信息安全等級保護(hù)標(biāo)準(zhǔn)在電力行業(yè)的應(yīng)用
1 引言
電力信息系統(tǒng)不僅包括發(fā)電、輸電、變電、配電、用電等環(huán)節(jié)的生產(chǎn)、調(diào)度與控制系統(tǒng),還包括生產(chǎn)、營銷等工作管理系統(tǒng)。此前,電力行業(yè)監(jiān)管部門一直高度重視信息安全工作,于2005年頒發(fā)了《電力二次系統(tǒng)安全防護(hù)規(guī)定》(電監(jiān)會5號令)[1],后陸續(xù)制定了《電力二次系統(tǒng)安全防護(hù)總體方案》、《省級及以上調(diào)度中心二次系統(tǒng)安全防護(hù)方案》、《變電站二次系統(tǒng)安全防護(hù)方案》等。根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》(公信安[2007]861號文)[2]要求,電力行業(yè)作為首個行業(yè)單位率先組織開展信息安全等級保護(hù)工作。
在電力生產(chǎn)不同環(huán)節(jié)中的信息系統(tǒng)在部署環(huán)境、系統(tǒng)功能、安全保障需求中存在非常大的差異,電力行業(yè)在開展信息安全等級保護(hù)工作時,采取了謹(jǐn)慎的態(tài)度,在試點(diǎn)示范的基礎(chǔ)上,持續(xù)挖掘電力系統(tǒng)自身的特點(diǎn),逐漸形成了具有行業(yè)特色的信息安全等級保護(hù)需求。同時,國家公安部在《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》(公信安[2009]1429文)明確指出,重點(diǎn)行業(yè)信息系統(tǒng)主管部門可以按照《信息系統(tǒng)安全等級保護(hù)基本要求》[3]的具體指標(biāo),在不低于等級保護(hù)基本要求的情況下,結(jié)合系統(tǒng)安全保護(hù)的特殊需求,在有關(guān)部門指導(dǎo)下制定行業(yè)標(biāo)準(zhǔn)規(guī)范或細(xì)則,指導(dǎo)本行業(yè)信息系統(tǒng)安全建設(shè)整改工作。電力行業(yè)積極貫徹國家管理要求,在深入分析行業(yè)現(xiàn)狀和特點(diǎn)的同時,研究國家信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)和管理規(guī)范,制定《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》(送審稿)[4],并選擇行業(yè)內(nèi)具有代表性的信息系統(tǒng),開展等級保護(hù)測評試點(diǎn)工作。
本文在綜述電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求的基礎(chǔ)上,具體描述了電力行業(yè)在開展信息安全等級保護(hù)測評工作時,協(xié)調(diào)應(yīng)用等級保護(hù)要求基本指標(biāo)和行業(yè)特殊指標(biāo)的測評方法。
2 電力行業(yè)信息安全等級保護(hù)標(biāo)準(zhǔn)綜述
電力行業(yè)信息安全等級保護(hù)要求中貫徹鞏固了電力行業(yè)信息安全工作成果,在總體要求部分提出了電力企業(yè)應(yīng)劃分不同安全分區(qū)、不同安全分區(qū)應(yīng)具有不同安全防護(hù)要素的安全保護(hù)要求,并根據(jù)信息安全等級保護(hù)工作思路,總體要求由整體技術(shù)要求和通用管理要求組成。其中,整體技術(shù)要求中規(guī)定,電力生產(chǎn)企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)內(nèi)部基于計算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng),原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū),生產(chǎn)控制大區(qū)可分為控制區(qū)和非控制區(qū)。并根據(jù)電力企業(yè)信息化工作管理要求,提出了不同安全保護(hù)等級的信息系統(tǒng)應(yīng)成獨(dú)立的安全域[5]、電力企業(yè)的互聯(lián)網(wǎng)出口應(yīng)歸集統(tǒng)一、調(diào)度數(shù)據(jù)網(wǎng)上應(yīng)實(shí)現(xiàn)縱向數(shù)據(jù)認(rèn)證加密傳輸?shù)染哂行袠I(yè)特色的安全保護(hù)要求。
同時,電力行業(yè)根據(jù)電力行業(yè)信息系統(tǒng)特點(diǎn)以及電力行業(yè)信息系統(tǒng)安全防護(hù)的保障需求,將電力信息系統(tǒng)細(xì)分為管理信息系統(tǒng)類和生產(chǎn)控制系統(tǒng)兩大類,并根據(jù)這兩類系統(tǒng)的差異,在行業(yè)信息安全等級保護(hù)標(biāo)準(zhǔn)中對管理信息系統(tǒng)和生產(chǎn)控制系統(tǒng)分別提出了不同安全分區(qū)、不同安全防護(hù)等級、不同安全防護(hù)要點(diǎn)的信息系統(tǒng)等級保護(hù)要求。雖然電力行業(yè)針對不同類別的信息系統(tǒng)分別提出了具有一定差異的安全等級保護(hù)要求,但總的來說,行業(yè)要求是落實(shí)并強(qiáng)化國家信息安全等級保護(hù)要求。通過對國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)進(jìn)行差異分析,可發(fā)現(xiàn)生產(chǎn)控制類系統(tǒng)和管理信息類系統(tǒng)的安全等級保護(hù)要求較國標(biāo)中相應(yīng)條款而言,存在的差異僅有落實(shí)、細(xì)化、加強(qiáng)、新增四種。并且電力行業(yè)信息安全等級保護(hù)要求中生產(chǎn)控制信息系統(tǒng)、管理信息系統(tǒng)的安全等級要求也具有逐漸加強(qiáng)的特點(diǎn)。
3 電力行業(yè)信息安全等級保護(hù)標(biāo)準(zhǔn)的應(yīng)用
在電力行業(yè)信息安全等級保護(hù)測評中心組織的國家電網(wǎng)公司信息安全等級保護(hù)測評試點(diǎn)工作中,依據(jù)信息系統(tǒng)重要程度和使用范圍、覆蓋不同安全等級的原則,選取了具有代表性的二、三級管理信息系統(tǒng)共6個開展試點(diǎn)測評工作,被測評單位為網(wǎng)省級電力企業(yè)。
某電力企業(yè)財務(wù)(資金)管理信息系統(tǒng)為試點(diǎn)測評信息系統(tǒng)之一,安全保護(hù)等級為三級,具體安全級別為S2A3G3。該系
-
大數(shù)據(jù)時代 大數(shù)據(jù)安全
-
ofo:今日起與廣州政府實(shí)現(xiàn)大數(shù)據(jù)信息共享
-
年度盤點(diǎn):大數(shù)據(jù)+人工智能網(wǎng)絡(luò)安全應(yīng)用回顧及展望
-
儲能的重要性被擺上臺面丨盤點(diǎn)2017
-
5大亮點(diǎn),5大趨勢——關(guān)于能源互聯(lián)網(wǎng)的今天和明天,讀這一篇就夠了
-
百度發(fā)布Apollo2.0版無人車 新增攝像頭傳感器