基于等保2.0標準的火電企業等級保護探究

神華神東電力重慶萬州港電有限責任公司 重慶 萬州 404000

1 引言

隨著技術的不斷發展，火電企業在網絡技術的應用上越來越廣泛，提升了企業的運行能力和效率，但是其隨之而來的安全問題也給企業的運行帶來困擾，如何有效的建立全面、科學的防控系統，實現防控能力的發揮，提升企業的安全優勢，是火電企業不斷探索和關注的問題。

2 網絡安全等級保護2.0的概念及特點

2.1 概念 網絡安全等級保護2.0納入了云計算、大數據、AI等方面新內容，由傳統的計算機信息系統防護轉向云計算、移動互聯、工業控制、物聯網和大數據等新型計算環境下的網絡空間主動防御體系建設。

2.2 特點

(1)可信計算。在信任根的依據下，通過信任鏈條識別和控制鏈條，判斷其安全性，實現在整個系統上能發揮出良好的系統優勢，通過軟硬件系統平臺的配合，通過各個應用升級手段，全面提升系統的信用安全控制能力。

(2)安全監測。安全監測主要是能銅鼓對于運行操作過程的各個步驟環節跟蹤控制，通過對往往安全日志有效的分析，做到在安全控制方面能做到全過程監督。在安全識別控制的過程中，要能做到對于風險識別、安全報警等安全監控流程的可靠性、靈敏性保障，提升了網絡安全。

(3)通報預警。安全監測的重要表達手段就是能做到在安全尺度的把控下，通過監測系統和分析系統，能實現安全風險及時的控制。

(4)應急處置。通過對于各種網絡安全問題有效的分析，做到在安全控制方面能實現科學化的安全保障，落實有關的安全控制流程和基本措施，實現在安全控制方面能發揮出良好的安全應對能力，通過及時、科學的應急處理，減少損失，控制有關的安全問題持續發展。

3 當前火電企業網絡信息安全管理存在的問題

3.1 安全基礎不可控 傳統的網絡信息安全控制手段，是利用企業的網絡控制優勢，實現安全控制能力的提升，在安全識別的過程中，能通過利用各種已知的安全防控手段，比如防火墻、入侵檢測、常規病毒查殺等手段，提升防控能力，這些手段的安全控制方式和能力是已知的，很多安全管理優勢不能具備較高的保障基礎，比如對于新興的網絡攻擊，因為對于全新網絡信息安全防控體系來去，其不具備有效的安全管理基礎，安全管理問題不能有效的解決。

3.2 安全管理人員思想認識不夠 在思想認知不夠的前提下，很多工作的規范性、全面性保障機制不能科學的發揮出來，導致了工作人員的科學職業責任優勢不能發揮，很多工作開展的過程中，不能具備安全管理上的諸多科學應對方式，很多問題不能科學的解決。導致因為安全防控體系構建和管理執行上的不科學，導致了思想認知不能發揮出良好的安全控制效果。

3.3 相關標準跟不上技術的發展 技術發展的速度十分迅速，如果相關的技術標準不能有效的發揮作用，就會導致在技術層面上不能體現出科學的技術指導和規范優勢。導致企業的安全管理不能具備科學性、明確性的指導能力。

4 基于等保2.0標準的火電企業等級保護實踐策略

4.1 網絡安全防護體系完善 安全防控體系要能不斷的完善，避免存在安全防控漏洞，體系建設要能具備一定的原則指導能力，按照“安全分區、網絡專用、橫向隔離、縱向認證”的原則規劃安全防控體系。在網絡安全防控體系的指導下，落實工控系統，以最科學的網絡安全配置策略，滿足等級保護要求。

4.2 建立科學的網絡安全防護技術方案

(1)安全區域劃分。區域劃分是在火電企業不同的生產需求和管理內容下，通過科學的區域劃分，在執行網絡安全的防控上，能提升安全防控的專業性和科學性，提升安全防控的能力，同時在配置安全防控手段的過程中，更加具備安全性和專業性。在生產控制一區、生產控制二區、管理信息大區的標準分區結構之下，可根據火電企業的不同網絡拓撲結構，遵循網絡安全的邏輯進一步細化，比如生產控制一區劃分為DCS網絡區域、NCS網絡區域等；管理信息大區細化為：服務器區域、安全防護區域、視頻監控區域、視頻會議區域、辦公設備區域等。更進一步優化各區域安全防護策略，加強安全防護手段，確保網絡信息安全。

(2)入侵防范手段建立。在關鍵的網絡安全控制節點，設置科學有效的安全監控機制，通過分析過濾各項操作行為，提升安全識別監控能力，一般要能建立標準性的安全控制協議，根據協議內容識別判斷各個行為的安全性。因此協議內容要全面、科學、細致，要能及時的維護更新，確保具備足夠的安全防控能力。

(3)細化訪問控制。在工控系統中，生產控制區一般遵循只讀且不可寫的原則，即生產控制區的各種生產數據原則上只能單向傳遞給企業其它系統，而其他系統不能向工控系統傳遞控制指令和數據。基于此原則配置工控系統邊界訪問控制策略，可以大大減少通過傳統信息網絡對工控系統發起的攻擊行為。

(4)加強主機安全防護。將文件和允許使用的各種程序、應用信息化，也就是建立白名單，實現主機系統的安全識別優勢建立，對于進入的各種非信息程序，要能科學的識別、控制。同時要能對于各種不安全的行為進行有效的控制，比如U盤的隨意使用等。主機安全防護系統可以實現包括賬戶策略、審核策略、日志審計在內的統一的基線安全配置。通過截取系統調用、接管底層驅動等方式，提升安全控制能力。

(5)建設安全管理中心。建設安全管理中心可以理解為等級保護2.0一個管理中心，是執行安全控制的核心部分，其主要是在安全控制系統的運行過程中，能全面的做到在日志分析、安全維護、安全控制等方面協調管理，提升主控能力。安全管理中心的有效構建，提升了企業對于安全保護系統的安全識別和安全控制能力，在信息收集、方案執行監督、事后分析評價方面都能發揮出優勢特點。

5 結語

等保2.0標準下的火電企業網絡安全控制，要能全面提升在安全策略系統構建以及策略執行方面的優勢，提升安全問題應對能力。