根據(jù)選取的指標(biāo)項以及系統(tǒng)測評對象選取結(jié)果，在前期系統(tǒng)調(diào)研的成果上，現(xiàn)場需要開發(fā)作業(yè)指導(dǎo)書以及編制實施方案。在測評工作中，通過測評以及核查的結(jié)果綜合分析可給出系統(tǒng)面臨的風(fēng)險，并在安全技術(shù)測試和安全管理核查的基礎(chǔ)上，根據(jù)系統(tǒng)的特點，發(fā)現(xiàn)和分析安全控制間、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系，以及安全控制間、層面間和區(qū)域間是否存在安全功能上的增強、補充和削弱作用以及系統(tǒng)整體結(jié)構(gòu)安全性、不同系統(tǒng)之間整體安全性等，最終給出改進(jìn)建議。

        總體要求測評時，可分別從技術(shù)和管理的角度進(jìn)行測評。進(jìn)行整體技術(shù)要求測評工作時，通過查看和核實網(wǎng)絡(luò)拓?fù)鋱D、人員訪談等方法，了解到電力公司信息網(wǎng)絡(luò)分為管理信息大區(qū)和生產(chǎn)管理大區(qū)，兩大區(qū)之間有信息通信交換的需求，因此采用了正/反向隔離裝置，以滿足管理信息大區(qū)至生產(chǎn)管理大區(qū)、生產(chǎn)管理大區(qū)至管理信息大區(qū)之間的數(shù)據(jù)交換需求。根據(jù)公司信息系統(tǒng)安全防護(hù)總體方案要求，公司管理信息大區(qū)又分為信息內(nèi)網(wǎng)和信息外網(wǎng)，兩網(wǎng)之間采用強邏輯隔離裝置，且雙網(wǎng)隔離方案已實施。電力企業(yè)財務(wù)管理信息系統(tǒng)重要應(yīng)用部署在內(nèi)網(wǎng)，有外網(wǎng)交互功能的應(yīng)用將前端署在外網(wǎng)，關(guān)鍵數(shù)據(jù)處理部分部署在內(nèi)網(wǎng)。電力公司信息內(nèi)網(wǎng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)，并且單個系統(tǒng)由獨立子網(wǎng)承載，單獨劃分安全域，每個域的網(wǎng)絡(luò)出口唯一。系統(tǒng)與系統(tǒng)之間、二級單位與本部之間均部署了防火墻，啟用了訪問控制功能。進(jìn)行通用管理要求測評工作時，由于電力公司管理信息大區(qū)含三級及以下等級信息系統(tǒng)，所以確定通用管理要求等同采用三級。

        應(yīng)用基本指標(biāo)和特殊指標(biāo)進(jìn)行測評時，一般是按照測評項一條一條分別進(jìn)行測評的。具體可采取的測評方式有：使用問卷調(diào)查表，對通信系統(tǒng)進(jìn)行初步的系統(tǒng)調(diào)研，掌握系統(tǒng)的主要功能和業(yè)務(wù)流程。調(diào)閱定級報告，詳細(xì)了解評估范圍內(nèi)的二次系統(tǒng)及其包含的信息資產(chǎn)，為下一步測評指標(biāo)的選取做好準(zhǔn)備;在用戶許可的情況下，對通信系統(tǒng)的關(guān)鍵設(shè)備和關(guān)鍵系統(tǒng)進(jìn)行安全漏洞掃描、手工配置檢查等安全技術(shù)測試，對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行合理性分析，對應(yīng)用系統(tǒng)進(jìn)行安全性分析，發(fā)現(xiàn)和分析系統(tǒng)安全技術(shù)方面所面臨的風(fēng)險;采用安全核查表的形式從管理層面和技術(shù)規(guī)范執(zhí)行角度，對通信系統(tǒng)進(jìn)行現(xiàn)場的安全管理核查，了解到包括人的因素在內(nèi)的系統(tǒng)運行狀況。通過對核查結(jié)果的分析，發(fā)現(xiàn)和分析系統(tǒng)安全管理方面所面臨的風(fēng)險。根據(jù)不同的測評方式、測評內(nèi)容等，執(zhí)行現(xiàn)場測評后，會得到多個測評證據(jù)。對多個測評證據(jù)需進(jìn)行單項結(jié)果判定、單元測評結(jié)果判定，最終進(jìn)行整體測評。

        4 結(jié)論

        本文介紹了電力行業(yè)信息安全工作和信息安全等級保護(hù)工作的開展情況，對國家信息安全等級保護(hù)基本要求和電力行業(yè)信息安全等級保護(hù)基本要求進(jìn)行了差異比較。在電力行業(yè)開展信息安全等級保護(hù)試點測評工作的背景下，本文描述了協(xié)調(diào)應(yīng)用等級保護(hù)要求基本指標(biāo)和行業(yè)特殊指標(biāo)的測評方法以及具有電力系統(tǒng)特色的總體要求的測評方法。電力行業(yè)信息安全等級保護(hù)試點測評工作范圍逐漸擴(kuò)大，各電力企業(yè)之間存在一定的差異和差距，等級保護(hù)試點工作的開展較大程度上的推動了電力行業(yè)信息安全工作的進(jìn)展，同時由于智能電網(wǎng)等新技術(shù)的應(yīng)用，電力信息系統(tǒng)的自動化、互動化、信息化特征越來越明顯，這些都將對電力行業(yè)等級保護(hù)測評工作的測評方法提出更大的挑戰(zhàn)。