信息安全等级保护标准在电力行业的应用

          根据选取的指标项以及系统测评对象选取结果，在前期系统调研的成果上，现场需要开发作业指导书以及编制实施方案。在测评工作中，通过测评以及核查的结果综合分析可给出系统面临的风险，并在安全技术测试和安全管理核查的基础上，根据系统的特点，发现和分析安全控制间、层面间以及区域间的相互关联关系，以及安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及系统整体结构安全性、不同系统之间整体安全性等，最终给出改进建议。

        总体要求测评时，可分别从技术和管理的角度进行测评。进行整体技术要求测评工作时，通过查看和核实网络拓扑图、人员访谈等方法，了解到电力公司信息网络分为管理信息大区和生产管理大区，两大区之间有信息通信交换的需求，因此采用了正/反向隔离装置，以满足管理信息大区至生产管理大区、生产管理大区至管理信息大区之间的数据交换需求。根据公司信息系统安全防护总体方案要求，公司管理信息大区又分为信息内网和信息外网，两网之间采用强逻辑隔离装置，且双网隔离方案已实施。电力企业财务管理信息系统重要应用部署在内网，有外网交互功能的应用将前端署在外网，关键数据处理部分部署在内网。电力公司信息内网采用冗余技术设计网络结构，并且单个系统由独立子网承载，单独划分安全域，每个域的网络出口唯一。系统与系统之间、二级单位与本部之间均部署了防火墙，启用了访问控制功能。进行通用管理要求测评工作时，由于电力公司管理信息大区含三级及以下等级信息系统，所以确定通用管理要求等同采用三级。

        应用基本指标和特殊指标进行测评时，一般是按照测评项一条一条分别进行测评的。具体可采取的测评方式有：使用问卷调查表，对通信系统进行初步的系统调研，掌握系统的主要功能和业务流程。调阅定级报告，详细了解评估范围内的二次系统及其包含的信息资产，为下一步测评指标的选取做好准备;在用户许可的情况下，对通信系统的关键设备和关键系统进行安全漏洞扫描、手工配置检查等安全技术测试，对网络拓扑结构进行合理性分析，对应用系统进行安全性分析，发现和分析系统安全技术方面所面临的风险;采用安全核查表的形式从管理层面和技术规范执行角度，对通信系统进行现场的安全管理核查，了解到包括人的因素在内的系统运行状况。通过对核查结果的分析，发现和分析系统安全管理方面所面临的风险。根据不同的测评方式、测评内容等，执行现场测评后，会得到多个测评证据。对多个测评证据需进行单项结果判定、单元测评结果判定，最终进行整体测评。

        4 结论

        本文介绍了电力行业信息安全工作和信息安全等级保护工作的开展情况，对国家信息安全等级保护基本要求和电力行业信息安全等级保护基本要求进行了差异比较。在电力行业开展信息安全等级保护试点测评工作的背景下，本文描述了协调应用等级保护要求基本指标和行业特殊指标的测评方法以及具有电力系统特色的总体要求的测评方法。电力行业信息安全等级保护试点测评工作范围逐渐扩大，各电力企业之间存在一定的差异和差距，等级保护试点工作的开展较大程度上的推动了电力行业信息安全工作的进展，同时由于智能电网等新技术的应用，电力信息系统的自动化、互动化、信息化特征越来越明显，这些都将对电力行业等级保护测评工作的测评方法提出更大的挑战。