导 读:随着国家电网公司大力开展“三型两网,世界一流”战略部署以来,特别是泛在电力物联网建设的全面铺开,信息技术对于电力系统的介入程度越来越高,信息安全的实际需求也越来越高。面对新形势下的高标准信息安全防护挑战,作为水力发电企业,该如何在新的标准下,完善自身的信息安全防护建设,有效的保障自身的信息安全,进一步以点概面,形成有效的信息防护网,为保障国网信息安全贡献力量,本文从牢固思想基础、提升设备水平、提高防护能力三个方面进行了论述。
浅议水电厂信息安全建设
2019年,国家电网公司正式提出了大力建设“三型两网、世界一流”的互联网能源企业的战略目标,在已经建成坚强智能电网的基础上,大力发展建设泛在电力物联网,而泛在电力物联网的建设,从便于理解的角度上来说,就是将大、云、物、移、智等新兴的互联网技术与已经建成的坚强智能电网进行全面的、深度的融合,利用新兴的互联网技术或者说信息技术,达到全面感知、万物互联、人机互联的新层面,真正实现电力企业的泛在物联。在这样的大的建设部署下,作为电源侧的水电企业,具有自身的特点。为了追求大流量的水量进行发电,水电厂大部分需要依托于大的水域流域进行建设,相较于其他种类的发电厂,水电厂大部分较为分散,较为独立。近年来,在新源公司的统一规划下,以及一些流域公司纷纷成立,水电厂才逐步的由点到线,但是在信息化的建设和信息安全的防护方面相较于输配电侧的网省公司,还存在着相当的差距。国网公司体量大、人员多,业务链条长、层级多,地域分布广、差异大,而水电厂在地域分布广、差异大这一方面体现的更加明显,如何根据水电企业的实际情况,开展信息安全防护工作,应从以下几个方面着手:
在经历了基于自动化的信息化建设阶段的第一阶段、基于数字化的信息化建设第二阶段以及基于智能化的信息化建设第三阶段以来,国网公司的信息化建设的发展已经具备了大力建设发展泛在电力物联网的技术条件,随着信息技术的深层次介入到我们生产、生活的方方面面,信息安全的范围也随之不断扩大,我们对于信息安全范围的定义不应在仅仅局限于对传统意义上的互联网安全,而应当将信息安全的认知范围扩大从智能设备的生产出厂、运行检修、下线退回全过程的智能安全防范范围。信息安全已经不仅仅是安全生产工作的一个“分支”,而应当定位于和人身、设备、电网安全相并列的第四大安全防范方面。在长期的信息安全保障工作过程中我们发现,水电职工对于信息安全的认识还停留在这是“别的”专业的问题的层面,人为信息安全应当有专人防护,与自己“毫不相干”,在新时期的信息化建设过程中,这种思想是特别危险的。在泛在电力物联网的建设过程中,水电生产设备将逐步由纯机械设备、自动化设备向着智能设备、互联网设备转化,在具备了互联网属性的过程中,就存在被“其他人”入侵的可能,为了有效地保障水电厂的信息安全,在今后的信息安全工作中,应重点针对水电厂职工进行有效的信息安全教育知识培训,由于水电厂分部地域广等特点,集中进行各水电企业的职工进行专项的信息安排培训并不具备现实条件,这就需要在水电企业设立专职的信息安全岗位,在接受国网有组织、有计划的信息安全培训的同时,根据自身水电企业的情况,对本水电厂进行有计划、有针对性的信息安全培训,包括日常信息安全防范手段、信息安全意识的培养、新类型的攻击手段的普及(举例如社会工程学攻击等),在明确权责的基础上,开展水电企业的日常信息安全管理工作。
对于国家电网公司而言,国网公司的信息安全具备以下几个特点:安全风险高,因为我们的信息化程度高,特别是在大力建设泛在电力物联网的过程中,我们的智能化、信息化水平将在现在的基础上有更大程度的提高,这就更加增加了我们的安全风险系数。防范难度大,国网公司的业务包括了发电侧、输配电侧等,按照泛在电力物联网建设规划的国网云建设要求,各个节点都有可能是我们的暴露节点。成为重点攻击目标,这点无需赘言,电力企业一直以来都是国民生产的重要保障。水电企业的情况要比上述的信息安全防范形势更加严峻,受限于水电企业大部分还处于较为偏远的山区影响,在技术防范方面,应当在设计规划中不仅仅满足于当前的信息安全防范要求,还应当具备一定的扩容能力,设备的选型与在保障安全防护水平的基础上,要讲设备的稳定性和易维护性考虑在内,这是基于偏远地区的水电企业,一旦安防设备出现故障问题,厂商维护人员不能较快的到达现场,维护与维修具有一定的滞后性,这就对设备的稳定运行指数和操作复杂度有了明确的要求,在能够达到相同信息安全防护水平的前提下,设备的历史平均稳定运行小时数和操作界面和命令的难易程度就成为了优先于价格的考量指标。水电企业的信息安全设备应当选用能够直接输出文字结论而不是机器语言结论的设备。鉴于不同水电企业的信息运维人员知识水平参差不齐,信息运维队伍目前尚处于从“半路出家”向专业化队伍的转化阶段,在人防水平条件有限的情况下,就应当在技术防范上加大功夫,提高设备的安全防护水平,以此来弥补不足,提高信息安全防范指数。
特别是在对于信息桌面终端的防范,“一揽子”防护的安全设备上线模式已经不能满足我们目前的信息安全防范要求,在之前的水电企业信息安全防范工作中,我们往往直接采用在外部“加一个壳”,通过在网络边界上线防火墙、入侵防御等专用安全设备来进行统一防护,但是堡垒往往是从内部被攻破的,在智能移动终端和5G技术大力发展的今天,一部手机,一根数据线,往往就能够在三五分钟内从内部攻破我们看似坚硬无比的信息安全防护网。新的时期,我们应当按照“纵向分类,横向隔离”的原则, 建立统一的信息安全防护网。同时,将安全控制的探头部署到每一台具体的桌面终端或者说移动终端,不仅仅要求信息内网桌面终端进行强口令、杀毒软件、桌面管控的安全防护要求,更应当具体的将安全防护阻断、桌面运行监控等应用到最末节的终端上去,将安全防护网的每一个节点都打造成牢不可破的安全堡垒,这样才能够有效的进行信息安全防范。
根据2018年颁布的《国家电网公司信息安全工作规程》中的要求,管理信息内网、信息外网,管理信息大区和生产控制大区之间应采用国家电网公司认可的隔离设备进行安全隔离。具体的表现形式,在国网公司为“双机双网”、“物理隔离”,但是,这种物理隔离也同时割断了信息安全防护责任范围的划分。对于信息安全的理解,还处于较为狭隘的网络信息安全,对于生产控制大区的具体信息安全防护,一定程度上有所缺失,面对这种情况,应当在水电厂建立统一的信息安全防护标准,生产控制大区和管理信息大区按照国家电网的要求,技术上可以分开运维管理,但是在信息安全建设的意识上和管理上应当进行统一。
对于信息安全运维人员的技能水平也应当采用多种形式进行有效的提高。同样是基于水电企业地处偏远的考虑,对于国网公司最新下达的信息安全政策要求,水电企业信息的获取往往有一定的滞后性,而对于新技术的了解和掌握也存在同样的问题,这就需要将提高运维人员的技能水平的工作放在日常,通过有计划的有针对性的对新技术、专项技术进行培训,使水电企业的运维人员的技能水平尽可能的靠近行业主流,使我们的运维人员最起码能够达到“跟得上、不脱节,看得懂、能执行”的基本条件,只有通过这样不断的提升运维人员的技术水平,再结合不断提高的设备安全防护质量,才能够真正的做好水电企业的信息安全防范工作。
综上,信息安全工作是我们保障泛在电力物联网建设工作高质量发展的重要基石。面对地域偏远、分部广泛的各类型水电企业,为了更好的实现自身的信息安全管理,就必须在思想上统一认识,在设备上提高安全运行系数,在工作上统一管理,在技术水平上持续提高,只有这样,才能够真正的做到保障信息安全,强化自身的信息安全质量,从自身的角度保障国网整体的信息安全,为公司生产、经营、管理等重要工作的实现贡献力量。
评论