【摘 要】信息安全水平評價(jià)工作的開展，需要科學(xué)、全面、可操作、可量化的指標(biāo)體系作為基礎(chǔ)和保障。本文以電力組織信息安全工作水平為評價(jià)對象，結(jié)合電力系統(tǒng)信息安全工作實(shí)際，系統(tǒng)的構(gòu)建出電力信息安全水平評價(jià)指標(biāo)體系，并從國家和行業(yè)規(guī)范要求為出發(fā)點(diǎn)確定70個評價(jià)指標(biāo)。同時(shí)，文章闡明單個評價(jià)指標(biāo)的量化方法和信息安全水平指數(shù)的計(jì)算方法。

        1 引言

        近年來，電力系統(tǒng)內(nèi)部各組織共同建立起具有行業(yè)特點(diǎn)的信息安全技術(shù)防護(hù)體系和管理組織體系，信息安全保障能力建設(shè)有力支撐了電力系統(tǒng)信息化、自動化的發(fā)展。然而，隨著信息安全工作的深入開展和電力系統(tǒng)內(nèi)外部環(huán)境的不斷變化，不同組織間信息安全工作水平存在差異的問題也逐漸顯現(xiàn)出來。信息安全水平評價(jià)工作依據(jù)統(tǒng)一標(biāo)準(zhǔn)客觀評價(jià)行業(yè)內(nèi)各組織的信息安全工作水平，可通過比學(xué)趕幫，不斷提高電力行業(yè)信息安全管理水平，促進(jìn)行業(yè)整體網(wǎng)絡(luò)與信息安全防護(hù)能力持續(xù)提升。

        信息安全水平評價(jià)工作的開展，需要科學(xué)、全面、可操作、可量化的指標(biāo)體系作為基礎(chǔ)和保障，但當(dāng)前行業(yè)內(nèi)外學(xué)者提出的信息安全指標(biāo)[1-2]并不能滿足電力信息安全水平評價(jià)工作的需要。本文結(jié)合電力系統(tǒng)信息安全工作實(shí)際，系統(tǒng)的構(gòu)建出電力信息安全水平評價(jià)指標(biāo)體系，提出具體評價(jià)指標(biāo)，闡明單個評價(jià)指標(biāo)的量化方法和信息安全水平指數(shù)的計(jì)算方法。

        2 評價(jià)指標(biāo)體系框架

        2.1 評價(jià)指標(biāo)體系構(gòu)建原則

        為了能夠客觀、準(zhǔn)確、全面的反映不同電力組織的信息安全工作水平，在確定指標(biāo)體系時(shí)遵循了以下基本原則[3]：

        1)科學(xué)性原則

        從信息化及信息安全的基本理論和定義出發(fā)，選取能準(zhǔn)確反應(yīng)組織信息安全工作實(shí)際情況的指標(biāo)，既要具有全面性、概括性、也應(yīng)具有綜合性和精確性。

        2)可操作性原則

        在考慮具有科學(xué)性的基礎(chǔ)上，還要使選取的指標(biāo)有據(jù)可依，指標(biāo)應(yīng)來源于國家、電力行業(yè)近年來在信息安全方面提出的規(guī)范、要求，同時(shí)指標(biāo)也應(yīng)支持方便的獲取準(zhǔn)確數(shù)據(jù)，以支撐評價(jià)結(jié)果的被客觀量化。

        3)可比性原則

        水平評價(jià)的結(jié)果需要支持在橫向上(電力行業(yè)不同組織間)和縱向上(同一組織的不同時(shí)期間)的比較與分析。

        4)向?qū)栽瓌t

        指標(biāo)體系的設(shè)置應(yīng)對行業(yè)信息安全工作起到正面的引導(dǎo)和向?qū)ё饔谩Ｒ龑?dǎo)行業(yè)各組織重視信息安全工作，夯實(shí)信息安全工作基礎(chǔ)，提升安全防護(hù)效果。

        2.2 評價(jià)指標(biāo)體系模型

        圍繞組織體系、規(guī)章制度、資金保障、人員安全管理、服務(wù)外包管控、關(guān)鍵信息資產(chǎn)管控、信息系統(tǒng)建設(shè)安全管理、安全分區(qū)防御、網(wǎng)絡(luò)安全防護(hù)、主機(jī)和設(shè)備安全防護(hù)、應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)、物理安全防護(hù)、信息系統(tǒng)運(yùn)行安全管理、災(zāi)難恢復(fù)、應(yīng)急管理，共15個方面構(gòu)建電力信息安全水平評價(jià)指標(biāo)體系，如圖1所示。

 

圖1 電力信息安全水平評價(jià)指標(biāo)體系模型

        從圖1可見，電力信息安全水平評價(jià)指標(biāo)體系模型包括三個部分：

        1)信息安全管理基礎(chǔ)。組織體系、規(guī)章制度、資金保障、人員安全管理、服務(wù)外包管控、關(guān)鍵信息資產(chǎn)管控是組織信息安全工作的基礎(chǔ)內(nèi)容，同時(shí)也為信息安全防護(hù)技術(shù)措施落實(shí)和建設(shè)運(yùn)行安全管理提供基礎(chǔ)性支持。

        2)信息安全管理核心。信息系統(tǒng)建設(shè)安全管理、信息系統(tǒng)運(yùn)行安全管理、應(yīng)急管理是信息組織信息安全管理的核心內(nèi)容。信息系統(tǒng)典型的生命周期包含規(guī)劃設(shè)計(jì)、開發(fā)采購、實(shí)施交付、運(yùn)行維護(hù)、廢棄五個階段，信息安全管理工作應(yīng)貫穿信息系統(tǒng)的完整生命周期。

        3)信息安全技術(shù)保障。安全分區(qū)防御、網(wǎng)絡(luò)安全防護(hù)、主機(jī)和設(shè)備安全防護(hù)、應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)、物理安全防護(hù)、災(zāi)難恢復(fù)是指標(biāo)體系中提出的技術(shù)評價(jià)內(nèi)容，與信息安全管理相一致，組織應(yīng)在信息系統(tǒng)整個生命周期落實(shí)信息安全技術(shù)保障要求，提升組織網(wǎng)絡(luò)和信息系統(tǒng)自身的安全保護(hù)能力。

        在上述電力信息安全水平評價(jià)指標(biāo)體系模型的建立基礎(chǔ)上，可以分別對評價(jià)指標(biāo)類細(xì)化具體評價(jià)指標(biāo)，以達(dá)到對組織信息安全工作水平實(shí)施定量化、精細(xì)化、常態(tài)化評價(jià)的實(shí)踐目的。

        3 評價(jià)指標(biāo)

        3.1 評價(jià)指標(biāo)內(nèi)容

        根據(jù)圖1描述的評價(jià)指標(biāo)體系模型，依據(jù)《電力監(jiān)管條例》(中華人民共和國國務(wù)院令第432號)、《電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理暫行規(guī)定》(電監(jiān)信息[2007]50號)和國家有關(guān)標(biāo)準(zhǔn)規(guī)范[4-12]，在15個信息安全評價(jià)類框架下，提出70個電力信息安全水平評價(jià)指標(biāo)，共同構(gòu)成信息安全水平評價(jià)指標(biāo)體系。具體評價(jià)指標(biāo)如表1所示。
表1 電力信息安全水平評價(jià)指標(biāo)

指標(biāo)類		指標(biāo)項(xiàng)
標(biāo)識	類名	項(xiàng)數(shù)	項(xiàng)名
ORG	組織體系	5	信息安全組織建立，第一責(zé)任人確立，責(zé)任落實(shí)，專職機(jī)構(gòu)及崗位設(shè)置，安全人員配置
REG	規(guī)章制度	5	整體策略及總體方案制定，規(guī)章制度及體系完整性，操作規(guī)程制定，制度發(fā)布，管理體系認(rèn)證
FUN	資金保障	3	經(jīng)費(fèi)預(yù)算，安全建設(shè)經(jīng)費(fèi)投入，安全運(yùn)維經(jīng)費(fèi)投入
PER	人員安全管理	5	全員安全培訓(xùn)，全員保密協(xié)議簽訂，專業(yè)技能培訓(xùn)，人員審查，崗位調(diào)整管控
OSE	服務(wù)外包管控	4	外包服務(wù)協(xié)議，第三方人員訪問管理，遠(yuǎn)程服務(wù)管控，現(xiàn)場開發(fā)管控
ASS	關(guān)鍵信息資產(chǎn)管控	3	資產(chǎn)清單，資產(chǎn)管理職責(zé)，信息系統(tǒng)基礎(chǔ)資料歸檔
CON	信息系統(tǒng)建設(shè)安全管理	8	上線安全測評，等級保護(hù)建設(shè)，等級保護(hù)測評開展情況，等級保護(hù)測評通過率，風(fēng)險(xiǎn)評估，產(chǎn)品采購和使用，核心產(chǎn)品采購測試，安全產(chǎn)品國產(chǎn)化情況
SDD	安全分區(qū)防御	5	大區(qū)間隔離，生產(chǎn)控制大區(qū)內(nèi)部邏輯隔離，縱向認(rèn)證，跨區(qū)連接管控，內(nèi)外網(wǎng)隔離
NET	網(wǎng)絡(luò)安全防護(hù)	6	生產(chǎn)控制大區(qū)防護(hù)，管理信息大區(qū)防護(hù)，互聯(lián)網(wǎng)出口統(tǒng)一管理，互聯(lián)網(wǎng)出口安全管控，無線網(wǎng)絡(luò)安全應(yīng)用，移動終端安全接入
HEQ	主機(jī)和設(shè)備安全防護(hù)	5	補(bǔ)丁更新，惡意代碼防護(hù)，系統(tǒng)加固，辦公終端管控，主機(jī)和設(shè)備賬號口令管理
ADA	應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)	5	應(yīng)用系統(tǒng)安全功能及配置，面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)安全監(jiān)控和攻擊防御，面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)周期性測試，應(yīng)用系統(tǒng)帳號口令管理，重要數(shù)據(jù)安全保護(hù)
PEN	物理安全防護(hù)	1	機(jī)房安全建設(shè)
OPE	信息系統(tǒng)運(yùn)行安全管理	5	日常維護(hù)，安全審計(jì)，補(bǔ)丁管理，移動介質(zhì)管理，安全監(jiān)測
REC	災(zāi)難恢復(fù)	4	硬件冗余，系統(tǒng)和數(shù)據(jù)備份，異地災(zāi)備，恢復(fù)測試
EME	應(yīng)急管理	6	信息通報(bào)，應(yīng)急預(yù)案制定，專項(xiàng)應(yīng)急處置預(yù)案制定，應(yīng)急演練，應(yīng)急資源配備，事故調(diào)查