信息安全等级保护标准在电力行业的应用

2013-10-18 09:14:13 中国电科院唐斐　点击量：评论 (0)

从国家推行信息安全等级保护工作以来，电力行业结合行业信息系统功能特点和安全防护现状，拟定了行业相关标准。本文在介绍电力行业信息安全等级保护要求的同时，描述了国家基本指标和行业特殊指标应用于等级

统包括财务应用相关的各系统，主要功能包括预算管理、核算管理、资金管理、电子支付等。

3.1 等级保护测评工作中测评指标的选取

开展电力企业信息安全等级保护测评工作时，一般来说，测评指标包括基本指标和特殊指标两部分。基本指标依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级，选择国家标准《信息系统安全等级保护基本要求》中对应级别的安全要求作为等级测评的基本指标。基本指标的指标类别和数量见表3-1。

测评指标
技术/管理	安全类	数量
		S类	A类	G类	小计
		(2级)	(3级)	(3级)
安全技术	物理安全	1	4	25	30
	网络安全	1	0	31	32
	主机安全	9	5	12	26
	应用安全	11	9	6	26
	数据安全	2	4	0	6
安全理	安全管理制度	0	0	11	11
	安全管理机构	0	0	20	20
	人员安全管理	0	0	16	16
	系统建设管理	0	0	45	45
	系统运维管理	0	0	62	62
合计					274（控制点）

表3-1 基本指标

同时，应结合行业和系统的实际，依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级，选择《电力行业信息系统安全等级保护基本要求》中对应级别的安全要求作为本次等级测评的特殊指标。特殊指标的指标类别和数量见表3-2。

测评指标
技术/管理	安全类	数量
		S类	A类	G类	小计
		(2级)	(3级)	(3级)
安全技术	物理安全	1	4	25	30
	网络安全	1	0	37	38
	主机安全	9	5	12	26
	应用安全	11	9	6	26
	数据安全	2	3	0	5
安全管理	安全管理制度	0	0	11	11
	安全管理机构	0	0	20	20
	人员安全管理	0	0	16	16
	系统建设管理	0	0	45	45
	系统运维管理	0	0	62	62
合计					279（控制点）

表3-2 特殊指标

此外，还有总体要求指标。《电力行业信息系统安全等级保护基本要求》(送审稿)中管理信息系统类和生产控制类系统总体要求均由整体技术要求和通用管理要求组成，如管理信息类系统整体技术要求规定：管理信息大区网络与生产控制大区网络应物理隔离;两网之间有信息通信交换时应部署符合电力系统要求的单向隔离装置;管理信息大区网络可进一步划分为内部网络和外部网络，两网之间有信息通信交换时防护强度应强于逻辑隔离;具有层次网络结构的单位可统一提供互联网出口;二级系统统一成域，三级系统单独成域;三级系统域由独立子网承载，每个域有唯一网络出口，可在网络出口处部署三级等级保护专用装置为系统提供整体安全防护。通用管理要求规定：如果本单位管理信息大区仅有一级信息系统时，通用管理要求等同采用一级;如果本单位管理信息大区含有二级及以下等级信息系统时，通用管理要求等同采用二级;如果本单位管理信息大区含有三级及以下等级信息系统时，通用管理要求等同采用三级。

3.2等级保护测评工作中测评指标的应用

在信息安全等级保护试点测评工作中，由于被评估单位信息资产种类、数量多，在一段时间内不可能逐一进行全面检测，三级系统的检测采用抽样方法进行，其目的是确定技术脆弱性检测的重点对象和目标。抽样检测的对象和目标必须要能代表信息系统的安全现状，否则评估结果就会偏离实际情况。试点测评工作中，对电力企业的电力财务(资金)管理系统资产抽样时遵循了典型性、全面性两原则。典型性原则即对同一应用中软件配置完全相同的资产抽样部分资产，全面性原则即对财务(资金)管理系统中每一类资产都要抽样。

根据选取的指标项以及系统测评对象选取结果，在前期系统调研的成果上，现场需要开发作业指导书以及编制实施方案。在测评工作中，通过测评以及核查的结果综合分析可给出系统面临的风险，并在安全技