風電場信息安全等級保護設計方案和實施情況全面介紹

1、 風電場信息安全等級保護設計方案和實施情況全面介紹當前信息安全形勢外部環(huán)境 各國在大力推進Internet與信息技術應用的同時，抓緊實施國家信息安全保障體系與國防信息安全防御體系。 各國抓緊研究信息安全策略、制訂體系標準、法律法規(guī)，實施安全計劃。外部環(huán)境（美國）2009年1月，美國總統(tǒng)布什簽署第54號國家安全總統(tǒng)令和第23號國土安全總統(tǒng)令，要求美國政府所有與安全有關的部門（包括國土安全部、國家安全局等）都參與實施“國家網絡安全綜合計劃”。這是一項長期的，由多個部門參加并分步驟實施的計劃，其最終目的是保護美國的網絡安全，防止美國遭受敵對的電子攻擊，并能對敵方展開在線攻擊。 外部環(huán)境（美國）美國總

2、統(tǒng)奧巴馬2009年5月提交第44屆總統(tǒng)的保護網絡空間安全評估報告，表明來自網絡空間的威脅已經成為美國面臨的最嚴重的經濟和軍事威脅之一。 奧巴馬還表示：網絡空間以及它帶來的威脅都是真實的，保護網絡基礎設施將是維護美國國家安全的第一要務。 外部環(huán)境（美國）保護網絡空間安全評估報告建議設定一條基本原則，即網絡空間是國家一項關鍵資產，要動用國家的所有力量對其施以保護，以確保國家和公眾 、經濟繁榮以及關鍵服務的順暢提供。 美國必須評估風險并按重要性對各種風險進行等級劃分，制定出保護網絡空間的最低標準，以確保關鍵服務即使在受到攻擊情況下也不會間斷。外部環(huán)境（英國）2009年6月英國出臺首個國家網絡安全戰(zhàn)略

3、政府將成立兩個網絡安全新部門 網絡安全辦公室和網絡安全行動中心計劃征召包括黑客在內的網絡精英護衛(wèi)網絡安全英國已經具備主動發(fā)起網絡攻擊的能力外部環(huán)境（臺灣）臺灣加緊開展信息戰(zhàn)的準備 控制進入大陸的微機板卡、硬盤等。 專門搜集大陸民用網絡（電信、能源、交通、金融及政府等）的結構、路由以及設備情報。 積極研究網絡滲透與病毒植入和激活技術。我們的現(xiàn)狀 近年來，黨中央、國務院高度重視，各有關方面協(xié)調配合、共同努力，我國信息安全保障工作取得了很大進展。但是從總體上看，我國的信息安全保障工作尚處于起步階段，基礎薄弱，水平不高，存在以下突出問題： 存在的問題信息安全滯后于信息化發(fā)展；信息安全阻礙了信息化發(fā)展。

4、存在的問題（續(xù)）雖然大多數(shù)單位采用防火墻作為內外網的邊界防護設備。 重視外部攻擊與入侵，忽視內部非法行為。偏重產品，忽視體系和管理。關鍵技術、產品受制于人。產生問題的原因整體信息安全防范意識和能力薄弱;信息系統(tǒng)安全建設和管理缺乏體系化思想;信息安全法律法規(guī)不完善，標準體系尚待完善； 自主技術產品缺乏，信息技術產業(yè)未完全形成。 當前的要求與原則總體要求:堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保護基礎網絡和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網絡環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。主要原則：立足國情，以我為主，堅持管理與技術并重；正確處理安全與發(fā)展的關系，以安

5、全促發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎性工作；明確國家、企業(yè)、個人的責任和義務，充分發(fā)揮各方面的積極性，共同構筑國家信息安全保障體系。當前的九項任務全面實行信息安全等級保護制度加強以密碼技術為基礎的信息保護和網絡信任體系建設建設和完善信息安全監(jiān)控體系重視信息安全應急處理工作加強信息安全技術研究開發(fā)，推進信息安全產業(yè)發(fā)展加強信息安全法制建設標準化建設加快信息安全人才培養(yǎng)，增強全民信息安全意識保證信息安全資金加強對信息安全保障工作的領導，建立健全信息安全管理責任制摘要什么是等級保護制度等級保護制度要干什么如何開展等級保護工作等級保護制度根據(jù)信息系統(tǒng)在國家安全、經濟建設、社會生活中的

6、重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度；將信息系統(tǒng)劃分為不同的安全保護等級并對其實施不同的保護和監(jiān)管。 等級保護制度分級保護 信息的重要程度決定級別，分三級。等級保護 業(yè)務系統(tǒng)的重要程度；遭到破壞后的危害程度決定級別， 也分五級。 業(yè)務信息安全 保密性、完整性、可用性 業(yè)務服務連續(xù) 連續(xù)性、可用性、保障性 第一級信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生損害，但不損害國家安全、社會秩序和公共利益。信息系統(tǒng)運營、使用單位依照國家有關管理規(guī)范和技術標準進行保護。 第二級信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生

7、嚴重損害,或者對社會秩序和公共利益造成損害，但不損害國家安全。信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導第三級信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。第四級信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害 ,或者對國家安全造成嚴重損害。信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。國家信息安全

8、監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。21受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級摘要什么是等級保護制度等級保護制度要干什么如何開展等級保護工作安全防護的重點系統(tǒng)防入侵網絡防攻擊信息防泄露內容防篡改內部防越權等級保護制度體現(xiàn)國家管理意志（CIP）構建國家信息安全保障體系（CIIP）保障信息化發(fā)展和維護國家安全所以信息安全等級保護是制度，是為了構建國家信息安全保障體系。信息安全等級保護是抓手，是為了提高信息系統(tǒng)安全防護能力。信息安全等級保護是帶有很

9、強技術性的國家風險管理行為所謂風險安全風險管理的目的并不是保證沒有風險，而是要將風險控制在可接受的范圍內。信息安全等級保護的關鍵所在正是基于信息系統(tǒng)所承載應用的重要性，以及該應用損毀后帶來的影響程度來判斷風險是否控制在可接受的范圍內。等級保護制度的作用提出信息安全保障工作的思路劃定信息系統(tǒng)安全保護的基線發(fā)現(xiàn)信息系統(tǒng)存在的問題和差距明確關鍵基礎設施保護的方向提升關鍵信息基礎設施安全保護能力摘要什么是等級保護制度等級保護制度要干什么如何開展等級保護工作原則誰擁有誰負責、誰運行誰負責自主定級、自主保護、監(jiān)督指導主要流程一是：定級。二是：備案。三是：建設、整改。四是：等級測評。五是：監(jiān)督檢查環(huán)節(jié)間的關

10、系定級備案是等級保護的首要環(huán)節(jié)分等級保護監(jiān)管是等級保護的核心建設整改是等級保護工作落實的關鍵等級測評是評價安全保護狀況的方法監(jiān)督檢查是保護能力不斷提高的保障32 新能源安全等保建設過程一：定級。 -已于2011年8月份完成。 -內容包括總部的OA系統(tǒng)及生產運營監(jiān)控系統(tǒng)。皆定為二級。 33 新能源安全等保建設過程二：備案。 -已于2011年10月份在深圳市公安局備案。三是：建設、整改。 -電力控股與2012年9月份開始請專業(yè)公司對整個控股信息系統(tǒng)情況進行了風險評估，最終于今年1月份完成方案設計并通過專家評審。 -電力控股計劃下月招標，進行系統(tǒng)整改。34風電場網絡現(xiàn)狀存在問題三大問題：生產控制大區(qū)

11、與管理信息大區(qū)之間沒有物理隔離風電場與總部的數(shù)據(jù)通訊直接經過公網，未經過安全保護。關鍵設備皆為單臺，可靠性不高。351）生產控制大區(qū)控制區(qū)（安全區(qū)I）控制區(qū)（安全區(qū)I）的典型特征：電力的最重要環(huán)節(jié)，直接實現(xiàn)對電力一次系統(tǒng)的實時控制縱向，以及使用電力調度實時子網或者專用通道。業(yè)務主要包括：風電場變電站監(jiān)控系統(tǒng)、風電場風機監(jiān)控系統(tǒng)、PMU系統(tǒng)、能量管理系統(tǒng)、AGC系統(tǒng)。數(shù)據(jù)傳輸實時性為毫秒級或秒級，數(shù)據(jù)通信使用電力調度網的實時子網或專用通道傳輸。非控制區(qū)（安全區(qū)II）非控制區(qū)（安全區(qū)II）的典型特征：是電力生產必要環(huán)節(jié)，在線運行不能控制，與控制區(qū)的業(yè)務系統(tǒng)或者功能模塊有著緊密聯(lián)系。業(yè)務包括：電能質

12、量檢測系統(tǒng)、電能質量采集系統(tǒng)、風電場風功率預測系統(tǒng)。其數(shù)據(jù)的傳輸實時性為分鐘級或小時級，其數(shù)據(jù)通信使用電力調度數(shù)據(jù)網的非實時子網。36372）管理信息大區(qū)（安全區(qū)III與安全區(qū)IV）管理信息大區(qū)指生產控制大區(qū)以外的電力企業(yè)管理業(yè)務的集合。公司可根據(jù)具體情況劃分安全區(qū)，但不應影響生產控制大區(qū)的安全。屬于安全區(qū)III的包括：總部數(shù)字化風電場運營管理系統(tǒng)、總部風功率預測系統(tǒng)、風場測風塔數(shù)據(jù)、氣象天氣預報數(shù)據(jù)；屬于安全區(qū)IV是指傳統(tǒng)意義上的 MIS系統(tǒng)（如OA、EAM、基建管理系統(tǒng)等）。要求：正向物理隔離裝置：用于生產控制大區(qū)到管理信息大區(qū)單向數(shù)據(jù)傳輸，即I/II區(qū)數(shù)據(jù)到III/IV區(qū)必備的隔離裝置。

13、反向物理隔離裝置：用于管理信息大區(qū)到生產控制大區(qū)單向數(shù)據(jù)傳輸，即III/IV區(qū)數(shù)據(jù)到I/II區(qū)必備的隔離裝置。硬件防火墻：大區(qū)內部的安全區(qū)之間以及與互聯(lián)網之間所采用的隔離方式，實現(xiàn)邏輯隔離。縱向加密認證裝置：用于調度中心，電廠，變電站在生產控制大區(qū)縱向連接交互數(shù)據(jù)，即I區(qū)和I區(qū)交互數(shù)據(jù)必備加密認證裝置。383940如圖所示，新能源的信息安全及二次防護系統(tǒng)有如下幾個特點：高安全性新能源總部的生產網、辦公網以及分公司的辦公網、風電場的辦公網、風電場的生產網之間皆通過防火墻進行了邏輯隔離（風電場的生產網對外還進行物理隔離），只允許特定內容的訪問。辦公網與互聯(lián)網之間通過防火墻進行安全隔離，數(shù)據(jù)訪問進行嚴格的控制，特別是從互聯(lián)網到辦公網的訪問，只開放特定端口，其余全部禁止掉。生產網原則上不允許直接與互聯(lián)網進行數(shù)據(jù)交互。總部的網絡與分公司及風電場網絡之間建立專線，總部與分公司、風電場之間的數(shù)據(jù)傳輸以及分公司、風電場訪問總部業(yè)務系統(tǒng)和電力控股、集團的共性系統(tǒng)皆通過專線通道，保證數(shù)據(jù)在公網上傳輸?shù)谋Ｃ苄约巴暾浴Ｒ苿愚k公的用戶不能直接通過公網訪問總部的業(yè)務系統(tǒng)以及電力控股、集團的共性系統(tǒng)，而要通過SSL VPN的方式，保證移動用戶訪問業(yè)務系統(tǒng)的安全性。風電場的生產網通過物理隔離裝置、接口機等與辦公網進行安全隔離，最大限度地保障生產網的安全。生產網的數(shù)據(jù)可以根據(jù)需