文献标识码: A
DOI: 10.20044/j.csdg.2097-1788.2022.03.008
引用格式: 李政达,杨继,姜添元. 等保2.0时代电力监控系统安全防护体系建设研究[J].网络安全与数据治理,2022,41(3):48-53,59.
0 引言
随着我国信息技术安全法律体系建设日趋完善,网络安全等级保护制度同步提出了更全面细致的网络安全保护要求。2017年6月1日《中华人民共和国网络安全法》正式实施,网络安全上升到国家战略层面,其中第三十一条明确规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”2019年实施的等级保护2.0测评体系更加注重全方位的主动防御、动态防御、精准防控和整体防护,明确了工业控制系统的网络安全防护要求[1]。
电力监控系统是以计算机和网络技术为基础,对电力生产和供电过程进行监视控制的业务系统。电力监控系统作为关键信息基础设施,系统的安全运行不仅关系到发电企业的稳定和发展,而且会直接影响公共利益和安全,以及国民经济的健康发展。电力监控系统与传统信息系统相比,其网络结构更复杂、各层次的组件更多,且大多使用私有协议,这使得电力监控系统的安全保护更加困难。此外,发电企业对网络安全重视不高,缺乏防护手段,人员安全意识薄弱,使电力监控系统面临巨大的安全风险。
近年来,国外电力安全事故频发,例如2015年乌克兰因恶意软件破坏发生了大规模停电事件,委内瑞拉近年来因网络攻击发生多次全国范围的大停电。同时勒索事件频繁发生,严重影响了电力监控系统的可用性,巴西电力公司、葡萄牙跨国能源公司、美国电力公司、国内某大型水电厂均曾遭到勒索病毒攻击,导致数据可用性、业务连续性受到威胁,严重影响企业的安全生产。
目前国内的电力监控系统网络安全防护建设均依据GB/T 36572-2018《电力监控系统网络安全防护导则》,其规定了电力监控系统网络安全防护的基本原则、体系架构、防护技术、应急备用措施和安全管理要求。国家发展改革委员会2014年第14号令《电力监控系统安全防护规定》对区域划分与隔离、网络通信与认证提出相应的建设要求。国家能源局2015年发布的《电力监控系统安全防护方案》对发电、变电、配电、调度四种不同的电力监控系统做出详细的安全防护方案指导。目前针对电力监控系统网络安全建设发布的国标和法规均无安全管理中心的建设要求,也未发布详细的安全计算环境、安全区域边界的建设方案。
本文详细内容请下载:http://www.chinaaet.com/resource/share/2000004905
作者信息:
李政达,杨 继,姜添元
(中国电子信息产业集团有限公司第六研究所,北京100083)
