網絡安全基線在發電企業電力監控系統的應用與實踐

◆羅鈺

（貴州烏江水電開發有限責任公司構皮灘發電廠 貴州 564408）

隨著現代工業和科學技術的發展，我國發電企業在經歷自動化建設、信息化轉型后，正向著數字化、智能化管理的階段快速邁進。不論電力生產技術和管理方式走向何方，我們可以清晰看到發電企業對計算機網絡的依賴程度在不斷增強。近十年，在遠程控制技術的應用下，發電集團通過集控管理模式進行電力生產和調度，在發電企業實現提質增效的同時，也對發電企業電力監控系統網絡安全建設提出了更多、更高的要求。電力監控系統作為發電企業的生產系統和重要信息系統，系統安全穩定運行為電力安全生產提供了可靠保障；而網絡作為發電集團集控指令發布的“神經脈絡”，讓電力監控系統網絡安全建設成為發電企業安全生產建設中的重要內容。本文以網絡安全基線建設為例，系統地介紹安全基線建設在發電企業電力監控系統網絡安全建設工作中的設計及應用。

1 網絡安全基線設計的背景

從外部來看，網絡互聯的日益普及，給企業辦公和職工生活帶來極大方便的同時，也給發電企業網絡帶來越來越多不安全因素，主要表現為計算機病毒感染、黑客攻擊等；從部內來看，其一，發電集團下屬的各發電企業存在網絡安全管理制度和技術規范差異大、維護人員技術良莠不齊的問題；其二，發電企業電力監控系統通過調度數據網構成一個整體，但發電集團下屬各發電企業電力監控系統開發、建成的時間不同，使用的設備和軟件也不完全相同，缺乏統一的安全標準和配置規范。不論外部攻擊還是內部隱患，都對發電企業網絡安全構成了威脅。

網絡安全遵循“木桶原理”，即網絡系統的安全性取決于系統中安全性最薄弱的環節。如何避免發電企業網絡安全管理各自為戰，統一安全技術標準成為網絡安全建設過程中的首要問題。為此，需要發電集團對發電企業電力監控系統的設備、操作系統和數據庫等進行安全評估，分析電力監控系統的實際現狀和風險來源，制定針對不同設備硬件、軟件的詳細檢查表格和操作指南，建立統一的安全配置規范，形成網絡安全基線，形成一個以其為基準進行檢測和度量的風險管控手段，為設備入網、系統驗收、日常維護及安全檢查等工作提供可參照的統一標準。

2 安全基線建設的情況

2.1 安全基線建設的目標

通過建立電力監控系統網絡安全運行需求的基線，分析電力監控系統實際現狀和面臨的風險來源，按需調整對應的安全策略，協調不同設備不同的防護能力，綜合構成統一的安全基線。發電企業結合網絡安全基線的標準和要求，對其電力監控系統現有服務器、網絡交換設備和網絡防護設備進行加固，實現安全配置。為發電企業推薦統一的機房設施、操作系統、數據庫、網絡交換設備、網絡防護設備的安全配置規范，減少人工維護干預成本。

2.2 安全基線建設步驟和方法

安全基線建設實施步驟分三個階段進行：

（1）風險辨識階段，采用分解分析法將網絡安全從機房設施、操作系統、數據庫、網絡交換設備、網絡防護設備五個方面進行分解，從中分析可能存在的風險及潛在的威脅。

（2）需求分析階段，采用四象限法則對電力監控系統網絡安全的需求進行重要性與必要性的分析定義，然后把這些需求放進對應象限中，需求的優先級別為“重要且必要”>“重要不必要”>“必要不重要”>“不重要也不必要”，將其中“重要且必要”、“重要不必要”、“必要不重要”的需求納入基線建設范疇。

圖1 四象限法則

（3）標準制定階段，參照國家、行業和上級調度機構網絡安全技術標準，結合發電集團及其下屬發電企業的自身情況，對經需求分析后確定需要解決的風險制定符合自身要求的安全基線標準。

2.3 安全基線建設框架

基于發電企業電力監控系統網絡設備硬件及軟件的使用情況，構建網絡安全基線模型，如圖2 所示。

圖2 發電企業電力監控系統網絡安全基線模型

從圖2 可以看出，網絡安全基線模型可劃分為三層，分別為業務層、功能架構層和基線規范層。

（1）第一層是業務層，根據電力監控系統不同業務的安全特性，從宏觀層面定義不同的安全防護要求，體現在賬號權限、訪問控制、安全審計以及狀態監控等方面的要求。

（2）第二層是功能架構層，將網絡安全分解為機房設施、操作系統、數據庫、網絡交換設備、網絡防護設備5 個模塊，這些模塊是對業務層安全防護細化后的要求。

（3）第三層是基線規范層，是對功能架構層的進一步分解，例如將機房設施分為環境、電源、靜電防護、接地、人員進出、消防等模塊，操作系統分為Windows 操作系統和Linux 操作系統等模塊，這些模塊是對功能架構層安全防護要求的實現。

2.3 安全基線的用途和擴充

安全基線建立后，可以利用這些基準數據進行安全檢測，主要包括新信息系統上線安全檢查、第三方入網安全檢查、合規性安全檢查、日常安全運維檢查等。安全基線不是一成不變的，在信息系統設備由于業務應用和功能實現的不同，安全要求也就不同；同一設備隨著應用的改變，安全要求也隨之改變。當出現新的風險就必須對需求進行重新分析，制定出新的安全標準。

3 安全基線建設在發電企業電力監控系統中的應用

在《中華人民共和國網絡安全法》發布一年之際，烏江公司開展網絡安全基線建設項目，對區域內發電企業電力監控系統進行一次全面的安全評估，建立了統一的機房設施、操作系統、數據庫、網絡交換設備、網絡防護設備的安全基線技術要求和執行標準，該項目填補了公司網絡安全基礎建設工作的空白。

《烏江公司網絡安全基線維護與檢查技術要求（試行）》的發布，進一步拓展了網絡安全管理內容，加大管理力度，對機房管理、設備管理、賬號管理、口令配置、日志審計、服務優化等進行規范，提高發電企業電力監控系統網絡安全管理水平。公司區域內發電企業信息管理部門牽頭對標準進行宣貫和學習，維護部門結合標準內容對管轄范圍內網絡設備安全配置進行檢查，對不滿足要求和不符合實際應用的安全策略進行整改、完善。避免了公司區域內發電企業各自為戰，直接造成人力資源、財力資源、信息資源、技術資源和管理資源的浪費。經過一年的試行，公司區域內發電企業網絡設備安全配置已基本滿足《網絡安全基線維護與檢查技術要求》各項標準，形成了公司整體網絡安全“統一部署、統一整改、統一達標”的良性發展局面，為公司構建網絡安全集中管控機制、打造“數字烏江”提供了良好環境。