电力生产控制系统信息安全等级保护研究

电力生产控制系统信息安全等级保护研究

徐杰

南京华盾电力信息安全测评有限公司江苏南京211106

摘要：信息安全等级保护是我国的一项基本制度，其在电力生产控制系统中的应用变得越来越重要，本文探讨了等级保护在电力生产控制系统建设、运行和维护中的具体应用，初步形成了符合电力生产控制系统实际特点的等级保护建设规范。

关键词：信息系统；等级保护；安全域；桌面域

我国的电力系统正朝着信息化的方向发展。信息技术在电力系统中的应用越来越广泛，因此信息安全问题变得愈加重要。为了提高对电力生产系统信息安全的保护，国家发展与改革委员会《电力监控系统安全防护规定》14号令，建立健全的电力监控系统安全防护管理制度，将电力监控系统安全防护工作以及其信息报送纳入日常安全生产管理体系，落实分级负责的责任制。该保护体系基本上能够满足国家对电力生产控制系统信息安全等级保护的要求，但在实际应用中仍存在一定的问题，尤其是在高安全等级系统的保护上，与国家所需达到的标准还有一定的差距。

1电力生产控制系统

电力生产控制系统主要是指SCADA（SupervisionControlAndDataAcquisition）系统，也称为实时监控与数据采集系统。电力生产控制系统主要有采集实时信息并遥测数据，发送遥控和遥调命令几点基本功能，因此也可以将电力生产控制系统称为实时监控与数据采集系统。电力生产控制系统在工业控制中的应用十分广泛，主要承担输配电网之间的调度，监测控制发电厂和变电站的任务。该系统在电网调度中有着无法替代的作用，是支撑电网安全分析等多个应用的基础技术。

2信息安全等级保护

信息安全等级保护制度是我国在经济水平飞速发展，社会信息化建设不断进步过程中的一项基本制度。它有利于提高对信息安全的保障能力，有利于增强信息的安全水平，有利于维护国家安全、社会稳定和广大人民的公共利益，有利于推进我国信息化建设的健康发展。信息安全等级保护根据在国家、经济安全、社会稳定和对公共利益的保护等领域中信息系统所占的重要程度，将国家的保密信息、法人和其他组织、公民的私有和公开信息以及传输、处理和存储这些信息的系统，按照不同的安全保护等级进行划分，并采取相应的安全保护进行措施，实行分等级安全保护。根据《关于信息安全等级保护工作的实施意见》的要求，将信息系统安全等级保护共划分为五个等级，安全等级从第一级到第五级逐级上升，其中第五级是系统的最高安全等级[2]。五个信息安全保护等级如下：

第一级是自主保护级，适用于一般的信息系统。当信息系统遭到破坏以后，可能会给公民、法人和其他组织的利益带来轻微的危害，但不至于危害到国家、社会和公共利益的安全。

第二级是指导保护级，也是适用于一般的信息系统。但是，当信息系统遭到破坏以后，可能会给社会的正常秩序和广大人民的公共利益带来一定危害，但不会危害到国家安全。

第三级是监督保护级，适用于涉及到国家、社会和广大人民公共利益安全的重要信息系统。当信息系统遭到破坏以后，可能会给国家、社会和人民的公共利益带来较大的危害。

第四级是强制保护级，适用于涉及到国家、社会和人民的公共利益安全的重要信息系统。当信息系统遭到破坏以后，可能会给国家、社会和人民的公共利益带来严重的危害。

第五级是专控保护级，适用于涉及到国家安全、社会稳定和广大人民公共利益安全的重要信息系统的核心子系统。当该类信息系统遭到破坏以后，可能会给国家安全、社会稳定和广大人民公共利益的安全带来特别严重的危害。

3信息安全等级保护在电力生产控制系统中的应用

3.1信息安全等级保护在电力生产控制系统中的必要性

电力生产系统中的信息安全有着一般计算机信息网络中的信息安全的特点，除此之外，它还有着电力实时工作控制系统中信息安全的特点。电力生产系统中的信息安全涉及有关电力生产、经营和管理等多个方面的多个领域，是一种十分复杂的大型系统工程。其中，又分为信息监控系统和信息管理系统。信息监控系统包括电网调度、厂站、配电网自动化、继电保护安全控制装置和电力市场交易等系统，在电力系统中主要负责生产控制业务。信息管理系统包括生产管理、电力营销和办公自动化等系统，在电力系统中主要负责信息化管理。信息监控系统的安全等级要比信息管理系统的安全等级高。系统的安全等级不同，采取的相应安全防护措施也不同。电力生产控制系统安信息全防护的重点和核心是对实时生产系统的保护。首先，应采用电力系统中专用的安全隔离装置将信息监控系统和信息管理系统进行物理隔离。之后，应采用硬件防火墙将实时生产系统和准实时生产系统进行逻辑隔离。如果不区分系统的安全等级，都盲目采用最高安全等级的措施进行防护，会造成系统运行性能的降低，运行成本的增加。因此，在电力生产控制系统中，实施信息安全等级保护是非常有必要的。

3.2信息安全等级保护在电力生产控制系统中的实施

根据国家发展与改革委员会的14号令《电力监控系统安全防护规定》中“安全分区、网络专用、横向隔离、纵向认证”的总体防护策略，电力生产控制系统生产控制一区和生产控制二区要进行逻辑隔离，并且与信息管理系统之间进行横向物理隔离，与上下级单位之间进行纵向加密认证。与此同时，电力生产控制系统承载独立的调度数据网络，需要将电力系统数据网络和外部互联网络进行严格的隔离，将电力生产控制系统置于相对安全的密闭环境当中。在实际应用中，要根据电力生产控制系统和信息安全等级防护的特点和要求，将信息安全等级保护在电力生产控制系统中的应用进行更进一步的细化和落实。其中包括：（1）物理安全，主要是指电力生产控制系统中重要设备之间的电磁屏蔽和电磁防护；（2）网络安全，主要是指电力生产控制系统中内部数据网络之间的隔离和内部数据网络跟外部互联网络之间的隔离；（3）主机安全，主要是指对电力生产控制主机系统进行安全加固来提高其防护能力；（4）应用安全，与主机安全情况类似，主要是指对系统中应用软件进行安全加固，并且加强对访问控制及内部人员管理的措施；（5）数据安全，主要是指对系统中数据库的保护，通过数据备份、应用备份及业务备份三个方面入手，保障满足系统的服务类要求。

在信息安全等级保护的实施过程中主要有系统定级、备案、建设整改、等级测评、监督检查五个步骤。其中，系统定级是实施过程中的关键环节，准确地对系统进行分级，才能保证采取合适的安全等级进行分配。等级测评是实施信息安全等级保护的重要组成部分，根据系统的复杂程度和成本预估，做出正确的风险评估，才能使采取的保护措施更加安全且高效。根据安全等级的不同进行不同指标的分配，然后制定具体的方案，采取最佳的措施，最终才能完成信息安全等级保护的目的。

4结语

国家等级保护系列标准对不同等级信息系统的安全要求做出了详尽的描述，在具体应用到电力生产控制系统中时，既要认真研究、采取必要措施满足基本要求，也要结合电力生产控制系统的实际情况，充分考虑电力监控系统安全防护体系发挥的特殊作用。一味地追求实现所有要求项是不切实际的，既要讲究安全性，又要兼顾可操作性和经济性，本着实用性、安全性、可靠性及适度防护的原则实施等级保护，才能更好地推进电力行业等级保护工作，切实有效地提高电力生产控制系统的安全防护能力。

参考文献：

[1]《电力监控系统安全防护规定》2014年第14号令.

[2]朱世顺，郭其秀，程章滨.电力生产控制系统信息安全等级保护研究[J].电力信息化，2012，10（1）：72-75.

[3]余勇，林为民.基于等级保护的电力信息安全监控系统的设计[J].计算机科学,2012,39(s3):440-442.