新能源廠站IT資源的分級管理對策范文

本站小編為你精心準備了新能源廠站IT資源的分級管理對策參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《能源研究與信息》2017年第4期

摘要：隨著新能源廠站近些年發展逐步加快，大量新能源廠站已經接入電網，成為國家能源轉型的新動力。由于新能源廠站地理位置和管理水平薄弱等諸多特殊原因，其IT資源普遍疏于管理、運維管理方面存在安全隱患。本文分析了新能源廠站IT資源的特點，介紹了新能源廠站IT資源的分級管理的方法和研究，通過權限管理、分級管理、細粒度分析來進行安全運維管控，形成新能源廠站安全分級管理策略體系。同時，也對保證電網安全、穩定、經濟運行具有一定的意義。

關鍵詞：新能源；分級管理；細粒度的訪問控制

1新能源廠站IT資源訪問控制安全性分析

新能源作為一種清潔的可再生能源，日益引起世界各國的重視，新能源發電技術基本趨于成熟，國家大力鼓勵新能源發電企業的建立，因此大量監控系統及網絡設備需要科學有效的運維及管理，由于監控系統及網絡設備均部署至各個新能源電站，分散式運維管理過程中不能有效監管和審計，設備眾多、系統操作人員負責等因素，因此出現電廠IT資源越權訪問、錯誤操作、資源濫用、責任疏忽、安全泄密等時有發生。導致IT資源運維工作量非常巨大，而且存在安全風險，雖然多數新能源廠站已經建立了自身的信息安全管理體系和安全管理制度、但是由于電廠運維人員管理方式還很傳統、管理水平未達到現有的國家電網針對新能源廠站信息安全管理的要求,因此很多電新能源廠站開始通過一體化新能源安全管控系統來進行安全運維審計管控，確保生產和控制大區的信息系統安全，進一步探索和完善適應于新能源廠站自身安全需求的分級管理策略體系。

2電力安全防護的重要性要求

電力系統安全穩定運行是電網安全的重中之重，國網逐年加大建立和完善電網安全防護體系的力度、包括數據網絡安全防護體系要求、等級保護要求、電廠計算機監控系統IT資源安全管理規范要求，國家和行業相關部門先后了多項政策規定，主要包括：（1）《電網和電廠計算機監控系統及調度數據網絡安全防護規定》（中華人民共和國國家經濟貿易委員會令第30號）。（2）《電力二次系統安全防護規定》（國家電力監管委員會令第5號）。（3）《電力監控系統安全防護規定》（中華人民共和國國家發展和改革委員會令第14號）。（4）《電力監控系統安全防護總體方案》（國能安全【2015】36號)。其中《電力監控系統安全防護總體方案》（國能安全【2015】36號)作為行業最新的電力系統安全規范文件，制定了電網安全防護規范，以“安全分區、網絡專用、橫向隔離、縱向認證”為原則，針對新能源廠站綜合安全防護-應用安全控制部分，明確指出要嚴格對SIS、MIS等應用系統以及IT資源訪問控制進行安全訪問控制，如身份認證、訪問控制、權限控制策略等安全措施。通過密碼集中管控分級管理技術、統一運維操作技術、運維流程化管理技術提升運維的管理水平，提高運維的工作效率。實現新能源場站運維過程可管、可控、可審。如圖1所示。

3分級管理策略

IT資源的密碼分級管理,屬于應用級的安全管理范圍，基于角色的訪問控制方法(Role-BasedpoliciesAccessContro1,RBAC)是目前在密碼分級管理對于解決企業統一資源訪問控制是比較有效的方法，它的核心內容包括以下兩點：（1）密碼分級管理減小管理者進行授權管理的復雜性，有效降低密碼集中管理開銷。（2）密碼分級管理可以靈活地配置企業的安全策略，并對企業的變化有很大的伸縮性。分級管理理論的關鍵點首先是針對“人”的分級管理，即通過縝密細致的訪問控制與“人”相關的一系列安全策略管理。另一方面是針對“事件”的分級管理，即細粒度的訪問控制，它涵蓋最小權限賦予、分級管理、事件有效追溯的三個重要方面：

3.1安全策略管理

實際運用中，一體化新能源安全管控系統根據使用人主要劃分為三種角色，即管理員、運維操作員、審計員。如圖2所示。管理員的主要職責是根據電力行業要求，制定相應的訪問策略，并為運維人員授權資源及操作權限。管理員登錄一體化新能源安全管控系統后，“策略管理”組件負責與管理員進行交互，并將管理員配置的安全策略存儲到一體化新能源安全管控系統內部的策略配置庫中。“應用”組件是一體化新能源安全管控系統的核心功能，負責把操作人員的操作行為中轉到目標設備以及把服務器端返回的結果轉給操作人員，以及負責與其他中其他組件的交互，可以說是系統中各模塊通訊的“樞紐站”，“應用”組件收到運維人員的操作請求后首先判斷其合法性，具體做法是調用“策略管理”組件對該操作行為進行核查，依據便是查詢管理員已經配置好的策略配置庫，如果此次操作不符合安全要求，“應用”組件將拒絕該操作行為的執行。如果操作符合策略要求，“應用”組件則按照運維人員要求連接目標設備并完成相應操作，并將操作結果中轉給對應的運維操作人員；同時操作過程被提交給“審計模塊”，然后此次操作過程被記錄到審計模塊數據庫中。最后當需要調查運維人員的歷史操作記錄時，由審計員登錄一體化新能源安全管控系統進行查詢，然后“審計模塊”從審計日志數據庫中讀取相應日志記錄并展示在審計員交互界面上。

3.2權限安全管理

所謂權限就是對操作員能訪問那些資源以及如何訪問進行控制，必須遵守“最小權限”原則,即以其能進行系統管理、操作的最小權限進行授權。對用戶、角色及行為和資源進行授權，以達到對權限的細粒度控制，最大限度保護用戶資源的安全。通過集中訪問授權和訪問控制可以對用戶通過B/S模式、C/S模式對服務器主機、網絡設備的訪問進行審計和阻斷。授權的對象主要包括用戶、角色、資源和用戶行為。可以細粒度做到由誰去訪問，在什么終端地址訪問，用什么協議訪問，訪問那些資源，可以使用資源什么賬號訪問，對某些用戶還可以實現限制用戶的操作，控制的力度達到命令級。比如可以使用什么命令。如圖3所示。

3.3實現細粒度權限訪問控制

細粒度基于方法級別權限控制是主流的權限控制之一，細粒度的訪問控制（fine-grainedaccesscontrol），是一種基于訪問控制的模型，將所有IT資源引入訪問控制中，其理念是把所有資源的用戶訪問權限進行分級，分解成盡量小的粒度，不同的權限分配不同的權限粒度，實現既具細粒度、同時兼具控制伸縮性的目標IT資源數據訪問控制安全。細粒度的命令策略是具有可執行和非可執行命令的集合，將一組特定的命令集合分配給指定的用戶，該指定用戶的所有系統行為即被限制管理起來，管理員會根據不同類型角色為其指定不同的控制策略來達到限定用戶的權限。通過制定嚴密且符合用戶需求的訪問控制策略，是保護IT資源安全性的重要環節，制定良好的訪問策略能夠更好的提高IT資源的安全性。基于以上的分析我們可以總結出，基于細粒度的訪問控制可以更清晰的為客戶實現：（1）Who（誰）：控制哪些指定用戶被允許操作；（2）Where（什么地點）：控制來源于哪些地址的外來用戶被允許訪問哪些資源；（3）When（什么時間）：控制在哪些時間范圍中能夠允許用戶來操作IT資源；（4）What（做了什么）：控制用戶執行哪些可被允許的命令和操作；如圖4所示。

4結束

隨著新能源發電的發展，以及對電力系統安全性要求的日益重視，電力企業信息安全基礎就顯得至關重要，通過對新能源廠站IT資源的分級管理策略的上述研究，我們發現這種細粒度的分級管理理念是具有可靠性、創新性和可塑性的。不僅應用在一體化新能源安全管控系統，做到“人”“權”分級管理新模式；還可以將分級管理理念拓展到其他生產運營管理中，這樣可以幫助新能源發電企業深入探索和完善安全管理體系，提升企業管理水平，構建運維標準化體系和信息安全技術督查體系，保證運維的目標IT資源的保密性、完整性、可用性。提高電力企業信息管理者的安全管理思路，促進企業經濟效益持續增長。

參考文獻

[1]周文峰,尤軍考,何基香.基于RBAC模型的權限管理系統設計與實現[J].微計算機信息,2006,22(3-5):35-36.

作者：周銘遙；陳芬