風(fēng)電場(chǎng)信息安全等級(jí)保護(hù)設(shè)計(jì)方案與實(shí)施情況介紹

風(fēng)電場(chǎng)信息平安等級(jí)保護(hù)設(shè)計(jì)方案

與實(shí)施情況介紹

邵科偉匯報(bào)人：王曉東匯報(bào)當(dāng)前信息平安形勢(shì)外部環(huán)境各國(guó)在大力推進(jìn)Internet與信息技術(shù)應(yīng)用的同時(shí)，抓緊實(shí)施國(guó)家信息平安保障體系與國(guó)防信息平安防御體系。各國(guó)抓緊研究信息平安策略、制訂體系標(biāo)準(zhǔn)、法律法規(guī)，實(shí)施平安方案。外部環(huán)境〔美國(guó)〕2009年1月，美國(guó)總統(tǒng)布什簽署第54號(hào)國(guó)家平安總統(tǒng)令和第23號(hào)國(guó)土平安總統(tǒng)令，要求美國(guó)政府所有與平安有關(guān)的部門〔包括國(guó)土平安部、國(guó)家平安局等〕都參與實(shí)施“國(guó)家網(wǎng)絡(luò)平安綜合方案〞。這是一項(xiàng)長(zhǎng)期的，由多個(gè)部門參加并分步驟實(shí)施的方案，其最終目的是保護(hù)美國(guó)的網(wǎng)絡(luò)平安，防止美國(guó)遭受敵對(duì)的電子攻擊，并能對(duì)敵方展開在線攻擊。外部環(huán)境〔美國(guó)〕美國(guó)總統(tǒng)奧巴馬2009年5月提交《第44屆總統(tǒng)的保護(hù)網(wǎng)絡(luò)空間平安評(píng)估報(bào)告》，說(shuō)明來(lái)自網(wǎng)絡(luò)空間的威脅已經(jīng)成為美國(guó)面臨的最嚴(yán)重的經(jīng)濟(jì)和軍事威脅之一。奧巴馬還表示：網(wǎng)絡(luò)空間以及它帶來(lái)的威脅都是真實(shí)的，保護(hù)網(wǎng)絡(luò)根底設(shè)施將是維護(hù)美國(guó)國(guó)家平安的第一要?jiǎng)?wù)。外部環(huán)境〔美國(guó)〕《保護(hù)網(wǎng)絡(luò)空間平安評(píng)估報(bào)告》建議設(shè)定一條根本原那么，即網(wǎng)絡(luò)空間是國(guó)家一項(xiàng)關(guān)鍵資產(chǎn)，要?jiǎng)佑脟?guó)家的所有力量對(duì)其施以保護(hù)，以確保國(guó)家和公眾、經(jīng)濟(jì)繁榮以及關(guān)鍵效勞的順暢提供。美國(guó)必須評(píng)估風(fēng)險(xiǎn)并按重要性對(duì)各種風(fēng)險(xiǎn)進(jìn)行等級(jí)劃分，制定出保護(hù)網(wǎng)絡(luò)空間的最低標(biāo)準(zhǔn)，以確保關(guān)鍵效勞即使在受到攻擊情況下也不會(huì)間斷。外部環(huán)境〔英國(guó)〕2009年6月英國(guó)出臺(tái)首個(gè)國(guó)家網(wǎng)絡(luò)平安戰(zhàn)略政府將成立兩個(gè)網(wǎng)絡(luò)平安新部門網(wǎng)絡(luò)平安辦公室和網(wǎng)絡(luò)平安行動(dòng)中心方案征召包括黑客在內(nèi)的網(wǎng)絡(luò)精英護(hù)衛(wèi)網(wǎng)絡(luò)平安英國(guó)已經(jīng)具備主動(dòng)發(fā)起網(wǎng)絡(luò)攻擊的能力外部環(huán)境〔臺(tái)灣〕臺(tái)灣加緊開展信息戰(zhàn)的準(zhǔn)備—控制進(jìn)入大陸的微機(jī)板卡、硬盤等?！獙ｉT搜集大陸民用網(wǎng)絡(luò)〔電信、能源、交通、金融及政府等〕的結(jié)構(gòu)、路由以及設(shè)備情報(bào)。—積極研究網(wǎng)絡(luò)滲透與病毒植入和激活技術(shù)。我們的現(xiàn)狀近年來(lái)，黨中央、國(guó)務(wù)院高度重視，各有關(guān)方面協(xié)調(diào)配合、共同努力，我國(guó)信息平安保障工作取得了很大進(jìn)展。但是從總體上看，我國(guó)的信息平安保障工作尚處于起步階段，根底薄弱，水平不高，存在以下突出問(wèn)題：存在的問(wèn)題信息平安滯后于信息化開展；信息平安阻礙了信息化開展。存在的問(wèn)題〔續(xù)〕雖然大多數(shù)單位采用防火墻作為內(nèi)外網(wǎng)的邊界防護(hù)設(shè)備。重視外部攻擊與入侵，無(wú)視內(nèi)部非法行為。偏重產(chǎn)品，無(wú)視體系和管理。關(guān)鍵技術(shù)、產(chǎn)品受制于人。產(chǎn)生問(wèn)題的原因整體信息平安防范意識(shí)和能力薄弱;信息系統(tǒng)平安建設(shè)和管理缺乏體系化思想;信息平安法律法規(guī)不完善，標(biāo)準(zhǔn)體系尚待完善；自主技術(shù)產(chǎn)品缺乏，信息技術(shù)產(chǎn)業(yè)未完全形成。當(dāng)前的要求與原那么總體要求:堅(jiān)持積極防御、綜合防范的方針，全面提高信息平安防護(hù)能力，重點(diǎn)保護(hù)根底網(wǎng)絡(luò)和重要信息系統(tǒng)平安，創(chuàng)立平安健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化開展，保護(hù)公眾利益，維護(hù)國(guó)家平安。主要原那么：立足國(guó)情，以我為主，堅(jiān)持管理與技術(shù)并重；正確處理平安與開展的關(guān)系，以平安促開展，在開展中求平安；統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化根底性工作；明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息平安保障體系。當(dāng)前的九項(xiàng)任務(wù)全面實(shí)行信息平安等級(jí)保護(hù)制度加強(qiáng)以密碼技術(shù)為根底的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)建設(shè)和完善信息平安監(jiān)控體系重視信息平安應(yīng)急處理工作加強(qiáng)信息平安技術(shù)研究開發(fā)，推進(jìn)信息平安產(chǎn)業(yè)開展加強(qiáng)信息平安法制建設(shè)標(biāo)準(zhǔn)化建設(shè)加快信息平安人才培養(yǎng)，增強(qiáng)全民信息平安意識(shí)保證信息平安資金加強(qiáng)對(duì)信息平安保障工作的領(lǐng)導(dǎo)，建立健全信息平安管理責(zé)任制摘要什么是等級(jí)保護(hù)制度等級(jí)保護(hù)制度要干什么如何開展等級(jí)保護(hù)工作等級(jí)保護(hù)制度根據(jù)信息系統(tǒng)在國(guó)家平安、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度；遭到破壞后對(duì)國(guó)家平安、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；將信息系統(tǒng)劃分為不同的平安保護(hù)等級(jí)并對(duì)其實(shí)施不同的保護(hù)和監(jiān)管。等級(jí)保護(hù)制度分級(jí)保護(hù)信息的重要程度決定級(jí)別，分三級(jí)。等級(jí)保護(hù)業(yè)務(wù)系統(tǒng)的重要程度；遭到破壞后的危害程度決定級(jí)別，也分五級(jí)。業(yè)務(wù)信息平安保密性、完整性、可用性業(yè)務(wù)效勞連續(xù)連續(xù)性、可用性、保障性

第一級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但不損害國(guó)家平安、社會(huì)秩序和公共利益。信息系統(tǒng)運(yùn)營(yíng)、使用單位依照國(guó)家有關(guān)管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家平安。信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息平安監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息平安等級(jí)保護(hù)工作進(jìn)行指導(dǎo)第三級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家平安造成損害。信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國(guó)家信息平安監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息平安等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級(jí)信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家平安造成嚴(yán)重?fù)p害。信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國(guó)家信息平安監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息平安等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。21

受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)摘要什么是等級(jí)保護(hù)制度等級(jí)保護(hù)制度要干什么如何開展等級(jí)保護(hù)工作平安防護(hù)的重點(diǎn)系統(tǒng)防入侵網(wǎng)絡(luò)防攻擊信息防泄露內(nèi)容防篡改內(nèi)部防越權(quán)等級(jí)保護(hù)制度表達(dá)國(guó)家管理意志〔CIP〕構(gòu)建國(guó)家信息平安保障體系〔CIIP〕保障信息化開展和維護(hù)國(guó)家平安所以信息平安等級(jí)保護(hù)是制度，是為了構(gòu)建國(guó)家信息平安保障體系。信息平安等級(jí)保護(hù)是抓手，是為了提高信息系統(tǒng)平安防護(hù)能力。信息平安等級(jí)保護(hù)是帶有很強(qiáng)技術(shù)性的國(guó)家風(fēng)險(xiǎn)管理行為所謂風(fēng)險(xiǎn)平安風(fēng)險(xiǎn)管理的目的并不是保證沒(méi)有風(fēng)險(xiǎn)，而是要將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。信息平安等級(jí)保護(hù)的關(guān)鍵所在正是基于信息系統(tǒng)所承載應(yīng)用的重要性，以及該應(yīng)用損毀后帶來(lái)的影響程度來(lái)判斷風(fēng)險(xiǎn)是否控制在可接受的范圍內(nèi)。等級(jí)保護(hù)制度的作用提出信息平安保障工作的思路劃定信息系統(tǒng)平安保護(hù)的基線發(fā)現(xiàn)信息系統(tǒng)存在的問(wèn)題和差距明確關(guān)鍵根底設(shè)施保護(hù)的方向提升關(guān)鍵信息根底設(shè)施平安保護(hù)能力摘要什么是等級(jí)保護(hù)制度等級(jí)保護(hù)制度要干什么如何開展等級(jí)保護(hù)工作原那么誰(shuí)擁有誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)自主定級(jí)、自主保護(hù)、監(jiān)督指導(dǎo)主要流程一是：定級(jí)。二是：備案。三是：建設(shè)、整改。四是：等級(jí)測(cè)評(píng)。五是：監(jiān)督檢查環(huán)節(jié)間的關(guān)系定級(jí)備案是等級(jí)保護(hù)的首要環(huán)節(jié)分等級(jí)保護(hù)監(jiān)管是等級(jí)保護(hù)的核心建設(shè)整改是等級(jí)保護(hù)工作落實(shí)的關(guān)鍵等級(jí)測(cè)評(píng)是評(píng)價(jià)平安保護(hù)狀況的方法監(jiān)督檢查是保護(hù)能力不斷提高的保障32新能源平安等保建設(shè)過(guò)程一：定級(jí)。-已于2011年8月份完成。-內(nèi)容包括總部的OA系統(tǒng)及生產(chǎn)運(yùn)營(yíng)監(jiān)控系統(tǒng)。皆定為二級(jí)。

33新能源平安等保建設(shè)過(guò)程二：備案。-已于2011年10月份在深圳市公安局備案。三是：建設(shè)、整改。-電力控股與2012年9月份開始請(qǐng)專業(yè)公司對(duì)整個(gè)控股信息系統(tǒng)情況進(jìn)行了風(fēng)險(xiǎn)評(píng)估，最終于今年1月份完成方案設(shè)計(jì)并通過(guò)專家評(píng)審。-電力控股方案下月招標(biāo)，進(jìn)行系統(tǒng)整改。34風(fēng)電場(chǎng)網(wǎng)絡(luò)現(xiàn)狀存在問(wèn)題三大問(wèn)題：生產(chǎn)控制大區(qū)與管理信息大區(qū)之間沒(méi)有物理隔離風(fēng)電場(chǎng)與總部的數(shù)據(jù)通訊直接經(jīng)過(guò)公網(wǎng)，未經(jīng)過(guò)平安保護(hù)。關(guān)鍵設(shè)備皆為單臺(tái)，可靠性不高。351〕生產(chǎn)控制大區(qū)控制區(qū)〔平安區(qū)I〕控制區(qū)〔平安區(qū)I〕的典型特征：電力的最重要環(huán)節(jié)，直接實(shí)現(xiàn)對(duì)電力一次系統(tǒng)的實(shí)時(shí)控制縱向，以及使用電力調(diào)度實(shí)時(shí)子網(wǎng)或者專用通道。業(yè)務(wù)主要包括：風(fēng)電場(chǎng)變電站監(jiān)控系統(tǒng)、風(fēng)電場(chǎng)風(fēng)機(jī)監(jiān)控系統(tǒng)、PMU系統(tǒng)、能量管理系統(tǒng)、AGC系統(tǒng)。數(shù)據(jù)傳輸實(shí)時(shí)性為毫秒級(jí)或秒級(jí)，數(shù)據(jù)通信使用電力調(diào)度網(wǎng)的實(shí)時(shí)子網(wǎng)或?qū)Ｓ猛ǖ纻鬏?。非控制區(qū)〔平安區(qū)II〕非控制區(qū)〔平安區(qū)II〕的典型特征：是電力生產(chǎn)必要環(huán)節(jié)，在線運(yùn)行不能控制，與控制區(qū)的業(yè)務(wù)系統(tǒng)或者功能模塊有著緊密聯(lián)系。業(yè)務(wù)包括：電能質(zhì)量檢測(cè)系統(tǒng)、電能質(zhì)量采集系統(tǒng)、風(fēng)電場(chǎng)風(fēng)功率預(yù)測(cè)系統(tǒng)。其數(shù)據(jù)的傳輸實(shí)時(shí)性為分鐘級(jí)或小時(shí)級(jí)，其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實(shí)時(shí)子網(wǎng)。36372〕管理信息大區(qū)〔平安區(qū)III與平安區(qū)IV〕管理信息大區(qū)指生產(chǎn)控制大區(qū)以外的電力企業(yè)管理業(yè)務(wù)的集合。公司可根據(jù)具體情況劃分平安區(qū)，但不應(yīng)影響生產(chǎn)控制大區(qū)的平安。屬于平安區(qū)III的包括：總部數(shù)字化風(fēng)電場(chǎng)運(yùn)營(yíng)管理系統(tǒng)、總部風(fēng)功率預(yù)測(cè)系統(tǒng)、風(fēng)場(chǎng)測(cè)風(fēng)塔數(shù)據(jù)、氣象天氣預(yù)報(bào)數(shù)據(jù)；屬于平安區(qū)IV是指?jìng)鹘y(tǒng)意義上的MIS系統(tǒng)〔如OA、EAM、基建管理系統(tǒng)等〕。要求：正向物理隔離裝置：用于生產(chǎn)控制大區(qū)到管理信息大區(qū)單向數(shù)據(jù)傳輸，即I/II區(qū)數(shù)據(jù)到III/IV區(qū)必備的隔離裝置。反向物理隔離裝置：用于管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，即III/IV區(qū)數(shù)據(jù)到I/II區(qū)必備的隔離裝置。硬件防火墻：大區(qū)內(nèi)部的平安區(qū)之間以及與互聯(lián)網(wǎng)之間所采用的隔離方式，實(shí)現(xiàn)邏輯隔離。縱向加密認(rèn)證裝置：用于調(diào)度中心，電廠，變電站在生產(chǎn)控制大區(qū)縱向連接交互數(shù)據(jù)，即I區(qū)和I區(qū)交互數(shù)據(jù)必備加密認(rèn)證裝置。383940如下圖，新能源的信息平安及二次防護(hù)系統(tǒng)有如下幾個(gè)特點(diǎn)：高平安性新能源總部的生產(chǎn)網(wǎng)、辦公網(wǎng)以及分公司的辦公網(wǎng)、風(fēng)電場(chǎng)的辦公網(wǎng)、風(fēng)電場(chǎng)的生產(chǎn)網(wǎng)之間皆通過(guò)防火墻進(jìn)行了邏輯隔離〔風(fēng)電場(chǎng)的生產(chǎn)網(wǎng)對(duì)外還進(jìn)行物理隔離〕，只允許特定內(nèi)容的訪問(wèn)。辦公網(wǎng)與互聯(lián)網(wǎng)之間通過(guò)防火墻進(jìn)行平安隔離，數(shù)據(jù)訪問(wèn)進(jìn)行嚴(yán)格的控制，特別是從互聯(lián)網(wǎng)到辦公網(wǎng)的訪問(wèn)，只開放特定端口，其余全部禁止掉。生產(chǎn)網(wǎng)原那么上不允許直接與互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)交互?？偛康木W(wǎng)絡(luò)與分公司及風(fēng)電場(chǎng)網(wǎng)絡(luò)之間建立專線，總部與分公司、風(fēng)電場(chǎng)之間的數(shù)據(jù)傳輸以及分公司、風(fēng)電場(chǎng)訪問(wèn)總部業(yè)務(wù)系統(tǒng)和電力控股、集團(tuán)的共性系統(tǒng)皆通過(guò)專線通道，保證數(shù)據(jù)在公網(wǎng)上傳輸?shù)谋Ｃ苄约巴暾?。移?dòng)辦公的用戶不能直接通過(guò)公網(wǎng)訪問(wèn)總部的業(yè)務(wù)系統(tǒng)以及電力控股、集團(tuán)的共性系統(tǒng)，而要通過(guò)SSLVPN的方式，保證移動(dòng)用戶訪問(wèn)業(yè)務(wù)系統(tǒng)的平安性。風(fēng)電場(chǎng)的生產(chǎn)網(wǎng)通過(guò)物理隔離裝置、接口機(jī)等與辦公網(wǎng)進(jìn)行平安隔離，最大限度地保障生產(chǎn)網(wǎng)的平安。生產(chǎn)網(wǎng)的數(shù)據(jù)可以根據(jù)需要單向地傳輸。2.