電力安全事件預警

　　如某電力公司的門戶網(wǎng)站被黑客非法篡改，在網(wǎng)頁上用紅色醒目字體留言：電價將在某日后上漲，而日后電費又沒有漲價。這是一個典型的黑客攻擊例子。究其原因在于當時沒有網(wǎng)站備用系統(tǒng)，沒有應急處理預案，網(wǎng)管員不能及時恢復網(wǎng)頁。

　　又如，另一電力公司的郵件服務器由于其地市電力員工的郵件中繼攻擊而癱瘓；還有某電力公司內部員工出于某種目的進入電量計費系統(tǒng)數(shù)據(jù)庫非法更改用電量等。這些安全事件在社會上造成了較大的影響，嚴重威脅到電網(wǎng)安全、穩(wěn)定的運行。

　　筆者在做安全咨詢時，經常有電力企業(yè)的員工問，單位已經部署了網(wǎng)絡防病毒系統(tǒng)，自己也安裝了客戶端殺毒軟件，但機器上還是經常感染病毒。

　　后來，筆者發(fā)現(xiàn)他們殺毒軟件的病毒庫一直沒有更新，還是最初安裝時的病毒庫。因為病毒種類在不斷變化，只有在線或定期更新病毒庫，經常查殺病毒，不打開來路不明的郵件及其附件，才能拒病毒于千里之外。

　　種種安全事件說明，電力的員工的安全意識還需要進一步提高。

　　遵從法規(guī)

　　由于電力系統(tǒng)是關系到國計民生的基礎設施，其信息安全問題已經受到國家、電力企業(yè)以及社會的高度重視。為了防范電腦黑客、病毒惡意代碼等對電力系統(tǒng)的攻擊侵害及由此引發(fā)的電力系統(tǒng)事故，保證系統(tǒng)的安全穩(wěn)定運行，原國家經貿委在2002年發(fā)布了30號令《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調度數(shù)據(jù)網(wǎng)絡安全防護的規(guī)定》。

　　該規(guī)定要求兩類隔離：各電力監(jiān)控系統(tǒng)必須與辦公自動化系統(tǒng)（OA）或管理信息系統(tǒng)（MIS）等電力軟件實行有效（物理）隔離措施；電力調度數(shù)據(jù)專用網(wǎng)絡必須與綜合信息網(wǎng)絡及因特網(wǎng)實行物理隔離。

　　此后，國家電網(wǎng)公司研究了電力系統(tǒng)安全防護的模型，并制定了電力系統(tǒng)信息安全防護總體框架，包含安全技術措施和安全管理制度。目前，正在建立電力信息化安全保障體系，安全應急響應就是其中的重要內容。

　　進一步升華

　　作為該框架制定的參與者和推廣者，筆者深切體會到電力系統(tǒng)應急響應體系建設的必要性和重要性。同時，筆者也認為該框架還需要進一步細化，各個單位需要根據(jù)自己業(yè)務系統(tǒng)的實際情況和特點，制定一套切實有效的應急響應體系。

　　解讀應急響應

　　應急響應體系可以保障電力系統(tǒng)和數(shù)據(jù)的高可用性，為電力用戶提供安全事件的流程化處理方法，提高事件處理效率，降低安全事件帶來電力系統(tǒng)的資產損失，提高業(yè)務系統(tǒng)的安全水平和應用水平。

　　那么，什么是應急響應？電力行業(yè)的應急響應系統(tǒng)都受到哪些因素的影響？如何建設完善的應急響應體系？筆者想在這里談談自己的認識和見解。

　　所謂應急響應是指對監(jiān)控到的危及電力系統(tǒng)安全的事件、行為、過程及時做出處理，以防危害進一步擴大。電力系統(tǒng)的運行涉及到調度中心、變電站、發(fā)電廠；發(fā)、輸、配電系統(tǒng)一體化，系統(tǒng)中包括了各種獨立系統(tǒng)和聯(lián)合電網(wǎng)的控制保護技術、通信技術、運行管理技術等。

　　電力系統(tǒng)的信息安全是一項涉及電網(wǎng)調度自動化、繼電保護及安全控制裝置、廠站自動化、配電網(wǎng)自動化、電力市場交易、生產管理、電力營銷、辦公自動化系統(tǒng)等有關生產、經營和管理方面的多領域、復雜的大型系統(tǒng)工程。

　　電網(wǎng)調度自動化、繼電保護及安全控制裝置、廠站自動化、配電網(wǎng)自動化、電力市場交易等系統(tǒng)屬于監(jiān)控系統(tǒng)，主要負責電力系統(tǒng)的生產控制業(yè)務；生產管理、電力營銷、辦公自動化等系統(tǒng)屬于管理信息系統(tǒng)，主要負責電力系統(tǒng)的信息化管理。

　　監(jiān)控系統(tǒng)的安全等級高于管理信息系統(tǒng)，實時生產系統(tǒng)的安全等級最高。電力系統(tǒng)的多樣性決定了電力系統(tǒng)信息安全防護非常復雜，應急響應也非常復雜。

　　這就要求針對不同的系統(tǒng)，建立不同的電力系統(tǒng)安全事件應急體系和預案，用于保護、分析對系統(tǒng)資源的非法訪問和網(wǎng)絡攻擊，并配備必要的應急設施，統(tǒng)一調度，進行經常性地演練，從而形成對重大安全事件（遭到自然災害、黑客、病毒攻擊和其他人為破壞等）的快速響應能力，最大限度地降低電力系統(tǒng)的風險。

　　揭開“龍骨”內幕

　　電力系統(tǒng)應急響應體系像只龐大的恐龍，只有探析到它的骨骼結構，才好構建完美的恐龍模型。

　　根據(jù)多年工作經驗，筆者認為，電力系統(tǒng)應急響應體系的“骨骼”結構應如圖1所示。即由技術體系和管理體系兩部分組成。

　　技術充左膀

　　技術體系應該包括3方面內容：安全知識庫、網(wǎng)絡和系統(tǒng)監(jiān)控、數(shù)據(jù)和系統(tǒng)備份。

　　安全知識庫包括各電力應用的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及業(yè)務系統(tǒng)的漏洞、補丁、安全事件、解決方案、應急預案等。

　　從處理方法上來看，安全事件可以分為兩類，一類是曾經發(fā)生過，并明確知道原因、后果和處理方法的安全事件。該類安全事件已經存在安全知識庫中，如發(fā)生過的病毒、攻擊入侵事件等。

　　另一類是安全知識庫中沒有的、沒有立即解決措施的安全事件。如新出現(xiàn)的病毒、攻擊入侵事件等。前者可以在網(wǎng)絡和系統(tǒng)運行現(xiàn)場立即予以解決；后者可以先提出臨時解決方案，然后經過安全專家發(fā)現(xiàn)問題的根源，找到最終解決方案后再存入知識庫。安全知識庫的作用是能迅速地對安全事件進行合理、科學地處理。

　　網(wǎng)絡監(jiān)控就是在電力網(wǎng)絡的邊界接口處安裝基于網(wǎng)絡的入侵檢測和預警系統(tǒng)，提高對網(wǎng)絡及設備自身安全漏洞和內外部攻擊行為的檢測、管理、監(jiān)控和實時處理能力。

　　系統(tǒng)監(jiān)控就是在電力系統(tǒng)內部局域網(wǎng)的關鍵服務器上部署基于主機的入侵檢測和預警系統(tǒng)，在主機一級對業(yè)務系統(tǒng)進行監(jiān)控，對異常的用戶行為進行報警等處理，最大限度防止系統(tǒng)攻擊、濫用及惡意篡改等安全事件的發(fā)生。

　　對于系統(tǒng)備份，筆者建議采用的策略應該是全備份和增量備份相結合的方式。這樣做，既利用了全備份恢復簡單的特點，又考慮了備份時間少的優(yōu)點。

　　電力系統(tǒng)關鍵應用數(shù)據(jù)與應用系統(tǒng)的備份，確保了數(shù)據(jù)損壞、系統(tǒng)崩潰情況下快速恢復數(shù)據(jù)與系統(tǒng)的可用性，同時對實時控制系統(tǒng)、電力市場交易系統(tǒng)進行異地的數(shù)據(jù)與系統(tǒng)備份，可提供系統(tǒng)級容災功能，保證在發(fā)生大規(guī)模災難情況下，保持系統(tǒng)業(yè)務的連續(xù)性。

　　管理擔右臂

　　電力系統(tǒng)應急響應的管理體系包括領導小組、工作小組，以及相應的管理制度、應急處理流程和應急預案的演練。

　　領導小組主要由各級電力企業(yè)管理層組成，目前基本上是各單位的一把手負責。

　　工作小組可以分為三個級別：

　　第一級是安全值班員，可以由網(wǎng)管中心值班人員兼任，主要負責7×24小時的安全事件監(jiān)視，按照安全事件的處理指南和安全知識庫處理已知的安全告警事件；

　　第二級是安全專家小組，由企事業(yè)單位內部的安全專家和網(wǎng)絡和業(yè)務系統(tǒng)的專家組成，負責對第一級發(fā)現(xiàn)提交的未知安全事件進行分析判斷，完成絕大多數(shù)安全事件的處理，對不能及時找到完整解決方案，需要在將該問題提交第三級以外，還必須及時找到臨時解決方案；

　　第三級是電力系統(tǒng)安全實驗室，負責針對重大安全隱患和網(wǎng)絡攻擊進行會診，同時還負責撰寫安全事件分析報告，提交安全策略和配置的變更建議。

　　對于第三級，在必要時可以借助電力行業(yè)的專業(yè)安全服務公司，利用它們的經驗和對最新安全技術的跟蹤研究進行解決。但在利用第三方資源時，應同他們簽署保密協(xié)議，以避免引入新的安全風險。

　　至于第一級和第二級應急響應體系，因為涉及到詳細的核心業(yè)務資源和流程，對于電力系統(tǒng)這樣的國家基礎設施單位，應該各自內部解決，自己培養(yǎng)一只既熟悉業(yè)務又精通信息安全的專家隊伍，保證可以做到依靠自己的力量提出信息安全需求、規(guī)劃和進行風險評估，優(yōu)化企業(yè)的安全策略，總結安全事件和安全問題的處理經驗，保證企業(yè)自己就能夠處理大多數(shù)的安全事件。

　　應急預案演練包括計劃安排、演練過程和效果詳細記錄、演練活動的評估報告和應急預案改進建議等。根據(jù)應急預案演練的計劃安排確定時間，報單位領導小組批準實施。

　　應急預案演練的效果應當進行評估，評估報告應當對應急預案是否可操作、應急程序是否科學合理、應急資源是否迅速到位等，做出明確的結論，評估報告必須有明確的責任人。

　　對應急預案演練中存在的問題，應當提出改進意見。如果涉及應急預案演練正常進行的重大問題，應當承認演練沒有取得成功，建議改進后重新進行演練。

　　企業(yè)應當重視應急預案演練的評估報告，對存在的問題進行改進和調整。

　　應急預案演練的基本要求是：對在線系統(tǒng)不造成影響；在主要網(wǎng)絡或系統(tǒng)管理員、服務器、網(wǎng)絡設備、操作系統(tǒng)發(fā)生變更和應用升級時要進行演練；演練前應填寫工作單，并對應用軟件及數(shù)據(jù)做離線備份；演練結束形成演練總結報告。

　　安全培訓是對電力系統(tǒng)相關人員進行口令的安全設置、經常給系統(tǒng)打補丁等信息安全基本知識培訓。同時，還要進行信息系統(tǒng)安全模型、標準和相關法律法規(guī)的培訓，以及實際使用安全產品的工作原理、安裝、使用、維護、故障處理和電力系統(tǒng)的安全知識庫與應急預案等培訓。通過培訓，可以提高他們的安全意識、技術水平和管理水平，從而提高電力企業(yè)的整體安全水平。

　　響應流水線

　　當大家對應急響應體系有所認識之后，需要進一步了解的是當安全事件發(fā)生后，應急響應體系如何進行響應與處理。這就像突遇火災，人們該按什么流程撲滅大火。

　　在電力系統(tǒng)，撲滅大火的流水過程如圖2所示。

　　首先，第一級安全值班員對所監(jiān)控到的安全事件進行分析，若該事件為已知告警事件，安全值班員自己從安全知識庫中找到解決方案，并進行事件處理。

　　若該事件不能與安全知識庫的已知告警相匹配，或在確定時間內不能解決，進入第二級安全專家處理。第二級經過深入分析，根據(jù)安全事件對電力業(yè)務系統(tǒng)的影響程度，判定其優(yōu)先級。

　　如果第二級及時發(fā)現(xiàn)了安全事件的根源，找到了解決方案，就執(zhí)行該方案。事件處理完后應該及時更新安全知識庫，并通知第一級和第三級，提高他們的技能水平。

　　如果在規(guī)定時間內，第二級安全專家也沒有找到有效的解決方案，就提出臨時解決方案，并通知請示應急響應領導小組。待批準后，與第一級安全值班員一起，執(zhí)行該解決方案。

　　同時，第二級的安全專家把該安全問題提交給第三級電力系統(tǒng)安全實驗室。

　　第三級的安全實驗室根據(jù)該安全問題的嚴重程度，對其進行模擬和測試，尋求解決該問題的最終解決方案。

　　找到最終解決方案后，需要更新安全知識庫，同時對第二級安全專家和第一級安全值班員進行知識轉移，對他們進行安全培訓。

　　應急“隨需而變”

　　由于信息技術日新月異，隨著新的信息技術在電力系統(tǒng)中的應用以及電力網(wǎng)絡結構的調整，原有的安全技術隨時間的推移可能會降低其安全性。

　　新系統(tǒng)的應用擴大了安全防范的邊界，這樣就會產生新的安全漏洞、威脅和新的風險。

　　另外，受到人們認識水平的限制和電力系統(tǒng)應急響應的復雜性，電力系統(tǒng)應急響應體系中可能會留有安全隱患。

　　有鑒于此，應急響應系統(tǒng)應該隨這些因素的變化而動態(tài)變化。只有成為動態(tài)的安全應急響應體系，才能發(fā)現(xiàn)和跟蹤最新的安全風險。

　　所以，電力系統(tǒng)的安全應急響應體系建設應該是動態(tài)的，是一個長期持續(xù)的過程，貫穿于信息安全生命周期的全過程。

　　電力系統(tǒng)安全防護的實施模型

　　電力系統(tǒng)安全防護的實施模型由安全策略、安全風險評估、設計安全目標、選擇實施安全解決方案、安全教育、安全監(jiān)測和響應組成的綜合體。

　　安全策略

　　它是電力企業(yè)信息安全工作的依據(jù)，是所有安全行為的準則。電力系統(tǒng)的總體安全策略是：分區(qū)防護、強化隔離。

　　安全風險評估

　　它是針對電力系統(tǒng)網(wǎng)絡拓撲結構、重要服務器的位置、帶寬、協(xié)議、硬件、與Internet的連接等，確定網(wǎng)絡及應用系統(tǒng)的安全邊界，對電力系統(tǒng)網(wǎng)絡的基礎設施及應用系統(tǒng)進行全面的分析，并提出安全風險分析報告和改進建議書。

　　設計安全目標

　　它是根據(jù)安全風險評估的報告和建議，分析實現(xiàn)安全功能的優(yōu)先級和投入成本，同時考慮到電力企業(yè)風險承受能力，設計出一個適用性的安全目標。

　　選擇實施安全解決方案

　　選擇滿足安全需求的技術產品，并選擇合適的安全服務商以取得最好的技術保障，然后制定合理的中長期安全實施計劃，并按計劃分期進行實施。

　　安全教育

　　它是保障安全目標得以實現(xiàn)的重要手段，其實施力度將直接關系到電力系統(tǒng)安全策略以及安全方案被理解的程度和執(zhí)行的效果。

　　安全監(jiān)測和響應

　　它是建立一套完整的安全監(jiān)測機制和人員隊伍，對動態(tài)變化的業(yè)務系統(tǒng)的安全狀況作出準確的監(jiān)控。安全監(jiān)測的目標是要在最短的時間內，發(fā)現(xiàn)違規(guī)事件和攻擊事件，并發(fā)出相應的報警通知和啟動相應的應急響應措施，降低安全事件帶來的資產損失。

　　電力系統(tǒng)安全防護的實施模型是一個循環(huán)的螺旋式上升過程，每一次循環(huán)都

　　是對上一次的改進和提高，新出現(xiàn)的安全問題都將修正原來的安全策略及系統(tǒng)實施。

　　電力系統(tǒng)安全防護總體框架

　　電力系統(tǒng)安全防護總體框架包括安全服務體系、安全技術體系和安全管理體系。

　　安全服務體系

　　電力系統(tǒng)的安全服務體系包括安全評估及安全加固。安全評估包含網(wǎng)絡評估、主機系統(tǒng)評估、應用系統(tǒng)評估，可以指導電力系統(tǒng)安全技術體系與管理體系的建設。

　　安全加固是根據(jù)安全評估的結果對網(wǎng)絡設備、主機操作系統(tǒng)及應用系統(tǒng)進行安全增強，提升它們的安全級別。

　　安全技術體系

　　技術體系是電力系統(tǒng)安全防護框架的重要組成部分，主要包括：綜合安全防護、物理隔離、基于PKI的安全防護等。

　　綜合安全防護就是應用和實施一個基于多層次安全系統(tǒng)的全面信息安全策略，在各個層次上部署相關的安全產品，這增加了攻擊者侵入所花費的時間、成本和所需要的資源，從而卓有成效地降低系統(tǒng)被攻擊的危險，達到安全防護的目的。綜合安全防護措施包括防病毒、防火墻、入侵檢測、漏洞掃描等。

　　物理隔離技術是利用專用硬件使兩個網(wǎng)絡在物理不連通的情況下實現(xiàn)數(shù)據(jù)安全傳輸和資源共享。電力實時控制系統(tǒng)與電力生產管理系統(tǒng)之間安采用電力專用物理隔離裝置進行隔離，并嚴格限制數(shù)據(jù)的流向，這樣就能保證電力實時生產系統(tǒng)的安全、穩(wěn)定運行。

　　基于PKI的安全防護就是利用公鑰基礎設施PKI（PublicKeyInfrastructure）建立電力系統(tǒng)的網(wǎng)絡信任機制，并通過數(shù)字證書的方式為每個合法的電力用戶提供一個合法性身份的證明，PKI從技術上解決了電力網(wǎng)絡上身份認證、信息完整性和抗抵賴等安全問題。

　　安全管理體系

　　安全管理體系是電力系統(tǒng)安全防護的重要保障，可以保障技術體系的實施和安全策略的執(zhí)行。主要包括：組織保證體系、安全技術規(guī)范、安全管理制度和安全培訓機制。