• 人民的力量——一份大报,与一个大党、一个大国的故事 2019-03-24
  • 为何一个不在城中心的儿童之家成为全省最美? 2019-03-24
  • 中共中央直属机关党校 2019-03-19
  • 英国球迷要在世界杯上搞事情?俄罗斯笑脸相迎:你来啊 2019-03-07
  • 美国三大航空公司为何拒改涉台表述 英媒:是白宫要求死扛 2019-02-28
  • 德国汽车业对美启动进口汽车“232调查”表示忧虑 2019-02-24
  • 德媒:起好中文名,洋品牌入华第一步 2019-01-26
  • 新疆维吾尔自治区交通运输厅 2018-12-18
  • 细数vivo NEX亮点 骁龙8458GB+256GB屏幕指纹 2018-11-30
  • 殷友成.blog的博客—强国博客—人民网 2018-11-29
  • 您好,欢迎访问中保天和!

    今天:2019年03月24日

    咨询热线:010 - 84264757

    首页
    专项服务
    解决方案
    新闻中心
    政策规范
    技术前沿
    专家视角

    我司通过各种资源,力邀行业内的权威专家对时代热点和相关政策法规进行解读,站在信息行业的制高点,描绘行业的宏伟蓝图,促进行业的健康发展。 以专家的视角,用事实说话,力求前瞻性和权威性,为企业和个人的发展提供参考依据

    关于我们

    咨询热线:

    010-84264757

    中保天和1
    中保天和2

    关注中保天和官方微信

    首页 >专项服务 >信息等级测评

    0

    信息安全等级?;け曜荚诘缌π幸档挠τ?/b>

    时时彩开彩结果电脑版 www.wpoa.icu

           摘 要 从国家推行信息安全等级?;すぷ饕岳?,电力行业结合行业信息系统功能特点和安全防护现状,拟定了行业相关标准。本文在介绍电力行业信息安全等级?;ひ蟮耐?,描述了国家基本指标和行业特殊指标应用于等级?;げ馄拦ぷ鞯姆椒?。

           1 引言

           电力信息系统不仅包括发电、输电、变电、配电、用电等环节的生产、调度与控制系统,还包括生产、营销等工作管理系统。此前,电力行业监管部门一直高度重视信息安全工作,于2005年颁发了《电力二次系统安全防护规定》(电监会5号令)[1],后陆续制定了《电力二次系统安全防护总体方案》、《省级及以上调度中心二次系统安全防护方案》、《变电站二次系统安全防护方案》等。根据《关于开展全国重要信息系统安全等级?;ざ豆ぷ鞯耐ㄖ?公信安[2007]861号文)[2]要求,电力行业作为首个行业单位率先组织开展信息安全等级?;すぷ?。

           在电力生产不同环节中的信息系统在部署环境、系统功能、安全保障需求中存在非常大的差异,电力行业在开展信息安全等级?;すぷ魇?,采取了谨慎的态度,在试点示范的基础上,持续挖掘电力系统自身的特点,逐渐形成了具有行业特色的信息安全等级?;ば枨?。同时,国家公安部在《关于开展信息安全等级?;ぐ踩ㄉ枵墓ぷ鞯闹傅家饧?公信安[2009]1429文)明确指出,重点行业信息系统主管部门可以按照《信息系统安全等级?;せ疽蟆穂3]的具体指标,在不低于等级?;せ疽蟮那榭鱿?,结合系统安全?;さ奶厥庑枨?,在有关部门指导下制定行业标准规范或细则,指导本行业信息系统安全建设整改工作。电力行业积极贯彻国家管理要求,在深入分析行业现状和特点的同时,研究国家信息安全等级?;は喙乇曜己凸芾砉娣?,制定《电力行业信息系统安全等级?;せ疽蟆?送审稿)[4],并选择行业内具有代表性的信息系统,开展等级?;げ馄朗缘愎ぷ?。

           本文在综述电力行业信息系统安全等级?;せ疽蟮幕∩?,具体描述了电力行业在开展信息安全等级?;げ馄拦ぷ魇?,协调应用等级?;ひ蠡局副旰托幸堤厥庵副甑牟馄婪椒?。

            2 电力行业信息安全等级?;け曜甲凼?

           电力行业信息安全等级?;ひ笾泄岢构塘说缌π幸敌畔踩ぷ鞒晒?,在总体要求部分提出了电力企业应划分不同安全分区、不同安全分区应具有不同安全防护要素的安全?;ひ?,并根据信息安全等级?;すぷ魉悸?,总体要求由整体技术要求和通用管理要求组成。其中,整体技术要求中规定,电力生产企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区,生产控制大区可分为控制区和非控制区。并根据电力企业信息化工作管理要求,提出了不同安全?;さ燃兜男畔⑾低秤Τ啥懒⒌陌踩騕5]、电力企业的互联网出口应归集统一、调度数据网上应实现纵向数据认证加密传输等具有行业特色的安全?;ひ?。

          同时,电力行业根据电力行业信息系统特点以及电力行业信息系统安全防护的保障需求,将电力信息系统细分为管理信息系统类和生产控制系统两大类,并根据这两类系统的差异,在行业信息安全等级?;け曜贾卸怨芾硇畔⑾低澈蜕刂葡低撤直鹛岢隽瞬煌踩智?、不同安全防护等级、不同安全防护要点的信息系统等级?;ひ?。虽然电力行业针对不同类别的信息系统分别提出了具有一定差异的安全等级?;ひ?,但总的来说,行业要求是落实并强化国家信息安全等级?;ひ?。通过对国家标准和行业标准进行差异分析,可发现生产控制类系统和管理信息类系统的安全等级?;ひ蠼瞎曛邢嘤μ蹩疃?,存在的差异仅有落实、细化、加强、新增四种。并且电力行业信息安全等级?;ひ笾猩刂菩畔⑾低?、管理信息系统的安全等级要求也具有逐渐加强的特点。

           3 电力行业信息安全等级?;け曜嫉挠τ?

          在电力行业信息安全等级?;げ馄乐行淖橹墓业缤拘畔踩燃侗;げ馄朗缘愎ぷ髦?,依据信息系统重要程度和使用范围、覆盖不同安全等级的原则,选取了具有代表性的二、三级管理信息系统共6个开展试点测评工作,被测评单位为网省级电力企业。

          某电力企业财务(资金)管理信息系统为试点测评信息系统之一,安全?;さ燃段?,具体安全级别为S2A3G3。该系统包括财务应用相关的各系统,主要功能包括预算管理、核算管理、资金管理、电子支付等。

           3.1 等级?;げ馄拦ぷ髦胁馄乐副甑难∪?

           开展电力企业信息安全等级?;げ馄拦ぷ魇?,一般来说,测评指标包括基本指标和特殊指标两部分?;局副暌谰菪畔⑾低橙范ǖ囊滴裥畔踩;さ燃逗拖低撤癜踩;さ燃?,选择国家标准《信息系统安全等级?;せ疽蟆分卸杂侗鸬陌踩笞魑燃恫馄赖幕局副??;局副甑闹副昀啾鸷褪考?-1。


    测评指标

    技术/管理 安全类 数量

    S类 A类 G类 小计

    (2级) (3级) (3级)

    安全技术 物理安全 1 4 25 30

    网络安全 1 0 31 32

    主机安全 9 5 12 26

    应用安全 11 9 6 26

    数据安全 2 4 0 6

    安全理 安全管理制度 0 0 11 11

    安全管理机构 0 0 20 20

    人员安全管理 0 0 16 16

    系统建设管理 0 0 45 45

    系统运维管理 0 0 62 62

    合      计 274(控制点)


    表3-1 基本指标

           同时,应结合行业和系统的实际,依据信息系统确定的业务信息安全?;さ燃逗拖低撤癜踩;さ燃?,选择《电力行业信息系统安全等级?;せ疽蟆分卸杂侗鸬陌踩笞魑敬蔚燃恫馄赖奶厥庵副?。特殊指标的指标类别和数量见表3-2。


    测评指标

    技术/管理 安全类 数量

    S类 A类 G类 小计

    (2级) (3级) (3级)

    安全技术 物理安全 1 4 25 30

    网络安全 1 0 37 38

    主机安全 9 5 12 26

    应用安全 11 9 6 26

    数据安全 2 3 0 5

    安全管理 安全管理制度 0 0 11 11

    安全管理机构 0 0 20 20

    人员安全管理 0 0 16 16

    系统建设管理 0 0 45 45

    系统运维管理 0 0 62 62

    合      计 279(控制点)  


    表3-2 特殊指标


           此外,还有总体要求指标?!兜缌π幸敌畔⑾低嘲踩燃侗;せ疽蟆?送审稿)中管理信息系统类和生产控制类系统总体要求均由整体技术要求和通用管理要求组成,如管理信息类系统整体技术要求规定:管理信息大区网络与生产控制大区网络应物理隔离;两网之间有信息通信交换时应部署符合电力系统要求的单向隔离装置;管理信息大区网络可进一步划分为内部网络和外部网络,两网之间有信息通信交换时防护强度应强于逻辑隔离;具有层次网络结构的单位可统一提供互联网出口;二级系统统一成域,三级系统单独成域;三级系统域由独立子网承载,每个域有唯一网络出口,可在网络出口处部署三级等级?;ぷㄓ米爸梦低程峁┱灏踩阑?。通用管理要求规定:如果本单位管理信息大区仅有一级信息系统时,通用管理要求等同采用一级;如果本单位管理信息大区含有二级及以下等级信息系统时,通用管理要求等同采用二级;如果本单位管理信息大区含有三级及以下等级信息系统时,通用管理要求等同采用三级。

            3.2等级?;げ馄拦ぷ髦胁馄乐副甑挠τ?

           在信息安全等级?;な缘悴馄拦ぷ髦?,由于被评估单位信息资产种类、数量多,在一段时间内不可能逐一进行全面检测,三级系统的检测采用抽样方法进行,其目的是确定技术脆弱性检测的重点对象和目标。抽样检测的对象和目标必须要能代表信息系统的安全现状,否则评估结果就会偏离实际情况。试点测评工作中,对电力企业的电力财务(资金)管理系统资产抽样时遵循了典型性、全面性两原则。典型性原则即对同一应用中软件配置完全相同的资产抽样部分资产,全面性原则即对财务(资金)管理系统中每一类资产都要抽样。

           根据选取的指标项以及系统测评对象选取结果,在前期系统调研的成果上,现场需要开发作业指导书以及编制实施方案。在测评工作中,通过测评以及核查的结果综合分析可给出系统面临的风险,并在安全技术测试和安全管理核查的基础上,根据系统的特点,发现和分析安全控制间、层面间以及区域间的相互关联关系,以及安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及系统整体结构安全性、不同系统之间整体安全性等,最终给出改进建议。

           总体要求测评时,可分别从技术和管理的角度进行测评。进行整体技术要求测评工作时,通过查看和核实网络拓扑图、人员访谈等方法,了解到电力公司信息网络分为管理信息大区和生产管理大区,两大区之间有信息通信交换的需求,因此采用了正/反向隔离装置,以满足管理信息大区至生产管理大区、生产管理大区至管理信息大区之间的数据交换需求。根据公司信息系统安全防护总体方案要求,公司管理信息大区又分为信息内网和信息外网,两网之间采用强逻辑隔离装置,且双网隔离方案已实施。电力企业财务管理信息系统重要应用部署在内网,有外网交互功能的应用将前端署在外网,关键数据处理部分部署在内网。电力公司信息内网采用冗余技术设计网络结构,并且单个系统由独立子网承载,单独划分安全域,每个域的网络出口唯一。系统与系统之间、二级单位与本部之间均部署了防火墙,启用了访问控制功能。进行通用管理要求测评工作时,由于电力公司管理信息大区含三级及以下等级信息系统,所以确定通用管理要求等同采用三级。

           应用基本指标和特殊指标进行测评时,一般是按照测评项一条一条分别进行测评的。具体可采取的测评方式有:使用问卷调查表,对通信系统进行初步的系统调研,掌握系统的主要功能和业务流程。调阅定级报告,详细了解评估范围内的二次系统及其包含的信息资产,为下一步测评指标的选取做好准备;在用户许可的情况下,对通信系统的关键设备和关键系统进行安全漏洞扫描、手工配置检查等安全技术测试,对网络拓扑结构进行合理性分析,对应用系统进行安全性分析,发现和分析系统安全技术方面所面临的风险;采用安全核查表的形式从管理层面和技术规范执行角度,对通信系统进行现场的安全管理核查,了解到包括人的因素在内的系统运行状况。通过对核查结果的分析,发现和分析系统安全管理方面所面临的风险。根据不同的测评方式、测评内容等,执行现场测评后,会得到多个测评证据。对多个测评证据需进行单项结果判定、单元测评结果判定,最终进行整体测评。

            4 结论

           本文介绍了电力行业信息安全工作和信息安全等级?;すぷ鞯目骨榭?,对国家信息安全等级?;せ疽蠛偷缌π幸敌畔踩燃侗;せ疽蠼辛瞬钜毂冉?。在电力行业开展信息安全等级?;な缘悴馄拦ぷ鞯谋尘跋?,本文描述了协调应用等级?;ひ蠡局副旰托幸堤厥庵副甑牟馄婪椒ㄒ约熬哂械缌ο低程厣淖芴逡蟮牟馄婪椒?。电力行业信息安全等级?;な缘悴馄拦ぷ鞣段е鸾ダ┐?,各电力企业之间存在一定的差异和差距,等级?;な缘愎ぷ鞯目菇洗蟪潭壬系耐贫说缌π幸敌畔踩ぷ鞯慕?,同时由于智能电网等新技术的应用,电力信息系统的自动化、互动化、信息化特征越来越明显,这些都将对电力行业等级?;げ馄拦ぷ鞯牟馄婪椒ㄌ岢龈蟮奶粽?。


  • 人民的力量——一份大报,与一个大党、一个大国的故事 2019-03-24
  • 为何一个不在城中心的儿童之家成为全省最美? 2019-03-24
  • 中共中央直属机关党校 2019-03-19
  • 英国球迷要在世界杯上搞事情?俄罗斯笑脸相迎:你来啊 2019-03-07
  • 美国三大航空公司为何拒改涉台表述 英媒:是白宫要求死扛 2019-02-28
  • 德国汽车业对美启动进口汽车“232调查”表示忧虑 2019-02-24
  • 德媒:起好中文名,洋品牌入华第一步 2019-01-26
  • 新疆维吾尔自治区交通运输厅 2018-12-18
  • 细数vivo NEX亮点 骁龙8458GB+256GB屏幕指纹 2018-11-30
  • 殷友成.blog的博客—强国博客—人民网 2018-11-29