基于等级保护2.0探讨电力系统的身份安全管理.docx

?

?

基于等级保护2.0探讨电力系统的身份安全管理

?

?

田里喻潇徐江珮刘畅

在信息化建设过程中，安全风险是不容忽视的重要问题，黑客入侵防范、数据保护、网络防护等越来越受到关注，但对于身份与访问控制，往往被忽略，导致其成为信息安全短板。电力工业是我国公用事业，是国民经济的基础产业，电力企业的应用系统、信息网络的稳定、安全，与人民生活水平、各行各业的发展直接相关。电力行业的信息化是一项复杂的大型系统工程，涉及电力负荷管理、配电网自动化、电网调度等等，现代智能电网具有很强的双向交流互动性，用户数量大，技术复杂，风险隐患更加突出。电力系统的身份安全管理是需要迫切解决的问题。本文以信息安全技术网络安全等级保护的基本要求为基础，基于等级保护2.0，探索电力系统的身份安全管理，防止外部攻击，减少内部误操作，保证电力系统的信息安全。

现代电力互联网建设不断发展，为保证电力企业的安全运行，需要供电公司和相关单位有可靠、稳定的网络平台。但相关单位的城域网、局域网缺乏提前预警、动态感知安全威胁态势，安全防护手段单一。随着电力部门不断增加对外开放的接口，双网隔离后，一些攻击手段也持续变化和升级，仍无法有效解决这一问题。电力系统的外网安全，相对部署逻辑强隔离的专网，更加危险。外网安全等级较低，但企业需要据此开展一些业务，比如移动终端接入、员工收发邮件、财务报税等等，潜在脆弱性、安全隐患很大。在整个电力系统网络中，安全等级较低的外网是安全防御体系的突破口，容易被恶意攻击利用，成为信息安全洼地，导致巨大的经济损失。有调查显示，能够轻松访问内部敏感数据的企业员工大约73%。全球网络安全支出超过1240亿美元人。保证信息不被泄露的基本保障，就是身份安全验证。由于Facebook安全事件，泄露用户身份，被罚款50亿美元。对于电力系统网络安全中，如何保证身份安全是关键问题。2019年，我国发布网络安全等级保护基本要求、技术要求、测评要求等，为等级保护2.0。等级保护2.0有效补充提升新型网络系统的安全防护能力，为实现国家网络安全战略提供基础，是网络安全法的贯彻落实。相比过去的标准，等级保护2.0有突破性的进展，对新的业务环境提供了指导，确定安全建设标准，比如物联网、云计算等，也为电力系统身份安全研究提供参考，促进电力系统的网络安全建设。

一、网络安全等级保护的发展历程

早在1994年，安全等级保护的概念首次被提出，在国务院147号令中，关于计算机信息系统的这一概念。在2007年，开启等级保护1.0时代。我国正式实施《信息安全等级保护管理办法》，对信息安全等级保护有规范的制度和指导。2008年，我国发布实施等级保护基本要求，针对信息安全技术信息系统，提出相应的规范。2017年，确立等级保护制度的法律地位，在《网络安全法》中，进一步明确网络安全等级保护制度。2019年，开启等级保护2.0时代，我国正式颁布网络安全等级保护的基本要求，针对信息安全技术进一步加强规范指导。

二、等级保护2.0的特点

对于网络安全等级保护2.0，在新标准下有新的特点。等级保护2.0充分考虑新型应用的安全扩展要求，不仅仅考虑通用安全要求，并且在标准规范中，列入工业控制系统、物联网、云计算、移动互联等。对于等级保护，形成三重防护结构框架的安全管理中心，包括安全设计技术要求，测评要求，等级保护的基本要求等。在各环节、各级别的主要功能要求中，列入可信计算及验证。可信计算是等级保护2.0的新特点，先构建一个信任根用于计算机系统中。管理安全、技术安全、物理安全，共同保证信任根的可信性。然后建立信任链，包括应用系统，操作系统，软硬件平台等。一级信任一级，一级度量认证一级。为保证整个计算机系统的可信，在整个计算机系统中，扩展这种信任。保证和支撑身份安全管理的是可信计算。等级保护2.0相比等级保护1.0，对可信计算的相关要求有相应的增加。从等级保护2.0的一级到四级整个标准，可信计算贯穿始终。安全计算环境、安全区域边界、安全通信网络，对可信计算都有明确的要求。根据《网络安全法》，加强规范治理，工作责任到个人。从网络安全等级保护1.0时代，到等级保护2.0时代，形成主动防御的态势，改变过去被动防御的状态。等级保护2.0时代，坚持主动免疫，自身防御。内外兼防，积极防护。分区隔离，整体防御。技管并重，纵深防御，充分利用等级保护制度。从管理方面、技术方面，等级保护2.0有新要求。过去的系统运维管理、系统建设管理、人员安全管理、安全管理机构、安全管理制度，是管理要求。等级保护2.0下，转变为安全运维管理、安全建设管理、安全管理机构和人员、安全策略和管理制度。过去的技术要求，备份恢复、主机安全、网络安全、物理安全、数据安全等，转变为设备和计算安全、网络和通信安全、应用和数据安全、物理和环境安全。调整各