风险评估在电厂二次系统安全防护建设中的实践 转载

　　摘要：分析了电力二次系统所面临的风险，简要阐述了电力二次系统安全防护相关规定，介绍了风险评估在国内电力二次系统安全建设中的应用。《电力二次系统安全防护规定》对电力二次系统的安全建设提出了具体的建设目标，本文结合风险评估，对电力二次系统安全防护建设中的关键点进行了分析，提出一些意见。
　　关键词： 电力二次系统 风险评估 安全
　　引言
　　电监会5号令《电力二次系统安全防护规定》和电监安全34号文件《电力二次系统安全防护总体方案》，对电力二次系统的安全建设提出了具体建设内容和目标，指出需要对电力二次系统整体安全保障进行全面的建设，确保电力监控系统及电力调度数据网络的安全，抵御黑客、病毒、恶意代码等各种形式的攻击，防止电力二次系统的崩溃或瘫痪，并由此导致的发电厂一次系统事故。
　　为满足电监会5号令合规性要求，太多数发电企业在信息安全建设过程中，二次系统的安全防护作为其重中之重，但是我们考察的很多企业，在二次系统的安全防护改造工程中，只是片面理解电监会5号令和电监安全34号文件，没有深入本质了解电监会文件要求，所以很多技术改造只是表面上符合要求，一但深入分析，就存在很多问题，二次安防的改造也就失去了意义。
　　通过大量实践，我们在发电厂电力二次系统安全防护建设中积累许多经验，在此把这些经验向广大电力企业一同分享。
　　一、二次安防建设过程中要以风险评估为开展方法
　　风险评估是通过脆弱点发现、威胁分析等手段对电力二次系统的安全风险状况进行掌握和了解的过程。风险评估的主要目的是发现系统现有的安全风险，并在对风险数据进行合理分析和判断的基础上提出解决方法，为提高系统的安全水平提供基础数据依据和实施指导。通过评估掌握并一定程度量化信息系统安全现状和存在的各种安全风险；在风险分析的基础上，对改进与完善二次系统现有安全水平提供建议。
　　风险评估应该全程有机贯穿在二次安防建设过程中：
　　1.1 在二次安防建设前，首先要对整个二次网络进行风险评估，评估工作主要有在现场对电力二次系统安全设备、网络及业务系统进行数据收集，通过漏洞扫描系统、人工审计脚本、网管工具、渗透测试对系统进行分析。对二次系统网络及设备威胁和脆弱性，策略及管理等多方面综合分析，了解现有二次系统整体安全现状，依据安全现状，制定出二次系统安全风险分析报告。
　　1.2 其次是依靠安全风险分析数据和二次系统安全风险分析报告，遵循国内及行业的信息安全标准及电力二次系统规定设计出符合电厂实际情况并且具有可操作性的二次系统安全规划及安全体系，即电力二次系统总体规划报告。
　　1.3 电力企业通过总体规划报告可以进行网络整改和设备选型安装调试。
　　1.4 网络和设备改造完后，开始针对生产控制大区的服务器、数据库、关键业务系统进行加固，针对非生产控制大区里面的所有服务器、操作系统、数据库、业务系统进行安全加固。同时针对电力二次系统完善一些管理制度要求比如运行维护办法、应急预案、操作审计办法等 。
　　1.5 评估与加固完成后，在整个项目验收前，再对二次系统进行第二次安全评估，确定是否满足加固前期望要求，是否达到电力二次系统总体规划报告预期要求 ，是否系统的建设符合国家电监会[2006]34号文件的技术要求。最后准备好项目验收。
　　二、电力二次系统安全防护一定要按照电监会文件执行
　　实施电力二次系统安防改造项目，一定要深入理解电监会5号令《电力二次系统安全防护规定》里的十六字方针，即“安全分区、网络专用、横向隔离、纵向认证”，电力二次系统安全防护工作也应当严格按照“安全分区、网络专用、横向隔离、纵向认证”的原则进行设计工作，这样才能有效满足电力二次系统整体的安全。在实施项目过程中，对于许多电力企业二次安防建设，我们对方针有如下体会：
　　对安全分区的要求
　　通知规定，发电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区，目前许多电力企业都按照控制区、非控制区和信息管理大区对资产进行区分，但也有一部企业生产控制区和管理区划分不明确。
　　通知规定，不同的安全等级生产设备划分在不同的区域实行不同的等级保护。虽存在安全等级的概念，但对业务服务器并没有安全等级高低设置。
　　通知规定，生产控制大区可以分为控制区（安全区I）和非控制区（安全区II）；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同的要求划分安全区。许多电厂业务系统按照方案要求进行分区管理，但很多未进行安全域划分。
　　对网络专用的要求
　　同时，由于电厂大部分都在郊外，生产、办公、公寓和招待所网络共用现象严重，很多企业都未完全实现专网专用。
　　对横向隔离的要求
　　生产控制大区与信息管理大区之间；信息管理大区和互联网之间的网络节点上，部署硬件防火墙系统，并执行严格的访问控制，并且防火墙系统采取集中管理的方式，确保访问控制策略的有效性，杜绝非授权或非法的访问；
　　在生产控制大区和管理信息大区边界部署专用安全隔离装置，实现更为安全的隔离，保障生产控制大区和管理信息大区只有数据被传递，任何直接的访问均被禁止。达到《电力二次系统安全防护总体方案》的要求。
　　在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。
　　生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离。
　　对纵向认证的要求
　　按照电监会5号令的要求，生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。此外，针对信息管理大区，在纵向上也需要考虑采取必要的安全隔离措施，避免来自地调、县调的威胁影响省调信息管理大区。
　　对边界防护的要求
　　在生产控制大区边界上合理部署入侵检测系统、部署安全审计措施、敏感服务器登录认证和授权，在生产控制区与非控制区及管理信息大区重要出口假设防火墙，进行逻辑隔离。在生产控制区和管理信息大区重要出口假设防火墙，进行逻辑隔离。在生产控制区和管理信息大区边界，如有通讯，必须采用国家认证的隔离装置。对各区域网络必须做到专网专用。
　　对安全管理的要求
　　电力企业按照“谁主管谁负责，谁运营谁负责”的原则，建立健全电力二次系统安全管理制度，将电力二次系统安全防护工作及其信息报送纳入日常安全生产管理体系，落实分级负责的责任制。
　　建立电力二次系统安全评估制度，将电力二次系统安全评估纳入电力系统安全评价体系。
　　建立健全电力二次系统安全的联合防护和应急机制，制定应急预案。电力调度机