辛晓鹏+申培培+刘成龙

摘要：国家中线信息基础设施可以说非国家电网莫属，电力行业可以说在进行使用和运行过程中经常会受到一些大风险隐患的威胁。为对电力生产管理以及信息网络自身的安全和稳定运行给予保证，在前期对其信息安全进行规划情况下，使用调研与分析的方式，在基础设施和技术支撑平台以及应用三个层面去对于当前我国电力网信息安全的防护体系的构架问题进行分析，从而总结出了相关的构架策略，希望能给同行提供一定的帮助。

【关键词】电力行业 信息安全 技术防护 工业控制系统安全 数据备份与容灾

当前我们国家的电投集团已经开始对于信息安全进行规划，为了能够对信息安全整体的目标加以实现，就需要不断的进行信息安全能力建设并同时还需要给了，有效的落实。信息安全技术的防护架构其主要是对电力网自身的信息安全能力给予支持，同时其还是对于电网信息系统能够安全运行的主要保障，其也是对于信息安全目标加以实现的核心手段。通过对于防护对象和其自身的需要进行确认，积极的建设出一个信息安全基础的预防框架，使得建设和运维安全的能力能够获得提升，同时还需要将其作为主要的基础，真正的对于系统和网络以及终端等安全形态去进行集中的监控，并且对其进行科学的分析和响应，使其最后可以对于风险的可视化以及可管理加以实现，使其能够对于电力网自身运行以及安全管理给了，实现，并且增强其自身进行安全决策的能力。

1 识别防护对象及总体安全需求

当前，集团在建设和规划的使用上的系统主要有信息展现和决策分析，还有就是经营管理与综合管理，以及专业生产等几个大大分支。通过整体去对于多种使用系统自身的功能，以及系统所而向的使用对象，以及承载业务数据自身的敏感程度等多种情况进行分析，使其能够及时的对于信息系统整体的安全需要给予充分的满足。比如，外部的网站主要都是在互联网里去进行部署的，因此我们则需要对于网站自身的可用性，以及页而预防篡改等多种安全需要给予充分的满足；运营监管平台可以说肩负着集团自身存在的一些敏感的数据，因此对于其自身数据安全上是应该给了，非常好的保证。

集团信息化在进行规划过程中其自身的技术架构主要有三个不同的层次分类，其主要是使用和技术支撑平台以及基础的设施。在这三种层次中，基础设施这一层次还能够被细分成为终端层以及云管理平台还有基础设施的资源池层与基础网络架构层，还有就是机房物理的环境层。信息安全技术系统自身在进行框架设计的过程中还需要参照当前信息化技术架构自身的层次，使其能够对应用层和技术支撑平台层以及基础设施层使用相对的信息安全技术的预防措施。可以说当前每一个层次的相关技术防护方式都应该去基于身份认证，还有对于访问进行控制，和保证内容的安全以及监控审计，还有备份恢复等五个不同的方而去进行，同时还要积极的对于信息系统自身存在的安全防护需要给予科学有效的分析，如图1所示。

2 信息安全技术框架

参照当前我们已经进行梳理完成的应用系统自身在安全上的需求，参照当前具体的情况去进行调研结果和信息化建设的需求，以及信息安全能力还有合规要求，在多种应用系统和技术支撑平台，还有其所涉及到的基础设施层，对信息的安全防护技术上提出了更为严格也更加细致的需求。然后把需求和安全技术防护方式进行对应之后，能够获得出信息安全技术基础预防方式的一种整体的归纳，如图2所示。

基础防护技术架构自身的构成可以说是当前建设以及进行运维安全能力上非常主要的技术支撑，其中还涉及到了物理和网络以及系统，还有终端与使用数据上的安全。

近几年，摆着安全设备建设数量上的不断增加，其还出现了很多的防火墙以及IDS还有WAF等有关安全防护设备和网络设备的日志，还有相关的服务器日志信息与配置信息，和漏扫工具的扫描结果。安全运行人员应该对于以上提到的这些日志完成统一的记录和相近的分析，使其能够进一步对于安全事件进行提前的预防和显示。可是，从当前具体的情况去进行分析，当前不断产生的多种多样在类型和格式上存在差异的日志数据，也为安全运行的工作带去了非常大的挑战。因此其应该使用专业并且自动化的安全技术，去把多种多样的设备日志完成汇总式的管理，同时使得实施监测以及关联分析能够实现，使其能够对于工作效率和监测以及响应能力给予非常好的提升，同时使其能够在最后快速的对于安全事件进行处置，使得其自身在进行运维上的成本能够有所降低。并且，在安全技术进行评估的过程中还可能会产生一些比较多的漏洞，人工在进行跟踪以及管理上锁获得的效果并不是十分的明确，因此还是需要是还有自动化的形式去追踪并且对其进行有效的处置，使其能够对自身的效率给予保证的同时加以提升。所以，针对安全的运行层，应该拥有非常专业的技术能力，使其能够对于基础技术预防架构里的系统和设备出现的多种多样的数据予以关联的分析，并且还能对其进行实时的监控和报警，使其能够对于技术人员完成安全技术评估以及漏洞管理上的有效支撑。

针对但过去安全管理以及决策层，应该使其能够完整的对于信息安全存在的风险、以及合规情况还有就是对于策略完成的管理以及跟踪给了，明确，因此进行信息的安全检查和相关的额培训工作。所以，应该快速的把集团当前信息安全风险使用一种可视化的形式去进行有效的展示，令管理层能换对于当前自身存在的风险情况有一个非常明确的认识和了解，同时还需要对于信息安全风险管理平台上的需要给予提供，并且对于当前存在的风险完成统一的识别和管理以及跟踪，使其能够非常好的对于当前信息安全风险管理工作给了，支持，为进一步对于信息安全策略进行调整给予数据上的输入。并且，使用自动化进行检查的工具，去使其能够对于管理系统自身支撑信息完成安全的检查吗，使其符合工作的规范。所以，需要积极的设置信息安全的管理平臺，从而给予安全决策以及管理提供技术上的支持。

对于以上信息安全能力各层的信息安全技术措施进行支持，使其能够最构成一种集团信息安全技术的网络框架。使得具体的，信息安全技术体系的框架能够被分成信息安全的基础防御层和信息安全监控平台层以及信息安全的管理平台层等不同的层而。endprint

3 信息安全技术专题研究

当前，电力网公司信息安全技术部门所进行部署的工作基本已经完成，在信息安全技术体系框架里其能够对于多种技术措施去进行识别，然后还能够将其分成新建和完善以及享有等几个不同的分类，最后去按照具体的防护对象，把没有进行实现的或者是即将需要进行完善的技术方式去进行一个整体的汇总，使其能够构成13个技术的相关专题，将其对于日电力集公司进行信息安全建设工作之用。

3.1 工业控制系统信息安全保障专题

集团总部可以说是全集团工控安全的引导和进行管理的部门，因此应该对于总体工控安全的管理需要以及具体的考核指标进行管理和控制；二级单位可以说是当前本单位工按照安全的管理部门自身的申请去完成的指导以及监督和管理等三级单位落实工控的安全；三级单位具体对于工控安全给予合理的落实，并且还需要积极的制定并且对于安全管理上的需要给予保证。

方案在进行建设的过程中，其首要阶段主要是应该将“合规”为作为主要的过程。并且需要按照《电力监控系统安全防护规定》（国家发改委第14号令）、电力行业信息安全等级的保护等有关的需要、还有我们国家当前能源局有关的文件去对于当前发电厂安全防护建设的需要给予保证，通过对于当前安全现状去进行分析，使其能够对于当前电厂在安全建设上出现的差异进行整体，然后在技术和管理上去完安全防护方案的设计。

并且，还需要充分的对于电厂工控系统自身的安全情况与具体的安全建设的自身的承载能力进行邀请。老旧电厂在安全建设情况的基础上，将安全的审计当成是目前核心的安全防护方向，并且积极的将建设管理制度和明确人员职能作为重点的安全与管理建设上的主要方向；新建的电厂还应该充分对于我国所颁发的14号令去对于电厂自身在安全建设上的需要给予满足，同时还需要对于有关预防以及管理措施进行预防。

第二阶段以“提升”为主。在符合相关政策要求的基础上，还需要深入的对于适合当前电厂控制系统生命周期所才的安全防护上得要求给予保证。并且还应该不断的对于当前电厂工业控制系统自身的安全防护以及措施给予充分的保证，令电厂工业自身的控制系统安全防护能够适宜相关的安全策略去进行科学的部署使其能够朝着安全能力上的部署进行转移，并且不断的对于自身的安全技术能力以及安全管理能力上给予充分的提升，真正的对于管控和防一体化加以实现。安全能力可以说不断的覆盖系统上线和当前系统自身的运行以及与检修等多个环节，从而使其能够最后对于工控系统安全自身的闭环管控加以实现。

整体方案框架设计主要是将保护和控制工控系统里的主机以及网络还有应用软与控制器安全当成是目前的核心目标，使其能够与我们国家提出的关政策要求保持一致，同时的国内外工控系统安全防护上的相关措施，真正的建设处一套适合业务自身运行情况的特点，使其能够对于生产安全需要上的防护体系给予满足。通过相关的技术以及管理与运行等几个不同的方面，去对集团工控系统自身的安全给了保证。

3.2 对外网站系统安全监测与保障体系专题

通过对于网站自身安全监测系统进行部署，对于全集团当前使用的网站是不是能够保持合理的服务，以及其自身是不是被篡改以及挂马和存在漏洞情况等进行解决，对产生的问题及时去进行验证并告知有关的人员。研究日后全集团网站自身的安全建设形式，比如网站群，在物理上把各级单位所建设的网站集中去进行部署同时完成相关的安全与防护。可以说这其不但在安全专业性上有非常好的提升，同时还能够节约成本，其要比分散建设有很大的强化。

关注运营系统自身目标管理与过程上的管理，并且积极的按照发展的维度，去使用网站漏洞对其进行管理，并且预防网站存在威胁的管理，以及对于网站自身安全事件等进行的管理，分别的设置对外网站安全自身的事前预防和事中监测防护以及事后对其进行的响应等。

3.3 统一安全监控预警和审计系统建设

统一的安全监控，预警和审计制度负责安全事件的监测和审计，安全事件的早期预警和通知以及生命周期漏洞的管理。系统的管理范围是集团定位应用系统，集中部署系统和全集团广域网，日志信息和交通信息为基础，通过大量数据分析工具进行相关分析实现安全事件监测，预警。该系统设计为三层架构，即数据处理，数据分析和显示层。

3.4 应急体系专题

通过制定应急管理要求，应变计划，应急手册，应急演习和日常应急响应，建立健全的应急响应体系。

3.5 移动平台安全主题

作为移动办公室，基于互联网的移动门户应用程序，应从集团移动应用安全要求和移动应用安全解决方案的角度出发，从而规范移动应用的构建。

3.6 网络安全保护主题

网络安全保护主题包括LAN安全建设，无线网络安全建设，WAN流量分析和三部分建设。局域网和无线网络部分主要开发安全解决方案，如提出区域局域网区域标准，指导子域划分，提出各地区之间的保护策略；WAN部分主要考虑在集团总部和两个单位的节点部署流量分析设备。

3.7 数据安全防护专题

数据安全的保障方案主要能够被分成两个主要的部分：其中主要的部分就是对于数据自身在进行安全管理上的需要，还有一个部分是数据自身进行安全防护上的相关方案。

从当前数据自身发展的生命周期的角度去进行研究，对于数据所进行的传输和数据自身的存储以及操作和管理以及销毁等几个方面可以说都给出了在安全上的要求以及具体采取何种安全的预防措施。并且，使用相关的数据去对其完成梳理将其进行适当的分級和分类，从而对于不同级别产生的数据能够给予在安全上不同的要求。

通过对于数据安全治理所进行的分级防护处置方案的进行，使其能够构成一种拥有“智能识别和主动防护以及监控响应”能力的一体化的预防体系，使其能够真正的形成一种预防泄密和防止被他人所以滥用的安全管理目标。endprint

3.8 数据备份与容灾专题

依照当前电力网自身所进行的统一规划和其自身对于建设上所提出的统一原则，对于集团集中式的灾备中心进行建设，并且相关的二级单位灾备建设还需要被融入到当前电网集团灾备体系统中去进行适当的考虑。并且通过对于当前全集团相关的数据进行备份和容灾需要对其完成相关的调出与分析，指出数据在进行备份和容灾系统建设过程中的相关方案，并且对于实际技术路线以及重点产品在进行选型上的具体方案。对于相关技术路线自身存在的优势和缺点进行分析，并且还需要对于各路线进行的前提去进行确认，勇士还需要对于同城灾备中心以及异地灾备中心的相关策略与产品规格给予保证。使其能够对于全集团业务系统自身的容灾策略完成合理的分级，对于其自身不同容灾级别的系统去对不同的容灾策略进行制定。业务持续性级别应该一级不断的发展到四级。

数据级容灾技术能够被区分为数据备份以及数据的复制等两个不同的两类。集团三级下面的系统的异地容灾策略主要是对于相关的数据进行分析和备份，所以是能够对于数据备份适宜的技术路线进行选择并且对于相关的方案进行设计。集团四级以及三级系统，在同城应用级灾备上对于不同的容灾策略进行合理的确认，其能够分别挑选适宜的数据去对相关技术去进行复制完成容灾方案的设计。可是当前在数据复制架构的一致性以及自身的易管理性上去进行考量，推荐两者适宜完成一致的技术路线完成相关的设计与建设。可以说针对当前电力行业在业务连续性的管理领域所获得的成功实践经验来说，适宜级容灾的技术路线，主要以主待机模式（主动.待机）和双实时模式（Active-Active）两大类。通过比较分析，建议本组四级系统采用双活动模式，四级异地应用级主准备和第三级应用級主备模式。

3.9 信息安全综合管理系统专题

通过对于信息安全整体管理系统进行部署，实现电力信息网对于单位的信息安全管控上的工作支撑，其中涉及到了等级保护和信息安全检查，以及风险管理和信息安全事件上的管理与安全策略上的管理等。信息安全整体管理的系统主要使用通过集团去对其进行统一的部署，多级应用形式。

3.10 漏洞和补丁集中管理专题

通过对于漏洞管理系统进行部署，对于其自身使用系统和主机以及网络等自身的漏洞给予集中的发现和跟踪；制定相关的对补丁进行管理的策略，对于补丁管理系统对于补丁进行自动分发进行设计。

3.11 统一身份管理平台专题

通过对于当前电力网集团身份管理平台现存在的问题去进行统一的研究，积极的对于当前平台存在的问题具体的处置方案进行找出。PKI （PublicK ey Infrastructure）主要值得是使用公开密钥的相关理念以及有关的技术去进行实施并且为其能够提供一定安全服务的有着一定通用性质的一种安全的基础设施。

针对PKI去设置一个晚上的用户管理支队，使其能够对于当前集团总部以及二级单位去分别的对于统一用户自身的管理系统上去完成联邦认证加以实现，并且还需要对于总部和二级单位之间的门户级联加以实现。通过总部去统一制对于身份管理有关的规范进行制定，各级单位还应该根据相关的要求去加以执行。

3.12 实验室技术能力建设专题

为了能够与电力网集团信息在进行安全实验室上的建设相互配合，要求其去配套的建设出一系列安全检测技术作为检查的支撑工具，使其能够令实验室可以真正的配备完成信息安全检查和测评以及应急响应还有进行专业

3.13 企业私有云信息安全防护专题

在对于电力网信息集团自身信息化进行规划的过程汇总，企业私有的云为集团总部和二、三级单位创造一种非常完善的资源以及比较一致的服务。云安全处置方案在云平台安全以及云服务安全等几个不同的角度去对其进行分析和设计。

云平台的方案在进行设计的过程中应该先去对于云完成风险上的评估，然后针对虚拟化和数据防泄露以及云边界安全等多种角度，使其能够对于当前云平台自身的整体安全完成科学的设计，并且为其提供非常稳定的云安全产品和技术上的分析并且对于其自身的选型给予一定的建议。

在云计算的情况下，使其能够云安全的服务给予实现，使其能够为集团提供一个非常安全的事件响应，并且还能够对于基础设施自身存在的漏洞完成合理有效的修复，使用漏洞检测和防护以及主机安全等相关策略去进行优化，并且完成云身份的认证，保证其自身在安全操作上的运营和维护等相关的服务能够正常有效的进行下去。

4 结语

综上所述。信息安全技术的防护体系上的建设还是应该通过进行信息安全的项目去对其给予充分的实现。对于当前我们国家电力网相关的信息安全进行研究以及设计的时候其自身构成形成了一种切实可行的建设路线，同时其最后还真正的构成了一种项目的卡片，其中涉及到了实施计划以及投资上的估算。其在日后还会使用相关系列项目进行计划和进行，同时使以组织以及制度管理上能够获得很好的完善，使其能够令集团信息安全能力提及安全的防护水平获得极大的提升。

参考文献

[1]马贵峰，马巨革，构建网络信息安全防护体系的思路及方法 浅谈网络信息安全的重要发展方向[J].信息系统工程，2010（06）：55-56.

[2]刘强.刍议网络信息防护体系的构建[J].华南金融电脑，2007，15 （05）： 83-85.

[3]彭，高，计算机网络信息安全及防护策略研究[J]，计算机与数字工程，2011， 39 （01）：121-124，178.

[4]贾文龙，付丹丹，网络信息安全问题和对策[J].电脑学习，2011（02）： 25-27.endprint