發(fā)電廠電力信息安全綜合防護探討

工業(yè)控制系統(tǒng)的所有數(shù)據(jù)傳輸必須使用安全U盤進行，該U盤在部署區(qū)外未經(jīng)授權的工作站上無法使用，可以有效避免不同安全區(qū)域混用。安全U盤可提供多個分區(qū)，如圖1所示。除引導區(qū)外，其余分區(qū)均不為操作系統(tǒng)所見。其中：

引導區(qū)：加載安全資源管理器，該區(qū)設置為只讀，防止病毒或木馬感染。

保密區(qū)：該區(qū)數(shù)據(jù)進行高強度加密存儲，只提供數(shù)據(jù)存放功能。對于保密區(qū)的數(shù)據(jù)，采用了專用的文件系統(tǒng)設計，Windows系統(tǒng)即使能夠訪問到該區(qū)，也不能識別出文件的格式。通過這種軟硬件結合的設計方式，達到了防止目前流行的木馬病毒的攻擊，可以有效保護數(shù)據(jù)傳輸安全。

日志區(qū)：采用Append-Only文件系統(tǒng)，對所有訪問本設備的操作形成日志。

圖1 安全U盤存儲區(qū)構造圖

（五）恢復傳統(tǒng)模擬屏功能，提供設備狀態(tài)對比

由于計算機技術的進步，很多電廠取消了模擬顯示屏，而伊朗Stuxnet病毒襲擊案例告訴我們，使用多種監(jiān)視手段是很有必要的，可以及時發(fā)現(xiàn)計算機監(jiān)控系統(tǒng)中毒后病毒的偽造數(shù)據(jù)上送行為。因此建議有條件電廠恢復采用獨立變送器的模擬顯示屏。

（六）開展網(wǎng)絡安全聯(lián)合檢查

由于目前電力行業(yè)內暫無工業(yè)控制系統(tǒng)安全防御的團隊，因此建議由上級部門牽頭聯(lián)合公安部網(wǎng)絡安全專業(yè)機構對電力系統(tǒng)內各廠站進行網(wǎng)絡安全聯(lián)合檢查，查找安全防御漏洞，培養(yǎng)電力行業(yè)網(wǎng)絡安全防護專業(yè)隊伍，并制定類似NERC CIPs的網(wǎng)絡安全防御標準。

六、結語

Stuxnet對工業(yè)控制系統(tǒng)的成功攻擊標志著計算機安全技術進入了“基礎設施防御時代”。它對電力系統(tǒng)目前采用的生產(chǎn)控制系統(tǒng)管理與網(wǎng)絡安全管理獨立分離的管理模式提出了挑戰(zhàn)，對此我們必須從整合資源、服從規(guī)范、強化管理三個方面狠下功夫，三管齊下，提高全員的信息安全防護意識，打造工業(yè)控制系統(tǒng)網(wǎng)絡防御金盾，為電力系統(tǒng)安全生產(chǎn)保駕護航。