發(fā)電廠(chǎng)電力信息安全綜合防護探討

工業(yè)控制系統的所有數據傳輸必須使用安全U盤(pán)進(jìn)行，該U盤(pán)在部署區外未經(jīng)授權的工作站上無(wú)法使用，可以有效避免不同安全區域混用。安全U盤(pán)可提供多個(gè)分區，如圖1所示。除引導區外，其余分區均不為操作系統所見(jiàn)。其中：

引導區：加載安全資源管理器，該區設置為只讀，防止病毒或木馬感染。

保密區：該區數據進(jìn)行高強度加密存儲，只提供數據存放功能。對于保密區的數據，采用了專(zhuān)用的文件系統設計，Windows系統即使能夠訪(fǎng)問(wèn)到該區，也不能識別出文件的格式。通過(guò)這種軟硬件結合的設計方式，達到了防止目前流行的木馬病毒的攻擊，可以有效保護數據傳輸安全。

日志區：采用Append-Only文件系統，對所有訪(fǎng)問(wèn)本設備的操作形成日志。

圖1 安全U盤(pán)存儲區構造圖

（五）恢復傳統模擬屏功能，提供設備狀態(tài)對比

由于計算機技術(shù)的進(jìn)步，很多電廠(chǎng)取消了模擬顯示屏，而伊朗Stuxnet病毒襲擊案例告訴我們，使用多種監視手段是很有必要的，可以及時(shí)發(fā)現計算機監控系統中毒后病毒的偽造數據上送行為。因此建議有條件電廠(chǎng)恢復采用獨立變送器的模擬顯示屏。

（六）開(kāi)展網(wǎng)絡(luò )安全聯(lián)合檢查

由于目前電力行業(yè)內暫無(wú)工業(yè)控制系統安全防御的團隊，因此建議由上級部門(mén)牽頭聯(lián)合公安部網(wǎng)絡(luò )安全專(zhuān)業(yè)機構對電力系統內各廠(chǎng)站進(jìn)行網(wǎng)絡(luò )安全聯(lián)合檢查，查找安全防御漏洞，培養電力行業(yè)網(wǎng)絡(luò )安全防護專(zhuān)業(yè)隊伍，并制定類(lèi)似NERC CIPs的網(wǎng)絡(luò )安全防御標準。

六、結語(yǔ)

Stuxnet對工業(yè)控制系統的成功攻擊標志著(zhù)計算機安全技術(shù)進(jìn)入了“基礎設施防御時(shí)代”。它對電力系統目前采用的生產(chǎn)控制系統管理與網(wǎng)絡(luò )安全管理獨立分離的管理模式提出了挑戰，對此我們必須從整合資源、服從規范、強化管理三個(gè)方面狠下功夫，三管齊下，提高全員的信息安全防護意識，打造工業(yè)控制系統網(wǎng)絡(luò )防御金盾，為電力系統安全生產(chǎn)保駕護航。