謹防內患，電力系統安全審計促“合規”

2013-10-17 10:38:43 EP電力信息化網　點擊量：評論 (0)

電力行業是國民經濟的基礎產業，是國民經濟發展和人民生活極其重要的基礎設施之一。近些年來，電力的信息化建設取得了非常顯著的成就，信息化建設已經有了一定的規模，形成了微波、衛星、光纖、無線移動通信等多

電力行業是國民經濟的基礎產業，是國民經濟發展和人民生活極其重要的基礎設施之一。近些年來，電力的信息化建設取得了非常顯著的成就，信息化建設已經有了一定的規模，形成了微波、衛星、光纖、無線移動通信等多種類通信手段，通信范圍覆蓋全國。基本建成從國家電網公司→區域電網中心→省電力公司→地市電力公司→變電所（局）的四級計算機網絡和電力生產調度網絡，成為生產控制、電力調度以及信息傳輸和交換的重要基礎設施。但面對外圍行業中存在的網絡違規行為日益泛濫，電力行業各公司開始認識到強化對各直屬機構的信息管理系統的安全建設的必要性，尤其是面對內部大量調度信息等關鍵數據的操作的安全性，是電力行業“安全生產”的立命之本。面向業務安全的IT治理，加強對業務安全的監控和管理，以保證電力系統安全生產成為重要的課題。

電力系統業務安全的指導思路

談到電力行業的IT治理，不得不從行業的幾個重要信息化指導性文件說起。從2002年國家經貿委的第30 號令（《電網和電廠計算機監控系統及調度數據網絡安全防護的規定》），2004年國家電力監管委員會第5 號令（《電力二次系統安全防護規定》），到2005年電力二次系統安全防護專家組和工作組提出的《電力二次系統安全防護總體方案》，都很大篇幅地涵蓋了IT治理方面的明確要求。天玥網絡安全審計系統正是順應了這樣的需求背景，滿足了電力行業IT治理的安全需求，并得到了一個又一個行業用戶的肯定。

電力行業的信息系統龐大復雜，IT系統治理難度大。按照《電力二次系統安全防護規定》的安全分區原則，調度中心（省調及以上）的所有二次系統應劃分為生產控制大區和管理信息大區。生產控制大區分為控制區和非控制區，管理信息大區分為生產管理區和管理信息區。這幾個區域都轄及了多個紛繁復雜的信息系統，例如，控制區內有實時閉環控制的SCADA（Supervisory Control And Data Acquisition系統，即數據采集與監視控制系統)等系統；非控制區內包含調度員培訓、考核等系統；生產管理區內有電力監管信息系統和調度管理信息系統等；管理信息區內有辦公自動化等系統。

以上可見，電力信息系統的業務安全防護總體策略，主要側重在四個層面。

第一，引入審計機制，不僅要對網絡訪問的結果進行監督，更重要的是要對訪問過程進行全程的監督，其目的就是要加強內部控制。

第二，引入強身份認證技術，提升原有的身份認證強度，杜絕出現口令泄漏、共用賬號、盜用賬號等問題。

第三，引入訪問控制機制，更合理地管理IT系統的資源及其訪問權限。審計是一種事后稽查機制，更多地起到威懾和事后追查的作用；而控制機制則可以有效地遏制信息資源的盜用、濫用，避免信息資產遭到人為破壞。

第四，引入集中用戶管理技術，將全系統的用戶進行集中管理，一方面降低系統管理的復雜度和難度，另一方面規避用戶管理混亂的問題，從而使得全系統的用戶管理可以嚴格地按照相關的安全規定、安全策略來有效實施。

電力系統部署安全審計的必要性

電力行業是技術密集和裝備密集型產業，其獨特的生產與經營方式決定了其信息化發展的模式。通過對電力行業各類系統的分析和安全需求分析，我們認為以審計系統為核心，加強IT信息系統的合規性管理，可以解決以下核心的業務安全問題。

第一，保障業務的連續性，確保安全生產無隱患。

電力調度數據網作為電力系統的調度依據，與電力系統的安全穩定運行緊密關聯。事實上，很多的變電站通過接入調度中心SCADA系統以集調合一的模式實現無人值守，大量接入SCADA系統的后臺數據庫，因此，監控系統和數據傳輸內容是其業務連續性的核心。而部署天玥網絡審計系統就能很好解決數據傳輸內容的監控和接入管理問題。天玥系統提供基于角色的訪問控制與審計，不但能夠有效地控制運維操作風險，而且能夠有效區分不同維護人員的身份，便于事后追查原因與界定責任，確保了電力調度數據網的業務連續和安全運行。

第二，彌補傳統安全手段，強化深度防護能力，提升IT系統管理水平。

電力行業調度中心出于網絡安全防護的需要，往往設置了專用隔離裝置、防火墻、入侵檢測等設備。傳統的IDS、防火墻等安全設備針對攻擊、木馬、入侵等行為能夠起到有效的防范作用，但是針對內部人員的正常操作訪問所存在的風險卻愛莫能助。因為操作風險“看”起來更象是一種正常的業務行為，它通常來自內部，而且與業務結合得非常緊密。天玥網絡審計系統將管理工具與各電力單位自身的管理制度相結合，針對電力信息系統中所有的業務操作行為進行審計和監控，提升了電力企業應對突發事件的能力。

第三，細化違規操作行為的記錄，確保核心資產免遭破壞。

對電力企業的業務系統來說，真正重要的核心信息資產往往存放在少數幾個關鍵系統上（如數據庫服務器、應用服務器等），電力企業里負責運維的部門通常擁有目標系統或者網絡設備的最高權限，如root帳號的口令，但是，由于目標系統不能區別不同人員使用同一個帳號進行維護操作，所以不能界定維護人員的真實身份，這增大了系統連續運行的危險性。天玥審計系統能夠加強對這些關鍵系統的訪問控制與審計，從而有效減少核心信息資產的破壞和泄漏。

天玥安全審計系統的核心價值

第一，滿足合規性要求，順利通過IT審計。目前，越來越多的組織機構面臨一種或者幾種合規性要求。例如：政府等行政部門或國有企業需遵循等級保護等合規性要求。天玥網絡安全審計系統提供了具有針對性的審計方案，有助于完善各組織機構的IT內控與審計體系，從而滿足各種合規性要求，使得各組織機構能夠順利通過IT審計。

第二，有效減少業務系統核心信息資產的破壞和泄漏，降低損失。在業務系統中，真正重要的核心信息資產往往存放在關鍵系統上。通過使用天玥網絡安全審計系統，能夠加強對這些關鍵系統的訪問控制與審計，從而有效減少核心信息資產的破壞和泄漏。

第三，有效控制運維操作風險，便于事后取證免責。天玥網絡安全審計系統采用基于角色的訪問控制與審計機制，不僅能夠有效控制運維操作風險，還能夠有效區分不同維護人員的身份，同時能夠完整回放事故當時操作場景，定位事故真正責任人，便于事后追查原因與界定責任。

第四，有效控制業務運行風險，全局把控業務系統安全狀況。天玥網絡安全審計系統提供業務流量實時監控與審計事件統計分析功能，能夠直觀地反映網絡環境的安全狀況，特別是系統維護、訪問量、業務流量、業務訪問分布、數據庫訪問分布等重要信息，使得管理者可以直觀的實時了解業務系統安全狀況。

從長遠看，電力行業的合規性治理是一項復雜和艱巨的任務，通過部署網絡安全審計系統，可以改善IT系統的治理結構，完善信息安全的體系化建設。隨著《電力二次系統安全防護規定》在電力行業的層層推進，天玥網絡安全審計系統一定能為電力行業業務系統的安全、穩定運行做出貢獻。