网络通讯丨电力企业信息通信安全性 评价工作探索与实践

信息、通信专业作为科技前沿行业，整个社会的ICT(信息通信技术）的相关发展日新月异，随着国网总部建设“信息化企业”的需求日益迫切，信息通信专业引领支撑企业发展创新的地位将愈加明显，而网络和信息安全形势却更加严峻，国、内外敌对势力蠢蠢欲动，“震网”、“棱镜门”等事件层出不穷，电力企业做为涉及国计民生的基础行业，各专业安全更是需要与功能同步考虑重要环节。所以亟需对信息通信安全进行总体评估和分析，对现状做到了然于胸。信息通信安全性评价工作应运而生，它从宏观层面作为领导进行战略决策的依据，在微观层面作为将缺陷隐患全面梳理的系统工程。

1信息通信安全性评价历史情况调研及产生的新要求

1.1信息、通信安全评估的原有方式

国网公司“三集五大”建设前，信息中心承担信息专业的管理及运维工作，通信专业的管理运维职责在电力调度中心。“三集五大”体系建设后，信通公司的成立将两个专业进行了合并，但原来管理思路和运维模式仍有较大差别。通信专业的管理模式依照电力调度中心二次系统方式，其安全性评价工作的开展包含在城市电网安全性评价的调度及二次系统章节中，信息专业开展定期信息安全督查或专项信息安全检查活动，未有一个完整的评价体系。随着两个专业的合并，对形成一个涵盖信息通信的安全性评价体系显得越来越迫切，对于掌握信息通信专业现状，提升信息通信管理运维水平，加速促进信息通信专业融合，查找梳理信息通信专业的薄弱环节有着至关重要的作用。

1.2信息通信安全性评价新要求

电力信息通信安全性评价是一个系统的评价过程，对评价工作提出了严格的新的要求：

1.2.1系统的新要求

电力信息通信的融合以系统融合为基础，以业务融合为支撑，对电力信息传输、处理流程的全面整合。因此，信息设备、通信设备以及系统要支撑融合，其安全性的评价方法和方式要体现业务融合、设备融合和系统的整合。

1.2.2管理的新要求

电力信息通信的安全性要在安全保障机制、管理体系及监督考核体系方面做好安全管理，对于安全措施的落实和具体实施形成制度保障，确保安全措施落地。

1.2.3技术的新要求

电力信息通信安全性综合评价，对评价指标要进行科学的分解与详细的规划，对各个指标根据实际进行分级分类，形成科学的规划层次，以便于对相应指标的重要性进行科学的判断，因此对评价技术提出了新要求。

2信息通信安全性评价的流程和评价具体内容

2.1信息通信安全性评价流程

电力信息通信安全性评价过程分为五个阶段：安全性评价准备、自查评及初步整改、专家查评及结果反馈、缺陷分析及整改和总结及迎接下一轮评价5个阶段。准备阶段主要是现场调研和搜集资料，包括对电力信息通信设备、业务等可能会带来安全隐患的点进行标识，编制评价标准并通过试查评完善该标准；自查评阶段通过参照标准进行自我评价，并针对发现的缺陷隐患边查边改；专家查评阶段主要依靠专家队伍的经验和技术，严格细致的进一步发现问题，并提交安全性评价总体结论；整改阶段通过系统的分析薄弱点，形成完整的整改措施和计划；总结阶段是对安全性评价活动的效果和经验进行梳理归纳，并为下一轮的安全性评价做好准备。电力信息通信系统的安全性评价流程如图1所示

图1电力信息通信安全性评价流程

2.2安全性评价查评方法：

自查评阶段由被查单位自行组织内部查评，并对自查评中发现的相关问题组织自查自纠、整改落实。在自查整改告一段落后，被查单位向国网公司提交完整、详实的“××公司信息通信安全性评价自查评估报告”。

总部在自查评的基础上，组织专家组开展专家查评。“查评报告”的最终得分以相对得分率表示（相对得分率=（实得分/应得总分）×100%），以直观反映被查评单位信息通信系统整体安全性水平的量化情况。

《国网公司信息通信安全性评价标准》（以下简称《标准》）适用于国家电网公司所属各省电力公司，以及各市、县供电公司等，评价标准内容涵盖国网、省、市、县各层级的信息通信专业安全关键点，在某个层级开展查评时，不适用该层级的评价项目可不参加查评。接入电网信息通信系统的相关发电企业可参照执行。

2.3安全性评价标准体系内容

江苏公司在前期充分调研、实践、论证的基础上，首次将信息、通信专业进行了融合，既借鉴了电网安全性评价的的标准较为成熟的结构，又将信息专业作为前沿学科门类复杂、技术更新快的特点容纳在内，充分反映了电力信息通信安全体系中所有“颗粒”。《标准》根据能源局、国网公司近几年颁布的有关文件进行编写。相关参考文件主要有：《电力行业网络与信息安全管理办法》、《电力行业信息系统安全等级保护基本要求》、《国家电网公司十八项电网重大反事故措施》、《国家电网公司信息安全风险评估实施细则（试行）》、《国家电网公司安全事故调查规程》等。

《标准》总分2000分，共分为7大项，153小项：分别为安全管理体系、建设管理、调运检管理、信息系统安全防护、通信系统及设备、信息通信机房及电源设施以及应急管理。下面详细介绍各大项保护的内容。