信息安全：电力系统拿什么应急？

       电力安全事件预警

       如某电力公司的门户网站被黑客非法篡改，在网页上用红色醒目字体留言：电价将在某日后上涨，而日后电费又没有涨价。这是一个典型的黑客攻击例子。究其原因在于当时没有网站备用系统，没有应急处理预案，网管员不能及时恢复网页。

       又如，另一电力公司的邮件服务器由于其地市电力员工的邮件中继攻击而瘫痪；还有某电力公司内部员工出于某种目的进入电量计费系统数据库非法更改用电量等。这些安全事件在社会上造成了较大的影响，严重威胁到电网安全、稳定的运行。

       笔者在做安全咨询时，经常有电力企业的员工问，单位已经部署了网络防病毒系统，自己也安装了客户端杀毒软件，但机器上还是经常感染病毒。

       后来，笔者发现他们杀毒软件的病毒库一直没有更新，还是最初安装时的病毒库。因为病毒种类在不断变化，只有在线或定期更新病毒库，经常查杀病毒，不打开来路不明的邮件及其附件，才能拒病毒于千里之外。

        种种安全事件说明，电力的员工的安全意识还需要进一步提高。

        遵从法规

       由于电力系统是关系到国计民生的基础设施，其信息安全问题已经受到国家、电力企业以及社会的高度重视。为了防范电脑黑客、病毒恶意代码等对电力系统的攻击侵害及由此引发的电力系统事故，保证系统的安全稳定运行，原国家经贸委在2002年发布了30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》。

        该规定要求两类隔离：各电力监控系统必须与办公自动化系统（OA）或管理信息系统（MIS）等电力软件实行有效（物理）隔离措施；电力调度数据专用网络必须与综合信息网络及因特网实行物理隔离。

        此后，国家电网公司研究了电力系统安全防护的模型，并制定了电力系统信息安全防护总体框架，包含安全技术措施和安全管理制度。目前，正在建立电力信息化安全保障体系，安全应急响应就是其中的重要内容。

        进一步升华

       作为该框架制定的参与者和推广者，笔者深切体会到电力系统应急响应体系建设的必要性和重要性。同时，笔者也认为该框架还需要进一步细化，各个单位需要根据自己业务系统的实际情况和特点，制定一套切实有效的应急响应体系。

        解读应急响应

       应急响应体系可以保障电力系统和数据的高可用性，为电力用户提供安全事件的流程化处理方法，提高事件处理效率，降低安全事件带来电力系统的资产损失，提高业务系统的安全水平和应用水平。

        那么，什么是应急响应？电力行业的应急响应系统都受到哪些因素的影响？如何建设完善的应急响应体系？笔者想在这里谈谈自己的认识和见解。

        所谓应急响应是指对监控到的危及电力系统安全的事件、行为、过程及时做出处理，以防危害进一步扩大。电力系统的运行涉及到调度中心、变电站、发电厂；发、输、配电系统一体化，系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。

        电力系统的信息安全是一项涉及电网调度自动化、继电保护及安全控制装置、厂站自动化、配电网自动化、电力市场交易、生产管理、电力营销、办公自动化系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。

        电网调度自动化、继电保护及安全控制装置、厂站自动化、配电网自动化、电力市场交易等系统属于监控系统，主要负责电力系统的生产控制业务；生产管理、电力营销、办公自动化等系统属于管理信息系统，主要负责电力系统的信息化管理。

       监控系统的安全等级高于管理信息系统，实时生产系统的安全等级最高。电力系统的多样性决定了电力系统信息安全防护非常复杂，应急响应也非常复杂。

       这就要求针对不同的系统，建立不同的电力系统安全事件应急体系和预案，用于保护、分析对系统资源的非法访问和网络攻击，并配备必要的应急设施，统一调度，进行经常性地演练，从而形成对重大安全事件（遭到自然灾害、黑客、病毒攻击和其他人为破坏等）的快速响应能力，最大限度地降低电力系统的风险。

       揭开“龙骨”内幕

       电力系统应急响应体系像只庞大的恐龙，只有探析到它的骨骼结构，才好构建完美的恐龙模型。

       根据多年工作经验，笔者认为，电力系统应急响应体系的“骨骼”结构应如图1所示。即由技术体系和管理体系两部分组成。

        技术充左膀

        技术体系应该包括3方面内容：安全知识库、网络和系统监控、数据和系统备份。

        安全知识库包括各电力应用的操作系统、数据库系统以及业务系统的漏洞、补丁、安全事件、解决方案、应急预案等。

        从处理方法上来看，安全事件可以分为两类，一类是曾经发生过，并明确知道原因、后果和处理方法的安全事件。该类安全事件已经存在安全知识库中，如发生过的病毒、攻击入侵事件等。

        另一类是安全知识库中没有的、没有立即解决措施的安全事件。如新出现的病毒、攻击入侵事件等。前者可以在网络和系统运行现场立即予以解决；后者可以先提出临时解决方案，然后经过安全专家发现问题的根源，找到最终解决方案后再存入知识库。安全知识库的作用是能迅速地对安全事件进行合理、科学地处理。

       网络监控就是在电力网络的边界接口处安装基于网络的入侵检测和预警系统，提高对网络及设备自身安全漏洞和内外部攻击行为的检测、管理、监控和实时处理能力。

       系统监控就是在电力系统内部局域网的关键服务器上部署基于主机的入侵检测和预警系统，在主机一级对业务系统进行监控，对异常的用户行为进行报警等处理，最大限度防止系统攻击、滥用及恶意篡改等安全事件的发生。

       对于系统备份，笔者建议采用的策略应该是全备份和增量备份相结合的方式。这样做，既利用了全备份恢复简单的特点，又考虑了备份时间少的优点。

       电力系统关键应用数据与应用系统的备份，确保了数据损坏、系统崩溃情况下快速恢复数据与系统的可用性，同时对实时控制系统、电力市场交易系统进行异地的数据与系统备份，可提供系统级容灾功能，保证在发生大规模灾难情况下，保持系统业务的连续性。

        管理担右臂

        电力系统应急响应的管理体系包括领导小组、工作小组，以及相应的管理制度、应急处理流程和应急预案的演练。

        领导小组主要由各级电力企业管理层组成，目前基本上是各单位的一把手负责。

        工作小组可以分为三个级别：

        第一级是安全值班员，可以由网管中心值班人员兼任，主要负责7×24小时的安全事件监视，按照安全事件的处理指南和安全知识库处理已知的安全告警事件；

       第二级是安全专家小组，由企事业单位内部的安全专家和网络和业务系统的专家组成，负责对第一级发现提交的未知安全事件进行分析判断，完成绝大多数安全事件的处理，对不能及时找到完整解决方案，需要在将该问题提交第三级以外，还必须及时找到临时解决方案；

第三级是电力系统安全实验室，负责针对重大安全隐患和网络攻击进行会诊，同时还负责撰写安全事件分析报告，提交安全策略和配置的变更建议。