电力关键信息基础设施安全保护分析

王彬筌，蒋亚坤，张仕鹏，李晓耕，韩校，孙浩

（1. 云南电力调度控制中心，昆明 650051；2. 中国能源建设集团广东省电力设计研究院有限公司，广东 广州 510663；3. 华南理工大学电力学院，广东 广州 510641）

0 前言

近年来，网络安全形势日益严峻[1-2]。在此背景下国家制定颁布了《中华人民共和国网络安全法》，提出了网络强国战略，明确了网络治理、网络安全、核心技术等方面的要求。并提出对重要行业和领域的关键信息基础设施（CII）实行重点保护。国家互联网信息办公室发布了关于《关键信息基础设施安全保护条例》公开征求意见的通知[3]，对如何开展关键基础设施安全保护工作提出了具体要求。

当前电力行业面临日益严峻的网络安全形势，网络安全攻击事件时有发生，如伊朗核设施的震网病毒攻击事件[4-5]、能源企业的Shamoon攻击事件等。在此背景下国内相关管理和研究机构、学者和企业，开展了网络安全防控技术和管理体系的研究[6-8]，提出了技术规范或标准以及网络安全管理体系建设的要求。

1 电力行业CII保护的意义

1.1 CII与CI的关系

关键信息基础设施（Critical Information Infrastructure，简称CII）与关键基础设施（Critical Infrastructure，简称CI）即有紧密的联系又有明显的区别。关键基础设施（CI）主要是指一旦遭受损坏将严重影响国家安全、国民经济发展和公众健康的一系列物理或虚拟的系统和固定资产[9-12]。当前，关键信息基础设施（CII）的定义，较为普遍认可的主要指在发生网络安全事故后，会影响重要行业正常运行，对国家相应的行业或领域，以及人民生命财产造成严重损失的重要行业或企业的信息系统或工业控制系统[13-14]，其严重危害性特征显著。

从两者之间的定义来看，关键信息基础设施（CII）是关键基础设施（CI）中的一部分，其作用是支撑和保证关键基础设施（CI）对应关键业务的持续稳定运行，从而确保关键基础设施（CI）的安全。前者保护的重点是信息系统或工业控制系统及其网络安全，其在技术措施上明显有别于关键基础设施（CI）的保护，与信息和网络技术的发展密切相关，并在安全防护措施上与之同步发展，是持续改进和不断补充的过程。

1.2 CII保护与等级保护关系

网络安全法明确了对于关键信息基础设施的保护是在网络安全等级保护制度的基础上，实行重点保护；网络安全等级保护2.0标准中也强调了重要信息系统的优先保护原则，使得等级保护和CII保护能够有机衔接起来。在网络安全等级保护2.0标准实施后，网络安全等级保护是CII保护的基础，而CII保护则是网络安全等级保护的重点内容。狭义上理解两者均是针对信息系统或工业控制系统[15]，前者强调保护支撑关键业务的信息或工业系统的保护，其技术措施和管理要求均高于等级保护，更能凸显国家网络安全战略；关键信息基础设施（CII）范围内的对象受到安全威胁后，会影响重点行业关键业务正常运行，同时给关联领域甚至国家安全造成严重损失。等级保护针对我国境内所有的信息系统进行保护，其中安全定级较高的信息系统与关键信息基础设施保护要求基本一致。

以电力行业为例，不同的电网或发电企业在工业化和信息化过程中，针对不同的具体业务建设了不同的电力监控系统和管理信息系统。在未实施关键信息基础设施保护前，均统一按照等级保护要求进行安全防护建设和管理，对支撑关键业务的电力监控系统或信息系统的安全防护技术监督、人力资源配置和资金支持等方面的投入未重点倾斜。

1.3 电力CII保护的意义

电能是当前主要的能源之一，不仅关系到国家能源安全、环境安全，还关系各行各业的健康发展和民生建设，其安全稳定供应是国家安全战略的重要内容之一。

保障电能的安全稳定供应，不仅需要对电力系统一次设备等资产进行保护，更需要对支撑电力行业关键业务运行的信息系统和电力监控系统及承担这些系统运行所需的软硬件设备和通信网络设施进行安全保护，即对电力CII进行重点保护，因为电力CII运行在通信网络环境中，其安全形势更为严峻和复杂，面临的安全威胁更多。这些系统要么关系到电力系统的安全稳定运行，要么系统内的数据不允许泄露，一旦外泄会给国家安全造成严重损失。因此，加强对电力CII的保护，是确保国家能源安全的重要举措。

2 信息基础设施认定与识别

关键信息基础设施的认定与识别是开展关键信息基础设施保护的基础。在充分认识电力CII保护意义的基础上，只有通过全面梳理电力业务和信息系统现状，明确电力关键业务，根据电力系统特点细化认定标准，才能更全面和准确地认定和识别出电力关键信息基础设施。本章节主要对上述内容中的关键点进行阐述，提出相应的方法和策略，以及重点关注内容。

2.1 电力行业信息基础设施现状

电力工业化和信息化的发展，促进了电力系统中发、输、配、用等环节的业务管理水平的极大提高，促进了供电可靠性的显著提升。在这一过程中，各电力企业研究和建设了各类管理信息系统和电力监控系统[16-17]，主要有电网运行控制系统、电网运行管理系统、营销管理系统、电力交易系统、电力调度数据网、电网综合数据网、变电站监控系统、发电厂计算机控制系统、发电厂管理信息系统、电能量自动化计量系统、资产管理系统、人力资源管理系统、办公自动化系统、水调自动化系统、图纸管理系统等。

上述系统分别用于支撑电力行业中各企业不同的业务，如电网运行控制、辅助管理、用电量及电费核算等。根据系统所支撑业务不同，有的系统直接关系到电网安全稳定运行和电力市场秩序；有的仅仅是使业务失去信息化支撑，对电网运行和电力市场秩序不造成大的影响。上述系统中部分系统实现了跨企业的网络互联，主要是电网运行控制系统通过电力调度数据网或专线通道连接到发电厂、变电站的现场控制设备。

2.2 电力CII的认定识别方法

虽然国家颁发的CII相关法律和确定指南，对其认定和识别作出了总体的规定，但针对不同行业的细则却不够清晰，需要各行业根据本行业的具体情况，进行差别化处理，明确适用于本行业的具体细则。在电力行业的实践中，需要根据电力行业的业务特点进行细化，才能对上述相关规定严格落实。例如对于电力关键业务的划分，需要结合电力系统的组成环节进行认识和理解，才能做到有的放矢。同时电力CII的界定也需要与当前各电力企业事故事件管理内容相结合。

在云南省电力行业关键信息基础设施安全保护试点示范工作中，对CII认定与识别进行了细化，提出了如图1所示的电力行业CII认定识别步骤及内容，并在云南电力行业相关重点企业内进行实践，该方法能够快速识别出企业内的电力CII，识别和认定较为简单、易操作。

图1 电力CII认定识别步骤及内容

2.2.1 确定关键业务

电力关键业务的确定是开展电力关键信息基础设施认定和保护的基础。只有确定了电力关键业务，才能从众多的信息系统或控制系统中筛选出需要进行重点保护的部分。电力业务覆盖电力系统发、输、配、用等各环节，关键业务的确定应当以保证电力系统安全稳定运行和电力市场有序运转为目标，为满足该目标而不能缺失的业务可认为是电力关键业务，主要包括电力生产、传输和配送等，涉及到支撑电网运行监控、电力市场交易、电能计量结算、厂站计算机控制等系统。

利用弹丸超高速撞击薄板产生碎片云这一现象，1947年，美国学者Whipple提出了被称为Whipple结构的空间碎片防护结构，如图8所示[4]。迄今，基于Whipple防护结构，研究人员先后提出了各种增强型防护结构，如多层冲击防护结构[5-6]、铝网多层防护结构[7-8]、蜂窝夹层板防护结构[9]、填充Whipple防护结构[10]和泡沫铝防护结构[11-12]。

电力关键业务影响分析主要从业务本身出发，明确业务中断后对部门或企业运营、电网运行造成的影响，以及进一步对全社会造成的影响。以电网运行监视与控制业务为例，该业务高度依赖于调度自动化系统[18-19]，当系统中断后不能实时掌握电网运行状态并及时对电网事件进行处理，系统也无法根据用电负荷变化及时调整电厂出力以确保电力平衡，从而给电网安全稳定运行造成严重威胁。

2.2.2 确定业务数据

业务数据已成为企业的重要资产之一，尤其是核心数据更是关系到企业的发展战略、经营情况。电力产业是国家的支柱性产业，通过对电力数据尤其是用电量信息的分析能够直接反应出国家的整体经济情况和产业分布。因此，在确定关键业务后，应当从数据敏感性、完整性、安全性、一致性等方面，分析关键业务生成的数据哪些应当进行重点保护。通过信息安全的保护实践和电力监控系统安全防护实践，从电力系统安全、电力市场、生产调度等维度划分出关键的业务数据，如电网实时监控数据、电力交易数据、用电量数据、电网地理信息、调度控制指令等。

2.2.3 确定电力CII

在上述实践中考虑了业务系统对经济社会运行的重要程度，以及该业务系统一旦遭到破坏、丧失功能或者数据泄露后产生的危害和影响，将电压等级和发电机装机容量作为确定电力关键信息基础设施的关键认定指标，主要将省、地级电网运行控制系统稳态监视与控制功能（即调度自动化系统）、省级电力调度数据网、省级营销管理系统、省级电力交易系统、总装机容量1000 MW或单机装机容量300 MW及以上的发电厂或发电集控中心运行监控系统、500 kV及以上变电站计算机监控系统纳入关键信息基础设施范围。这样的考虑一方面便于发电企业和电网企业的相关管理部门实施和执行关键信息基础设施认定识别和保护工作；另一方面满足上述条件的主站业务系统、通信系统及发电厂、变电站监控系统在电力系统中占据重要地位，是保障区域电网运行的重要基础。

2.2.4 确定CII边界

信息化高度发展和数字化的全面建设，使得系统与系统之间的交互更为紧密。在不对系统边界加以识别的前提下，将难以做到CII的重点、优先保护。在电力CII保护中，主要是对其中关键业务范围内的信息系统进行保护，为此以确定后的关键业务及业务数据划分的基础上，通过关键业务数据来源、流向的分析，对关键业务链进行梳理形成业务链图，来确定业关键业务和数据所使用的网络设施、计算和存储设备，形成最小边界，从而降低电力CII的保护面，支撑关键信息基础设施”重点、优先保护”原则的具体实施，才能更好体现电力CII保护的重要意义。系统具体边界不在本文作进一步阐述。

3 电力CII保护的建议

CII安全保护的组织机构建设和责任落实是开展电力关键信息基础设施保护的根本保障，也是国家相关法律和CII保护的基本要求。只有在统一CII组织机构领导下，才能将CII保护落实到日常工作中并形成常态化。

3.1 电力CII安全管理能力建设

CII管理能力建设是一个持续性过程，需要适应网络安全技术和安全威胁的发展与演变，不断完善管理手段和职责。在电力CII的安全管理能力建设中，各企业可根据现有安全管理组织机构和关键信息基础设施在企业中分布情况，建立分级管理机制，分别在集团公司和分子公司建立以企业主要负责人为负责人的CII安全管理专门机构，并在关键信息基础设施运营部门落实专岗专职，统一对企业内的关键信息基础设施网络安全进行管理。

3.2 电力CII安全防御体系建设

电力行业中电网运行及市场运营业务较为特殊，覆盖了电力系统中发、输、配、用等各个环节，除了跨区域、跨不同业务部门外，还具备跨企业特点。这里所说的跨企业主要是指电力调度中的电网运行监控、电力交易、计量计费等业务与发电企业及用电企业密切相关。

在电力CII安全防御体系建设中，除了满足“电力监控系统安全防护”和网络安全等级保护外，还需要重点考虑跨区域、跨企业的协同防御体系建设，构筑电力CII保护的“四重防线”，实现对风险的有效管理[20]和防控。技术上满足“安全分区、网络专用、横向隔离、纵向认证、综合防护”；管理上建立起跨区域和跨企业的协同机制，实时相互通报和共享CII网络安全威胁和漏洞信息。电力CII的“四重防线”如下：

第一重防线：电力CII的本体和本质安全，具备安全分级控制、国密算法加密、技术架构安全等能力，通过安装漏洞补丁、主机安全加固、禁用易受攻击端口、禁用非必要服务、主机防病毒、高强度口令、双因子认证及可信计算等措施予以保证；

第二重防线：电力CII边界安全，包括跨安全区、跨地理位置、跨企业等的边界安全，采用满足国家要求的专用边界安全防护设备、按最小化原则配置安全策略等进行安全控制；

第三重防线：电力CII相关人员安全管理，以从业人员资格认证和安全教育及培训为根本管理措施，区分企业内部和外部人员安全管理，重点加强对外部人员现场工作的管理和内部关键岗位人员的管理；

第四重防线：电力CII网络安全态势感知，通过网络行为跟踪、流量分析、日志分析、安全扫描等技术措施实时监测电力CII的网络安全态势，及时响应和开展应急处置工作。

3.3 电力CII安全攻防演练

攻防演练是检验电力CII安全防御体系是否有效和实用的有效手段，能够检验电力CII安全防御中的技术措施、管理手段和人员安全意识等，并能够在攻防演练中发现并及时解决问题，提高人员安全防范意识和管控处置能力。

近几年来，通过参与实战化的“护网行动”，极大加强了公司上下各级人员的安全防护意识，发现了企业内各信息系统和电力监控系统存在的潜在网络安全问题，并及时完成整改。针对电力CII网络安全的攻防演练需贴近实际，采用社会工程学、网络入侵技术等手段，从物理设施、网络通道、系统防御方面对电力CII的“四重防线”进行检验。

4 结束语

电力关键信息基础设施是保障电力关键基础设施的重要内容之一，保证其安全稳定运行，做到电力关键信息不泄露、关键业务不受网络攻击破坏，是保证电力基础设施持续稳定运行的重要方面。本文在网络安全上升为国家战略、关键信息基础设施保护势在必行的背景下，以云南省电力关键信息基础设施安全保护试点示范工作为契机，提出了电力CII识别认定的方法以及构筑电力CII保护的“四重防线”，这些内容对开展电力CII保护具体实践，提升电力行业的CII保护水平具有重要意义。