劉曉峻

（國網(wǎng)宜昌供電公司信息通信分公司 湖北 宜昌 443000）

引言

當前網(wǎng)絡攻擊日益顯現(xiàn)集團化、國家化趨勢，例如，伊朗震網(wǎng)病毒事件、美國東海岸停電事件等，都說明國家安全的邊界已經(jīng)超越地理空間的限制。因此及時全面梳理重大網(wǎng)絡安全應急處置場景清單并制定應急預案，建立省地常態(tài)聯(lián)動機制，制定常態(tài)監(jiān)測、聯(lián)合分析、情報共享規(guī)范流程。使電網(wǎng)企業(yè)安全防護水平得到有效提升，十分必要，也是當務之急。

1 原因分析

隨著互聯(lián)網(wǎng)技術的不斷發(fā)展，電網(wǎng)企業(yè)面臨來自內(nèi)部和外部的雙重安全威脅。在企業(yè)外部，新的病毒、木馬、DDoS攻擊、APT攻擊等層出不窮，在電網(wǎng)調(diào)度自動化、發(fā)電廠控制自動化、變電站自動化、配網(wǎng)自動化，電力負荷裝置、電力市場交易、電力用戶信息采集、智能用電等多個領域，安全威脅更加嚴峻。除此之外，企業(yè)內(nèi)部安全風險同樣不容小覷，比如日益增多的企業(yè)內(nèi)部終端接入點會成為安全隱患和威脅來源、內(nèi)部眾多應用系統(tǒng)與業(yè)務平臺存在不可預計的安全漏洞等。面對突發(fā)的網(wǎng)絡安全事件，我們該如何應對？

2 目標設定

為提高電網(wǎng)企業(yè)處置網(wǎng)絡與信息安全突發(fā)事件的能力，形成科學、有效、反應迅速的應急工作機制，確保重要電力信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全，最大程度地預防和減少網(wǎng)絡與信息安全突發(fā)事件及其造成地損害，保障信息資產(chǎn)安全。因此，梳理重大網(wǎng)絡安全應急處置場景清單并制定應急預案，建立省地常態(tài)聯(lián)動機制，制定常態(tài)監(jiān)測、聯(lián)合分析、情報共享規(guī)范流程，有效保障供電企業(yè)網(wǎng)絡系統(tǒng)安全，有效防控各類網(wǎng)絡安全攻擊，避免發(fā)生七級以上電網(wǎng)網(wǎng)絡安全事件[1]。

3 解決措施

3.1 規(guī)范應急響應技術服務實施流程

根據(jù)對電網(wǎng)企業(yè)業(yè)務影響的分析，應急響應技術保障小組可制定網(wǎng)絡安全事件技術應對表，同時要明確小組成員的職責和溝通方式。該服務流程并非一個固定不變的教條，需要應急響應服務人員在實際中靈活變通，可適當簡化，但任何變通都必須紀錄有關的原因。詳細的記錄對于找出事件的真相、查出威脅的來源與安全弱點、找到問題正確的解決方法，甚至判定事故的責任，避免同類事件的發(fā)生都有著極其重要的作用。

3.2 制定應急響應組織保障要求

3.2.1 組織和職責

根據(jù)應急工作的具體要求需要有以上人員組成臨時的應急響應小組，需要在各種安全事件中承擔不同的工作職責，應包括以下組織和職責：

①應急響應安全領導小組、部門的負責人共同組成，主要負責重大安全事件的應急指揮和決策；②信息安全應急響應組長：主要負責全年應急工作的整體原則把控，是重大安全事件爆發(fā)時的決策層面；③信息安全應急響應副組長：主要是落實和安排應急工作的具體事項，是重大安全事件發(fā)生時的管理協(xié)調(diào)層面；④應急響應處理成員是由網(wǎng)絡管理部、安全管理部、信息系統(tǒng)專業(yè)技術人員、部門信息系統(tǒng)維護人員共同組成，主要負責重大安全事件的協(xié)調(diào)管理和嚴重安全事件的直接管理，以及在重大安全事件、嚴重安全事件及一般安全事件的內(nèi)部協(xié)調(diào)管理；⑤應急響應聯(lián)絡員是指對各類型安全事件進行協(xié)調(diào)人員、各業(yè)務系統(tǒng)產(chǎn)品廠商、集成商以及專業(yè)的安全廠商，主要負責事件的通報、應急響應處置的協(xié)調(diào)組織[2]。

3.2.2 安全事故報告和處理

①在發(fā)現(xiàn)信息系統(tǒng)出現(xiàn)異常后應該及時通知相應應急響應聯(lián)絡處（中心各應用系統(tǒng)技術開發(fā)維護部門、網(wǎng)絡管理部），接到報告后及時填寫《一般安全事件應急處理記錄》（附件一），遇到緊急情況無法及時填寫記錄表的在事件初步處理完畢24小時內(nèi)應補齊《一般安全事件應急處理記錄》。應急處理成員技術人員接到報告后立即開始調(diào)查事件，確定事件的性質(zhì)和影響范圍，如果事件對業(yè)務不構成嚴重威脅，在《一般安全事件應急處理記錄》中記錄事件調(diào)查、處理結果后由安全管理部領導簽字確認并由應急響應聯(lián)絡員存檔，關閉此次應急處理；

②如果應急事件需要調(diào)動其他部門人員、資源進行處理，由應急響應聯(lián)絡員負責協(xié)調(diào)處理，在事件初步處理完畢后由安全管理部簽字確認并歸檔；

③事件通過初步處理無法確認性質(zhì)和影響范圍的，由信息安全應急響應副組長負責召集公司應急處理小組人員進行協(xié)同處理和分析，如確定為嚴重安全事件需由安全管理部填寫《嚴重安全事件處理記錄》（附件二），并向信息安全應急響應組長匯報該事件性質(zhì)、影響范圍、處理結果等信息，并由信息安全應急響應組長簽字確認，由安全管理部歸檔。如確定為重大安全事件，需立即上報信息安全應急響應副組長和應急處理聯(lián)絡員，由應急響應成員填寫《重大安全事件處理記錄》（附件三），由信息安全應急響應副組長審批簽字，并做出決策，指導該事件的處理并全程關注事件的進展，在事件處理完畢后信息安全應急響應組長簽字確認并由應急響應聯(lián)絡員歸檔[3]；

④在應急處理中需要使用快速反應通道與政府、行業(yè)應急響應管理和協(xié)調(diào)機構、各業(yè)務系統(tǒng)產(chǎn)品廠商、集成商以及專業(yè)的安全廠商進行溝通，并需要其提供支援性工作的，可以由信息安全應急響應聯(lián)絡員通過平時建立好的快速反應通道及時聯(lián)系相關人員，填寫《應急響應處理支持記錄》（附件四），并將支持處理結果及時補全該記錄表，在事件處理完畢后，由信息安全應急響應副組長簽字確認并由應急響應聯(lián)絡員歸檔。各個聯(lián)系單位應記錄在《應急響應處理聯(lián)絡表》（附件五）中，并隨時更新；

⑤應該使所有員工和簽約方知道報告安全事故的程序，并應該要求他們在發(fā)現(xiàn)異常后盡快報告此類事故。

3.2.3 角色的劃分

本公司應急響應工作機構按角色劃分為：

①應急響應負責人；②應急響應技術人員，

信息安全事件發(fā)生后，在應急響應領導小組的統(tǒng)一部署下，工作人員各施其職，并嚴格按照應急響應計劃組織實施應急響應工作。

3.2.4 角色的職責

3.2.4.1 應急響應負責人

應急響應負責人是信息安全應急響應工作的組織領導機構，組長應由組織最高管理層成員擔任。負責人的職責是領導和決策信息安全應急響應的重大事宜，主要職責如下：

①制定工作方案；②提供人員和物質(zhì)保證；③審核并批準經(jīng)費預算；④審核并批準恢復策略；⑤審核并批準應急響應計劃；⑥批準并監(jiān)督應急響應計劃的執(zhí)行；⑦指導應急響應實施小組的應急處置工作；⑧啟動定期評審、修訂應急響應計劃以及負責組織的外部協(xié)作[4]。

3.2.4.2 應急響應技術人員，主要職責如下：

①編制應急響應計劃文檔；②應急響應的需求分析，確定應急策略和等級以及策略的實現(xiàn)；③備份系統(tǒng)的運行和維護，協(xié)助災難恢復系統(tǒng)實施；④信息安全突發(fā)事件發(fā)生時的損失控制和損害評估；⑤組織應急響應計劃的測試和演練。

3.2.5 組織的外部協(xié)作

依據(jù)服務對象信息安全事件的影響程度，如需向上級部門及時通報準確情況或向其他單位尋求支持時，應與相關管理部門以及外部組織機構保持聯(lián)絡和協(xié)作。

3.2.6 保障措施

3.2.6.1 應急人力保障

加強信息安全人才培養(yǎng)，強化信息安全宣傳教育，建設一支高素質(zhì)、高技術的信息安全核心人才和管理隊伍，提高信息安全防御意識。大力發(fā)展信息安全服務業(yè)，增強協(xié)會應急支援能力。

3.2.6.2 物質(zhì)條件保障

安排一定的資金用于預防或應對信息安全突發(fā)事件，提供必要的交通運輸保障，優(yōu)化信息安全應急處理工作的物資保障條件。

3.2.6.3 技術支撐保障

設立信息安全應急響應中心，建立預警與應急處理的技術平臺，進一步提高安全事件的發(fā)現(xiàn)和分析能力。從技術上逐步實現(xiàn)發(fā)現(xiàn)、預警、處置、通報等多個環(huán)節(jié)和不同的網(wǎng)絡、系統(tǒng)、部門之間應急處理的聯(lián)動機制[5]。

4 結語

按照國家能源安全戰(zhàn)略目標，電力系統(tǒng)越來越開放，越來越重視用戶體驗的背景下，任何一個服務，例如我們的語音服務、微信服務等等，都有可能增加安全漏洞。合理建立電力系統(tǒng)安全突發(fā)事件的應急管理體系，在有限投入的基礎上，最大程度地降低信息安全突發(fā)事件的負面影響，需要我們?nèi)ザ嗨伎?、共同努力，構建省地常態(tài)聯(lián)動機制，制定常態(tài)監(jiān)測、聯(lián)合分析、情報共享規(guī)范流程，形成一體的、一流的、安全的電網(wǎng)。