电网企业网络和信息安全风险管理研究

电网企业网络和信息安全风险管理研究

杜钰,符士侃,孙博,陶晔波

国网江苏信通公司   江苏 南京  210024

摘  要：电网作为国家重要的基础设施，其安全稳定运行对于保障社会经济发展具有决定性作用。随着电网企业信息化的迅猛发展，其对网络和信息系统的依赖日益变大，信息网络安全的重要性也逐渐凸显。对电网企业而言，如何维护网络安全和网络环境中信息系统的安全性问题，会作用到公司的进展和增效。为此，本文基于P2DR2网络安全模型，改变以前网络和信息安全风险管理较为被动的状态，形成主动防御和保护，并具有针对性规划的管理体系。

关键词：电网企业；网络安全；P2DR2

一、国内外研究与发展情况

（一）国内研究情况与最新进展

现阶段电网信息安全成为影响电网企业电力安全生产的一个重要因素，只有加强电网企业网络安全管理，才能实现电网企业电力安全生产。电力网络安全建设关系着区域发展水平，对现代城市改造具有战略性意义。而电力网络运行面临诸多风险隐患，必须从安全角度实施综合改造目标，对网络结构提供多方面的保护措施。国网寇伟总经理在迎峰度夏安全生产电视电话会议上指出“随着通信网络和信息系统在电网运行中的作用越来越凸显，利用网络攻击破坏电网安全的风险与日俱增，网络安全形势严峻”[1]。基于网络安全理念指导下，必须全面落实电网技术创新口标，做好电网建设管理工作。

鉴于电网企业的网络安全需求，提高防范数据安全风险能力、构建完善的数据安全保护体系、完善数据安全治理机制正在变得越来越重要。《数据安全法》的颁布是必不可少的：《中华人民共和国数据安全法》（以下简称《数据安全法》）将于2021年9月1日正式颁布实施，这部基本法用于监督和管理中国的数据安全安。实施该法律的基本目标是改善国家数据安全和数字经济治理。《数据安全法》是对《个人信息法》《密码法》和《网络安全法》的补充，共同构成了我国数据安全的法律保护体系，并且扎实推进我国数字经济的健康可持续发展。《数据安全法》是保护数据安全的系统，是全面的法律标准，它兼顾了发展和安全，并且进一步完善了中国在网络与信息安全领域的法律法规体系，向世界展示了数据安全保护的“中国方案”。《数据安全法》不仅解决了和数据安全保护有关的重要问题，还明确了数据安全与发展之间的关系，并且确定了数据治理的未来方向。

（二）国外研究情况与最新进展

作为信息产业最发达的国家，美国电网企业网络安全的发展之路值得世界各国参考和借鉴，而它也一直是世界各国机构和政府学习和研究的对象。电网企业在网络安全投资方面一向领先于其他企业。美国电力部门十多年来一直致力于通过董事会级决策、GridEx、北美电力可靠性公司关键基础设施保护标准等准备工作来应对网络安全威胁。以及近期白宫与能源部合作制定的100天行动计划，这项行动计划的重点是提高运营技术在ICS网络中的可视性、检测和响应能力。

在全球范围内，网络安全法规或指南有所不同，但许多国家依赖国际电工委员会(IEC)和国际标准化组织(ISO)制定的标准。ISO和IEC联合技术委员会(JTC1)为包括核电和电力设施在内的操作技术(OT)设备制定网络安全标准。欧洲和澳大利亚也制定了类似的框架，分别是网络和信息系统安全指令(NIS-D)和澳大利亚能源部门网络安全框架(AESCSF)。

尽管还没有被强制执行，但对于关键基础设施而言，它们的级别更高，而不是完全与电力有关。遵守网络安全法规和最佳实践，确保维持最低水平的网络安全，从而使电力设施在ICS行业中独树一帜。

二、ISMS信息安全管理体系

近年来，电网企业朝着数字化、智能化发展的趋势愈发明显，各种新业务、新业态不断涌现，给电网安全管理带来了新的挑战。与此同时，新能源的大规模并网使得电网安全生产和管理工作所面临的形势更趋复杂[2]。

信息安全管理体系（Information Security Management System）（简称ISMS）是系统解决信息安全问题的有效途径。ISMS是组织整体管理体系的一个组成部分[3]。在整个组织中，这些策略和方法在特定的地方使用，以确保信息安全。因此，ISO/IEC27001作为国际信息安全管理体系的代表标准，得到了世界各国的广泛认可。对于公司来说，信息安全在实际的管理中更多的是一个风险管理问题，其通常是一系列评估、处理、响应和控制信息安全风险的活动。此外，风险的评估更是实施信息安全管理系统的重要条件，也是PDCA ( Plan, Do, Check, Action)计划阶段最关键的活动。通过风险评估，企业可以全面地了解当下面临的信息安全问题，同时分析和判断问题的严重性及可能带来的影响，明确在信息安全建设方面的实际需求。ISO27001规定，组织选择控制目标和控制风险的所有行为都应基于风险评估中得出的实际需求。

风险管理包括识别、评估风险，并采取必要措施将风险降低到公司可接受的水平，并将其维持在该水平。信息安全管理的重点内容是风险管理。因此，风险管理经常被用来描述信息安全管理。

风险管理过程本质上与信息安全管理过程相似，这也是一个不断迭代的、动态的优化和循环过程。如果在某个风险管理周期结束时，发现新的变化再次引起了新的风险，则有必要重新进入下一个风险管理周期。在风险评估中，脆弱性分析作为主线和鉴别方法，结合ISO27001检查，我们可以得到完整详细的信息，以便更好地控制公司目前面临的风险，提高风险的可控性。通过实施企业风险管理，一方面对于信息安全意识，可以不断改进公司员工的责任和义务，同时，也是推广信息安全管理理念，强化员工安全意识并且整体进行信息安全管理规范化的过程。规范信息安全工作流程，明确企业每一位员工所应该承担的安全责任及义务，从而保证企业信息系统的持续稳定运作。另一方面，风险管理的实施也是建立一个全面、完整的信息安全管理体系的开始，实施标准化的信息安全管理系统可以有效提高信息安全管理水平[4]。多亏了评估和控制风险、安全风险公司的信息系统必须面对随时都可以有效降低,从而减少了安全隐患,减少经济损失和信息系统失灵造成的数据丢失或被盗时,并确保运营的连续性，最大限度地减少公司在信息系统受到蓄意攻击时的损失。

三、基于P2DR2网络安全模型的网络和信息安全风险管理

P2DR2是P2DR的高级模型，P2DR的名字来自于其模型的四个部分，即策略（Policy）、保护（Protection）、检测（Detection）和响应（Response），称为PPDR，也叫P2DR[5]。P2DR模型是ISS提出的动态网络安全体系的代表性模型，应用极为广泛，同时它也是动态安全模型的原始安全模型。该模型主要描述了根据风险管理安全策略需要保护的系统资源，并以适当和必要的方式保护它们。在整个安全模型中，策略是整个模型的核心，模型所有的保护、检测和响应都围绕安全策略实现[6]。针对电网企业，该模型可有效提高其网络安全防护能力，降低系统安全风险。

P——Policy（策略），模型的核心，所有的保护、检测、和干预措施都是按照电网企业安全策略实现。策略体系的实施包括电网企业安全政策的开发、评估与实施等。策略包括：访问控制策略；加密传播策略；身份认证策略；备份恢复策略等等。

P——Protection（保护），通过传统的静态安全技术和方法，用于提升电网企业网络的保护能力，主要包括：访问控制技术（ACL, Firewall）；信息加密技术；身份认证技术（一次性口令，X.509）

D——Detection（检测），利用检测工具，监控、分析和验证电网企业网络活动，了解并且判断出电网企业网络系统整体安全状态。将安全防护从被动防护向主动防御方向转换，体现了整个模型的动态。主要方法包括：实时监控；检测；报警。

R——Response（响应），当检测到电网企业网络系统安全漏洞和安全事件时，通过及时的响应，将网络系统安全调整到风险最小的状态。评估电网企业系统损害和损失，恢复系统功能和数据，启动备份系统等[7]。主要方法包括：关闭服务；跟踪；反击；消除影响。

而P2DR2模型基于P2DR模型，增加了一个R（Recovery）恢复，使得模型系统中动态地发现现存问题，并及时回应发现地问题，按照保护政策保护，然后结合技术与流程的实时管理，形成一个安全系统的自适应动态。此理论最基本原则是，所有网络安全相关的行为和活动，无论是网络攻击行为、安全防护行为、系统检测行为或系统响应行为都需要花费时间，所以可以用时间来衡量电网企业网络安全系统的安全能力和安全性[8]。P2DR2网络安全模型如下图1所示：

图1 P2DR2网络安全模型

在P2DR的理论模型中：当Pt > Dt + Rt时，也就是黑客为了攻击安全目标所花费的时间大于从系统检测到黑客入侵开始到系统做出响应的反应后恢复目标系统为正常状态所需的时间时，那么对于需要保护的系统安全目标，只需检测加上响应所需的时间大于防护时间，那么黑客在侵害被保护的安全目标之前就会被防护系统检测到，并及时采取措施进行处理[9]。假设Pt = 0, 也就是假设对于系统的防护时间为0，那么Et = Dt + Rt，在这种情况下，如果黑客开始攻击后能被系统检测到该行为所花费的时间为Dt，加上系统发现被破坏后，采取相应措施将服务恢复至正常状态所需的时间Rt，如果Rt越小，那么Et（安全目标暴露的时间）也就越小，因此对被保护的安全目标来讲也就越安全。对于P2DR2模型来讲，它是P2DR模型的扩展，其安全目标暴露时间的公式可以表现为：

Et = ( Rest + Rest ) - ( Pt + Dt )                        （1）

其中Rest是整个系统的响应时间，Rest是系统的回复时间。在整个公式中，如果Et < 0，则说明防护系统能够在黑客的攻击行为对系统造成侵害之前检测并响应恢复服务，因此安全目标处于安全状态。反之，如果Et > 0，那么说明系统无法及时对与黑客的攻击行为进行响应和恢复服务，所以系统处于不安全的状态。 通过对于P2DR和P2DR2的模型进行分析可以看到，P2DR2比传统的P2DR模型所具备的要素更加完善，因此防护效果也更好。除了P2DR模型以外，还有更为复杂的IPDRR、PO2PWPDRR、IPDRR和APPDRR等模型，但是相比于那些复杂的安全模型，P2DR2更加容易在电网企业环境中部署和实施，因此更加符合电网企业的实际需求。

三、结语

本文根据现行的网络安全制度，针对电网企业网络信息安全标准化体系构建的需求，开展了电网企业网络和信息安全风险网络模型的研究和实际应用，分析了P2DR2网络安全模型的具体内容和实际应用，初步构建基于P2DR2的网络和信息安全风险网络模型，为电网企业后续开展网络安全体系构建提供了理论基础和支撑。

参考文献

[1]刘华. 信息安全在国家电网的应用[J].科技与企业,2014(14):155.

[2] Cai Z, Dai S, Zhao K. Prospects on Future China Power Grid Dispatching and Control Mode[J]. Northeast Electric Power Technology, 2016.

[3]朱璇. 基于ISO27001的信息安全管理体系的研究和实现[D]. 上海交通大学, 2010.

[4]韩权印, 张玉清, 聂晓伟. 信息安全管理实施要点研究[C]// 全国网络与信息安全技术研讨会,2004论文集. 2004.

[5]王占中. 基于CORBA的入侵检测系统研究[D]. 广西大学, 2004.

[6]平寒. 校园网入侵诱骗系统的研究与实现[D].山东大学,2009.

[7]彭发喜. 大中型企业信息安全体系架构研究[J]. 信息与电脑, 2017(17):2.

[8]盘善海, 裴华. 高安全等级网络安全防护体系研究与设计[J]. 通信技术, 2021, 54(7):6.

[9]刘志. 基于P2DR动态安全模型的SHTERM产品设计与实现[D].北京邮电大学,2008.