發(fā)電廠電力信息安全綜合防護(hù)探討

工業(yè)控制系統(tǒng)的所有數(shù)據(jù)傳輸必須使用安全U盤進(jìn)行，該U盤在部署區(qū)外未經(jīng)授權(quán)的工作站上無法使用，可以有效避免不同安全區(qū)域混用。安全U盤可提供多個分區(qū)，如圖1所示。除引導(dǎo)區(qū)外，其余分區(qū)均不為操作系統(tǒng)所見。其中：

引導(dǎo)區(qū)：加載安全資源管理器，該區(qū)設(shè)置為只讀，防止病毒或木馬感染。

保密區(qū)：該區(qū)數(shù)據(jù)進(jìn)行高強(qiáng)度加密存儲，只提供數(shù)據(jù)存放功能。對于保密區(qū)的數(shù)據(jù)，采用了專用的文件系統(tǒng)設(shè)計，Windows系統(tǒng)即使能夠訪問到該區(qū)，也不能識別出文件的格式。通過這種軟硬件結(jié)合的設(shè)計方式，達(dá)到了防止目前流行的木馬病毒的攻擊，可以有效保護(hù)數(shù)據(jù)傳輸安全。

日志區(qū)：采用Append-Only文件系統(tǒng)，對所有訪問本設(shè)備的操作形成日志。

圖1 安全U盤存儲區(qū)構(gòu)造圖

（五）恢復(fù)傳統(tǒng)模擬屏功能，提供設(shè)備狀態(tài)對比

由于計算機(jī)技術(shù)的進(jìn)步，很多電廠取消了模擬顯示屏，而伊朗Stuxnet病毒襲擊案例告訴我們，使用多種監(jiān)視手段是很有必要的，可以及時發(fā)現(xiàn)計算機(jī)監(jiān)控系統(tǒng)中毒后病毒的偽造數(shù)據(jù)上送行為。因此建議有條件電廠恢復(fù)采用獨立變送器的模擬顯示屏。

（六）開展網(wǎng)絡(luò)安全聯(lián)合檢查

由于目前電力行業(yè)內(nèi)暫無工業(yè)控制系統(tǒng)安全防御的團(tuán)隊，因此建議由上級部門牽頭聯(lián)合公安部網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)對電力系統(tǒng)內(nèi)各廠站進(jìn)行網(wǎng)絡(luò)安全聯(lián)合檢查，查找安全防御漏洞，培養(yǎng)電力行業(yè)網(wǎng)絡(luò)安全防護(hù)專業(yè)隊伍，并制定類似NERC CIPs的網(wǎng)絡(luò)安全防御標(biāo)準(zhǔn)。

六、結(jié)語

Stuxnet對工業(yè)控制系統(tǒng)的成功攻擊標(biāo)志著計算機(jī)安全技術(shù)進(jìn)入了“基礎(chǔ)設(shè)施防御時代”。它對電力系統(tǒng)目前采用的生產(chǎn)控制系統(tǒng)管理與網(wǎng)絡(luò)安全管理獨立分離的管理模式提出了挑戰(zhàn)，對此我們必須從整合資源、服從規(guī)范、強(qiáng)化管理三個方面狠下功夫，三管齊下，提高全員的信息安全防護(hù)意識，打造工業(yè)控制系統(tǒng)網(wǎng)絡(luò)防御金盾，為電力系統(tǒng)安全生產(chǎn)保駕護(hù)航。