摘要:随着中国科学技术的发展与“工业4.0”进程的不断推进,电厂工厂也逐渐趋于智能化、数字化、网络化,但智能化所带来的网络安全风险也变得不容忽视。本文针对电厂工控信息安全需求,配合相关安全管理措施,实现整体工控安全一体化的设计。
关键词:电厂;信息安全;安全一体化
引言
伊朗核设施遭受“震网”病毒肆虐,基础设施被大面积感染破坏,该事件标志着基础工业设施已经成为部分网络攻击的目标,其破坏性和影响力丝毫不弱于其他网络攻击,而电厂行业规模巨大、流程复杂,生产制造过程中存在各类高温高压、易燃易爆等复杂环境,若遭受攻击,会造成巨大经济损失与重大人员伤亡,其结果和影响无疑是灾难性的。
1、电厂行业信息安全现状
面对此类针对工业基础设施的网络攻击,结合电厂行业自身生产环境的特点,目前有以下几个核心问题亟待解决:1)复杂的工控系统与网络安全防护结合的难题由于电厂行业流程工艺复杂,各类业务系统与设备复杂多样,加上与工业物联网、工业互联网、云计算、工业大数据平台等新一代信息技术的融合,使得整体工业控制系统的复杂程度与防护难度提升到了一个新的高度。面对种类繁多的智能设备与系统,如何在保证个体安全的同时,保证整体工业控制系统的稳定性与安全防护性能,是实现电厂行业工控信息安全的核心。2)安全防护与管理体系相融合的问题对于新型的智能化工厂,数字化、智能化所打破的不仅仅是数据上的壁垒,还有管理体系之间的壁垒。原本相对封闭独立的业务管理体系被打破,各个业务系统间的管理边界变得模糊,若不对管理体系进行针对性改进,在实际管理实施中必然会出现漏洞与空白。因此,如何建立统一、高效的网络安全管理体系,明确职责划分与管理边界,亦是工控系统安全防护的一大难点。3)网络安全防护对工控系统自身的影响目前,现有的网络安全防护仅仅考虑了网络安全的风险分析与防护,而缺乏网络安全防护对工控系统自身所造成影响的有效评估。如何在不影响工业控制系统自身功能安全的同时,保证网络安全防护的可靠性,以及如何在实际工业控制系统中开展风险分析,也是亟需考虑的问题。
2、改善电厂信息安全管理工作的探讨
个人认为要做好电厂信息安全管理,必须做好以下几个方面的工作:
2.1做好信息安全的宣导、培训和教育工作
发挥电厂信息职能培训教育的目的不是要求全民皆专家、每人都是信息技术高手,而是旨在提高电厂整体人员在信息安全方面意识。自上而下提高全院的信息安全意识是保障电厂安全运营的一个先决条件,没有安全意识一切工作都是徒劳。信息安全不是一个部门的工作,也不是某个人的职责,信息安全应该贯穿于整个电厂,每个员工都需要承担相关的义务和责任,树立正确的“谁主管、谁负责,谁使用、谁负责,谁运营、谁负责”的信息安全管理原则思想。
2.2强化管理
电厂信息安全工作并不是一个单纯的技术活动,更不是一堆设备的过程。在当下的大环境,敌暗我明,漏洞层出不穷,以电厂自身的资源,拼技术显得不切实际。有些文献提到某些技术或某些设备已无现实意义。但本人认为,虽然技术有高低、设备有差异,可问题的本身并不在于某项技术或某款设备,而是在于是否有与之相配套的管理措施。任何技术或设备都有短板,即使再好的设备如果无人检查、无人监测也等同摆设。信息安全是动态的、无边界的,不可能存在一种或多种技术组合能成功防御各种威胁。所以关键还是做好自身的管理工作。电厂要针对自身情况,建立形成相对完善的管理规范,使其能有效应对来自内部或外部的威胁。
2.3做好运维保障支撑工作
系统补丁更新滞后的问题往往是老旧系统欠缺合理的更新或维护所造成系统无法适应或使用新补丁。因此需要确保电厂的信息系统能得到有效的运维支撑,确保信息系统能在补丁环境下运行。如果因补丁导致系统无法正常使用,应该立即评估系统本身的安全性,并做出相应的调整,而盲目取消安装补丁是可笑的。
期刊文章分类查询,尽在期刊图书馆另外,巡检、病毒防护、日志管理、文档管理也是运维保障工作不可忽视的组成部分。我国的《网络安全法》已经就日志的留存问题给出了明确的要求。就安全设计、实施、管理实现、运行维护等多个方面给出指引,能为信息安全工作提供良好的标杆。
2.4做好监督与评审工作
近年勒索病毒层出不穷,业界的信息安全事件屡见不鲜,这不得不让我们对过去的服务方式作出反思。这里做好监督、评审是必不可少的一环。尽管电厂信息化建设是为广大的患者、医护人员服务的,但是有求必应式的响应一定要叫停。作为一个专业的信息技术从业人员,应该对每一个信息化建设项目的分析报告、实施方案进行审核,从合规性的问题分析乃至应用层次、网络拓扑、中间件、数据库的选择都应严格把关,而不是草草“同意”二字了事。
2.5做好数据保护工作
一方面,由于电厂数据有高度的真实性,所以历来受到社会各类人员的青睐。另一方面,电厂数据能为电厂科研工作提供必要的支持。现阶段电厂的数据保护工作已经不仅限于传统的数据备份活动。如何有效保护电厂数据安全是一个不得不思考的问题。这里可以分为对外的防御控制和对内使用的两个层面工作。对外,做好边界防护工作,并配合监督审计,严控数据非法外流。对内,建立数据使用的审批规程,做到数据使用要有依据;在满足科研需求的情况下,应遵循最少反馈原则;对于敏感信息,应该进行加密或降维处理,使其无法直接读取信息的物理意义,但又不影响分析工作;注意合规性的问题,依法依规严格控制数据流通活动。
2.6控制好信息安全工作的成本
有人认为对信息安全的投入是个无底洞,投入再多也未必有成效。虽然本人并不同意这些观点,但是电厂的资源是有限的,任何一个项目都必须平衡成本效益。对于信息化建设项目,信息安全工作越早介入,项目成本越低。如果信息化建设项目在后期才关注安全问题必将导致开发成本或维护成本上升,而这些成本最终还是转嫁给电厂自己。所以信息化建设项目要尽可能在可行性分析阶段就引入信息安全的工作,做到“同步规划、同步建设、同步使用”。
2.7加强电厂网站部署环境安全
电厂网站后台系统无论是部署在电厂内部数字中心,还是部署在IDC机房或者云服务上,均需要对网站进行网络安全防护,如架设网站防火墙、入侵检测系统IDS、入侵防护系统IPS、全流量安全分析系统等,重点部署全流量安全回溯分析系统,并进行为期7天的网络全流量存储,一旦发现网站安全问题,可进行全流量回溯追踪溯源,取证,上报司法机关,对不法分子进行有力的威胁作用。
2.8充分利用威胁情报检测
电厂网站威胁不定期收集关于针对医疗机构的威胁情报数据,如威胁情报厂商提供针对医疗机构发起攻击的黑名单,包括恶意IP、危险域名、恶意url、僵木蠕病毒文件等,将这些威胁情报信息作为威胁指标,导入到电厂网站威胁检测系统内,一旦有可疑攻击即可会产生告警,加强电厂网站的威胁监测。同时应多收集关于电厂的威胁事件报告,了解针对医疗机构网站的攻击手法,有的放矢的防护。
结束语
在新时期,电厂信息化建设工作应该在符合国家或上级部门对信息安全要求的前提下,围绕着服务广大的患者和满足医护人员工作需要进行开展。电厂信息安全管理工作应以管理与技术相结合,为电厂信息系统的实用、先进、开放、互联、可靠、稳定、安全提供另一个维度的保障。
参考文献:
[1]周慎学,范渊,夏克晁,尹峰,胡伯勇,杜永春.台二电厂工控系统信息安全防护体系的建设[J].中国电力,2017,50(08):53-57.
[2]崔鹏.沙角C电厂信息安全管理体系建设及实践探讨[J].信息化建设,2015(10):53-54.
[3]施强.电厂信息安全管理概述[J].计算机安全,2011(07):78-80.
[4]翟德双.电厂生产控制系统的网络信息安全[J].上海电力,2008(03):291-293.
论文作者:高成卓
论文发表刊物:《电力设备》2019年第15期
论文发表时间:2019/11/26
标签:电厂论文; 信息安全论文; 工作论文; 系统论文; 数据论文; 安全防护论文; 网络论文; 《电力设备》2019年第15期论文;