www涩-www黄网站-www黄色-www黄色com-国产免费拍拍视频在线观看网站-国产免费怕怕免费视频观看

信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)在電力行業(yè)的應(yīng)用

2013-12-20 11:03:59 北極星電力網(wǎng)  點(diǎn)擊量: 評(píng)論 (0)
摘 要 從國(guó)家推行信息安全等級(jí)保護(hù)工作以來(lái),電力行業(yè)結(jié)合行業(yè)信息系統(tǒng)功能特點(diǎn)和安全防護(hù)現(xiàn)狀,擬定了行業(yè)相關(guān)標(biāo)準(zhǔn)。本文在介紹電力行業(yè)信息安全等級(jí)保護(hù)要求的同時(shí),描述了國(guó)家基本指標(biāo)和行業(yè)特殊指標(biāo)應(yīng)用
        摘 要 從國(guó)家推行信息安全等級(jí)保護(hù)工作以來(lái),電力行業(yè)結(jié)合行業(yè)信息系統(tǒng)功能特點(diǎn)和安全防護(hù)現(xiàn)狀,擬定了行業(yè)相關(guān)標(biāo)準(zhǔn)。本文在介紹電力行業(yè)信息安全等級(jí)保護(hù)要求的同時(shí),描述了國(guó)家基本指標(biāo)和行業(yè)特殊指標(biāo)應(yīng)用于等級(jí)保護(hù)測(cè)評(píng)工作的方法。

        1 引言

        電力信息系統(tǒng)不僅包括發(fā)電、輸電、變電、配電、用電等環(huán)節(jié)的生產(chǎn)、調(diào)度與控制系統(tǒng),還包括生產(chǎn)、營(yíng)銷等工作管理系統(tǒng)。此前,電力行業(yè)監(jiān)管部門一直高度重視信息安全工作,于2005年頒發(fā)了《電力二次系統(tǒng)安全防護(hù)規(guī)定》(電監(jiān)會(huì)5號(hào)令)[1],后陸續(xù)制定了《電力二次系統(tǒng)安全防護(hù)總體方案》、《省級(jí)及以上調(diào)度中心二次系統(tǒng)安全防護(hù)方案》、《變電站二次系統(tǒng)安全防護(hù)方案》等。根據(jù)《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公信安[2007]861號(hào)文)[2]要求,電力行業(yè)作為首個(gè)行業(yè)單位率先組織開展信息安全等級(jí)保護(hù)工作。

        在電力生產(chǎn)不同環(huán)節(jié)中的信息系統(tǒng)在部署環(huán)境、系統(tǒng)功能、安全保障需求中存在非常大的差異,電力行業(yè)在開展信息安全等級(jí)保護(hù)工作時(shí),采取了謹(jǐn)慎的態(tài)度,在試點(diǎn)示范的基礎(chǔ)上,持續(xù)挖掘電力系統(tǒng)自身的特點(diǎn),逐漸形成了具有行業(yè)特色的信息安全等級(jí)保護(hù)需求。同時(shí),國(guó)家公安部在《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》(公信安[2009]1429文)明確指出,重點(diǎn)行業(yè)信息系統(tǒng)主管部門可以按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》[3]的具體指標(biāo),在不低于等級(jí)保護(hù)基本要求的情況下,結(jié)合系統(tǒng)安全保護(hù)的特殊需求,在有關(guān)部門指導(dǎo)下制定行業(yè)標(biāo)準(zhǔn)規(guī)范或細(xì)則,指導(dǎo)本行業(yè)信息系統(tǒng)安全建設(shè)整改工作。電力行業(yè)積極貫徹國(guó)家管理要求,在深入分析行業(yè)現(xiàn)狀和特點(diǎn)的同時(shí),研究國(guó)家信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和管理規(guī)范,制定《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(送審稿)[4],并選擇行業(yè)內(nèi)具有代表性的信息系統(tǒng),開展等級(jí)保護(hù)測(cè)評(píng)試點(diǎn)工作。

        本文在綜述電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求的基礎(chǔ)上,具體描述了電力行業(yè)在開展信息安全等級(jí)保護(hù)測(cè)評(píng)工作時(shí),協(xié)調(diào)應(yīng)用等級(jí)保護(hù)要求基本指標(biāo)和行業(yè)特殊指標(biāo)的測(cè)評(píng)方法。

        2 電力行業(yè)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)綜述

        電力行業(yè)信息安全等級(jí)保護(hù)要求中貫徹鞏固了電力行業(yè)信息安全工作成果,在總體要求部分提出了電力企業(yè)應(yīng)劃分不同安全分區(qū)、不同安全分區(qū)應(yīng)具有不同安全防護(hù)要素的安全保護(hù)要求,并根據(jù)信息安全等級(jí)保護(hù)工作思路,總體要求由整體技術(shù)要求和通用管理要求組成。其中,整體技術(shù)要求中規(guī)定,電力生產(chǎn)企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng),原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū),生產(chǎn)控制大區(qū)可分為控制區(qū)和非控制區(qū)。并根據(jù)電力企業(yè)信息化工作管理要求,提出了不同安全保護(hù)等級(jí)的信息系統(tǒng)應(yīng)成獨(dú)立的安全域[5]、電力企業(yè)的互聯(lián)網(wǎng)出口應(yīng)歸集統(tǒng)一、調(diào)度數(shù)據(jù)網(wǎng)上應(yīng)實(shí)現(xiàn)縱向數(shù)據(jù)認(rèn)證加密傳輸?shù)染哂行袠I(yè)特色的安全保護(hù)要求。

        同時(shí),電力行業(yè)根據(jù)電力行業(yè)信息系統(tǒng)特點(diǎn)以及電力行業(yè)信息系統(tǒng)安全防護(hù)的保障需求,將電力信息系統(tǒng)細(xì)分為管理信息系統(tǒng)類和生產(chǎn)控制系統(tǒng)兩大類,并根據(jù)這兩類系統(tǒng)的差異,在行業(yè)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)中對(duì)管理信息系統(tǒng)和生產(chǎn)控制系統(tǒng)分別提出了不同安全分區(qū)、不同安全防護(hù)等級(jí)、不同安全防護(hù)要點(diǎn)的信息系統(tǒng)等級(jí)保護(hù)要求。雖然電力行業(yè)針對(duì)不同類別的信息系統(tǒng)分別提出了具有一定差異的安全等級(jí)保護(hù)要求,但總的來(lái)說,行業(yè)要求是落實(shí)并強(qiáng)化國(guó)家信息安全等級(jí)保護(hù)要求。通過對(duì)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)進(jìn)行差異分析,可發(fā)現(xiàn)生產(chǎn)控制類系統(tǒng)和管理信息類系統(tǒng)的安全等級(jí)保護(hù)要求較國(guó)標(biāo)中相應(yīng)條款而言,存在的差異僅有落實(shí)、細(xì)化、加強(qiáng)、新增四種。并且電力行業(yè)信息安全等級(jí)保護(hù)要求中生產(chǎn)控制信息系統(tǒng)、管理信息系統(tǒng)的安全等級(jí)要求也具有逐漸加強(qiáng)的特點(diǎn)。

        3 電力行業(yè)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)的應(yīng)用

        在電力行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)中心組織的國(guó)家電網(wǎng)公司信息安全等級(jí)保護(hù)測(cè)評(píng)試點(diǎn)工作中,依據(jù)信息系統(tǒng)重要程度和使用范圍、覆蓋不同安全等級(jí)的原則,選取了具有代表性的二、三級(jí)管理信息系統(tǒng)共6個(gè)開展試點(diǎn)測(cè)評(píng)工作,被測(cè)評(píng)單位為網(wǎng)省級(jí)電力企業(yè)。

        某電力企業(yè)財(cái)務(wù)(資金)管理信息系統(tǒng)為試點(diǎn)測(cè)評(píng)信息系統(tǒng)之一,安全保護(hù)等級(jí)為三級(jí),具體安全級(jí)別為S2A3G3。該系統(tǒng)包括財(cái)務(wù)應(yīng)用相關(guān)的各系統(tǒng),主要功能包括預(yù)算管理、核算管理、資金管理、電子支付等。

        3.1 等級(jí)保護(hù)測(cè)評(píng)工作中測(cè)評(píng)指標(biāo)的選取

        開展電力企業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)工作時(shí),一般來(lái)說,測(cè)評(píng)指標(biāo)包括基本指標(biāo)和特殊指標(biāo)兩部分。基本指標(biāo)依據(jù)信息系統(tǒng)確定的業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí),選擇國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中對(duì)應(yīng)級(jí)別的安全要求作為等級(jí)測(cè)評(píng)的基本指標(biāo)?;局笜?biāo)的指標(biāo)類別和數(shù)量見表3-1。

 

 

測(cè)評(píng)指標(biāo)          
技術(shù)/管理 安全類 數(shù)量      
    S類 A類 G類 小計(jì)
    (2級(jí)) (3級(jí)) (3級(jí))  
安全技術(shù) 物理安全 1 4 25 30
  網(wǎng)絡(luò)安全 1 0 31 32
  主機(jī)安全 9 5 12 26
  應(yīng)用安全 11 9 6 26
  數(shù)據(jù)安全 2 4 0 6
安全理 安全管理制度 0 0 11 11
  安全管理機(jī)構(gòu) 0 0 20 20
  人員安全管理 0 0 16 16
  系統(tǒng)建設(shè)管理 0 0 45 45
  系統(tǒng)運(yùn)維管理 0 0 62 62
合      計(jì)         274(控制點(diǎn))

 

表3-1 基本指標(biāo)

        同時(shí),應(yīng)結(jié)合行業(yè)和系統(tǒng)的實(shí)際,依據(jù)信息系統(tǒng)確定的業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí),選擇《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中對(duì)應(yīng)級(jí)別的安全要求作為本次等級(jí)測(cè)評(píng)的特殊指標(biāo)。特殊指標(biāo)的指標(biāo)類別和數(shù)量見表3-2。

 

 

測(cè)評(píng)指標(biāo)          
技術(shù)/管理 安全類 數(shù)量      
    S類 A類 G類 小計(jì)
    (2級(jí)) (3級(jí)) (3級(jí))  
安全技術(shù) 物理安全 1 4 25 30
  網(wǎng)絡(luò)安全 1 0 37 38
  主機(jī)安全 9 5 12 26
  應(yīng)用安全 11 9 6 26
  數(shù)據(jù)安全 2 3 0 5
安全管理 安全管理制度 0 0 11 11
  安全管理機(jī)構(gòu) 0 0 20 20
  人員安全管理 0 0 16 16
  系統(tǒng)建設(shè)管理 0 0 45 45
  系統(tǒng)運(yùn)維管理 0 0 62 62
合      計(jì)         279(控制點(diǎn))
 

 

表3-2 特殊指標(biāo)


        此外,還有總體要求指標(biāo)。《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(送審稿)中管理信息系統(tǒng)類和生產(chǎn)控制類系統(tǒng)總體要求均由整體技術(shù)要求和通用管理要求組成,如管理信息類系統(tǒng)整體技術(shù)要求規(guī)定:管理信息大區(qū)網(wǎng)絡(luò)與生產(chǎn)控制大區(qū)網(wǎng)絡(luò)應(yīng)物理隔離;兩網(wǎng)之間有信息通信交換時(shí)應(yīng)部署符合電力系統(tǒng)要求的單向隔離裝置;管理信息大區(qū)網(wǎng)絡(luò)可進(jìn)一步劃分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),兩網(wǎng)之間有信息通信交換時(shí)防護(hù)強(qiáng)度應(yīng)強(qiáng)于邏輯隔離;具有層次網(wǎng)絡(luò)結(jié)構(gòu)的單位可統(tǒng)一提供互聯(lián)網(wǎng)出口;二級(jí)系統(tǒng)統(tǒng)一成域,三級(jí)系統(tǒng)單獨(dú)成域;三級(jí)系統(tǒng)域由獨(dú)立子網(wǎng)承載,每個(gè)域有唯一網(wǎng)絡(luò)出口,可在網(wǎng)絡(luò)出口處部署三級(jí)等級(jí)保護(hù)專用裝置為系統(tǒng)提供整體安全防護(hù)。通用管理要求規(guī)定:如果本單位管理信息大區(qū)僅有一級(jí)信息系統(tǒng)時(shí),通用管理要求等同采用一級(jí);如果本單位管理信息大區(qū)含有二級(jí)及以下等級(jí)信息系統(tǒng)時(shí),通用管理要求等同采用二級(jí);如果本單位管理信息大區(qū)含有三級(jí)及以下等級(jí)信息系統(tǒng)時(shí),通用管理要求等同采用三級(jí)。

         3.2等級(jí)保護(hù)測(cè)評(píng)工作中測(cè)評(píng)指標(biāo)的應(yīng)用

        在信息安全等級(jí)保護(hù)試點(diǎn)測(cè)評(píng)工作中,由于被評(píng)估單位信息資產(chǎn)種類、數(shù)量多,在一段時(shí)間內(nèi)不可能逐一進(jìn)行全面檢測(cè),三級(jí)系統(tǒng)的檢測(cè)采用抽樣方法進(jìn)行,其目的是確定技術(shù)脆弱性檢測(cè)的重點(diǎn)對(duì)象和目標(biāo)。抽樣檢測(cè)的對(duì)象和目標(biāo)必須要能代表信息系統(tǒng)的安全現(xiàn)狀,否則評(píng)估結(jié)果就會(huì)偏離實(shí)際情況。試點(diǎn)測(cè)評(píng)工作中,對(duì)電力企業(yè)的電力財(cái)務(wù)(資金)管理系統(tǒng)資產(chǎn)抽樣時(shí)遵循了典型性、全面性兩原則。典型性原則即對(duì)同一應(yīng)用中軟件配置完全相同的資產(chǎn)抽樣部分資產(chǎn),全面性原則即對(duì)財(cái)務(wù)(資金)管理系統(tǒng)中每一類資產(chǎn)都要抽樣。

大云網(wǎng)官方微信售電那點(diǎn)事兒

責(zé)任編輯:黎陽(yáng)錦

免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
?
主站蜘蛛池模板: 亚洲精品手机在线观看 | 日本一在线中文字幕天堂 | 亚洲国产毛片 | 目韩一区二区三区系列片丶 | 中文字幕播放 | 91精品专区| 一级片在线免费看 | 亚洲欧美一区二区三区国产精品 | 中文字幕在线无限2021 | 韩国一级黄色毛片 | 中文字幕免费视频 | 亚洲男同可播放videos | 美女视频在线观看黄 | 日本红怡院亚洲红怡院最新 | 香蕉成人国产精品免费看网站 | 日本久久草| 午夜爽爽性刺激一区二区视频 | 中文字幕在线播 | 992人人tv香蕉国产精品 | 久久观看午夜精品 | 久久精品视频8 | 国产精自产拍久久久久久 | 九九在线精品视频播放 | 在线观看中文字幕亚洲 | 成人国产三级在线播放 | 国产舐足视频在线观看 | 欧美日韩一区二区不卡三区 | 免费狼人久久香蕉网 | 韩国毛片基地 | 国产第一亚洲 | 国产三级在线视频播放线 | 久久久久久久国产视频 | 在线观看视频一区二区三区 | 欧美一级高清视频在线播放 | 亚洲成人影院在线观看 | 一级视频在线 | 人久热欧美在线观看量量 | 成人观看免费大片在线观看 | 国产精品毛片天天看片 | 爱呦视频在线播放网址 | 免费观看欧美一级高清 |