3 基于等级保护的业务安全防护体系
根据国家相关部门的工作要求,2007年国家电力监管委员会印发了《关于开展电力行业信息系统安全等级保护定级工作的通知》等系列文件,启动电力行业信息安全等级保护定级工作。2012年印发了《电力行业信息系统安全等级保护基本要求》,全面推进电力行业等级保护建设工作。
目前,电力生产控制系统中,省级及以上调度中心的调度控制系统安全保护等级为四级,220千伏及以上的变电站自动化系统、单机容量300兆瓦及以上的火电机组控制系统DCS、总装机1000兆瓦及以上的水电厂监控系统等系统安全保护等级为三级,其余为二级。
依据《电力行业信息系统安全等级保护基本要求》,在上阶段纵深防护基础上完善形成了电网监控系统的等级保护体系,由以下五个层面组成:物理安全、网络安全、主机安全、应用安全、数据安全防护,共包括220个安全要求项,其中168项强于或高于对应级别的国家等级保护基本要求。
对于保护等级为四级的电网调度监控系统,综合运用调度数字证书和安全标签技术实现了操作系统与业务应用的强制执行控制(MEC)、强制访问控制(MAC)等安全防护策略,保障了主体与客体间的全过程安全保护,全面实现了等级保护四级的技术要求。
4 基于可信计算技术的新一代电网调度控制系统主动防御体系
近年,随着国际网络空间安全形势的发展、网络战争形态及能力的演进,大量新型攻击方式快速涌现。“震网”等一批新型网络攻击武器成功突破了传统的物理隔离的“封堵”。安全威胁特征代码库规模的迅速增长,使得以“查杀”为核心的被动安全措施对于实时控制系统安全防护失去效率。为应对网络战环境下复杂的信息安全威胁,同时减小防护机制对电网调度控制系统实时性能的影响,亟需建立更为高效的主动防御体系。
可信计算改变了传统的“封堵查杀”等“被动应对”的防护模式。其核心思想是计算运算的同时进行安全防护,使计算结果总是与预期一样,计算全程可测可控,不被干扰,是一种运算和防护并存、主动免疫的新计算模式。其基本原理是:硬件上建立计算资源节点和可信保护节点并行结构。首先构建一个硬件信任根,在平台加电开始,从信任根到硬件平台、操作系统、应用程序,构建完整的信任链,一级认证一级,一级信任一级,把这种信任扩展到整个计算机系统,从而从源头上确保整个计算机系统可信,并且能够通过可信报告功能将这种信任关系通过网络连接延伸到整个信息系统。未获认证的程序不能执行,从而及时识别“自己”和“非己”成份,破坏与排斥进入机体的有害物质,从而实现系统自身免疫。
应用可信计算技术,建立调度控制系统主动免疫机制,提升未知恶意代码攻击的免疫能力,实现计算机环境和网络环境的全程可测可控和安全可信。
电力可信计算密码平台是实现智能电网调度控制系统安全免疫的核心,由电力可信密码硬件模块与电力可信软件基组成,其核心功能包括:可信引导、完整性度量、强制访问及执行控制、可信网络连接。
2014年8月国家发改委印发了〔2014〕第14号令《电力监控系统安全防护规定》,并且同步修订了《电力监控系统安全防护总体方案》等配套技术文件。新版本的总体方案要求生产控制大区具备控制功能的系统应用可信计算技术实现计算环境和网络环境安全可信,建立对恶意代码的免疫能力,应对高级别的复杂网络攻击。标志着我国智能电网调度控制系统信息安全主动防御体系的正式确立。(国家电网公司 信息安全实验室主任 高昆仑)