1 引言
近年来,电力系统内部各组织共同建立起具有行业特点的信息安全技术防护体系和管理组织体系,信息安全保障能力建设有力支撑了电力系统信息化、自动化的发展。然而,随着信息安全工作的深入开展和电力系统内外部环境的不断变化,不同组织间信息安全工作水平存在差异的问题也逐渐显现出来。信息安全水平评价工作依据统一标准客观评价行业内各组织的信息安全工作水平,可通过比学赶帮,不断提高电力行业信息安全管理水平,促进行业整体网络与信息安全防护能力持续提升。
信息安全水平评价工作的开展,需要科学、全面、可操作、可量化的指标体系作为基础和保障,但当前行业内外学者提出的信息安全指标[1-2]并不能满足电力信息安全水平评价工作的需要。本文结合电力系统信息安全工作实际,系统的构建出电力信息安全水平评价指标体系,提出具体评价指标,阐明单个评价指标的量化方法和信息安全水平指数的计算方法。
2 评价指标体系框架
2.1 评价指标体系构建原则
为了能够客观、准确、全面的反映不同电力组织的信息安全工作水平,在确定指标体系时遵循了以下基本原则[3]:
1)科学性原则
从信息化及信息安全的基本理论和定义出发,选取能准确反应组织信息安全工作实际情况的指标,既要具有全面性、概括性、也应具有综合性和精确性。
2)可操作性原则
在考虑具有科学性的基础上,还要使选取的指标有据可依,指标应来源于国家、电力行业近年来在信息安全方面提出的规范、要求,同时指标也应支持方便的获取准确数据,以支撑评价结果的被客观量化。
3)可比性原则
水平评价的结果需要支持在横向上(电力行业不同组织间)和纵向上(同一组织的不同时期间)的比较与分析。
4)向导性原则
指标体系的设置应对行业信息安全工作起到正面的引导和向导作用。引导行业各组织重视信息安全工作,夯实信息安全工作基础,提升安全防护效果。
2.2 评价指标体系模型围绕组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控、信息系统建设安全管理、安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、信息系统运行安全管理、灾难恢复、应急管理,共15个方面构建电力信息安全水平评价指标体系,如图1所示。
图1 电力信息安全水平评价指标体系模型
从图1可见,电力信息安全水平评价指标体系模型包括三个部分:
1)信息安全管理基础。组织体系、规章制度、资金保障、人员安全管理、服务外包管控、关键信息资产管控是组织信息安全工作的基础内容,同时也为信息安全防护技术措施落实和建设运行安全管理提供基础性支持。
2)信息安全管理核心。信息系统建设安全管理、信息系统运行安全管理、应急管理是信息组织信息安全管理的核心内容。信息系统典型的生命周期包含规划设计、开发采购、实施交付、运行维护、废弃五个阶段,信息安全管理工作应贯穿信息系统的完整生命周期。
3)信息安全技术保障。安全分区防御、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理安全防护、灾难恢复是指标体系中提出的技术评价内容,与信息安全管理相一致,组织应在信息系统整个生命周期落实信息安全技术保障要求,提升组织网络和信息系统自身的安全保护能力。
在上述电力信息安全水平评价指标体系模型的建立基础上,可以分别对评价指标类细化具体评价指标,以达到对组织信息安全工作水平实施定量化、精细化、常态化评价的实践目的。
3 评价指标3.1 评价指标内容
根据图1描述的评价指标体系模型,依据《电力监管条例》(中华人民共和国国务院令第432号)、《电力行业网络与信息安全监督管理暂行规定》(电监信息[2007]50号)和国家有关标准规范[4-12],在15个信息安全评价类框架下,提出70个电力信息安全水平评价指标,共同构成信息安全水平评价指标体系。具体评价指标如表1所示。
表1 电力信息安全水平评价指标
指标类 | 指标项 | ||
标识 | 类名 | 项数 | 项名 |
ORG | 组织体系 | 5 | 信息安全组织建立,第一责任人确立,责任落实,专职机构及岗位设置,安全人员配置 |
REG | 规章制度 | 5 | 整体策略及总体方案制定,规章制度及体系完整性,操作规程制定,制度发布,管理体系认证 |
FUN | 资金保障 | 3 | 经费预算,安全建设经费投入,安全运维经费投入 |
PER | 人员安全管理 | 5 | 全员安全培训,全员保密协议签订,专业技能培训,人员审查,岗位调整管控 |
OSE | 服务外包管控 | 4 | 外包服务协议,第三方人员访问管理,远程服务管控,现场开发管控 |
ASS | 关键信息资产管控 | 3 | 资产清单,资产管理职责,信息系统基础资料归档 |
CON | 信息系统建设安全管理 | 8 | 上线安全测评,等级保护建设,等级保护测评开展情况,等级保护测评通过率,风险评估,产品采购和使用,核心产品采购测试,安全产品国产化情况 |
SDD | 安全分区防御 | 5 | 大区间隔离,生产控制大区内部逻辑隔离,纵向认证,跨区连接管控,内外网隔离 |
NET | 网络安全防护 | 6 | 生产控制大区防护,管理信息大区防护,互联网出口统一管理,互联网出口安全管控,无线网络安全应用,移动终端安全接入 |
HEQ | 主机和设备安全防护 | 5 | 补丁更新,恶意代码防护,系统加固,办公终端管控,主机和设备账号口令管理 |
ADA | 应用系统和数据安全防护 | 5 | 应用系统安全功能及配置,面向互联网服务系统安全监控和攻击防御,面向互联网服务系统周期性测试,应用系统帐号口令管理,重要数据安全保护 |
PEN | 物理安全防护 | 1 | 机房安全建设 |
OPE | 信息系统运行安全管理 | 5 | 日常维护,安全审计,补丁管理,移动介质管理,安全监测 |
REC | 灾难恢复 | 4 | 硬件冗余,系统和数据备份,异地灾备,恢复测试 |
EME | 应急管理 | 6 | 信息通报,应急预案制定,专项应急处置预案制定,应急演练,应急资源配备,事故调查 |