智能電網(wǎng)與網(wǎng)絡(luò)安保（一）

一、安保

        安保程序提供了對人員生命和財產(chǎn)的安全和保護。執(zhí)行發(fā)電、輸電和配電系統(tǒng)的責(zé)任范圍要超出原來，擴展至數(shù)據(jù)中心。入侵者可能有意或無意造成某條線路使能，危及生命。同樣，一條線路可能失能，也會造成傳輸和控制系統(tǒng)的損壞，危及雇員和公眾的安全。

        使用多種新信息通信技術(shù)使網(wǎng)絡(luò)的安保問題更為復(fù)雜，網(wǎng)絡(luò)漏洞可以用網(wǎng)絡(luò)通信的安保評估檢測發(fā)現(xiàn)。很多組織已經(jīng)針對網(wǎng)絡(luò)安保進行了多年研究，總結(jié)出了分析報告和應(yīng)用指南。特別是北美電氣可靠性公司（NERC）發(fā)布了關(guān)鍵基礎(chǔ)架構(gòu)保護（CIP）可靠性標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）牽頭成立了網(wǎng)絡(luò)安保工作組（WG）。
        物理安保也需要得到關(guān)注。至少在四個方面：1)環(huán)境設(shè)計，2)機械和電子訪問控制，3) 侵入檢測，4)視頻監(jiān)視。物理安保不在這個指南過多涉及。數(shù)據(jù)私密和網(wǎng)格安保涉及到現(xiàn)存于所有三種智能電網(wǎng)基礎(chǔ)架構(gòu)的遠(yuǎn)景中，這在相關(guān)的電力、通信和信息網(wǎng)絡(luò)中討論。
        商業(yè)驅(qū)動正在趨向自動決策，取代人工判斷，所以ICT基礎(chǔ)架構(gòu)越來越影響電力系統(tǒng)結(jié)果的可靠性。新型智能電網(wǎng)的多種特性使電力系統(tǒng)非常依賴ICT基礎(chǔ)架構(gòu)，需要各種連接相互依附與適應(yīng)，實現(xiàn)不同功能和應(yīng)用的集成。
        ICT的這種進化也暴露出電網(wǎng)運行和商業(yè)程序的弱點，可能會遭受攻擊以及操作失誤、設(shè)備失效和自然災(zāi)害等負(fù)面影響。做為要求，電網(wǎng)應(yīng)該具有深度的彈性，抵御諸如安保和安全事故發(fā)生，并且具有積極預(yù)防、及時檢測和快速恢復(fù)的能力。
        電力系統(tǒng)具有獨特的績效和可靠性需求。通常，在老式和分散的現(xiàn)場設(shè)備中，只有有限的計算、存儲和通信能力，安保功能僅在商業(yè)應(yīng)用中部署，在電力系統(tǒng)中使用的不夠充分。很多老式電子設(shè)備（LED），采用慢速的串行連接，而且在控制系統(tǒng)的通信協(xié)議中，如SCADA常用的Modbus協(xié)議或分布網(wǎng)絡(luò)協(xié)議（DNP3）缺少安保功能，也沒有部署傳統(tǒng)的ICT安保。
        安保是一種端到端的要求。它要確保重要基礎(chǔ)設(shè)施和關(guān)鍵資源的驗證訪問控制，授權(quán)訪問保密的市場和用戶數(shù)據(jù)，可靠與及時地得到設(shè)備狀態(tài)通知，可靠的關(guān)鍵系統(tǒng)備份和審計能力，對至關(guān)重要事件的檢測和重建，按深度的多重安保能力和數(shù)據(jù)跨網(wǎng)的一致性互操作。 
        做為結(jié)果，電力基礎(chǔ)架構(gòu)正在把原來的電力互連系統(tǒng)轉(zhuǎn)變?yōu)閺?fù)雜的、有多樣性、相互連接、相互獨立又相互適配的系統(tǒng)。如NERC CIP法規(guī)要求和來自其他工業(yè)與標(biāo)準(zhǔn)組織的應(yīng)用指南，鼓勵對這種復(fù)雜系統(tǒng)實施安保，針對老式的基礎(chǔ)架構(gòu)進行設(shè)計、測試、部署和運行。
        安保和保護具有在運行和商業(yè)系統(tǒng)兩個方面的要求。特別能夠區(qū)分攻擊和錯誤類型，不同的性能指標(biāo)和組織策略具有不同的安保要求。最小的基礎(chǔ)架構(gòu)應(yīng)具有動態(tài)部署、信任虛擬安保、侵入保護系統(tǒng)和非常規(guī)保護系統(tǒng)。已有自上而下和自下而上的智能電網(wǎng)安保分析方法。NIST和其他組織正使用這些方法評估用于智能電網(wǎng)的安保技術(shù)，像訪問控制、驗證和加密等。

二、安保分類

        聯(lián)邦信息處理標(biāo)準(zhǔn)199（FIP）的使用起著一個重要作用，在沒有人員和資產(chǎn)的危險時，要確保系統(tǒng)的可用性。使用基于危險的分析方法，按生命周期對系統(tǒng)進行評估是一個起點。安保的等級取決于組織的需求。
        對通信系統(tǒng)或系統(tǒng)本身的不同數(shù)據(jù)流，需要指定一個安保類別，由一個鏈接或特定系統(tǒng)的影響等級組成。這通常與使用的區(qū)域劃分相關(guān)。安保類別按三類安保對象：機密性、完整性和可用性的影響分成了三個等級，低（L）、中（M）或高（H）表示了對安保對象在組織運行、組織資產(chǎn)或個人影響的大小，有了一個對安保對象區(qū)域（比如每個安保對象區(qū)域，影響等級可能是L、M或H）劃分的概念。安保類別的指定可以按表中內(nèi)容進行初評，由組織按用例、已有架構(gòu)或需要認(rèn)證來確定，或者按關(guān)鍵架構(gòu)的保護來識別。（見表）

[DividePage:NextPage]

    表－對安保對象可能影響定義

三、安保的原則與智能電網(wǎng)的實踐

        安保管理包括危險管理、信息安保計劃和策略、程序、標(biāo)準(zhǔn)、指南、基線、信息分類、安保組織和安保培訓(xùn)。這些元素構(gòu)成了一個組織安保項目的基礎(chǔ)。安保項目的目的是保護人員和資產(chǎn)。資產(chǎn)可以是有形的（計算機、設(shè)備、設(shè)施、供給），也可以是無形的（聲譽、數(shù)據(jù)、知識產(chǎn)權(quán)）。
        設(shè)計和實施智能電網(wǎng)的安保項目，應(yīng)采用一種系統(tǒng)方法，滿足商業(yè)需求并保護組織及應(yīng)用。每個組織應(yīng)該建立自己的網(wǎng)絡(luò)安保策略，并把它做為實施整體安保項目的一部分。
        開發(fā)安保項目的應(yīng)用指南已經(jīng)由ISO 17799提出，這是最通用的國際標(biāo)準(zhǔn)，源自英國的BS 7799標(biāo)準(zhǔn)。新的系列標(biāo)準(zhǔn)：ISO/IEC 27000安保系列標(biāo)準(zhǔn)，已做為參考標(biāo)準(zhǔn)加入到NIST智能電網(wǎng)網(wǎng)絡(luò)安保策略和要求文件之中。ISO/IEC 27000包含了信息安保標(biāo)準(zhǔn)，由國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會（IEC）共同頒布。

        下面是ISO/IEC的安保系列標(biāo)準(zhǔn)，可以用于實施安保藍(lán)圖中的項目：
        ?  ISO/IEC 27000 — 信息安保管理系統(tǒng) — 概述和詞匯；
        ?  ISO/IEC 27001 — 信息安保管理系統(tǒng) — 要求；
        ?  ISO/IEC 27002 — 用于信息安保管理實踐的規(guī)則；
        ?  ISO/IEC 27003 — 信息安保管理系統(tǒng)實施指南；
        ?  ISO/IEC 27004 — 信息安保管理 — 測量；
        ?  ISO/IEC 27005 — 信息安保危險管理；
        ?  ISO/IEC 27006 — 對信息安保管理系統(tǒng)提供審計和認(rèn)證機構(gòu)的要求；
        ?  ISO/IEC 27011 — 基于ISO/IEC 27002電信組織的信息安保管理指南；
        ?  ISO/IEC 27033-1 – 網(wǎng)絡(luò)安保概述和概念。
        關(guān)于ISO/IEC 27000系列標(biāo)準(zhǔn)和正在開發(fā)新標(biāo)準(zhǔn)的更多信息可以在ISO/IEC網(wǎng)站查詢： ()。
        在圖1的藍(lán)圖中（來自ISO/IEC 17799）展示了安保方案、程序和組件，組織可以把它用于評估安保流程是否完整，是否滿足商業(yè)要求。藍(lán)圖可以按用戶要求進行定制，滿足組織提出的要求。比如，如果某組織不用身份管理，就不需要這方面的安保項目。

[DividePage:NextPage]

圖1 — 映射安保和商業(yè)要求的藍(lán)圖

四、安保流程

        實施完整的智能電網(wǎng)、信息安保需要獨特的安保流程。
        信息安保由防止非授權(quán)使用、誤用、更改或拒用數(shù)據(jù)等方法組成。關(guān)鍵的信息安保程序見圖2，包括：
        1. 危險評估。使用評估決定組織信息資產(chǎn)的價值，信息披露的危險，可能出現(xiàn)的漏洞和整個危險對組織的重要性。按照危險管理的方法完成評估。
        2. 策略與規(guī)劃。策略定義了怎樣實施安保。策略定義了適當(dāng)?shù)臋C制保護信息和系統(tǒng)，以及物理安保。包括的方面諸如：技術(shù)類型、最佳實踐、預(yù)防測量、人員素質(zhì)、事故響應(yīng)、行政管理等。
        3. 實施和部署。組織實施要有相應(yīng)的獎懲措施，保證安保策略、標(biāo)準(zhǔn)和測量產(chǎn)生實效。
        4. 培訓(xùn)?；局R培訓(xùn)應(yīng)成為一種常規(guī)機制，為雇員提供必要的安保知識。
        5. 審計。這個功能確?？刂剖前床呗哉_地配置與執(zhí)行，并且這個過程能夠監(jiān)視。隨著審計過程的完成，新一輪的評估過程又將開始，周而復(fù)始地不斷優(yōu)化。

圖2—  安保流程的連續(xù)周期

[DividePage:NextPage]

五、安保工程

        針對安保工程的需要，特別是智能電網(wǎng)的要求。安保工程要求考慮下面每個任務(wù)的安保：
        a) 用戶要求定義了系統(tǒng)期望的任務(wù)目的、環(huán)境、約束和測量有效性和適應(yīng)性。需要回答的問題包括：
        1) 操作的分配和部署：系統(tǒng)在哪兒使用？
        2) 任務(wù)的內(nèi)容和情節(jié)：系統(tǒng)怎樣完成任務(wù)的目標(biāo)？
        3) 系統(tǒng)績效和KPI：哪些是系統(tǒng)完成任務(wù)的關(guān)鍵參數(shù)？
        4) 利用環(huán)境：怎樣使用不同的系統(tǒng)組件？
        5) 有效性要求：系統(tǒng)執(zhí)行任務(wù)的有效性或效率是多少？
        6) 運行生命周期：用戶使用系統(tǒng)的年限是多少？
        7) 環(huán)境：期望系統(tǒng)有效運行的環(huán)境是什么？
        b) 功能要求描述了什么工作必須做，按照需要完成的任務(wù)、行動或行為來鑒別。
        c) 非功能要求描述了諸如可伸縮、互操作、性能等，使用特定的標(biāo)準(zhǔn)而不是用行為來判斷功能的執(zhí)行。
        d) 績效要求描述了必須執(zhí)行任務(wù)的效果；需要測量的內(nèi)容有數(shù)量、質(zhì)量、覆蓋、時間線或準(zhǔn)備情況。在該要求分析期間，績效要與所有基于系統(tǒng)生命周期的相關(guān)功能交互；根據(jù)評估結(jié)果決定確定性等級，根據(jù)成功與否決定危險性等級，以及與其他要求的關(guān)系。
        e) 設(shè)計要求描述了構(gòu)建、使用和購買產(chǎn)品的要求，以及如何執(zhí)行在技術(shù)手冊中表述的過程。
        f) 派生要求描述了由高級用戶擴展或轉(zhuǎn)換的要求。
        g) 分配要求描述了如何把一個高級要求分解成多個低級要求。
        h) 安保要求描述了信息技術(shù)系統(tǒng)和工業(yè)控制系統(tǒng)需要：
        1) 防止服務(wù)和生產(chǎn)的中斷；
        2) 防止非授權(quán)對系統(tǒng)和信息的更改；
        3) 防止非授權(quán)對系統(tǒng)和信息的披露。

        在電力系統(tǒng)的特定情況下，擴展的安保要求包括下面服務(wù)：
        - 預(yù)防、遏制和恢復(fù)服務(wù)；
        - 串級事件發(fā)展；
        - 由不恰當(dāng)?shù)谋镜匦袨榧又亓藬_動/噪音；
        - 調(diào)整應(yīng)答；
        - 近于實時、瞬間響應(yīng)；
                - 不規(guī)則檢測和通知服務(wù)； 
                - 恢復(fù)和返回服務(wù)；
                - 事件收集和跟蹤服務(wù)。
        安保目的通常針對信息安保的屬性：
        - 機密性；
        - 整體性；
        - 可用性。
        安保要求分為下面部分：
        -  功能要求有：
               - 決定邏輯和物理數(shù)據(jù)結(jié)構(gòu)；
               - 定義用戶角色；
               - 決定訪問需要；
               - 對數(shù)據(jù)訪問映射用戶；
               - 定義數(shù)據(jù)訪問標(biāo)準(zhǔn)；
               - 確定數(shù)據(jù)所有者；
               - 確定安保策略；
               - 定義用于特殊商業(yè)方案（如門戶、控制、市場等）的安保要求。
        - 保證要求有：
               - 決定關(guān)注（數(shù)據(jù)保護等級）的等級；
               - 決定數(shù)據(jù)的安保概率；
               - 決定安保數(shù)據(jù)對商業(yè)的影響。

        因此，用于智能電網(wǎng)系統(tǒng)的安保工程要保證在各種威脅的面前系統(tǒng)是可靠的。系統(tǒng)和應(yīng)用對錯誤必須具有彈性。另外，安保工程在二十一世紀(jì)的責(zé)任是確保系統(tǒng)在不斷進化和面對各種威脅時能夠保護系統(tǒng)。

（轉(zhuǎn)載）