毒库一直没有更新，还是最初安装时的病毒库。因为病毒种类在不断变化，只有在线或定期更新病毒库，经常查杀病毒，不打开来路不明的邮件及其附件，才能拒病毒于千里之外。

　　种种安全事件说明，电力的员工的安全意识还需要进一步提高。

　　遵从法规

　　由于电力系统是关系到国计民生的基础设施，其信息安全问题已经受到国家、电力企业以及社会的高度重视。为了防范电脑黑客、病毒恶意代码等对电力系统的攻击侵害及由此引发的电力系统事故，保证系统的安全稳定运行，原国家经贸委在2002年发布了30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》。

　　该规定要求两类隔离：各电力监控系统必须与办公自动化系统（OA）或管理信息系统（MIS）等电力软件实行有效（物理）隔离措施；电力调度数据专用网络必须与综合信息网络及因特网实行物理隔离。

　　此后，国家电网公司研究了电力系统安全防护的模型，并制定了电力系统信息安全防护总体框架，包含安全技术措施和安全管理制度。目前，正在建立电力信息化安全保障体系，安全应急响应就是其中的重要内容。

　　进一步升华

　　作为该框架制定的参与者和推广者，笔者深切体会到电力系统应急响应体系建设的必要性和重要性。同时，笔者也认为该框架还需要进一步细化，各个单位需要根据自己业务系统的实际情况和特点，制定一套切实有效的应急响应体系。

　　解读应急响应

　　应急响应体系可以保障电力系统和数据的高可用性，为电力用户提供安全事件的流程化处理方法，提高事件处理效率，降低安全事件带来电力系统的资产损失，提高业务系统的安全水平和应用水平。

　　那么，什么是应急响应？电力行业的应急响应系统都受到哪些因素的影响？如何建设完善的应急响应体系？笔者想在这里谈谈自己的认识和见解。

　　所谓应急响应是指对监控到的危及电力系统安全的事件、行为、过程及时做出处理，以防危害进一步扩大。电力系统的运行涉及到调度中心、变电站、发电厂；发、输、配电系统一体化，系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。

　　电力系统的信息安全是一项涉及电网调度自动化、继电保护及安全控制装置、厂站自动化、配电网自动化、电力市场交易、生产管理、电力营销、办公自动化系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。

　　电网调度自动化、继电保护及安全控制装置、厂站自动化、配电网自动化、电力市场交易等系统属于监控系统，主要负责电力系统的生产控制业务；生产管理、电力营销、办公自动化等系统属于管理信息系统，主要负责电力系统的信息化管理。

　　监控系统的安全等级高于管理信息系统，实时生产系统的安全等级最高。电力系统的多样性决定了电力系统信息安全防护非常复杂，应急响应也非常复杂。

　　这就要求针对不同的系统，建立不同的电力系统安全事件应急体系和预案，用于保护、分析对系统资源的非法访问和网络攻击，并配备必要的应急设施，统一调度，进行经常性地演练，从而形成对重大安全事件（遭到自然灾害、黑客、病毒攻击和其他人为破坏等）的快速响应能力，最大限度地降低电力系统的风险。

　　揭开“龙骨”内幕

　　电力系统应急响应体系像只庞大的恐龙，只有探析到它的骨骼结构，才好构建完美的恐龙模型。

　　根据多年工作经验，笔者认为，电力系统应急响应体系的“骨骼”结构应如图1所示。即由技术体系和管理体系两部分组成。

　　技术充左膀

　　技术体系应该包括3方面内容：安全知识库、网络和系统监控、数据和系统备份。

　　安全知识库包括各电力应用的操作系统、数据库系统以及业务系统的漏洞、补丁、安全事件、解决方案、应急预案等。

　　从处理方法上来看，安全事件可以分为两类，一类是曾经发生过，并明确知道原因、后果和处理方法的安全事件。该类安全事件已经存在安全知识库中，如发生过的病毒、攻击入侵事件等。

　　另一类是安全知识库中没有的、没有立即解决措施的安全事件。如新出现的病毒、攻击入侵事件等。前者可以在网络和系统运行现场立即予以解决；后者可以先提出临时解决方案，然后经过安全专家发现问题的根源，找到最终解决方案后再存入知识库。安全知识库的作用是能迅速地对安全事件进行合理、科学地处理。

　　网络监控就是在电力网络的边界接口处安装基于网络的入侵检测和预警系统，提高对网络及设备自身安全漏洞和内外部攻击行为的检测、管理、监控和实时处理能力。

　　系统监控就是在电力系统内部局域网的关键服务器上部署基于主机的入侵检测和预警系统，在主机一级对业务系统进行监控，对异常的用户行为进行报警等处理，最大限度防止系统攻击、滥用及恶意篡改等安全事件的发生。

　　对于系统备份，笔者建议采用的策略应该是全备份和增量备份相结合的方式。这样做，既利用了全备份恢复简单的特点，又考虑了备份时间少的优点。

　　电力系统关键应用数据与应用系统的备份，确保了数据损坏、系统崩溃情况下快速恢复数据与系统的可用性，同时对实时控制系统、电力市场交易系统进行异地的数据与系统备份，可提供系统级容灾功能，保证在发生大规模灾难情况下，保持系统业务的连续性。

　　管理担右臂

　　电力系统应急响应的管理体系包括领导小组、工作小组，以及相应的管理制度、应急处理流程和应急预案的演练。

　　领导小组主要由各级电力企业管理层组成，目前基本上是各单位的一把手负责。

　　工作小组可以分为三个级别：

　　第一级是安全值班员，可以由网管中心值班人员兼任，主要负责7×24小时的安全事件监视，按照安全事件的处理指南和安全知识库处理已知的安全告警事件；

　　第二级是安全专家小组，由企事业单位内部的安全专家和网络和业务系统的专家组成，负责对第一级发现提交的未知安全事件进行分析判断，完成绝大多数安全事件的处理，对不能及时找到完整解决方案，需要在将该问题提交第三级以外，还必须及时找到临时解决方案；

　　第三级是电力系统安全实验室，负责针对重大安全隐患和网络攻击进行会诊，同时还负责撰写安全事件分析报告，提交安全策略和配置的变更建议。

　　对于第三级，在必要时可以借助电力行业的专业安全服务公司，利用它们的经验和对最新安全技术的跟踪研究进行解决。但在利用第三方资源时，应同他们签署保密协议，以避免引入新的安全风险。

　　至于第一级和第二级应急响应体系，因为涉及到详细的核心业务资源和流程，对于电力系统这样的国家基础设施单位，应该各自内部解决，自己培养一只既熟悉业务又精通信息安全的专家队伍，保证可以做到依靠自己的力量提出信息安全需求、规划和进行风险评估，优化企业的安全策略，总结安全事件和安全问题的处理经验，保证企业自己就能够处理大多数的安全事件。

　　应急预案演练包括计划安排、演练过程和效果详细记录、演练活动的评估报告和应急预案改进建议等。根据应急预案演练的计划安排确定时间，报单位领导小组批准实施。

　　应急预案演练的效果应当进行评估，评估报告应当对应急预案是否可操作、应急程序是否科学合理、应急资源是否迅速到位等，做出明确的结论，评估报告必须有明确的责任人。

　　对应急预案演练中存在的问题，应当提出改进意见。如果涉及应急预案演练正常进行的重大问题，应当承认演练没有取得成功，建议改进后重新进行演练。

　　企业应当重视应急预案演练的评估报告，对存在的问题进行改进和调整。

　　应急预案演练的基本要求是：对在线系统不造成影响；在主要网络或系统管理员、服务器、网络设备、操作系统发生变更和应用升级时要进行演练；演练前应填写工作单，并对应用软件及数据做离线备份；演练结束形成演练总结报告。

　　安全培训是对电力系统相关人员进行口令的安全设置、经常给系统打补丁等信息安全基本知识培训。同时，还要进行信息系统安全模型、标准和相关法律法规的培训，以及实际使用安全产品的工作原理、安装、使用、维护、故障处理和电力系统的安全知识库与应急预案等培训。通过培训，可以提高他们的安全意识、技术水平和管理水平，从而提高电力企业的整体安全水平。

　　响应流水线

　　当大家对应急响应体系有所认识之后，需要进一步了解的是当安全事件发生后，应急响应体系如何进行响应与处理。这就像突遇火灾，人们该按什么流程扑灭大火。

　　在电力系统，扑灭大火的流水过程如图2所示。

　　首先，第一级安全值班员对所监控到的安全事件进行分析，若该事件为已知告警事件，安全值班员自己从安全知识库中找到解决方案，并进行事件处理。

　　若该事件不能与安全知识库的已知告警相匹配，或在确定时间内不能解决，进入第二级安全专家处理。第二级经过深入分析，根据安全事件对电力业务系统的影响程度，判定其优先级。

　　如果第二级及时发现了安全事件的根源，找到了解决方案，就执行该方案。事件处理完后应该及时更新安全知识库，并通知第一级和第三级，提高他们的技能水平。

　　如果在规定时间内，第二级安全专家也没有找到有效的解决方案，就提出临时解决方案，并通知请示应急响应领导小组。待批准后，与第一级安全值班员一起，执行该解决方案。

　　同时，第二级的安全专家把该安全问题提交给第三级电力系统安全实验室。

　　第三级的安全实验室根据该安全问题的严重程度，对其进行模拟和测试，寻求解决该问题的最终解决方案。

　　找到最终解决方案后，需要更新安全知识库，同时对第二级安全专家和第一级安全值班员进行知识转移，对他们进行安全培训。

　　应急“随需而变”

　　由于信息技术日新月异，随着新的信息技术在电力系统中的应用以及电力网络结构的调整，原有的安全技术随时间的推移可能会降低其安全性。

　　新系统的应用扩大了安全防范的边界，这样就会产生新的安全漏洞、威胁和新的风险。

　　另外，受到人们认识水平的限制和电力系统应急响应的复杂性，电力系统应急响应体系中可能会留有安全隐患。

　　有鉴于此，应急响应系统应该随这些因素的变化而动态变化。只有成为动态的安全应急响应体系，才能发现和跟踪最新的安全风险。

　　所以，电力系统的安全应急响应体系建设应该是动态的，是一个长期持续的过程，贯穿于信息安全生命周期的全过程。

　　电力系统安全防护的实施模型

　　电力系统安全防护的实施模型由安全策略、安全风险评估、设计安全目标、选择实施安全解决方案、安全教育、安全监测和响应组成的综合体。

　　安全策略

　　它是电力企业信息安全工作的依据，是所有安全行为的准则。电力系统的总体安全策略是：分区防护、强化隔离。

　　安全风险评估

　　它是针对电力系统网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的连接等，确定网络及应用系统的安全边界，对电力系统网络的基础设施及应用系统进行全面的分析，并提出安全风险分析报告和改进建议书。

　　设计安全目标

　　它是根据安全风险评估的报告和建议，分析实现安全功能的优先级和投入成本，同时考虑到电力企业风险承受能力，设计出一个适用性的安全目标。

　　选择实施安全解决方案

　　选择满足安全需求的技术产品，并选择合适的安全服务商以取得最好的技术保障，然后制定合理的中长期安全实施计划，并按计划分期进行实施。

　　安全教育

　　它是保障安全目标得以实现的重要手段，其实施力度将直接关系到电力系统安全策略以及安全方案被理解的程度和执行的效果。

　　安全监测和响应

　　它是建立一套完整的安全监测机制和人员队伍，对动态变化的业务系统的安全状况作出准确的监控。安全监测的目标是要在最短的时间内，发现违规事件和攻击事件，并发出相应的报警通知和启动相应的应急响应措施，降低安全事件带来的资产损失。

　　电力系统安全防护的实施模型是一个循环的螺旋式上升过程，每一次循环都

　　是对上一次的改进和提高，新出现的安全问题都将修正原来的安全策略及系统实施。

　　电力系统安全防护总体框架

　　电力系统安全防护总体框架包括安全服务体系、安全技术体系和安全管理体系。

　　安全服务体系

　　电力系统的安全服务体系包括安全评估及安全加固。安全评估包含网络评估、主机系统评估、应用系统评估，可以指导电力系统安全技术体系与管理体系的建设。

　　安全加固是根据安全评估的结果对网络设备、主机操作系统及应用系统进行安全增强，提升它们的安全级别。

　　安全技术体系

　　技术体系是电力系统安全防护框架的重要组成部分，主要包括：综合安全防护、物理隔离、基于PKI的安全防护等。

　　综合安全防护就是应用和实施一个基于多层次安全系统的全面信息安全策略，在各个层次上部署相关的安全产品，这增加了攻击者侵入所花费的时间、成本和所需要的资源，从而卓有成效地降低系统被攻击的危险，达到安全防护的目的。综合安全防护措施包括防病毒、防火墙、入侵检测、漏洞扫描等。

　　物理隔离技术是利用专用硬件使两个网络在物理不连通的情况下实现数据安全传输和资源共享。电力实时控制系统与电力生产管理系统之间安采用电力专用物理隔离装置进行隔离，并严格限制数据的流向，这样就能保证电力实时生产系统的安全、稳定运行。

　　基于PKI的安全防护就是利用公钥基础设施PKI（PublicKeyInfrastructure）建立电力系统的网络信任机制，并通过数字证书的方式为每个合法的电力用户提供一个合法性身份的证明，PKI从技术上解决了电力网络上身份认证、信息完整性和抗抵赖等安全问题。

　　安全管理体系

　　安全管理体系是电力系统安全防护的重要保障，可以保障技术体系的实施和安全策略的执行。主要包括：组织保证体系、安全技术规范、安全管理制度和安全培训机制。