2021（第九届）电力企业信息安全研讨会 -38- 浅析电厂信息安全的防御重点 华电新疆五彩湾北一发电有限公司，高成卓 摘 要：随着中国科学技术的发展与“工业 4.0”进程的不断推进，电厂工厂也逐渐趋于智能化、数字化、网络化， 但智能化所带来的网络安全风险也变得不容忽视。本文针对电厂工控信息安全需求，配合相关安全管理措施，实现整体 工控安全一体化的设计。 关键词：电厂；信息安全；安全一体化 伊朗核设施遭受“震网”病毒肆虐，基础设施 被大面积感染破坏，该事件标志着基础工业设施已 经成为部分网络攻击的目标，其破坏性和影响力丝 毫不弱于其他网络攻击，而电厂行业规模巨大、流 程复杂，生产制造过程中存在各类高温高压、易燃 易爆等复杂环境，若遭受攻击，会造成巨大经济损 失与重大人员伤亡，其结果和影响无疑是灾难性的。 面对此类针对工业基础设施的网络攻击，结合 电厂行业自身生产环境的特点，目前有以下几个核 心问题亟待解决：1）复杂的工控系统与网络安全防 护结合的难题由于电厂行业流程工艺复杂，各类业 务系统与设备复杂多样，加上与工业物联网、工业 互联网、云计算、工业大数据平台等新一代信息技 术的融合，使得整体工业控制系统的复杂程度与防 护难度提升到了一个新的高度。面对种类繁多的智 能设备与系统，如何在保证个体安全的同时，保证 整体工业控制系统的稳定性与安全防护性能，是实 现电厂行业工控信息安全的核心。2）安全防护与管 理体系相融合的问题对于新型的智能化工厂，数字 化、智能化所打破的不仅仅是数据上的壁垒，还有 管理体系之间的壁垒。原本相对封闭独立的业务管 理体系被打破，各个业务系统间的管理边界变得模 糊，若不对管理体系进行针对性改进，在实际管理 实施中必然会出现漏洞与空白。因此，如何建立统 一、高效的网络安全管理体系，明确职责划分与管 理边界，亦是工控系统安全防护的一大难点。3）网 络安全防护对工控系统自身的影响目前，现有的网 络安全防护仅仅考虑了网络安全的风险分析与防 护，而缺乏网络安全防护对工控系统自身所造成影 响的有效评估。如何在不影响工业控制系统自身功 能安全的同时，保证网络安全防护的可靠性，以及 如何在实际工业控制系统中开展风险分析，也是亟 需考虑的问题。 个人认为要做好电厂信息安全管理，必须做好 以下几个方面的工作： 2.1 做好信息安全的宣导、培训和教育工作 发挥电厂信息职能培训教育的目的不是要求全 民皆专家、每人都是信息技术高手，而是旨在提高 电厂整体人员在信息安全方面意识。自上而下提高 全院的信息安全意识是保障电厂安全运营的一个先 决条件，没有安全意识一切工作都是徒劳。信息安 全不是一个部门的工作，也不是某个人的职责，信 息安全应该贯穿于整个电厂，每个员工都需要承担 相关的义务和责任，树立正确的“谁主管、谁负责， 谁使用、谁负责，谁运营、谁负责”的信息安全管 理原则思想。