1 引言

 

近年來，電力系統(tǒng)內(nèi)部各組織共同建立起具有行業(yè)特點的信息安全技術防護體系和管理組織體系，信息安全保障能力建設有力支撐了電力系統(tǒng)信息化、自動化的發(fā)展。然而，隨著信息安全工作的深入開展和電力系統(tǒng)內(nèi)外部環(huán)境的不斷變化，不同組織間信息安全工作水平存在差異的問題也逐漸顯現(xiàn)出來。信息安全水平評價工作依據(jù)統(tǒng)一標準客觀評價行業(yè)內(nèi)各組織的信息安全工作水平，可通過比學趕幫，不斷提高電力行業(yè)信息安全管理水平，促進行業(yè)整體網(wǎng)絡與信息安全防護能力持續(xù)提升。

 

信息安全水平評價工作的開展，需要科學、全面、可操作、可量化的指標體系作為基礎和保障，但當前行業(yè)內(nèi)外學者提出的信息安全指標[1-2]并不能滿足電力信息安全水平評價工作的需要。本文結合電力系統(tǒng)信息安全工作實際，系統(tǒng)的構建出電力信息安全水平評價指標體系，提出具體評價指標，闡明單個評價指標的量化方法和信息安全水平指數(shù)的計算方法。

 

2 評價指標體系框架

 

2.1 評價指標體系構建原則

 

為了能夠客觀、準確、全面的反映不同電力組織的信息安全工作水平，在確定指標體系時遵循了以下基本原則[3]：

 

1)科學性原則

 

從信息化及信息安全的基本理論和定義出發(fā)，選取能準確反應組織信息安全工作實際情況的指標，既要具有全面性、概括性、也應具有綜合性和精確性。

 

2)可操作性原則

 

在考慮具有科學性的基礎上，還要使選取的指標有據(jù)可依，指標應來源于國家、電力行業(yè)近年來在信息安全方面提出的規(guī)范、要求，同時指標也應支持方便的獲取準確數(shù)據(jù)，以支撐評價結果的被客觀量化。

 

3)可比性原則

 

水平評價的結果需要支持在橫向上(電力行業(yè)不同組織間)和縱向上(同一組織的不同時期間)的比較與分析。

 

4)向?qū)栽瓌t

 

指標體系的設置應對行業(yè)信息安全工作起到正面的引導和向?qū)ё饔谩Ｒ龑袠I(yè)各組織重視信息安全工作，夯實信息安全工作基礎，提升安全防護效果。

 

2.2 評價指標體系模型

 

圍繞組織體系、規(guī)章制度、資金保障、人員安全管理、服務外包管控、關鍵信息資產(chǎn)管控、信息系統(tǒng)建設安全管理、安全分區(qū)防御、網(wǎng)絡安全防護、主機和設備安全防護、應用系統(tǒng)和數(shù)據(jù)安全防護、物理安全防護、信息系統(tǒng)運行安全管理、災難恢復、應急管理，共15個方面構建電力信息安全水平評價指標體系，如圖1所示。

 

 

圖1 電力信息安全水平評價指標體系模型

 

從圖1可見，電力信息安全水平評價指標體系模型包括三個部分：

 

1)信息安全管理基礎。組織體系、規(guī)章制度、資金保障、人員安全管理、服務外包管控、關鍵信息資產(chǎn)管控是組織信息安全工作的基礎內(nèi)容，同時也為信息安全防護技術措施落實和建設運行安全管理提供基礎性支持。

 

2)信息安全管理核心。信息系統(tǒng)建設安全管理、信息系統(tǒng)運行安全管理、應急管理是信息組織信息安全管理的核心內(nèi)容。信息系統(tǒng)典型的生命周期包含規(guī)劃設計、開發(fā)采購、實施交付、運行維護、廢棄五個階段，信息安全管理工作應貫穿信息系統(tǒng)的完整生命周期。

 

3)信息安全技術保障。安全分區(qū)防御、網(wǎng)絡安全防護、主機和設備安全防護、應用系統(tǒng)和數(shù)據(jù)安全防護、物理安全防護、災難恢復是指標體系中提出的技術評價內(nèi)容，與信息安全管理相一致，組織應在信息系統(tǒng)整個生命周期落實信息安全技術保障要求，提升組織網(wǎng)絡和信息系統(tǒng)自身的安全保護能力。

 

在上述電力信息安全水平評價指標體系模型的建立基礎上，可以分別對評價指標類細化具體評價指標，以達到對組織信息安全工作水平實施定量化、精細化、常態(tài)化評價的實踐目的。

 

3 評價指標

 

3.1 評價指標內(nèi)容

 

根據(jù)圖1描述的評價指標體系模型，依據(jù)《電力監(jiān)管條例》(中華人民共和國國務院令第432號)、《電力行業(yè)網(wǎng)絡與信息安全監(jiān)督管理暫行規(guī)定》(電監(jiān)信息[2007]50號)和國家有關標準規(guī)范[4-12]，在15個信息安全評價類框架下，提出70個電力信息安全水平評價指標，共同構成信息安全水平評價指標體系。具體評價指標如表1所示。

 

表1 電力信息安全水平評價指標

 

指標類 指標項

標識 類名 項數(shù) 項名

ORG 組織體系 5 信息安全組織建立，第一責任人確立，責任落實，專職機構及崗位設置，安全人員配置

REG 規(guī)章制度 5 整體策略及總體方案制定，規(guī)章制度及體系完整性，操作規(guī)程制定，制度發(fā)布，管理體系認證

FUN 資金保障 3 經(jīng)費預算，安全建設經(jīng)費投入，安全運維經(jīng)費投入

PER 人員安全管理 5 全員安全培訓，全員保密協(xié)議簽訂，專業(yè)技能培訓，人員審查，崗位調(diào)整管控

OSE 服務外包管控 4 外包服務協(xié)議，第三方人員訪問管理，遠程服務管控，現(xiàn)場開發(fā)管控

ASS 關鍵信息資產(chǎn)管控 3 資產(chǎn)清單，資產(chǎn)管理職責，信息系統(tǒng)基礎資料歸檔

CON 信息系統(tǒng)建設安全管理 8 上線安全測評，等級保護建設，等級保護測評開展情況，等級保護測評通過率，風險評估，產(chǎn)品采購和使用，核心產(chǎn)品采購測試，安全產(chǎn)品國產(chǎn)化情況

SDD 安全分區(qū)防御 5 大區(qū)間隔離，生產(chǎn)控制大區(qū)內(nèi)部邏輯隔離，縱向認證，跨區(qū)連接管控，內(nèi)外網(wǎng)隔離

NET 網(wǎng)絡安全防護 6 生產(chǎn)控制大區(qū)防護，管理信息大區(qū)防護，互聯(lián)網(wǎng)出口統(tǒng)一管理，互聯(lián)網(wǎng)出口安全管控，無線網(wǎng)絡安全應用，移動終端安全接入

HEQ 主機和設備安全防護 5 補丁更新，惡意代碼防護，系統(tǒng)加固，辦公終端管控，主機和設備賬號口令管理

ADA 應用系統(tǒng)和數(shù)據(jù)安全防護 5 應用系統(tǒng)安全功能及配置，面向互聯(lián)網(wǎng)服務系統(tǒng)安全監(jiān)控和攻擊防御，面向互聯(lián)網(wǎng)服務系統(tǒng)周期性測試，應用系統(tǒng)帳號口令管理，重要數(shù)據(jù)安全保護

PEN 物理安全防護 1 機房安全建設

OPE 信息系統(tǒng)運行安全管理 5 日常維護，安全審計，補丁管理，移動介質(zhì)管理，安全監(jiān)測

REC 災難恢復 4 硬件冗余，系統(tǒng)和數(shù)據(jù)備份，異地災備，恢復測試

EME 應急管理 6 信息通報，應急預案制定，專項應急處置預案制定，應急演練，應急資源配備，事故調(diào)查

 

3.2 評價指標構成

 

評價指標是實現(xiàn)信息安全水平評價的具體項目，為支撐信息安全水平評價的可操作性、評價結果的可比性，每個評價指標需要被賦四個內(nèi)涵，分別是：一個評價要求、一個指標權重、一個指標屬性、一個量化方法。圖2描述了評價指標的結構。

 

 

圖2 評價指標描述結構

 

評價指標需要包含的四個要素詳述如下：

 

1)評價要素：說明每個評價指標的具體評價要求，在定性指標中描述組織信息安全工作應達到的工作水平，在定量指標中描述應從組織信息安全工作中提取的具體量值。

 

2)指標屬性：每項評價指標屬性是定性指標和定量指標之一。

 

3)指標權重：應用專家咨詢法與層次化分析方法結合確定的，表示評價指標在評價指標體系中所起作用的相對數(shù)值[13]。

 

4)量化方法：每個評價指標項量化評分方法選取“符合/不符合判斷法”、“比率值法”、“選項賦值法”之一。

 

4 量化統(tǒng)計方法

 

4.1 評價指標量化方法

 

對于電力信息安全水平評價指標體系中包含的70個評價指標，根據(jù)其指標屬性的不同，分別確定了“符合/不符合判斷法”、“比率值法”、“選項賦值法”三種評價指標量化方法。其中定性指標應用“符合/不符合判斷法”，定量指標可依據(jù)指標特性選取“比率值法”或“選項賦值法”。

 

1、符合/不符合判定法

 

根據(jù)組織信息安全工作實際情況是否符合指標評價要素中描述的基本要求，為評價指標賦予量化值，表2列出了 的賦值方法。

 

表2 應用符合/不符合判定法的 的賦值方法

 

4.2 信息安全水平指數(shù)計算方法

 

 

5 結束語

 

本文以電力組織信息安全工作水平為研究對象，從組織體系、規(guī)章制度、資金保障、人員安全管理、服務外包管控、關鍵信息資產(chǎn)管控、信息系統(tǒng)建設安全管理、安全分區(qū)防御、網(wǎng)絡安全防護、主機和設備安全防護、應用系統(tǒng)和數(shù)據(jù)安全防護、物理安全防護、信息系統(tǒng)運行安全管理、災難恢復、應急管理等15個方面出發(fā)建立了一套指標體系。同時從國家和行業(yè)的要求、規(guī)范為出發(fā)點確定了70個具體評價指標，并提出了具體評價指標的量化方法和組織信息安全水平指數(shù)的計算方法。本文提出的電力信息安全水平評價指標體系在電力行業(yè)十八大信息安全檢查工作中得以應用，從應用結果來看客觀、精細、量化的反映了電力組織當前信息安全工作水平。電力信息安全水平評價指標的構建和量化統(tǒng)計方法的確定，為當前電力行業(yè)信息安全監(jiān)管和電力組織對信息安全工作開展情況的自評價提供了必要的技術支持。為保證評價指標的科學性和適用性，電力系統(tǒng)信息安全研究人員還需要根據(jù)信息安全工作內(nèi)容和信息安全防護技術的發(fā)展，不斷的調(diào)整和優(yōu)化評價指標，保障電力系統(tǒng)信息安全。

 

參考文獻

 

1.張靜,陳冠直,趙玉潔等. 石油石化信息安全態(tài)勢評估指標體系研究. 信息網(wǎng)絡安全. 2012,3.19-24.

 

2.楊海鷹, 余建坤, 謝健等. 信息系統(tǒng)安全評價指標體系的評價因素集研究. 全國商情:經(jīng)濟理論研究. 2011,12. 32-35.

 

3.工業(yè)和信息化部信息化推進司，國家統(tǒng)計局統(tǒng)計科學研究所.中國信息化發(fā)展指數(shù)統(tǒng)計監(jiān)測年度報告2011[M].北京:中國發(fā)展出版社，2011.

 

4.中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 20271-2006 信息安全技術 信息系統(tǒng)通用安全技術要求[S].2006.

 

5.中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 22239-2008 信息安全技術 信息安全等級保護基本要求[S].2008

 

6.中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 22081-2008 信息技術 安全技術 信息安全實用規(guī)則[S].2008.

 

7.中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 20274.1-2008 信息安全技術 信息系統(tǒng)安全保障評估框架 第1部分：簡介和一般模型[S].2008.

 

8.中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 20274.3-2008 信息安全技術 信息系統(tǒng)安全保障評估框架 第3部分：管理保障[S].2008.

 

9.中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 24363-2009 信息安全技術 信息安全應急響應計劃規(guī)范[S].2009.

 

10.中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 20988-2007 信息安全技術 信息系統(tǒng)災難恢復規(guī)范[S].2007.

 

11.中華人民共和國國務院. 第432號令 電力監(jiān)管條例[S].2005.

 

12.國家電力監(jiān)管委員會. 5號令 電力二次系統(tǒng)安全防護規(guī)定[S].2006.

 

13.程崯, 王宇, 余軒等. 電力變壓器運行狀態(tài)綜合評判指標的權重確定. 中國電力, 2011, 44(4),26-30.