引言

    信息安全等級保護(hù)是國家信息安全保障的基本方法。是維護(hù)國家信息安全的根本保障。目前。各大發(fā)電集團(tuán)已根據(jù)公安部及國家電力監(jiān)管委員會(huì)(以下簡稱電監(jiān)會(huì))的要求，如期開展了信息系統(tǒng)等級保護(hù)工作，旨在通過合理分配資源，規(guī)范信息系統(tǒng)安全建設(shè)與防護(hù)。

    在發(fā)電集團(tuán)等級保護(hù)的不斷建設(shè)及測評試點(diǎn)工作中，信息安全的趨勢是建立長效安全機(jī)制。等級保護(hù)專業(yè)測評工作。只是推動(dòng)各單位信息安全工作PDCA(P一計(jì)劃，D一執(zhí)行，C一檢查，A一行動(dòng))模式的政策依據(jù)。而信息安全整改工作常態(tài)化的根本，一方面要不斷加強(qiáng)運(yùn)維人員的專業(yè)水平，不斷增強(qiáng)信息安全意識；另一方面，要規(guī)范化地推進(jìn)自測評，并結(jié)合自測評的結(jié)果統(tǒng)一規(guī)劃，客觀對待已有的脆弱性并進(jìn)行持續(xù)的改善建設(shè)。

1 自測評和專業(yè)測評相結(jié)合的必要性

    目前國內(nèi)五大發(fā)電集團(tuán)企業(yè)內(nèi)的信息系統(tǒng)已逐漸由零散化向集中化發(fā)展，部分信息化水平較高的電廠已完成了DCS系統(tǒng)一體化整合工作。根據(jù)公安部2010年印發(fā)的《關(guān)于推動(dòng)信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》的要求，2012年底需要完成已定級信息系統(tǒng)安全建設(shè)與整改工作。并完成專業(yè)測評工作。以中國華能集團(tuán)公司為例，所轄電廠的三級系統(tǒng)已超過90個(gè)，目前下屬各單位均已完成了系統(tǒng)定級備案工作，并著手落實(shí)了整改和建設(shè)計(jì)劃，力爭通過積極的安全整改建設(shè)工作落實(shí)等級保護(hù)制度的各項(xiàng)要求。然而，大部分下屬單位安全基礎(chǔ)相對薄弱，未曾開展過針對系統(tǒng)安全性的測試，忽略了在定級與整改之間的關(guān)鍵環(huán)節(jié)，即對照等級保護(hù)的基本要求完成定級系統(tǒng)的自測評與差距分析的工作。使得整改建設(shè)面臨較大困難。由此可見自測評的重要性。而行之有效的差距分析。是各單位制定整改方案的基礎(chǔ)依據(jù)。

    2010年公安部和國資委聯(lián)合印發(fā)《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級保護(hù)工作的通知》(公通字[2010]70號)規(guī)定，由電監(jiān)會(huì)負(fù)責(zé)指導(dǎo)電力行業(yè)的信息系統(tǒng)安全等級保護(hù)工作。就專業(yè)測評而言，電力行業(yè)現(xiàn)存3家測評機(jī)構(gòu)，各測評機(jī)構(gòu)專業(yè)測評工程師人數(shù)均為40人左右。若嚴(yán)格按照專業(yè)測評周期。逐家單位三級系統(tǒng)進(jìn)行地毯式的細(xì)致摸排，則每個(gè)三級系統(tǒng)現(xiàn)場測評周期為15～20個(gè)人天。若擴(kuò)展至整個(gè)專業(yè)測評過程，包含前期方案編制、分析與編制報(bào)告等工作。則單個(gè)三級系統(tǒng)測評周期為40個(gè)人天。以中國華能集團(tuán)公司下屬單位為例。專業(yè)測評人力資源投入將大于3 000個(gè)人天。因此在專業(yè)測評人才相對缺乏、IT人力資源成本不斷走高的電力行業(yè)等級保護(hù)建設(shè)工作中。自測評與專業(yè)測評相結(jié)合的方式共同校驗(yàn)等級保護(hù)合規(guī)性。也是勢在必行。

    隨著電力行業(yè)信息化建設(shè)的大規(guī)模推進(jìn)，目前各單位基本已設(shè)置了信息化專責(zé)，如網(wǎng)管專責(zé)、系統(tǒng)運(yùn)維專責(zé)等。他們對自身單位的網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)系統(tǒng)應(yīng)用等有著較為深刻的認(rèn)識。因此需要在發(fā)電集團(tuán)各下屬單位中抽調(diào)2—3名專責(zé)工作人員開展等級保護(hù)專項(xiàng)培訓(xùn)。使運(yùn)維人員在了解等級保護(hù)工作重要性的同時(shí)，熟悉與掌握自測評的基本流程與方法，使自查工作與等級測評工作有機(jī)結(jié)合。這樣各單位的信息安全等級保護(hù)工作才能進(jìn)入螺旋狀上升的良性循環(huán)。

2 合理高效地開展自測評工作

    發(fā)電集團(tuán)總部信息中心在對運(yùn)維人員開展信息安全培訓(xùn)的同時(shí)，會(huì)引入相關(guān)的等級保護(hù)測評方法，考慮到集團(tuán)各下屬單位人員在應(yīng)對突發(fā)故障時(shí)的自主恢復(fù)能力及專業(yè)安全檢查工具使用合理性，自測評主要以訪談、檢查為主，初級階段暫不考慮開展推廣專業(yè)測試工具。以中國華能集團(tuán)公司下屬各單位的DCS系統(tǒng)為例。結(jié)合發(fā)電行業(yè)信息系統(tǒng)的特性，就技術(shù)層面的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全展開討論。下屬各單位DCS系統(tǒng)應(yīng)用廠商較為統(tǒng)一，系統(tǒng)主要為國內(nèi)外幾個(gè)知名廠商設(shè)計(jì)，服務(wù)器為集中采購，無過多定制開發(fā)內(nèi)容，因此應(yīng)用層面共性問題相當(dāng)一致。若系統(tǒng)所涉及服務(wù)器未開展過加固工作，則均為默認(rèn)配置，基本不存在個(gè)性安全性問題。故就合理高效的開展自測評工作而言，設(shè)計(jì)精細(xì)化、格式化的調(diào)研表格不可或缺，而各下屬單位物理環(huán)境、網(wǎng)絡(luò)環(huán)境的差異化建設(shè)，將會(huì)成為技術(shù)自查部分考察的重點(diǎn)。

    根據(jù)《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》，按照通用管理要求計(jì)算，共有158個(gè)測評項(xiàng)。針對三級系統(tǒng)的管理自測評，更應(yīng)做到有的放矢。例如，應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用等測評指標(biāo)項(xiàng)。人員雖是安全管理的基礎(chǔ)，但在發(fā)電集團(tuán)完善的體系架構(gòu)下，基本不會(huì)出現(xiàn)不符合或部分符合的情況，建議納入專業(yè)測評的合規(guī)檢查中。但就自測評而言，旨在精益求精，一針見血，因此自測評表格的設(shè)計(jì)，在指標(biāo)量化方面，可以適當(dāng)孤立對待。在運(yùn)維人員填寫自測評表格的過程中，信息系統(tǒng)與安全基線偏離程度最高比例在自測評報(bào)告中體現(xiàn)。則是自測評的精髓之所在。

3 自測評調(diào)研表單的設(shè)計(jì)

    設(shè)計(jì)自測評調(diào)研表單的目的是為了利用標(biāo)準(zhǔn)化、格式化的調(diào)研表格，在快速、實(shí)用地了解各單位信息系統(tǒng)建設(shè)情況的同時(shí)，針對共性安全問題進(jìn)行確認(rèn)，也為在等級保護(hù)專業(yè)測評時(shí)所要面對的個(gè)性問題提供實(shí)用性較強(qiáng)的現(xiàn)實(shí)依據(jù)。發(fā)電集團(tuán)總部信息中心還可以將調(diào)研表單進(jìn)行技術(shù)衍生，形成督察版調(diào)研表。引入定期安全督導(dǎo)機(jī)制，遠(yuǎn)程對各單位等級保護(hù)整改情況進(jìn)行及時(shí)的評價(jià)。

    以某電廠DCS系統(tǒng)的網(wǎng)絡(luò)安全為例。簡單設(shè)計(jì)了自測評調(diào)研表格樣例(見表1)。通過專業(yè)信息安全人員對3～5個(gè)代表性電廠的DCS系統(tǒng)調(diào)研，可將應(yīng)用安全、主機(jī)安全、數(shù)據(jù)備份及存儲的大部分共性問題進(jìn)行整合：針對安全管理�？蓪⒃�有158個(gè)檢查項(xiàng)縮減至50個(gè)關(guān)鍵點(diǎn)之內(nèi)。若原有單位DCS系統(tǒng)定級為S3A3G3。則專業(yè)測評項(xiàng)共為327個(gè)。而自測評工作僅需勾選不超過100個(gè)調(diào)研項(xiàng)，或?qū)⑸宰鲅a(bǔ)充，即可達(dá)到預(yù)期效果。同時(shí)，自測評調(diào)研表設(shè)計(jì)言簡意賅。也降低了等級保護(hù)測評工作的門檻。

表1 發(fā)電集團(tuán)信息系統(tǒng)等級保護(hù)自謝評調(diào)研表

4 結(jié)語

    結(jié)合發(fā)電集團(tuán)信息化建設(shè)的實(shí)際情況，等級保護(hù)自測評工作必然會(huì)是伴隨著信息系統(tǒng)生命周期的一個(gè)不斷循序漸進(jìn)的過程。通過組織內(nèi)部人員進(jìn)行精細(xì)化自測評工作，就眼前利益而言，大大提高了專業(yè)測評效率。節(jié)約了各類資源；從長遠(yuǎn)角度來看，運(yùn)維人員通過自測評工作，將安全建設(shè)整改工作常態(tài)化穩(wěn)步推進(jìn)的同時(shí)。必將使決策者逐漸深刻理解信息安全防護(hù)的實(shí)際意義，更是從實(shí)際出發(fā)推動(dòng)等級保護(hù)制度盡快建立和實(shí)施的有效手段。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：發(fā)電集團(tuán)等級保護(hù)自測評實(shí)踐分析

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083935045.html