电力信息化:信息安全水平评价指标体系

2013-11-05 16:12:41 大云网  点击量: 评论 (0)
【摘 要】信息安全水平评价工作的开展,需要科学、全面、可操作、可量化的指标体系作为基础和保障。本文以电力组织信息安全工作水平为评价对象,结合电力系统信息安全工作实际,系统的构建出电力信息安全水平评
【摘 要】信息安全水平评价工作的开展,需要科学、全面、可操作、可量化的指标体系作为基础和保障。本文以电力组织信息安全工作水平为评价对象,结合电力系统信息安全工作实际,系统的构建出电力信息安全水平评价指标体系,并从国家和行业规范要求为出发点确定70个评价指标。同时,文章阐明单个评价指标的量化方法和信息安全水平指数的计算方法。
 
1 引言
 
近年来,电力系统内部各组织共同建立起具有行业特点的信息安全技术防护体系和管理组织体系,信息安全保障能力建设有力支撑了电力系统信息化、自动化的发展。然而,随着信息安全工作的深入开展和电力系统内外部环境的不断变化,不同组织间信息安全工作水平存在差异的问题也逐渐显现出来。信息安全水平评价工作依据统一标准客观评价行业内各组织的信息安全工作水平,可通过比学赶帮,不断提高电力行业信息安全管理水平,促进行业整体网络与信息安全防护能力持续提升。
 
信息安全水平评价工作的开展,需要科学、全面、可操作、可量化的指标体系作为基础和保障,但当前行业内外学者提出的信息安全指标[1-2]并不能满足电力信息安全水平评价工作的需要。本文结合电力系统信息安全工作实际,系统的构建出电力信息安全水平评价指标体系,提出具体评价指标,阐明单个评价指标的量化方法和信息安全水平指数的计算方法。
 
2 评价指标体系框架
 
2.1 评价指标体系构建原则
 
为了能够客观、准确、全面的反映不同电力组织的信息安全工作水平,在确定指标体系时遵循了以下基本原则[3]:
 
1)科学性原则
 
从信息化及信息安全的基本理论和定义出发,选取能准确反应组织信息安全工作实际情况的指标,既要具有全面性、概括性、也应具有综合性和精确性。
 
2)可操作性原则
 
在考虑具有科学性的基础上,还要使选取的指标有据可依,指标应来源于国家、电力行业近年来在信息安全方面提出的规范、要求,同时指标也应支持方便的获取准确数据,以支撑评价结果的被客观量化。
 
3)可比性原则
 
水平评价的结果需要支持在横向上(电力行业不同组织间)和纵向上(同一组织的不同时期间)的比较与分析。
 
4)向导性原则
 
指标体系的设置应对行业信息安全工作起到正面的引导和向导作用。引导行业各组织重视信息安全工作,夯实信息安全工作基础,提升安全防护效果。
 
2.2 评价指标体系模型
 
围绕组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、信息系统运行安全管理、灾难恢复、应急管理,共15个方面构建电力信息安全水平评价指标体系,如图1所示。
 
 
图1 电力信息安全水平评价指标体系模型
 
从图1可见,电力信息安全水平评价指标体系模型包括三个部分:
 
1)信息安全管理基础。组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控是组织信息安全工作的基础内容,同时也为信息安全防护技术措施落实和建设运行安全管理提供基础性支持。
 
2)信息安全管理核心。信息系统建设安全管理、信息系统运行安全管理、应急管理是信息组织信息安全管理的核心内容。信息系统典型的生命周期包含规划设计、开发采购、实施交付、运行维护、废弃五个阶段,信息安全管理工作应贯穿信息系统的完整生命周期。
 
3)信息安全技术保障。安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、灾难恢复是指标体系中提出的技术评价内容,与信息安全管理相一致,组织应在信息系统整个生命周期落实信息安全技术保障要求,提升组织网络和信息系统自身的安全保护能力。
 
在上述电力信息安全水平评价指标体系模型的建立基础上,可以分别对评价指标类细化具体评价指标,以达到对组织信息安全工作水平实施定量化、精细化、常态化评价的实践目的。
 
3 评价指标
 
3.1 评价指标内容
 
根据图1描述的评价指标体系模型,依据《电力监管条例》(中华人民共和国国务院令第432号)、《电力行业网络与信息安全监督管理暂行规定》(电监信息[2007]50号)和国家有关标准规范[4-12],在15个信息安全评价类框架下,提出70个电力信息安全水平评价指标,共同构成信息安全水平评价指标体系。具体评价指标如表1所示。
 
表1 电力信息安全水平评价指标
 
指标类 指标项
标识 类名 项数 项名
ORG 组织体系 5 信息安全组织建立,第一责任人确立,责任落实,专职机构及岗位设置,安全人员配置
REG 规章制度 5 整体策略及总体方案制定,规章制度及体系完整性,操作规程制定,制度发布,管理体系认证
FUN 资金保障 3 经费预算,安全建设经费投入,安全运维经费投入
PER 人员安全管理 5 全员安全培训,全员保密协议签订,专业技能培训,人员审查,岗位调整管控
OSE 服务外包管控 4 外包服务协议,第三方人员访问管理,远程服务管控,现场开发管控
ASS 关键信息资产管控 3 资产清单,资产管理职责,信息系统基础资料归档
CON 信息系统建设安全管理 8 上线安全测评,等级保护建设,等级保护测评开展情况,等级保护测评通过率,风险评估,产品采购和使用,核心产品采购测试,安全产品国产化情况
SDD 安全分区防御 5 大区间隔离,生产控制大区内部逻辑隔离,纵向认证,跨区连接管控,内外网隔离
NET 网络安全防护 6 生产控制大区防护,管理信息大区防护,互联网出口统一管理,互联网出口安全管控,无线网络安全应用,移动终端安全接入
HEQ 主机和设备安全防护 5 补丁更新,恶意代码防护,系统加固,办公终端管控,主机和设备账号口令管理
ADA 应用系统和数据安全防护 5 应用系统安全功能及配置,面向互联网服务系统安全监控和攻击防御,面向互联网服务系统周期性测试,应用系统帐号口令管理,重要数据安全保护
PEN 物理安全防护 1 机房安全建设
OPE 信息系统运行安全管理 5 日常维护,安全审计,补丁管理,移动介质管理,安全监测
REC 灾难恢复 4 硬件冗余,系统和数据备份,异地灾备,恢复测试
EME 应急管理 6 信息通报,应急预案制定,专项应急处置预案制定,应急演练,应急资源配备,事故调查
 
3.2 评价指标构成
 
评价指标是实现信息安全水平评价的具体项目,为支撑信息安全水平评价的可操作性、评价结果的可比性,每个评价指标需要被赋四个内涵,分别是:一个评价要求、一个指标权重、一个指标属性、一个量化方法。图2描述了评价指标的结构。
 
 
图2 评价指标描述结构
 
评价指标需要包含的四个要素详述如下:
 
1)评价要素:说明每个评价指标的具体评价要求,在定性指标中描述组织信息安全工作应达到的工作水平,在定量指标中描述应从组织信息安全工作中提取的具体量值。
 
2)指标属性:每项评价指标属性是定性指标和定量指标之一。
 
3)指标权重:应用专家咨询法与层次化分析方法结合确定的,表示评价指标在评价指标体系中所起作用的相对数值[13]。
 
4)量化方法:每个评价指标项量化评分方法选取“符合/不符合判断法”、“比率值法”、“选项赋值法”之一。
 
4 量化统计方法
 
4.1 评价指标量化方法
 
对于电力信息安全水平评价指标体系中包含的70个评价指标,根据其指标属性的不同,分别确定了“符合/不符合判断法”、“比率值法”、“选项赋值法”三种评价指标量化方法。其中定性指标应用“符合/不符合判断法”,定量指标可依据指标特性选取“比率值法”或“选项赋值法”。
 
1、符合/不符合判定法
 
根据组织信息安全工作实际情况是否符合指标评价要素中描述的基本要求,为评价指标赋予量化值,表2列出了 的赋值方法。
 
表2 应用符合/不符合判定法的 的赋值方法
 
4.2 信息安全水平指数计算方法
 
 
5 结束语
 
本文以电力组织信息安全工作水平为研究对象,从组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、信息系统运行安全管理、灾难恢复、应急管理等15个方面出发建立了一套指标体系。同时从国家和行业的要求、规范为出发点确定了70个具体评价指标,并提出了具体评价指标的量化方法和组织信息安全水平指数的计算方法。本文提出的电力信息安全水平评价指标体系在电力行业十八大信息安全检查工作中得以应用,从应用结果来看客观、精细、量化的反映了电力组织当前信息安全工作水平。电力信息安全水平评价指标的构建和量化统计方法的确定,为当前电力行业信息安全监管和电力组织对信息安全工作开展情况的自评价提供了必要的技术支持。为保证评价指标的科学性和适用性,电力系统信息安全研究人员还需要根据信息安全工作内容和信息安全防护技术的发展,不断的调整和优化评价指标,保障电力系统信息安全。
 
参考文献
 
1.张静,陈冠直,赵玉洁等. 石油石化信息安全态势评估指标体系研究. 信息网络安全. 2012,3.19-24.
 
2.杨海鹰, 余建坤, 谢健等. 信息系统安全评价指标体系的评价因素集研究. 全国商情:经济理论研究. 2011,12. 32-35.
 
3.工业和信息化部信息化推进司,国家统计局统计科学研究所.中国信息化发展指数统计监测年度报告2011[M].北京:中国发展出版社,2011.
 
4.中华人民共和国国家质量监督检验检疫总局. GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求[S].2006.
 
5.中华人民共和国国家质量监督检验检疫总局. GB/T 22239-2008 信息安全技术 信息安全等级保护基本要求[S].2008
 
6.中华人民共和国国家质量监督检验检疫总局. GB/T 22081-2008 信息技术 安全技术 信息安全实用规则[S].2008.
 
7.中华人民共和国国家质量监督检验检疫总局. GB/T 20274.1-2008 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型[S].2008.
 
8.中华人民共和国国家质量监督检验检疫总局. GB/T 20274.3-2008 信息安全技术 信息系统安全保障评估框架 第3部分:管理保障[S].2008.
 
9.中华人民共和国国家质量监督检验检疫总局. GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范[S].2009.
 
10.中华人民共和国国家质量监督检验检疫总局. GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范[S].2007.
 
11.中华人民共和国国务院. 第432号令 电力监管条例[S].2005.
 
12.国家电力监管委员会. 5号令 电力二次系统安全防护规定[S].2006.
 
13.程崯, 王宇, 余轩等. 电力变压器运行状态综合评判指标的权重确定. 中国电力, 2011, 44(4),26-30.
 
大云网官方微信售电那点事儿

责任编辑:叶雨田

免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞