神華神東電力重慶萬(wàn)州港電有限責(zé)任公司 重慶 萬(wàn)州 404000

1 引言

隨著技術(shù)的不斷發(fā)展，火電企業(yè)在網(wǎng)絡(luò)技術(shù)的應(yīng)用上越來(lái)越廣泛，提升了企業(yè)的運(yùn)行能力和效率，但是其隨之而來(lái)的安全問(wèn)題也給企業(yè)的運(yùn)行帶來(lái)困擾，如何有效的建立全面、科學(xué)的防控系統(tǒng)，實(shí)現(xiàn)防控能力的發(fā)揮，提升企業(yè)的安全優(yōu)勢(shì)，是火電企業(yè)不斷探索和關(guān)注的問(wèn)題。

2 網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的概念及特點(diǎn)

2.1 概念 網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0納入了云計(jì)算、大數(shù)據(jù)、AI等方面新內(nèi)容，由傳統(tǒng)的計(jì)算機(jī)信息系統(tǒng)防護(hù)轉(zhuǎn)向云計(jì)算、移動(dòng)互聯(lián)、工業(yè)控制、物聯(lián)網(wǎng)和大數(shù)據(jù)等新型計(jì)算環(huán)境下的網(wǎng)絡(luò)空間主動(dòng)防御體系建設(shè)。

2.2 特點(diǎn)

(1)可信計(jì)算。在信任根的依據(jù)下，通過(guò)信任鏈條識(shí)別和控制鏈條，判斷其安全性，實(shí)現(xiàn)在整個(gè)系統(tǒng)上能發(fā)揮出良好的系統(tǒng)優(yōu)勢(shì)，通過(guò)軟硬件系統(tǒng)平臺(tái)的配合，通過(guò)各個(gè)應(yīng)用升級(jí)手段，全面提升系統(tǒng)的信用安全控制能力。

(2)安全監(jiān)測(cè)。安全監(jiān)測(cè)主要是能銅鼓對(duì)于運(yùn)行操作過(guò)程的各個(gè)步驟環(huán)節(jié)跟蹤控制，通過(guò)對(duì)往往安全日志有效的分析，做到在安全控制方面能做到全過(guò)程監(jiān)督。在安全識(shí)別控制的過(guò)程中，要能做到對(duì)于風(fēng)險(xiǎn)識(shí)別、安全報(bào)警等安全監(jiān)控流程的可靠性、靈敏性保障，提升了網(wǎng)絡(luò)安全。

(3)通報(bào)預(yù)警。安全監(jiān)測(cè)的重要表達(dá)手段就是能做到在安全尺度的把控下，通過(guò)監(jiān)測(cè)系統(tǒng)和分析系統(tǒng)，能實(shí)現(xiàn)安全風(fēng)險(xiǎn)及時(shí)的控制。

(4)應(yīng)急處置。通過(guò)對(duì)于各種網(wǎng)絡(luò)安全問(wèn)題有效的分析，做到在安全控制方面能實(shí)現(xiàn)科學(xué)化的安全保障，落實(shí)有關(guān)的安全控制流程和基本措施，實(shí)現(xiàn)在安全控制方面能發(fā)揮出良好的安全應(yīng)對(duì)能力，通過(guò)及時(shí)、科學(xué)的應(yīng)急處理，減少損失，控制有關(guān)的安全問(wèn)題持續(xù)發(fā)展。

3 當(dāng)前火電企業(yè)網(wǎng)絡(luò)信息安全管理存在的問(wèn)題

3.1 安全基礎(chǔ)不可控 傳統(tǒng)的網(wǎng)絡(luò)信息安全控制手段，是利用企業(yè)的網(wǎng)絡(luò)控制優(yōu)勢(shì)，實(shí)現(xiàn)安全控制能力的提升，在安全識(shí)別的過(guò)程中，能通過(guò)利用各種已知的安全防控手段，比如防火墻、入侵檢測(cè)、常規(guī)病毒查殺等手段，提升防控能力，這些手段的安全控制方式和能力是已知的，很多安全管理優(yōu)勢(shì)不能具備較高的保障基礎(chǔ)，比如對(duì)于新興的網(wǎng)絡(luò)攻擊，因?yàn)閷?duì)于全新網(wǎng)絡(luò)信息安全防控體系來(lái)去，其不具備有效的安全管理基礎(chǔ)，安全管理問(wèn)題不能有效的解決。

3.2 安全管理人員思想認(rèn)識(shí)不夠 在思想認(rèn)知不夠的前提下，很多工作的規(guī)范性、全面性保障機(jī)制不能科學(xué)的發(fā)揮出來(lái)，導(dǎo)致了工作人員的科學(xué)職業(yè)責(zé)任優(yōu)勢(shì)不能發(fā)揮，很多工作開(kāi)展的過(guò)程中，不能具備安全管理上的諸多科學(xué)應(yīng)對(duì)方式，很多問(wèn)題不能科學(xué)的解決。導(dǎo)致因?yàn)榘踩揽伢w系構(gòu)建和管理執(zhí)行上的不科學(xué)，導(dǎo)致了思想認(rèn)知不能發(fā)揮出良好的安全控制效果。

3.3 相關(guān)標(biāo)準(zhǔn)跟不上技術(shù)的發(fā)展 技術(shù)發(fā)展的速度十分迅速，如果相關(guān)的技術(shù)標(biāo)準(zhǔn)不能有效的發(fā)揮作用，就會(huì)導(dǎo)致在技術(shù)層面上不能體現(xiàn)出科學(xué)的技術(shù)指導(dǎo)和規(guī)范優(yōu)勢(shì)。導(dǎo)致企業(yè)的安全管理不能具備科學(xué)性、明確性的指導(dǎo)能力。

4 基于等保2.0標(biāo)準(zhǔn)的火電企業(yè)等級(jí)保護(hù)實(shí)踐策略

4.1 網(wǎng)絡(luò)安全防護(hù)體系完善 安全防控體系要能不斷的完善，避免存在安全防控漏洞，體系建設(shè)要能具備一定的原則指導(dǎo)能力，按照“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的原則規(guī)劃安全防控體系。在網(wǎng)絡(luò)安全防控體系的指導(dǎo)下，落實(shí)工控系統(tǒng)，以最科學(xué)的網(wǎng)絡(luò)安全配置策略，滿足等級(jí)保護(hù)要求。

4.2 建立科學(xué)的網(wǎng)絡(luò)安全防護(hù)技術(shù)方案

(1)安全區(qū)域劃分。區(qū)域劃分是在火電企業(yè)不同的生產(chǎn)需求和管理內(nèi)容下，通過(guò)科學(xué)的區(qū)域劃分，在執(zhí)行網(wǎng)絡(luò)安全的防控上，能提升安全防控的專(zhuān)業(yè)性和科學(xué)性，提升安全防控的能力，同時(shí)在配置安全防控手段的過(guò)程中，更加具備安全性和專(zhuān)業(yè)性。在生產(chǎn)控制一區(qū)、生產(chǎn)控制二區(qū)、管理信息大區(qū)的標(biāo)準(zhǔn)分區(qū)結(jié)構(gòu)之下，可根據(jù)火電企業(yè)的不同網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，遵循網(wǎng)絡(luò)安全的邏輯進(jìn)一步細(xì)化，比如生產(chǎn)控制一區(qū)劃分為DCS網(wǎng)絡(luò)區(qū)域、NCS網(wǎng)絡(luò)區(qū)域等；管理信息大區(qū)細(xì)化為：服務(wù)器區(qū)域、安全防護(hù)區(qū)域、視頻監(jiān)控區(qū)域、視頻會(huì)議區(qū)域、辦公設(shè)備區(qū)域等。更進(jìn)一步優(yōu)化各區(qū)域安全防護(hù)策略，加強(qiáng)安全防護(hù)手段，確保網(wǎng)絡(luò)信息安全。

(2)入侵防范手段建立。在關(guān)鍵的網(wǎng)絡(luò)安全控制節(jié)點(diǎn)，設(shè)置科學(xué)有效的安全監(jiān)控機(jī)制，通過(guò)分析過(guò)濾各項(xiàng)操作行為，提升安全識(shí)別監(jiān)控能力，一般要能建立標(biāo)準(zhǔn)性的安全控制協(xié)議，根據(jù)協(xié)議內(nèi)容識(shí)別判斷各個(gè)行為的安全性。因此協(xié)議內(nèi)容要全面、科學(xué)、細(xì)致，要能及時(shí)的維護(hù)更新，確保具備足夠的安全防控能力。

(3)細(xì)化訪問(wèn)控制。在工控系統(tǒng)中，生產(chǎn)控制區(qū)一般遵循只讀且不可寫(xiě)的原則，即生產(chǎn)控制區(qū)的各種生產(chǎn)數(shù)據(jù)原則上只能單向傳遞給企業(yè)其它系統(tǒng)，而其他系統(tǒng)不能向工控系統(tǒng)傳遞控制指令和數(shù)據(jù)?；诖嗽瓌t配置工控系統(tǒng)邊界訪問(wèn)控制策略，可以大大減少通過(guò)傳統(tǒng)信息網(wǎng)絡(luò)對(duì)工控系統(tǒng)發(fā)起的攻擊行為。

(4)加強(qiáng)主機(jī)安全防護(hù)。將文件和允許使用的各種程序、應(yīng)用信息化，也就是建立白名單，實(shí)現(xiàn)主機(jī)系統(tǒng)的安全識(shí)別優(yōu)勢(shì)建立，對(duì)于進(jìn)入的各種非信息程序，要能科學(xué)的識(shí)別、控制。同時(shí)要能對(duì)于各種不安全的行為進(jìn)行有效的控制，比如U盤(pán)的隨意使用等。主機(jī)安全防護(hù)系統(tǒng)可以實(shí)現(xiàn)包括賬戶策略、審核策略、日志審計(jì)在內(nèi)的統(tǒng)一的基線安全配置。通過(guò)截取系統(tǒng)調(diào)用、接管底層驅(qū)動(dòng)等方式，提升安全控制能力。

(5)建設(shè)安全管理中心。建設(shè)安全管理中心可以理解為等級(jí)保護(hù)2.0一個(gè)管理中心，是執(zhí)行安全控制的核心部分，其主要是在安全控制系統(tǒng)的運(yùn)行過(guò)程中，能全面的做到在日志分析、安全維護(hù)、安全控制等方面協(xié)調(diào)管理，提升主控能力。安全管理中心的有效構(gòu)建，提升了企業(yè)對(duì)于安全保護(hù)系統(tǒng)的安全識(shí)別和安全控制能力，在信息收集、方案執(zhí)行監(jiān)督、事后分析評(píng)價(jià)方面都能發(fā)揮出優(yōu)勢(shì)特點(diǎn)。

5 結(jié)語(yǔ)

等保2.0標(biāo)準(zhǔn)下的火電企業(yè)網(wǎng)絡(luò)安全控制，要能全面提升在安全策略系統(tǒng)構(gòu)建以及策略執(zhí)行方面的優(yōu)勢(shì)，提升安全問(wèn)題應(yīng)對(duì)能力。