电力系统信息安全等级保护探讨 鲁跃

电力系统信息安全等级保护探讨鲁跃

发表时间：2019-11-21T10:27:24.000Z 来源：《电力设备》2019年第13期作者：鲁跃[导读] 摘要：随着我国信息化应用的深入发展，信息技术和设备在各行各业中都得到了广泛应用。

（内蒙古电力（集团）有限责任公司薛家湾供电局内蒙古鄂尔多斯市 010300）摘要：随着我国信息化应用的深入发展，信息技术和设备在各行各业中都得到了广泛应用。当前，借助信息化手段打造的智能化电网正在我国电力企业中发展壮大，电力企业已经基本上实现了信息化和自动化，而信息安全问题在信息化应用过程中也日趋突出。如果电力企业核心业务系统发生信息安全事件，势必会对电力系统的稳定运行造成影响，一旦电力系统瘫痪，就会给国家造成不可估量的经济损

失，以及负面的社会影响。所以电力企业必须加强信息安全管理，国家层面及行业内部均出台了相关的信息安全管理要求，其目的都是确保各类重要信息系统的安全稳定运行。

关键词：电力系统；信息安全；等级保护

引言

电力是国民经济重要的基础设施之一，电力安全直接关系国计民生，一直是党和政府高度关注的重点。随着通信技术和网络技术的快速发展和电力工业信息化工作的推进，因特网已得到了广泛使用，E-mail、Web和PC的也日益普及，但同时病毒和黑客也日益猖獗。因此，研究电力系统信息安全问题、制定和实施电力系统信息安全战略、建立全方位动态、纵深防御的电力系统安全保障体系，已成为当前电力系统信息化工作的重要内容。本文首先介绍了电力行业信息系统安全等级保护的必要性及现状，然后讨论了电力系统安全等级保护的纵深防御模型及实施步骤。

1电力行业信息安全等级保护的必要性及现状

电力工业的特点决定了电力信息安全不仅具有一般计算机信息网络信息安全的特征，而且还具有电力实时运行控制系统信息安全的特征。电力系统的信息安全是一项涉及电网调度自动化、继电保护及安全控制装置、厂站自动化、配电网自动化、电力市场交易、生产管理、电力营销、办公自动化系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。其中，电网调度自动化、继电保护及安全控制装置、厂站自动化、配电网自动化、电力市场交易等系统属于监控系统，生产管理、电力营销、办公自动化等系统属于管理信息系统。监控系统主要负责电力系统的生产控制业务，它又分为实时生产系统和准实时生产系统；管理信息系统主要负责电力系统的信息化管理。监控系统的安全等级高于管理信息系统，实时生产系统的安全等级最高。系统的安全等级不同，安全防护措施也不一样，实时生产系统是电力系统安全防护的重点和核心，首先，监控系统和管理信息系统之间应采用电力专用安全隔离装置进行物理隔离，然后，实时生产系统和准实时生产系统之间用硬件防火墙进行逻辑隔离。若不分系统类型，都采用最高安全强度的产品进行防护，则有可能降低系统的运行性能并提高运行成本。因此，在电力系统中，实行信息安全等级防护是非常必要的和紧迫的。 2007年7月16日，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合签发了《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）。2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作。2007年11月，国家电监会下发了《电力行业信息系统安全等级保护定级工作指导意见》。为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）和国家电力监管委员会《关于开展电力行业信息系统安全等级保护定级工作的通知》（电监信息[2007]34号）要求，国家电网公司率先启动了等级保护工作，2007年开展了信息系统安全等级保护制度研究与试点工作，完成了信息系统的定级备案工作；2008年涉奥单位完成了等级保护建设的主体工作，2009年全面开展了等级保护建设工作。

2信息安全等级保护的方式

2.1物理安全保护方面

物理安全保护主要从系统运行环境进行安全管理控制：对主机房等设备运行环境进行安全防范管理。利用较为先进的技术和设备实现对重要信息设备进行不间断电源、防尘、防震、防火、防盗、防雷、防静电、温湿度控制、电磁屏蔽防护、数据备份及防泄露等方面的防护，确保各类信息设备的安全稳定运行。由此可看出，物理安全保护的目标就是为信息系统设备提供安全稳定的运行环境。

2.2主机安全保护方面

主机安全保护主要从主机安全运行进行安全管理配置：主要对主机中运行的操作系统、数据库、中间件及其它应用系统的安全运行进行配置管理。具体要求主要有身份鉴别、访问控制、安全审计、安全标记、剩余信息保护、入侵防范、恶意代码防范、可信路径、资源控制等安全配置要求。主机作为承载信息系统的主体，也是信息系统安全保护的主体。

2.3网络安全保护方面

网络安全保护主要对网络设备及网络通信（访问）进行安全管理：主要通过对网络结构、访问控制、安全审计、边界安全管理、入侵防范、恶意代码防范、网络设备安全配置等安全管理审查项进行全面审查，从而确保信息网络的安全可靠运行。 3电力信息系统等级保护策略

3.1信息系统分级统一保护措施

电力企业拥有各种不同业务功能的业务系统，这此信息系统大多分属于第二级到第四级的安全级别，不同的安全级别其安全要求和保护强度都不相同，这就要求电力企业在每个信息系统新建时便根据信息系统分级划分标准进行等级保护定级。根据各个信息系统的定级情况，将同等级信息系统纳入相同的安全管理区域进行统一管理，确保各个信息系统都能全面按照相应等级保护要求进行安全管控，从而有效提升各信息系统的安全管理水平。

3.2信息安全定期检查及应急演练

这里的检查不仅指上级单位的安全检查，还包括信息系统运营单位的安全自查。对于不同安全等级保护措施的信息系统，需要根据等级保护的管理规范进行检查评估，一旦发现问题立马进行整改，从本质上加固信息系统安全配置，提升信息系统安全防护水平。对于不同等级的信息系统，应制定不同时间段的定期检查计划及应急演练计划，通过应急演练模拟突发安全事件时信息系统可能发生的各类安全问题，信息系统管理人员按照应急预案开展应急处置，以此验证应急预案的正确性，并提升信息系统管理人员的应急处置能力，进而确保信息系统在发生安全事件时，能够在最短时间内将事件影响降低到尽可能小的范围内。