浅谈信息安全等级保护在电力信息系统中的应用.docVIP

精品论文 参考文献 浅谈信息安全等级保护在电力信息系统中的应用 樊博 杨静 王西海 　　（国网山东郓城县供电公司 山东郓城 274700） 　　摘要：电力系统安全防护是一个重大的任务，它涉及到国家的安全，如果一旦发生大面积停电事故，就可能导致很大的经济损失，甚至会影响国家安全或者社会稳定，所以说加强电力信息系统的安全等级保护势在必行。本文首先对信息安全等级保护做了概述，然后分析了电力行业实施信息安全等级保护制度的原则，最后详细阐述了信息安全等级保护在电力信息系统中的应用。 　　关键词：信息安全；等级保护；电力信息系统；管理；网络安全 　　一、信息安全等级保护概述 　　（一）信息安全保护等级的划分 　　对信息系统安全保护等级的主要影响因子有 2 个：一是其在国家发展进程中的重要性；二是一旦被故意或者偶然损坏后对这个国家经济与社会发展的危害程度。这个等级往往分为下面 5 个等级： 　　第一级：用户自主保护级信息系统遭受破坏，它可能会影响到当事人以及其所在组织一定程度地利益损失，然而对整个社会发展的稳定、集体的利益或者国家的安全都没有很大的损伤。这种信息系统的重要性和所采取的安全防护措施都根据用户自己来决定。 　　第二级：系统审计保护级信息系统遭受破坏，这种情况的发生会对所在组织机构和当地人民群众利益遭受程度较大的危害，也会影响到社会的稳定和集体的利益，然而对国家安全无影响。 　　第三级：安全标记保护级信息系统遭受破坏，这种情况的发生会对整个社会的稳定以及集体造成影响重大的损伤，也会对国家安全产生很大威胁。这个等级同时有着系统审计保护级的全部信息保护功能，在这个基础上它也会强制对系统进行监查并记录全部内容，主要监控的是访问者以及所访问的对象。 　　第四级：结构化保护级遭到破坏，这种情况的发生会使得相关组织机构以及人民群众利益受到巨大的损伤，同时对整个社会的稳定和集体的利益以及国家安全产生了特别重大的危害。 　　第五级：访问验证保护级信息系统遭受破坏，这种情况的发生会使得国家安全受到极其严重的危害。此级别具有上面几个所有级别的功能，同时对系统设置访问验证保护，这样做不仅可以记录访问者以及该访问者对系统的访问历史，另外对访问者的访问权限进行设定，最大限度保证信息安全不泄露。 　　（二）信息安全等级的划分 　　1、按相关政策规定划分安全保护等级 　　在进行信息安全保护时，有一些需要特殊保护和隔离的信息系统，比方说国防部、国家机关或者重点科研机构等特殊机构的信息系统。针对这种系统，要特别严格，根据有关的信息安全等级保护的相关政策等法律法规的要求，对其系统进行防护。 　　2、按照保护数据的价值划分保护等级 　　针对被保护的信息的类别及价值的不同,设置不同的安全保护等级.这样做是为了在保护信息安全的同时最大限度减小其运作的投入。 　　二、电力行业实施信息安全等级保护制度的原则 　　电力行业实施信息安全等级保护制度应该遵循以下基本原则： 　　（一）明确责任，共同保护 　　通过等级保护，组织和动员电力行业各企业和单位共同参与信息安全保护工作；各方主体按照等级保护的规范和标准分别承担相应的、明确具体的信息安全保护责任。 　　（二）依照标准，自行保护 　　电力行业和企业和单位应运用国家强制性的规范及标准，要求信息和信息系统按照相应的建设和管理要求，自行定级、自行保护。 　　（三）同步建设，动态调整 　　信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级。 等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。 　　（四）指导监督，重点保护 　　电力行业和企业和单位应通过国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式，对重要信息和信息系统的信息安全保护工作进行指导监督。 　　三、信息安全等级保护在电力信息系统中的应用 　　（一）管理方面 　　等级保护管理建设包括的内容非常多，很多单位经过多年的建设已经形成了较为完善的管理体系，比较容易满足等级保护的要求。易出现不符合项的主要有以下方面：管理制度的评审和修订不及时；人员离岗后相应系统权限、各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等撤销或收回不及时；关键岗位的人员未签署保密协议；外部人员管控不到位；介质的分类、维修和销毁等管理不完善。 　　其中，特别需要引起重视的是对内部员工和外部研发及技术支持人员的管控，这些人员往往接触和掌握公司大量敏感信息，对公司资产造成的威胁最大。除了加强安全教育外，还应签署保密协议，从法律上对可能出现的违约行为加以限制和威慑。 　　（二）物理环