发电集团等级保护自测评实践分析.docxVIP

PAGE 1 PAGE 1 发电集团等级保护自测评实践分析  本文针对发电集团等级保护建设与测评工作中信息安全专业人才相对缺乏、IT人力资源成本不断走高等实际状况,对发电集团信息系统等级保护建设的自测评与差距分析阶段的实践状况进行论述并设计调研表,提出通过组织内部人员进行精细化自测评工作,将大大提高工作效率并节省各类资源,验证了合理高效的开展自测评工作将是奠定“安全服务自主化“基石的必要因素,并将切实有效推进等级保护工作的开展,促使信息安全整改工作常态化。  引言  信息安全等级保护是国家信息安全保障的基本方法。是维护国家信息安全的根本保障。目前。各大发电集团已依据公安部及国家电力监管委员会(以下简称电监会)的要求，如期开展了信息系统等级保护工作，旨在通过合理安排资源，规范信息系统安全建设与防护。  在发电集团等级保护的不断建设及测评试点工作中，信息安全的趋势是建立长效安全机制。等级保护专业测评工作。只是推动各单位信息安全工作PDCA(P一计划，D一执行，C一检查，A一行动)模式的政策依据。而信息安全整改工作常态化的根本，一方面要不断加强运维人员的专业水平，不断增加信息安全意识；另一方面，要规范化地推进自测评，并结合自测评的结果统一规划，客观对待已有的脆弱性并进行持续的改善建设。  1自测评和专业测评相结合的必要性  目前国内五大发电集团企业内的信息系统已渐渐由零散化向集中化发展，部分信息化水平较高的电厂已完成了DCS系统一体化整合工作。依据公安部2010年印发的《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》的要求，2012年底需要完成已定级信息系统安全建设与整改工作。并完成专业测评工作。以中国华能集团公司为例，所辖电厂的三级系统已超过90个，目前下属各单位均已完成了系统定级备案工作，并着手落实了整改和建设计划，力争通过积极的安全整改建设工作落实等级保护制度的各项要求。然而，大部分下属单位安全基础相对薄弱，未曾开展过针对系统安全性的测试，忽视了在定级与整改之间的关键环节，即对照等级保护的基本要求完成定级系统的自测评与差距分析的工作。使得整改建设面临较大困难。由此可见自测评的重要性。而行之有效的差距分析。是各单位制定整改方案的基础依据。  2010年公安部和国资委联合印发《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字70号)规定，由电监会负责指导电力行业的信息系统安全等级保护工作。就专业测评而言，电力行业现存3家测评机构，各测评机构专业测评工程师人数均为40人左右。若严格根据专业测评周期。逐家单位三级系统进行地毯式的细致摸排，则每个三级系统现场测评周期为15～20个人天。若扩展至整个专业测评过程，包含前期方案编制、分析与编制报告等工作。则单个三级系统测评周期为40个人天。以中国华能集团公司下属单位为例。专业测评人力资源投入将大于3000个人天。因此在专业测评人才相对缺乏、IT人力资源成本不断走高的电力行业等级保护建设工作中。自测评与专业测评相结合的方式共同校验等级保护合规性。也是势在必行。  随着电力行业信息化建设的大规模推进，目前各单位基本已设置了信息化专责，如网管专责、系统运维专责等。他们对自身单位的网络架构、业务系统应用等有着较为深刻的熟悉。因此需要在发电集团各下属单位中抽调2—3名专责工作人员开展等级保护专项培训。使运维人员在了解等级保护工作重要性的同时，熟识与把握自测评的基本流程与方法，使自查工作与等级测评工作有机结合。这样各单位的信息安全等级保护工作才能进入螺旋状上升的良性循环。  2合理高效地开展自测评工作  发电集团总部信息中心在对运维人员开展信息安全培训的同时，会引入相关的等级保护测评方法，考虑到集团各下属单位人员在应对突发故障时的自主恢复能力及专业安全检查工具使用合理性，自测评主要以访谈、检查为主，初级阶段暂不考虑开展推广专业测试工具。以中国华能集团公司下属各单位的DCS系统为例。结合发电行业信息系统的特性，就技术层面的物理安全、网络安全、主机安全、应用安全、数据安全绽开争论。下属各单位DCS系统应用厂商较为统一，系统主要为国内外几个知名厂商设计，服务器为集中选购，无过多定制开发内容，因此应用层面共性问题相当全都。若系统所涉及服务器未开展过加固工作，则均为默认配置，基本不存在个性安全性问题。故就合理高效的开展自测评工作而言，设计精细化、格式化的调研表格不可或缺，而各下属单位物理环境、网络环境的差异化建设，将会成为技术自查部分考察的重点。  依据《电力行业信息系统安全等级保护基本要求》，根据通用管理要求计算，共有158个测评项。针对三级系统的管理自测评，更应做到有的放矢。例如，应