基于等级保护的智能电网信息安全防护模型研究

收稿日期：2011-11-29作者简介：蒋诚智（1982-）,男,江苏南京人,中国电力科学研究院国家电网公司信息网络安全实验室工程师,博士，研究方向:信

息安全,安全测评;张涛（1976-）,男,高级工程师,硕士,研究方向:信息安全技术,电力信息化;余勇（1970-）,男,高级工程师,博士,研究方向:安全测评,安全管理。

文章编号：1006-2475（2012）04-0012-05

基于等级保护的智能电网信息安全防护模型研究

蒋诚智，张

涛，余勇

（中国电力科学研究院国家电网公司信息网络安全实验室，江苏南京211106）

摘要：在分析电力信息系统安全等级保护建设情况的基础上，结合智能电网信息安全需求，提出一种基于等级保护的智能电网信息安全防护模型，从物理、终端、边界、网络、主机、应用和数据几方面描述针对智能电网特点的信息安全防护建议，以提升智能电网整体信息安全防御能力，对智能电网信息安全防护及建设具有一定的指导意义和作用。关键词：智能电网；信息安全；等级保护中图分类号：TP393.08

文献标识码：A

doi:10.3969/j.issn.1006-2475.2012.04.004

Research on Information Security Protection Model for Smart Grid Based on Classified Protection

JIANG Cheng -zhi ，ZHANG Tao ，YU Yong

（State Grid Information Network Security Laboratory ，China Electric Power Research Institute ，Nanjing 211106，China ）Abstract:Analyzing the construction status of security classified protection for electric information systems and the security demand of smart grid ，this paper proposes an information security protection model for smart grid based on classified protection.According to the characteristics of smart grid ，the presented model describes possible information security protections from aspects of physical ，terminal ，boundary ，network ，host ，application and data security.With the aim of enhancing the information security defense capability of smart grid ，the proposed model can be useful and practical during the construction of smart grid information security facilities.

Key words:smart grid ；information security ；classified protection

0引言

电网是经济社会发展的重要基础设施，是能源产

业链的重要环节。随着经济社会的快速发展以及信息、通信技术的广泛应用，智能化已成为世界电网发展的新趋势。国家电网公司在2009年启动了统一坚强智能电网的第一阶段建设工作，并提出“坚强智能电网是以特高压电网为骨干网架、各级电网协调发展的坚强网架为基础，以信息通信平台为支撑，具有信息化、自动化、互动化特征，包含电力系统的发电、输电、变电、配电、用电和调度各个环节，覆盖所有电压等级，实现电力流、信息流、业务流的高度一体化融合的现代电网”，标志着我国电网建设正逐渐进入下一阶段的智能化电网建设［1-2］。与此同时，

智能电网的开放性，电网和用户双向互动性增强，大量用户侧接入和访问，智能采集终端和移动作业终端的广泛应用和接入，无线公共网络传输通道的应用等对智能电网的发展提出了新的安全问题。因此，面对日渐突显的电力信息安全风险和日新月异的网络入侵及攻击手段，迫切需要建立一个智能电网信息安全防护模型，根据信息安全和信息化同步规划、同步建设、同步投入运行的原则，防止电网智能终端不被恶意控制，防止关键业务数据和信息不被篡改和窃取，确保电力信息网络安全和智能电网业务系统稳定运行。

1电力信息系统安全等级保护

《国家信息化领导小组关于加强信息安全保障工

作的意见》

（中办发［2003］27号）和《关于信息安全等计算机与现代化

2012年第4期

JISUANJI YU XIANDAIHUA

总第200期

级保护工作的实施意见》（公通字［2004］66号）的发布，明确了信息安全等级保护作为国家信息安全保障的一项基本制度。信息系统的安全保护等级分为5级：第一级为自主保护级；第二级为指导保护级；第三级为监督保护级；第四级为强制保护级；第五级为专控保护级。《信息安全技术信息系统安全等级保护基本要求》中从技术要求（包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复）和管理要求（包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理）两大方面，分别对5个等级的基本安全保护能力要求进行了规定［3］。

为落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安［2007］861号）和国家电力监管委员会《关于开展电力行业信息系统安全等级保护定级工作的通知》（电监信息［2007］34号）要求，国家电网公司于2008年完成了所有信息系统定级与备案工作，并按照《信息系统安全等级保护基本要求》等相关标准，形成了《国家电网公司SG186工程等级保护标准》，将管理信息网划分为逻辑强隔离的信息内网和信息外网，从边界、网络、主机、应用4个层面进行了安全防护设计。通过2009年全面开展等级保护建设整改工作，国家电网公司将等级保护工作纳入日常电网安全运行工作，全面建成了信息安全等级保护纵深防御体系，显著提高了电网信息网络安全防护能力［4］。依据“分区、分域、分级”的原则，国家电网公司信息化SG186总体防护框架将信息系统划分为管理信息大区和生产控制大区，将管理信息大区的系统依据系统等级和业务类型进行安全域划分，安全域划分采取各三级系统划分独立的安全域，二级系统统一划分安全域进行安全防护［5］。

电力信息系统等级保护实施在系统定级和划分安全域的基础上，从边界、网络、主机、应用和数据几个层次建设纵深防御体系。边界防御主要利用电力专用隔离装置、防火墙、入侵检测系统等对网络边界信息流进行安全监控和安全交换；网络防御主要利用虚拟专网、网段划分和网络扫描等技术进行安全防护与监控；主机防御主要包括主机防病毒、主机入侵检测、补丁管理等；应用和数据防御主要包括数据库、应用服务器等系统的安全加固和数据的安全使用、传输和存储［6］。

2智能电网信息安全防护

智能电网体系架构从设备功能上可分为基础硬件层、感知测量层、信息通信层和调度运维层4个层次，其信息安全需求可从物理安全、网络安全、数据安全及备份恢复几个方面描述［7］。智能电网的物理安全需求包括对智能电网系统的各种硬件设备，包括传感器、网络设备、存储设备等，在物理上防止被破坏和入侵的安全防护需求；网络安全需求包括智能电网网络安全区域划分及安全域边界安全、网络纵向互联、网络防病毒等安全需求；数据安全及备份恢复需求包括数据存储加密和访问控制等安全需求。

在信息安全技术方面，智能电网信息安全技术需求主要包括智能电网业务系统的安全防御建设、电网信息网络基础设施的安全保障技术、实时防护技术、安全存储、网络防病毒、恶意攻击防范、网络信任体系、新的密码技术和信息安全技术体系等［8］。

2.1智能电网总体防护模型

图1基于等级保护的智能电网安全模型

如图1所示，智能电网信息安全防护模型在等级保护基本要求的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理的基础上进行落实、细化、加强和扩展，形成了包括物理环境安全、网络环境安全、边界安全、终端安全、主机安全、应用和数据安全、安全管理的全面防护、精益管理的信息安全防护模型。以下将结合智能电网特点，具体描述智能电网信息安全防护模型各模块的内容。

2.2物理环境安全

等级保护基本要求中的物理安全主要以机房为安全防护对象，通过物理安全防护措施，防止机房内设备被物理破坏，防止通过物理接触而造成的信息安全事件，保障机房内设备的稳定运行。主要安全防护措施包括选择合适的机房建设地点，对机房出入进行管理和控制，安装防火、防水防潮、防盗、防雷击、防静电、电磁防护等设施，提供冗余供电线路等。

智能电网系统如配电自动化系统、用电信息采集

2012年第4期蒋诚智等：基于等级保护的智能电网信息安全防护模型研究13