信息安全等级保护标准在电力行业的应用

1 引言

电力信息系统不仅包括发电、输电、变电、配电、用电等环节的生产、调度与控制系统，还包括生产、营销等工作管理系统。此前，电力行业监管部门一直高度重视信息安全工作，于2005年颁发了《电力二次系统安全防护规定》(电监会5号令)[1]，后陆续制定了《电力二次系统安全防护总体方案》、《省级及以上调度中心二次系统安全防护方案》、《变电站二次系统安全防护方案》等。根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号文)[2]要求，电力行业作为首个行业单位率先组织开展信息安全等级保护工作。

在电力生产不同环节中的信息系统在部署环境、系统功能、安全保障需求中存在非常大的差异，电力行业在开展信息安全等级保护工作时，采取了谨慎的态度，在试点示范的基础上，持续挖掘电力系统自身的特点，逐渐形成了具有行业特色的信息安全等级保护需求。同时，国家公安部在《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429文)明确指出，重点行业信息系统主管部门可以按照《信息系统安全等级保护基本要求》[3]的具体指标，在不低于等级保护基本要求的情况下，结合系统安全保护的特殊需求，在有关部门指导下制定行业标准规范或细则，指导本行业信息系统安全建设整改工作。电力行业积极贯彻国家管理要求，在深入分析行业现状和特点的同时，研究国家信息安全等级保护相关标准和管理规范，制定《电力行业信息系统安全等级保护基本要求》(送审稿)[4]，并选择行业内具有代表性的信息系统，开展等级保护测评试点工作。

本文在综述电力行业信息系统安全等级保护基本要求的基础上，具体描述了电力行业在开展信息安全等级保护测评工作时，协调应用等级保护要求基本指标和行业特殊指标的测评方法。

2 电力行业信息安全等级保护标准综述

电力行业信息安全等级保护要求中贯彻巩固了电力行业信息安全工作成果，在总体要求部分提出了电力企业应划分不同安全分区、不同安全分区应具有不同安全防护要素的安全保护要求，并根据信息安全等级保护工作思路，总体要求由整体技术要求和通用管理要求组成。其中，整体技术要求中规定，电力生产企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区，生产控制大区可分为控制区和非控制区。并根据电力企业信息化工作管理要求，提出了不同安全保护等级的信息系统应成独立的安全域[5]、电力企业的互联网出口应归集统一、调度数据网上应实现纵向数据认证加密传输等具有行业特色的安全保护要求。

同时，电力行业根据电力行业信息系统特点以及电力行业信息系统安全防护的保障需求，将电力信息系统细分为管理信息系统类和生产控制系统两大类，并根据这两类系统的差异，在行业信息安全等级保护标准中对管理信息系统和生产控制系统分别提出了不同安全分区、不同安全防护等级、不同安全防护要点的信息系统等级保护要求。虽然电力行业针对不同类别的信息系统分别提出了具有一定差异的安全等级保护要求，但总的来说，行业要求是落实并强化国家信息安全等级保护要求。通过对国家标准和行业标准进行差异分析，可发现生产控制类系统和管理信息类系统的安全等级保护要求较国标中相应条款而言，存在的差异仅有落实、细化、加强、新增四种。并且电力行业信息安全等级保护要求中生产控制信息系统、管理信息系统的安全等级要求也具有逐渐加强的特点。

3 电力行业信息安全等级保护标准的应用

在电力行业信息安全等级保护测评中心组织的国家电网公司信息安全等级保护测评试点工作中，依据信息系统重要程度和使用范围、覆盖不同安全等级的原则，选取了具有代表性的二、三级管理信息系统共6个开展试点测评工作，被测评单位为网省级电力企业。

某电力企业财务(资金)管理信息系统为试点测评信息系统之一，安全保护等级为三级，具体安全级别为S2A3G3。该系