- 1、本文档共9页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
?
?
基于等级保护2.0探讨电力系统的身份安全管理
?
?
田里喻潇徐江珮刘畅
在信息化建设过程中,安全风险是不容忽视的重要问题,黑客入侵防范、数据保护、网络防护等越来越受到关注,但对于身份与访问控制,往往被忽略,导致其成为信息安全短板。电力工业是我国公用事业,是国民经济的基础产业,电力企业的应用系统、信息网络的稳定、安全,与人民生活水平、各行各业的发展直接相关。电力行业的信息化是一项复杂的大型系统工程,涉及电力负荷管理、配电网自动化、电网调度等等,现代智能电网具有很强的双向交流互动性,用户数量大,技术复杂,风险隐患更加突出。电力系统的身份安全管理是需要迫切解决的问题。本文以信息安全技术网络安全等级保护的基本要求为基础,基于等级保护2.0,探索电力系统的身份安全管理,防止外部攻击,减少内部误操作,保证电力系统的信息安全。
现代电力互联网建设不断发展,为保证电力企业的安全运行,需要供电公司和相关单位有可靠、稳定的网络平台。但相关单位的城域网、局域网缺乏提前预警、动态感知安全威胁态势,安全防护手段单一。随着电力部门不断增加对外开放的接口,双网隔离后,一些攻击手段也持续变化和升级,仍无法有效解决这一问题。电力系统的外网安全,相对部署逻辑强隔离的专网,更加危险。外网安全等级较低,但企业需要据此开展一些业务,比如移动终端接入、员工收发邮件、财务报税等等,潜在脆弱性、安全隐患很大。在整个电力系统网络中,安全等级较低的外网是安全防御体系的突破口,容易被恶意攻击利用,成为信息安全洼地,导致巨大的经济损失。有调查显示,能够轻松访问内部敏感数据的企业员工大约73%。全球网络安全支出超过1240亿美元人。保证信息不被泄露的基本保障,就是身份安全验证。由于Facebook安全事件,泄露用户身份,被罚款50亿美元。对于电力系统网络安全中,如何保证身份安全是关键问题。2019年,我国发布网络安全等级保护基本要求、技术要求、测评要求等,为等级保护2.0。等级保护2.0有效补充提升新型网络系统的安全防护能力,为实现国家网络安全战略提供基础,是网络安全法的贯彻落实。相比过去的标准,等级保护2.0有突破性的进展,对新的业务环境提供了指导,确定安全建设标准,比如物联网、云计算等,也为电力系统身份安全研究提供参考,促进电力系统的网络安全建设。
一、网络安全等级保护的发展历程
早在1994年,安全等级保护的概念首次被提出,在国务院147号令中,关于计算机信息系统的这一概念。在2007年,开启等级保护1.0时代。我国正式实施《信息安全等级保护管理办法》,对信息安全等级保护有规范的制度和指导。2008年,我国发布实施等级保护基本要求,针对信息安全技术信息系统,提出相应的规范。2017年,确立等级保护制度的法律地位,在《网络安全法》中,进一步明确网络安全等级保护制度。2019年,开启等级保护2.0时代,我国正式颁布网络安全等级保护的基本要求,针对信息安全技术进一步加强规范指导。
二、等级保护2.0的特点
对于网络安全等级保护2.0,在新标准下有新的特点。等级保护2.0充分考虑新型应用的安全扩展要求,不仅仅考虑通用安全要求,并且在标准规范中,列入工业控制系统、物联网、云计算、移动互联等。对于等级保护,形成三重防护结构框架的安全管理中心,包括安全设计技术要求,测评要求,等级保护的基本要求等。在各环节、各级别的主要功能要求中,列入可信计算及验证。可信计算是等级保护2.0的新特点,先构建一个信任根用于计算机系统中。管理安全、技术安全、物理安全,共同保证信任根的可信性。然后建立信任链,包括应用系统,操作系统,软硬件平台等。一级信任一级,一级度量认证一级。为保证整个计算机系统的可信,在整个计算机系统中,扩展这种信任。保证和支撑身份安全管理的是可信计算。等级保护2.0相比等级保护1.0,对可信计算的相关要求有相应的增加。从等级保护2.0的一级到四级整个标准,可信计算贯穿始终。安全计算环境、安全区域边界、安全通信网络,对可信计算都有明确的要求。根据《网络安全法》,加强规范治理,工作责任到个人。从网络安全等级保护1.0时代,到等级保护2.0时代,形成主动防御的态势,改变过去被动防御的状态。等级保护2.0时代,坚持主动免疫,自身防御。内外兼防,积极防护。分区隔离,整体防御。技管并重,纵深防御,充分利用等级保护制度。从管理方面、技术方面,等级保护2.0有新要求。过去的系统运维管理、系统建设管理、人员安全管理、安全管理机构、安全管理制度,是管理要求。等级保护2.0下,转变为安全运维管理、安全建设管理、安全管理机构和人员、安全策略和管理制度。过去的技术要求,备份恢复、主机安全、网络安全、物理安全、数据安全等,转变为设备和计算安全、网络和通信安全、应用和数据安全、物理和环境安全。调整各
文档评论(0)