等级保护-电力行业案例

客户背景

新疆某光伏发电站，为建设系统安全管理体系和技术体系，并满足上级监管单位的要求，该发电站选择了华南测评中心提供的等级保护总包服务。

华南测评中心对其系统进行了深入的调研和评估，梳理和整理了当前运行的所有业务系统，并析与风险评估、安全规划等一系列准备工作。

安全需求

该单位定级了电站电力监控系统（二级）。

电站电力监控系统网络结构主要包括安：全一区、安全二区和安全三区。安全一区部署了远动柜用于采集电站各类现场数据，同时部署了时钟同步设备和安全审计设备。安全一区与安全二区之间通过内网防火墙和正向隔离网闸进行隔离和防护。安全二区与安全三区之间部署了反向隔离网闸进行隔离，安全三区的气象服务器通过外网防火墙连接到互联网获取气象信息。部署了IDS对安全一区和安全二区的网络流量进行攻击监测。

安全一区、安全二区、安全三区与电力调度网之间分别部署了纵向加密网关。

根据等级保护建设前期调研、评估过程，依据信息安全技术 网络安全等级保护基本要求》，最终确定本次等级保护建设需求如下：

安全技术层面：

物理安全：机房有外窗，未采取有效措施抵抗雨水渗透；使用普通空调控制机房内的温度，未采取措施控制机房湿度。不满足等保要求。

网络安全：访问控制策略控制粒度未到网段级；部署了绿盟的入侵检测装置（IDS），但上面未开启入侵检测设备；采用telnet进行远程管理，远程管理未加密。不满足等级保护要求。

主机安全：不具备日志审计功能，缺乏对恶意代码的防范措施，不满足等级保护要求。

应用安全：用户身份标识唯一，无密码复杂度策略；无审计记录功能，审计未覆盖所有的账号及其重要操作；未采用校验码技术保证通信过程中数据的完整性；未对通信过程中的敏感信息字段进行加密；不满足等级保护要求。

数据安全：未采取校验码技术保证通信过程中数据的完整性；关键网络设备和服务器均单机部署。不满足等级保护要求。

安全管理层面：缺乏管理制度、管理机构、人员管理、系统建设管理、系统运维管理等方面的安全管理制度，不满足等级保护要求。

渗透测试：在客户授权许可的情况下，利用各种主流的攻击技术对网络做模拟攻击测试，以发现系统中的安全漏洞和风险点，提前发现系统潜在的各种高危漏洞和安全威胁。

漏洞扫描：通过扫描等手段对系统的安全脆弱性进行检测，并验证改漏洞是否可被利用，从而发现系统存在的漏洞问题。

用户收益

● 履行了安全义务，满足上级监管单位要求

国家能源局在2014年下发《电力行业信息安全等级保护管理办法》的通知，要求电力信息系统运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

● 充分利用多种安全技术手段，提升了业务系统边界保护能力

依据相关等级别保护标准，对不符合项逐条解决，提升了该系统抵御攻击的能力。

● 明确人员安全管理职责，提高了系统安全运维安全管理水平

本次建设该单位在等级保护技术体系建设的同时，还配合大量的咨询、服务的配合与支撑，提高该单位业务系统安全运维的效率和管理水平。