謹(jǐn)防內(nèi)患，電力系統(tǒng)安全審計(jì)促“合規(guī)”

2013-10-17 10:38:43 EP電力信息化網(wǎng)　點(diǎn)擊量：評論 (0)

電力行業(yè)是國民經(jīng)濟(jì)的基礎(chǔ)產(chǎn)業(yè)，是國民經(jīng)濟(jì)發(fā)展和人民生活極其重要的基礎(chǔ)設(shè)施之一。近些年來，電力的信息化建設(shè)取得了非常顯著的成就，信息化建設(shè)已經(jīng)有了一定的規(guī)模，形成了微波、衛(wèi)星、光纖、無線移動通信等多種類通信手段，通信范圍覆蓋全國。基本建成從國家電網(wǎng)公司→區(qū)域電網(wǎng)中心→省電力公司→地市電力公司→變電所（局）的四級計(jì)算機(jī)網(wǎng)絡(luò)和電力生產(chǎn)調(diào)度網(wǎng)絡(luò)，成為生產(chǎn)控制、電力調(diào)度以及信息傳輸和交換的重要基礎(chǔ)設(shè)施。但面對外圍行業(yè)中存在的網(wǎng)絡(luò)違規(guī)行為日益泛濫，電力行業(yè)各公司開始認(rèn)識到強(qiáng)化對各直屬機(jī)構(gòu)的信息管理系統(tǒng)的安全建設(shè)的必要性，尤其是面對內(nèi)部大量調(diào)度信息等關(guān)鍵數(shù)據(jù)的操作的安全性，是電力行業(yè)“安全生產(chǎn)”的立命之本。面向業(yè)務(wù)安全的IT治理，加強(qiáng)對業(yè)務(wù)安全的監(jiān)控和管理，以保證電力系統(tǒng)安全生產(chǎn)成為重要的課題。

電力系統(tǒng)業(yè)務(wù)安全的指導(dǎo)思路

談到電力行業(yè)的IT治理，不得不從行業(yè)的幾個重要信息化指導(dǎo)性文件說起。從2002年國家經(jīng)貿(mào)委的第30 號令（《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》），2004年國家電力監(jiān)管委員會第5 號令（《電力二次系統(tǒng)安全防護(hù)規(guī)定》），到2005年電力二次系統(tǒng)安全防護(hù)專家組和工作組提出的《電力二次系統(tǒng)安全防護(hù)總體方案》，都很大篇幅地涵蓋了IT治理方面的明確要求。天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)正是順應(yīng)了這樣的需求背景，滿足了電力行業(yè)IT治理的安全需求，并得到了一個又一個行業(yè)用戶的肯定。

電力行業(yè)的信息系統(tǒng)龐大復(fù)雜，IT系統(tǒng)治理難度大。按照《電力二次系統(tǒng)安全防護(hù)規(guī)定》的安全分區(qū)原則，調(diào)度中心（省調(diào)及以上）的所有二次系統(tǒng)應(yīng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)分為控制區(qū)和非控制區(qū)，管理信息大區(qū)分為生產(chǎn)管理區(qū)和管理信息區(qū)。這幾個區(qū)域都轄及了多個紛繁復(fù)雜的信息系統(tǒng)，例如，控制區(qū)內(nèi)有實(shí)時(shí)閉環(huán)控制的SCADA（Supervisory Control And Data Acquisition系統(tǒng)，即數(shù)據(jù)采集與監(jiān)視控制系統(tǒng))等系統(tǒng)；非控制區(qū)內(nèi)包含調(diào)度員培訓(xùn)、考核等系統(tǒng)；生產(chǎn)管理區(qū)內(nèi)有電力監(jiān)管信息系統(tǒng)和調(diào)度管理信息系統(tǒng)等；管理信息區(qū)內(nèi)有辦公自動化等系統(tǒng)。

以上可見，電力信息系統(tǒng)的業(yè)務(wù)安全防護(hù)總體策略，主要側(cè)重在四個層面。

第一，引入審計(jì)機(jī)制，不僅要對網(wǎng)絡(luò)訪問的結(jié)果進(jìn)行監(jiān)督，更重要的是要對訪問過程進(jìn)行全程的監(jiān)督，其目的就是要加強(qiáng)內(nèi)部控制。

第二，引入強(qiáng)身份認(rèn)證技術(shù)，提升原有的身份認(rèn)證強(qiáng)度，杜絕出現(xiàn)口令泄漏、共用賬號、盜用賬號等問題。

第三，引入訪問控制機(jī)制，更合理地管理IT系統(tǒng)的資源及其訪問權(quán)限。審計(jì)是一種事后稽查機(jī)制，更多地起到威懾和事后追查的作用；而控制機(jī)制則可以有效地遏制信息資源的盜用、濫用，避免信息資產(chǎn)遭到人為破壞。

第四，引入集中用戶管理技術(shù)，將全系統(tǒng)的用戶進(jìn)行集中管理，一方面降低系統(tǒng)管理的復(fù)雜度和難度，另一方面規(guī)避用戶管理混亂的問題，從而使得全系統(tǒng)的用戶管理可以嚴(yán)格地按照相關(guān)的安全規(guī)定、安全策略來有效實(shí)施。

電力系統(tǒng)部署安全審計(jì)的必要性

電力行業(yè)是技術(shù)密集和裝備密集型產(chǎn)業(yè)，其獨(dú)特的生產(chǎn)與經(jīng)營方式?jīng)Q定了其信息化發(fā)展的模式。通過對電力行業(yè)各類系統(tǒng)的分析和安全需求分析，我們認(rèn)為以審計(jì)系統(tǒng)為核心，加強(qiáng)IT信息系統(tǒng)的合規(guī)性管理，可以解決以下核心的業(yè)務(wù)安全問題。

第一，保障業(yè)務(wù)的連續(xù)性，確保安全生產(chǎn)無隱患。

電力調(diào)度數(shù)據(jù)網(wǎng)作為電力系統(tǒng)的調(diào)度依據(jù)，與電力系統(tǒng)的安全穩(wěn)定運(yùn)行緊密關(guān)聯(lián)。事實(shí)上，很多的變電站通過接入調(diào)度中心SCADA系統(tǒng)以集調(diào)合一的模式實(shí)現(xiàn)無人值守，大量接入SCADA系統(tǒng)的后臺數(shù)據(jù)庫，因此，監(jiān)控系統(tǒng)和數(shù)據(jù)傳輸內(nèi)容是其業(yè)務(wù)連續(xù)性的核心。而部署天玥網(wǎng)絡(luò)審計(jì)系統(tǒng)就能很好解決數(shù)據(jù)傳輸內(nèi)容的監(jiān)控和接入管理問題。天玥系統(tǒng)提供基于角色的訪問控制與審計(jì)，不但能夠有效地控制運(yùn)維操作風(fēng)險(xiǎn)，而且能夠有效區(qū)分不同維護(hù)人員的身份，便于事后追查原因與界定責(zé)任，確保了電力調(diào)度數(shù)據(jù)網(wǎng)的業(yè)務(wù)連續(xù)和安全運(yùn)行。

第二，彌補(bǔ)傳統(tǒng)安全手段，強(qiáng)化深度防護(hù)能力，提升IT系統(tǒng)管理水平。

電力行業(yè)調(diào)度中心出于網(wǎng)絡(luò)安全防護(hù)的需要，往往設(shè)置了專用隔離裝置、防火墻、入侵檢測等設(shè)備。傳統(tǒng)的IDS、防火墻等安全設(shè)備針對攻擊、木馬、入侵等行為能夠起到有效的防范作用，但是針對內(nèi)部人員的正常操作訪問所存在的風(fēng)險(xiǎn)卻愛莫能助。因?yàn)椴僮黠L(fēng)險(xiǎn)“看”起來更象是一種正常的業(yè)務(wù)行為，它通常來自內(nèi)部，而且與業(yè)務(wù)結(jié)合得非常緊密。天玥網(wǎng)絡(luò)審計(jì)系統(tǒng)將管理工具與各電力單位自身的管理制度相結(jié)合，針對電力信息系統(tǒng)中所有的業(yè)務(wù)操作行為進(jìn)行審計(jì)和監(jiān)控，提升了電力企業(yè)應(yīng)對突發(fā)事件的能力。

第三，細(xì)化違規(guī)操作行為的記錄，確保核心資產(chǎn)免遭破壞。

對電力企業(yè)的業(yè)務(wù)系統(tǒng)來說，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個關(guān)鍵系統(tǒng)上（如數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等），電力企業(yè)里負(fù)責(zé)運(yùn)維的部門通常擁有目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)設(shè)備的最高權(quán)限，如root帳號的口令，但是，由于目標(biāo)系統(tǒng)不能區(qū)別不同人員使用同一個帳號進(jìn)行維護(hù)操作，所以不能界定維護(hù)人員的真實(shí)身份，這增大了系統(tǒng)連續(xù)運(yùn)行的危險(xiǎn)性。天玥審計(jì)系統(tǒng)能夠加強(qiáng)對這些關(guān)鍵系統(tǒng)的訪問控制與審計(jì)，從而有效減少核心信息資產(chǎn)的破壞和泄漏。

天玥安全審計(jì)系統(tǒng)的核心價(jià)值

第一，滿足合規(guī)性要求，順利通過IT審計(jì)。目前，越來越多的組織機(jī)構(gòu)面臨一種或者幾種合規(guī)性要求。例如：政府等行政部門或國有企業(yè)需遵循等級保護(hù)等合規(guī)性要求。天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了具有針對性的審計(jì)方案，有助于完善各組織機(jī)構(gòu)的IT內(nèi)控與審計(jì)體系，從而滿足各種合規(guī)性要求，使得各組織機(jī)構(gòu)能夠順利通過IT審計(jì)。

第二，有效減少業(yè)務(wù)系統(tǒng)核心信息資產(chǎn)的破壞和泄漏，降低損失。在業(yè)務(wù)系統(tǒng)中，真正重要的核心信息資產(chǎn)往往存放在關(guān)鍵系統(tǒng)上。通過使用天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，能夠加強(qiáng)對這些關(guān)鍵系統(tǒng)的訪問控制與審計(jì)，從而有效減少核心信息資產(chǎn)的破壞和泄漏。

第三，有效控制運(yùn)維操作風(fēng)險(xiǎn)，便于事后取證免責(zé)。天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)采用基于角色的訪問控制與審計(jì)機(jī)制，不僅能夠有效控制運(yùn)維操作風(fēng)險(xiǎn)，還能夠有效區(qū)分不同維護(hù)人員的身份，同時(shí)能夠完整回放事故當(dāng)時(shí)操作場景，定位事故真正責(zé)任人，便于事后追查原因與界定責(zé)任。

第四，有效控制業(yè)務(wù)運(yùn)行風(fēng)險(xiǎn)，全局把控業(yè)務(wù)系統(tǒng)安全狀況。天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供業(yè)務(wù)流量實(shí)時(shí)監(jiān)控與審計(jì)事件統(tǒng)計(jì)分析功能，能夠直觀地反映網(wǎng)絡(luò)環(huán)境的安全狀況，特別是系統(tǒng)維護(hù)、訪問量、業(yè)務(wù)流量、業(yè)務(wù)訪問分布、數(shù)據(jù)庫訪問分布等重要信息，使得管理者可以直觀的實(shí)時(shí)了解業(yè)務(wù)系統(tǒng)安全狀況。

從長遠(yuǎn)看，電力行業(yè)的合規(guī)性治理是一項(xiàng)復(fù)雜和艱巨的任務(wù)，通過部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，可以改善IT系統(tǒng)的治理結(jié)構(gòu)，完善信息安全的體系化建設(shè)。隨著《電力二次系統(tǒng)安全防護(hù)規(guī)定》在電力行業(yè)的層層推進(jìn)，天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)一定能為電力行業(yè)業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定運(yùn)行做出貢獻(xiàn)。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個贊