新一代电力信息网络安全架构的思考

　　摘要：能源互联网的崛起正在迅速改变电力信息网络系统架构，电力信息网络面临着一系列新的安全挑战。以满足未来更高级别安全能力为出发点，秉承继承创新、自主可控、协同对抗、智能防护的原则，设计了一种适应新一代电力信息网络的安全架构模型，并提出了架构的构建措施。新一代电力信息网络安全架构模型提出了全新的九大安全需求，融合管理、策略、技术与角色四个维度于一体，构建了涵盖研发、测试、运行三平台并以分级防护、事件感知、预警调度、应急响应、灾难恢复和攻防对抗六环节为主体的闭环技术体系，以实现对信息安全全生命周期的可持续管控。在新一代电力信息网络安全架构建设过程中，需要统一开展信息安全顶层设计，打造高水平信息安全专业队伍，融合构建新型信息安全技防体系，以强化对风险、威胁和脆弱性的智能预警和防范能力，从而全面建成新一代信息网络安全防护体系，提升电力行业信息安全整体保障能力。

　　关键词：电力信息安全；新一代安全；安全模型；安全架构；安全能力；

　　作者简介：王栋(1985—)，男，通信作者，硕士，工程师，主要研究方向：信息安全。E-mail：dong-wang@sgcc.com.cn；陈传鹏(1982—)，男，博士，高级工程师，主要研究方向：信息安全、密码算法硬件实现与优化。

　　0引言

　　电力行业是国家重要的基础性行业，随着电力行业信息系统实用化水平的不断提高，电力信息系统安全严重性也日益凸显，电力信息安全的重要性已不言而喻。随着“互联网+”模式的创新突破和快速应用，能源互联网正在快速改变电力工业的生态环境，电力工业呈现出了“广泛互联、高度智能、开放互动、灵活服务”的全新特点，信息网络技术对电力系统的影响将是空前的，但由此也将带来一系列的信息安全问题。

　　为解决新一代网络安全问题，国内外信息安全研究人员纷纷提出了一些安全体系加以应对，如“木桶理论”安全体系、“云+端+边界”安全体系、大数据安全体系等，这些安全体系的思想有一个共同点，即摒弃了过去单点化、孤立式的防护思想，取而代之的是立体化、全局式的智能防护和控制思想[1，2，3]。

　　但是，这些安全体系大都还停留在理论和初级实践阶段，并没有提出明确的安全需求，也没有对新一代网络安全模型的具体框架和内涵进行阐述，更无法切合新一代电力信息网络的发展需要，可以说目前尚未有成熟的关于新一代电力信息网络安全架构方面的研究成果。

　　全新的能源互联网架构及其新业务形态对电力信息网络安全防护提出了新需求，同时信息安全形势愈发严峻，新型信息安全攻击快速衍变，也对电力信息安全工作提出了新挑战。在此大背景下，本文借鉴了国内外先进信息安全治理和运营理念，以立体化、全局式的智能防护和控制思想为出发点，在继承电力行业信息安全主动防护体系基础之上，提出了一种新型的电力信息网络安全架构设想及其演进路线，以持续满足电力行业“十三五”期间信息安全工作的新要求。

　　1电力信息安全新挑战

　　电力行业在“十二五”期间不断强化信息安全投入，持续加强了信息安全的全生命周期管理体系建设，具有电力行业特色的信息安全防护体系不断完善。电力信息网络划分为生产控制与管理信息两个大区。生产控制区采用“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略；管理信息区采用“分区分域、安全接入、动态感知、全面防护”的安全防护策略，构筑互联网与信息外网之间强化控制策略、信息外网与内网之间强逻辑隔离、管理信息与生产控制物理隔离的信息安全三道防线。全面应用信息内、外网安全监测系统，实现对内、外网各类网络、边界、主机、应用、终端、机房、互联网出口安全与运行状态的实时监测，实现以攻击促防御，有效提升网络安全主动监测及防御能力。

　　但是，随着信息安全环境的日益严峻和恶化，网络攻防环境正在发生快速变化。首先，攻击者的动机已不仅仅在于炫耀技术，而是更具有功利性。受政治、经济等多方面的影响，攻击者正在形成拥有强大技术和经济实力的集团化组织。其二，攻击者的目标选择更明确、攻击更为专注，目前传统的安全防护设备之间相对孤立，设备之间缺乏联动，安全孤岛现象突出，在高级持续性威胁(APT)攻击面前束手无策，无法形成真正的安全体系。其三，针对电力工业控制系统的攻击事件日益频繁，也说明了安全攻防战场正在从通用网络向专用网络逐步扩展。此外，云计算、虚拟化、大数据、移动互联网等新技术在电力行业迅速应用，在深刻改变电力行业信息系统架构和服务模式的同时，也不可避免的引入新的安全问题并对当前的信息安全防护能力提出新的挑战。这里归纳电力信息安全在以下5方面的新挑战。

　　1)电力信息系统安全的独特性

　　电力信息系统是信息基础架构在电力基础架构之上的应用和融合，电力信息系统安全和电力安全存在较大关联性，信息安全在某些条件下会影响电力系统的稳定运行。另一方面，电力信息系统与常规的网络和信息系统相比，在系统规模、结构和组成对象上，都存在较大差异性。这些因素的存在都使得电力信息安全无论在管理还是在技上都均有独特性，必然存在有别于传统信息安全的安全威胁。

　　2)电力信息系统安全体系化的防护手段

　　长期以来，电力行业主要通过一些独立、分散的安全设备和系统进行防护，存在安全孤岛现象，各单位安全防护水平参差不齐，防护能力达不到高级水平。信息安全管理也未覆盖信息系统全生命周期，一体化闭环式的安全管理措施存在缺失，这无疑给电力信息安全带来了风险。

　　3)电力信息系统安全的高可控性需求

　　电力信息系统遵循大电网的高可控性安全需求，信息系统安全防护涵盖系统招标、开发、测试、上线等多个环节，如果任何一个环节植入恶意代码、加装恶意后门或加入隐蔽指令等都会给电力信息系统造成不可估量的安全威胁。目前，电力行业信息系统仍大量使用国外非安全可控的产品和技术，针对软硬件系统的仿真验证能力还较弱。总体上讲，电力信息系统的可控性、可预知性水平不强。

　　4)电力移动互联网技术带来的新风险

　　随着智能电网工作的开展，电力移动互联网生态环境逐步形成，同时也增加了电力信息系统的复杂度，提高了安全防护的难度。营销、运检、电动汽车等电力新业务的发展使得大量智能、可编程设备的接入，也会带来额外的安全风险。面对更加复杂的接入环境、灵活多样的接入方式，数量庞大的智能接入终端对电力信息安全也提出了新的挑战[4，5，6]。

　　5)电力云虚拟化新技术带来了新隐患

　　随着电力行业信息化建设的持续推进，目前已开始大量应用基于云计算虚拟化资源池技术，正在深刻改变电力行业信息系统技术架构和运行方式。随之产生两方面的问题：一是虚拟化技术引入以后产生了一些特定的安全风险，怎样解决虚拟化方面的安全是云计算与传统安全的一个重大区别；二是云计算代表着一种架构方式的转变，在终端、网络和主站端的安全需求均发生了相应变化，传统的安全保护手段难以满足云计算虚拟化环境的需求[7]。

　　2新一代电力信息网络安全架构模型

　　电力信息网络系统具有复杂性、开放性、动态性等特点，这些特点使其具有天生的脆弱性，拒绝服务攻击、网络扫描、网络欺骗、病毒木马、信息泄露等安全事件的层出不穷，既有来自外部的恶意入侵，又有来自内部的权限滥用，来自内外部的安全风险给信息安全工作带来了不小的压力与挑战。

　　面对严峻的信息安全形势和复杂的信息安全挑战，结合电力行业信息安全发展需要，新一代电力信息网络安全架构必须是以“智能+防护+控制”的基础的，必须贯穿信息系统全生命周期，必须更加强调整体安全能力，必须是涵盖“云+端+边界”的立体防护体系。该防护体系是假设前一道防线没有防住的情况下，后面的防护手段仍然可以去补救，并强调多链条、多层次安全防线之间的联动和协同，以形成真正体系化的信息安全能力。

　　电力信息网络安全是一项复杂的系统工程，必须加以科学的顶层设计，形成合理的安全架构模型，才能有效指导电力信息网络安全防护体系的建设。必须以体系化的视角考虑电力信息网络安全模型的构成要素，以及各要素间的关联关系，采用“智能+防护+控制”的方针，集中反映大视角、多维度、全过程、一体化的高级信息安全防护思想。模型在设计上应遵循整体性与分布性、主动性与动态性的原则[8]。

　　整体性与分布性：模型应对信息网络安全的构成进行明确定义，并确保各构成要素间关联关系的合理，应力求从整体上反映信息安全能力，此外，还需充分考虑不同信息安全保护对象间的差异，提供层次化、差异化的安全防护，模型应是全方位、多层次的。

　　主动性与动态性：模型应贯彻积极防护与事前控制的思想，需具备完整的安全漏洞发现机制和弥补机制，以及对未知安全事件的防范能力和免疫能力，各安全功能应构成一个闭环的动态控制系统，安全组件的部署应能随着系统安全需求的变化而动态地进行调整。

　　按照“云+端+边界”立体智能防护的要求，结合国际先进信息安全管理体系(ISMS)理念，合理确定电力信息网络的安全需求，从管理、策略、角色、技术多个安全维度综合考虑应对安全策略及管理措施，组成一种新一代的电力信息网络安全架构模型(见图1)，以下对模型进行深入分析。

　　2.1安全需求

　　信息安全需求首先要包含CIA(即机密性、完整性和可用性)3个基本属性。但是随着电力新业务和信息技术的发展，针对电力信息系统的安全威胁手段也越来越复杂多样，信息安全CIA三要素已经不能满足未来电力信息网络安全能力提升的要求。因此，为全面应对各类安全威胁，建设主动智能的新一代电力信息网络安全防护能力，引入可认证性、可控制性、可识别性、可追溯性、可验证性和可预测性等属性，提出了九大安全需求。

　　机密性：是指信息网络系统中的信息不会被泄露给未经授权的用户或者非法利用的特性。即信息等只能给合法授权用户使用，拒绝其他非法用户访问。

　　完整性：是指信息网络系统中的信息在存储或传输的过程中保持未经授权不能改变的特性。即信息在传输过程中不会被随意篡改、删除、伪造，在存储过程中不会被非法用户修改和破坏。

　　可用性：是指授权用户可访问并按需求使用信息网络系统的资源、数据和信息的特性。即保证合法用户对资源和信息的使用不会被异常拒绝。

　　可认证性：是指对用户身份、用户发送的信息内容真实性和有效性的认证能力。即可以对信息所有者或发送者的身份进行认证和鉴别，对信息的来源、传输真实可靠性的核实等[12，13]。

　　可控制性：是指对信息网络系统授权范围内的信息流向具有可以控制的能力。即信息可以被选择性阻断，网络和信息系统可被控制者监控管理，确保信息内容安全合法。

　　可识别性：是指对影响信息网络系统中存在的安全风险是可以主动鉴别的。即对信息网络系统本身漏洞的检测能力，以及对攻击行为和用户非法操作行为的主动发现等。

　　可追溯性：是指对信息网络系统的活动和状态具有可以追踪和审计能力。即有相应的日志系统记录用户对信息网络系统的操作、网络流量等活动以及系统本身的运行状态，并且能够对这些日志信息进行追踪和审计。

　　可验证性：是指对信息安全相关指标的测试验证能力。即可以验证信息网络系统的安全防控能力、测试数据的安全以及对安全风险所带来的后果进行验证等。

　　可预测性：是指对信息网络系统全网安全状态实时感知和动态预警能力。即通过海量数据采集、大数据分析等技术，实现对信息网络系统的整体安全态势的预测判断。

　　2.2安全模型四维度

　　模型包括管理、策略、角色与技术四个维度。其中管理是基础、策略是规则、角色是保障、技术是核心，通过四个安全维度的建设，以有效消除安全威胁，实现预期的安全需求。

　　管理：是安全的重要基石，渗透于从模型设计到运行过程的各个阶段。其中对制度的管理，主要包括制度与规程的制定、执行和改进；对技术的管理，主要通过制度使各种技术成为一个有机整体，从而提高系统的整体安全能力。管理性措施在某种意义上比技术性措施更重要、更有效。

　　策略：是为发布、管理及保护信息资源而制定的一组制度和规定的总和，是对信息资源使用和管理的规范性描述。其中安全策略为信息安全提供管理方向和支持手段，是信息安全研发、测试和运行各过程中需要严格遵守的规则。

　　角色：是信息安全实现的主体，所有策略、技术都是由相应角色的人员设计或实现的，因此安全角色的划分是否清晰合理对系统安全影响非常大。依据信息安全全生命周期管理理念，应确立管理、研发、测评、运维、督查和用户等多个角色，并对各角色承担的信息安全责任进行明确划分，使各角色够严格按照既定的安全策略进行操作。

　　技术：是完成信息安全风险防控的保障手段。在这个模型中分为闭环的六个部分：分级防护、事件感知、预警调度、应急响应、灾难恢复和攻防对抗，它们具有很强的时序性和动态性，能够较好地反映出新一代信息网络安全架构技术架构的先进性、主动性和完备性。

　　2.3安全模型应用

　　在技术维度上对信息系统研发、测试和运行三个平面的安全防护进行应用分析，根据信息系统全生命周期特性，三个平面承担不同的安全技术功能，三个平面以异构性保障整体技防措施的完备性，并将三个平面均划分为云安全、互联安全和端安全，充分满足新一代电力信息网络架构条件下的全方位安全防护需要。

　　同时模型将信息系统研发、测试、运行三个阶段的安全技术融合到六个环节中，构建闭环的信息安全技术支撑体系，并以相应的技术手段防护安全威胁并实现安全需求。以下对这六个环节的主要技术作进一步的说明：

　　分级防护：确定信息系统保护对象，并根据对象重要程度进行分等级的防护，综合采用网络隔离、访问控制、数据加密、权限控制、身份认证、防病毒等适当的技术手段全方位保障信息系统生命周期的三个阶段的信息安全[14]。

　　事件感知：通过安全检测手段及时发现网络中存在的攻击行为，及时识别系统存在的安全风险与漏洞，对网络安全事件进行动态感知，为有效地阻止网络攻击事件并快速控制风险提供有效的预警支撑信息[15，16]。

　　预警调度：充分利用大数据分析和挖掘等技术综合计算安全事件时间、数量、频度等属性，对安全事件的扩散范围、持续时间进行预警，还包括对已发现系统漏洞的全面评估排查，通过分析网络恶意行为数据，对可能发生的安全事件进行预警。并依据预警信息，对安全防护力量进行动态调度[17，18]。

　　应急响应：针对预警的信息安全事件，立即启动应急预案，采取有效的安全应急措施，对安全事件进行处置和消缺，降低安全事件给信息系统带来的破坏和损失。同时，对事件源进行定位、溯源和取证，遏制安全事件的扩大化[19]。

　　灾难恢复：在系统遭受攻击后，及时恢复系统并快速提供正常的服务，有效降低安全事件造成的损失。恢复依赖于对事件预想采取的预备措施，包括系统冷热备份、双链路、应用级灾备等，以达到快速、有效恢复服务的目的[20，21]。

　　攻防对抗：安全保护需要被动与主动的手段的双管齐下，在防护的同时，需要对攻击者进行反向的对抗。通过各种安全设备，综合采取各种手段对攻击者进行反击，使其攻击失效或者阻断其攻击。对抗应仅在必要必需的时候、及遵守法律的前提下进行[22，23]。

　　2.4安全模型评价

　　与其他安全模型相比，本文提出的安全模型从理论上对新一代电力信息网络安全体系应满足的安全需求进行了明确定义，使得新一代电力信息网络安全体系的建设不再盲目，更具方向性。本安全模型涵盖管理、策略、角色与技术四个维度，较为全面的覆盖了信息安全全生命周期理念中包含的各类安全元素，充分体现出了立体化、全局式的信息安全防护和控制思想，尤其在技术层面，本模型充分融合吸收了业界最新的技术发展趋势，确保以优秀的技术体系应对动态的威胁和创新的业务。总体评价，本模型构建一种全面的信息安全防护架构，完全可以适应未来复杂的电力信息网络发展需要，是解决电力信息安全挑战的一种有效途径。

　　3新一代电力信息网络安全架构的构建措施

　　电力行业具有较好的信息安全基础，新一代电力信息网络安全体系应秉承继承创新、自主可控、协同对抗、智能防护的原则，结合电力企业自身信息网络发展特点，在管理、策略、角色与技术等方面多措并举，稳步形成适应自身实际情况的新一代信息网络安全架构，在架构演进的过程中，应重点做好以下几方面的工作。

　　1)统一开展信息安全顶层设计

　　必须坚持信息安全同步业务发展的思路，树立大安全理念，开展涵盖电力全业务、全单位、全系统、全过程的信息安全顶层优化设计，明确定义信息安全管理架构、策略架构、技术架构、角色架构及其配套流程体系，建立标准化的信息安全顶层框架，形成覆盖规划、可研、设计、开发、测试、实施、运行、应用、检修、下线等各个阶段的信息安全全过程管控工作机制，为可持续信息安全工作的开展提供有效的方法论指导。

　　2)打造高水平信息安全专业队伍

　　建设高水平的信息安全专业队伍，以人才队伍建设保障信息安全工作有效开展，创新人才培养和选拔模式，加快建设信息安全红队、信息安全研发蓝队、信息安全运维蓝队三支队伍建设，重点提高人员技术能力和装备技术水平，构建合理的信息安全人才梯队。

　　3)融合构建新型信息安全技术防护体系

　　坚持信息系统自主可控发展战略，加快推进高端服务器，操作系统、数据库、中间件基础软件以及密钥算法的国产化替代工作，构建安全可控的研发与供应链生态环境。充分整合“应用安全+主机安全+边界安全+网络安全”防护体系，按照“云+端+边界”立体智能防护体系演进方向，完成安全接入平台、安全认证平台、安全交互平台、安全隔离平台等四大安全基础设施建设，同时，融合云计算、大数据、移动互联网等新技术，构建测试验证中心、漏洞补丁中心、权限控制中心、日志审计中心、智能预警中心、攻防对抗中心等九大安全中心，融合构建新型信息安全协同联动技术防护体系。

　　4结语

　　本文对电力信息网络安全面临的挑战进行了分析，以立体化、全局式的智能防护和控制思想为出发点，设计了一种适应新一代电力信息网络发展要求的安全架构模型，模型力求构成要素合理完备，可操作性强，能够适应信息安全攻防高度对抗环境下电力信息网络发展的需要。同时，本文对新一代电力信息网络安全架构的演进路线进行了阐述，并就顶层设计、人才队伍、技防体系等应重点开展的工作给出了合理化建议。本文的研究成果为新一代电力信息网络安全体系的建设提供了一定的理论支撑，是应对电力行业信息安全新挑战并建立可持续信息安全新常态的一种积极尝试，以期为电力行业新时期信息安全工作的开展提供有效指导。