信息安全等级保护标准在电力行业的应用

        1 引言

        电力信息系统不仅包括发电、输电、变电、配电、用电等环节的生产、调度与控制系统，还包括生产、营销等工作管理系统。此前，电力行业监管部门一直高度重视信息安全工作，于2005年颁发了《电力二次系统安全防护规定》(电监会5号令)[1]，后陆续制定了《电力二次系统安全防护总体方案》、《省级及以上调度中心二次系统安全防护方案》、《变电站二次系统安全防护方案》等。根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号文)[2]要求，电力行业作为首个行业单位率先组织开展信息安全等级保护工作。

        在电力生产不同环节中的信息系统在部署环境、系统功能、安全保障需求中存在非常大的差异，电力行业在开展信息安全等级保护工作时，采取了谨慎的态度，在试点示范的基础上，持续挖掘电力系统自身的特点，逐渐形成了具有行业特色的信息安全等级保护需求。同时，国家公安部在《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429文)明确指出，重点行业信息系统主管部门可以按照《信息系统安全等级保护基本要求》[3]的具体指标，在不低于等级保护基本要求的情况下，结合系统安全保护的特殊需求，在有关部门指导下制定行业标准规范或细则，指导本行业信息系统安全建设整改工作。电力行业积极贯彻国家管理要求，在深入分析行业现状和特点的同时，研究国家信息安全等级保护相关标准和管理规范，制定《电力行业信息系统安全等级保护基本要求》(送审稿)[4]，并选择行业内具有代表性的信息系统，开展等级保护测评试点工作。

        本文在综述电力行业信息系统安全等级保护基本要求的基础上，具体描述了电力行业在开展信息安全等级保护测评工作时，协调应用等级保护要求基本指标和行业特殊指标的测评方法。

        2 电力行业信息安全等级保护标准综述

        电力行业信息安全等级保护要求中贯彻巩固了电力行业信息安全工作成果，在总体要求部分提出了电力企业应划分不同安全分区、不同安全分区应具有不同安全防护要素的安全保护要求，并根据信息安全等级保护工作思路，总体要求由整体技术要求和通用管理要求组成。其中，整体技术要求中规定，电力生产企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区，生产控制大区可分为控制区和非控制区。并根据电力企业信息化工作管理要求，提出了不同安全保护等级的信息系统应成独立的安全域[5]、电力企业的互联网出口应归集统一、调度数据网上应实现纵向数据认证加密传输等具有行业特色的安全保护要求。

        同时，电力行业根据电力行业信息系统特点以及电力行业信息系统安全防护的保障需求，将电力信息系统细分为管理信息系统类和生产控制系统两大类，并根据这两类系统的差异，在行业信息安全等级保护标准中对管理信息系统和生产控制系统分别提出了不同安全分区、不同安全防护等级、不同安全防护要点的信息系统等级保护要求。虽然电力行业针对不同类别的信息系统分别提出了具有一定差异的安全等级保护要求，但总的来说，行业要求是落实并强化国家信息安全等级保护要求。通过对国家标准和行业标准进行差异分析，可发现生产控制类系统和管理信息类系统的安全等级保护要求较国标中相应条款而言，存在的差异仅有落实、细化、加强、新增四种。并且电力行业信息安全等级保护要求中生产控制信息系统、管理信息系统的安全等级要求也具有逐渐加强的特点。

        3 电力行业信息安全等级保护标准的应用

        在电力行业信息安全等级保护测评中心组织的国家电网公司信息安全等级保护测评试点工作中，依据信息系统重要程度和使用范围、覆盖不同安全等级的原则，选取了具有代表性的二、三级管理信息系统共6个开展试点测评工作，被测评单位为网省级电力企业。

        某电力企业财务(资金)管理信息系统为试点测评信息系统之一，安全保护等级为三级，具体安全级别为S2A3G3。该系统包括财务应用相关的各系统，主要功能包括预算管理、核算管理、资金管理、电子支付等。

        3.1 等级保护测评工作中测评指标的选取

        开展电力企业信息安全等级保护测评工作时，一般来说，测评指标包括基本指标和特殊指标两部分。基本指标依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级，选择国家标准《信息系统安全等级保护基本要求》中对应级别的安全要求作为等级测评的基本指标。基本指标的指标类别和数量见表3-1。

表3-1 基本指标

        同时，应结合行业和系统的实际，依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级，选择《电力行业信息系统安全等级保护基本要求》中对应级别的安全要求作为本次等级测评的特殊指标。特殊指标的指标类别和数量见表3-2。

表3-2 特殊指标

        此外，还有总体要求指标。《电力行业信息系统安全等级保护基本要求》(送审稿)中管理信息系统类和生产控制类系统总体要求均由整体技术要求和通用管理要求组成，如管理信息类系统整体技术要求规定：管理信息大区网络与生产控制大区网络应物理隔离;两网之间有信息通信交换时应部署符合电力系统要求的单向隔离装置;管理信息大区网络可进一步划分为内部网络和外部网络，两网之间有信息通信交换时防护强度应强于逻辑隔离;具有层次网络结构的单位可统一提供互联网出口;二级系统统一成域，三级系统单独成域;三级系统域由独立子网承载，每个域有唯一网络出口，可在网络出口处部署三级等级保护专用装置为系统提供整体安全防护。通用管理要求规定：如果本单位管理信息大区仅有一级信息系统时，通用管理要求等同采用一级;如果本单位管理信息大区含有二级及以下等级信息系统时，通用管理要求等同采用二级;如果本单位管理信息大区含有三级及以下等级信息系统时，通用管理要求等同采用三级。

         3.2等级保护测评工作中测评指标的应用

        在信息安全等级保护试点测评工作中，由于被评估单位信息资产种类、数量多，在一段时间内不可能逐一进行全面检测，三级系统的检测采用抽样方法进行，其目的是确定技术脆弱性检测的重点对象和目标。抽样检测的对象和目标必须要能代表信息系统的安全现状，否则评估结果就会偏离实际情况。试点测评工作中，对电力企业的电力财务(资金)管理系统资产抽样时遵循了典型性、全面性两原则。典型性原则即对同一应用中软件配置完全相同的资产抽样部分资产，全面性原则即对财务(资金)管理系统中每一类资产都要抽样。