由单一安全发展为全方位安全
我国致力于打造坚强的电力监控系统安全防护体系
近年来,我国政府外网平均每月感染病毒木马次数达1000多万次,政府网站被直接攻击300多次;而就电力行业而言,单就国家电网公司一家企业来说,其内网每月被攻击达2000多次,信息内网被攻击20次左右。
以上为媒体近期公开的数据,可见我国电力监控系统安全防护工作面临的形势异常严峻。
9月1日,国家发展改革委2014年第14号令《电力监控系统安全防护规定》(以下简称《规定》)正式施行,为电力系统深入开展安全防护工作打下了坚实基础。
进入新世纪,我国电力监控系统安全防护工作经历了一个艰辛探索、不断完善的过程,短短十几年间,实现由弱到强、由单一安全逐渐向全方位安全过渡,最终形成了一个相对完善的安全防护体系。
行业发展及国际局势对电力安全防护工作提出更高要求
《规定》的出台是对既有相关文件法令的丰富和完善,是保障电力系统安全稳定运行的必然之举。
“电力监控系统相当于整个电力系统的神经网络和控制中枢,对于保障电力系统的安全稳定运行和电力可靠供应具有重要意义。”国家能源局副局长史玉波在近期接受采访时指出。
众所周知,作为基础设施的电力系统关系国计民生,技术、资金密集,供电服务涉及千家万户。况且,在电力系统中,电流以每秒30万千米的速度不断传输。“电力系统涉及的空间这么广,时间响应速度又这么快,所以它高度依赖基于计算机技术和信息技术的电力监控系统,离开监控系统,电力系统根本无法有效运行。”电力监控系统安全防护专家组组长、资深专家辛耀中对电力监控系统的重要意义作了进一步补充,如果这个系统或者控制网络遭到攻击,就会带来灾难性后果。
事实上,类似的威胁真实地存在并发生过。
2000~2003年,我国电力系统相继发生了“二滩电厂停机事件”、“时间逻辑炸弹事件”、“换流站感染病毒事件”等多起信息 安全事件,在一定程度上造成电力安全事故或构成安全隐患。这些事例说明电力监控系统面临的安全风险日益增大,已经直接威胁到电力系统安全稳定运行。
从国际上来看,电力系统安全防护工作形势也是异常严峻,针对基础设施的网络战一刻都没有停止过。国际局势谈不上稳定,战争风险时刻存在。
在现代战争当中,各国已把对电力监控系统的攻击作为网络攻击的首要目标,用以瘫痪目标国的能源系统。在科索沃战争、格鲁吉亚战争和海湾战争中,都是如此。再加上沸沸扬扬的斯诺登事件更让各国进一步认识到,来自网络的攻击在分分秒秒中进行着,稍有防护不到位,我们的电力系统就有可能遭到攻击。如果没有一个严密的防护体系,后果可想而知。谈及这些,辛耀中神色凝重起来。
综合电力系统自身的重要性以及国际局势的危险性和不确定性看来,我国电力监控系统安全防护工作仍然任重道远,《规定》的适时出台为电力系统安全稳定运行提供了一份重要的法律和制度保障。
开展电力监控系统安全防护工作是一个不断探索的过程
辛耀中的案头摆放着三份文件,分别是2002年以原国家经贸委30号令出台的《电网与电厂计算机监控系统及调度数据网络安全防护规定》、2004年以原国家电监会5号令出台的《电力二次系统安全防护规定》,以及今年刚刚以国家发改委第14号令出台的《电力监控系统安全防护规定》。
辛耀中在我国电力监控系统安全防护领域奔走了30多年,称他为该领域的奠基者毫不为过,他参与并见证了我国电力监控系统安全防护体系从无到有、从弱到强的全过程。
通过对上述三份文件进行详细地梳理,辛耀中向记者清晰地展示了我国电力监控系统防护工作发展的历史脉络。
2000年10月23日,二滩水电厂收到一个异常命令信号,致使该厂在7秒钟之内甩掉89万千瓦的出力,导致四川电网几近瓦解。事后总结发现,电厂存在一些重大设计缺陷,其中的最大问题是把控制系统和办公自动化系统结合在一起,异常命令就是由办公自动化系统传过来的。
因此,业内人士认识到,电力生产控制系统是直接影响电网安全的,并总结出一条准则:生产控制系统必须与办公自动化系统(管理信息系统)物理分开。
这条准则随后出现在2002年原国家经贸委30号令《电网与电厂计算机监控系统及调度数据网络安全防护规定》当中,该令最核心的原则就是强调 “生产控制大区和管理信息大区必须物理隔离,生产控制用的调度数据网络必须与管理网络、因特网物理隔离”。
2004年年底,原国家电监会5号令《电力二次系统安全防护规定》出台,该令的核心为“安全分区、网络专用、横向隔离、纵向认证”,即“16字方针”。该方针可以解释为:合理划分安全分区,扩充完善电力调度专用数据网,采取必要的安全防护技术和防护设备,剥离非生产性业务,实现电力调度数据网络与其他网络的物理隔离。当时解决了电力监控系统的“结构安全”问题。
今年9月1日,国家发改委2014年第14号令即《规定》正式施行。《规定》的出台与上一道令间隔恰好十年。
十年间,我国电力监控系统安全防护技术和理念又得到了巨大提升,这些提升全部体现在《规定》之中。
这十年期间,2007年公安部推出《信息安全等级保护管理办法》。其中就信息安全等级保护管理工作制定了一系列国家标准。该《办法》主要面向计算机系统、通信系统等,它解决的是四个层面的问题,即应用软件没有恶意软件,操作系统没有恶意后门,计算机(主机)主板没有恶意芯片,核心芯片(CPU)不能有恶意指令。该《办法》强调的是“本体安全”,它与《电力二次系统安全防护规定》“16字方针”强调的“结构安全”形成互补。
《规定》则将上述两项成果尽收囊中。不仅如此,《规定》还提出“物理安全”的要求,比如电力监控系统机房不能停电,不能着火,不能进水,还要具备电磁屏蔽功能等等。
同时,《规定》对“管理安全”也提出相应要求,三分技术,七分管理。技术进步是无止境的,也是无法做到最好的,所以还要 靠人的管理。
然而,做到上述这一切就够了吗?显然不够。
一项更为可靠的安全内容———基于可信计算技术的系统“安全免疫”技术出现在《规定》当中。
“该项安全相对前述几项安全内容而言,就相当于‘基因安全’,类似于打过疫苗之后,就不会再得相应疾病一样。”辛耀中解释说,《规定》就是在强调 “结构安全”、“本体安全”、“物理安全”、“管理安全”的基础上,又增加了对“安全免疫”功能的要求。
这样,我国电力监控系统防护结构更加完善,安全强度变得更高。
“针对电力系统安全防护工作,短短十几年间,有关部门连发三道令,足见国家对电力监控系统安全防护工作的重视程度。”辛耀中说,通过这三道令也能看出,我国电力监控系统防护工作及其理念经历了一个逐步发展、逐渐完善的过程。
形成体系并不断完善才能保证电力系统的长久安全
“电力监控系统安全防护技术是动态发展的,目前还没有哪一项技术被认为是不可攻破的。”南方电网公司专家胡荣这样认为。
因此,《规定》的精髓并不在于简单地罗列各项安全要素,其核心理念是建立一个完整的、相对牢固的电力安全防护体系,这是至关重要的。
“结构安全”、“本体安全”、“物理安全”、“管理安全”和“安全免疫”这五方面必须同时具备,才能构成一个完整的、严密的体系,否则,就无法形成一个有机的整体,单独拿出其中的任何一个方面来都不具备任何防护意义。
“有攻才有防,防护工作的发展本身就是一个攻防相长的过程。电力监控系统安全防护工作是需要不断完善、不断发展的,不可能一劳永逸。”辛耀中与胡荣持相同观点,网络信息技术日新月异,像现在的云计算、物联网、大数据等新技术和新概念的出现,让电力监控系统安全防护工作面临更大的挑战,全行业必须时刻保持高度警惕,认认真真做好自己的防护工作。