1 引言
电力信息系统不仅包括发电、输电、变电、配电、用电等环节的生产、调度与控制系统,还包括生产、营销等工作管理系统。此前,电力行业监管部门一直高度重视信息安全工作,于2005年颁发了《电力二次系统安全防护规定》(电监会5号令)[1],后陆续制定了《电力二次系统安全防护总体方案》、《省级及以上调度中心二次系统安全防护方案》、《变电站二次系统安全防护方案》等。根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号文)[2]要求,电力行业作为首个行业单位率先组织开展信息安全等级保护工作。
在电力生产不同环节中的信息系统在部署环境、系统功能、安全保障需求中存在非常大的差异,电力行业在开展信息安全等级保护工作时,采取了谨慎的态度,在试点示范的基础上,持续挖掘电力系统自身的特点,逐渐形成了具有行业特色的信息安全等级保护需求。同时,国家公安部在《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429文)明确指出,重点行业信息系统主管部门可以按照《信息系统安全等级保护基本要求》[3]的具体指标,在不低于等级保护基本要求的情况下,结合系统安全保护的特殊需求,在有关部门指导下制定行业标准规范或细则,指导本行业信息系统安全建设整改工作。电力行业积极贯彻国家管理要求,在深入分析行业现状和特点的同时,研究国家信息安全等级保护相关标准和管理规范,制定《电力行业信息系统安全等级保护基本要求》(送审稿)[4],并选择行业内具有代表性的信息系统,开展等级保护测评试点工作。
本文在综述电力行业信息系统安全等级保护基本要求的基础上,具体描述了电力行业在开展信息安全等级保护测评工作时,协调应用等级保护要求基本指标和行业特殊指标的测评方法。
2 电力行业信息安全等级保护标准综述
电力行业信息安全等级保护要求中贯彻巩固了电力行业信息安全工作成果,在总体要求部分提出了电力企业应划分不同安全分区、不同安全分区应具有不同安全防护要素的安全保护要求,并根据信息安全等级保护工作思路,总体要求由整体技术要求和通用管理要求组成。其中,整体技术要求中规定,电力生产企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区,生产控制大区可分为控制区和非控制区。并根据电力企业信息化工作管理要求,提出了不同安全保护等级的信息系统应成独立的安全域[5]、电力企业的互联网出口应归集统一、调度数据网上应实现纵向数据认证加密传输等具有行业特色的安全保护要求。
同时,电力行业根据电力行业信息系统特点以及电力行业信息系统安全防护的保障需求,将电力信息系统细分为管理信息系统类和生产控制系统两大类,并根据这两类系统的差异,在行业信息安全等级保护标准中对管理信息系统和生产控制系统分别提出了不同安全分区、不同安全防护等级、不同安全防护要点的信息系统等级保护要求。虽然电力行业针对不同类别的信息系统分别提出了具有一定差异的安全等级保护要求,但总的来说,行业要求是落实并强化国家信息安全等级保护要求。通过对国家标准和行业标准进行差异分析,可发现生产控制类系统和管理信息类系统的安全等级保护要求较国标中相应条款而言,存在的差异仅有落实、细化、加强、新增四种。并且电力行业信息安全等级保护要求中生产控制信息系统、管理信息系统的安全等级要求也具有逐渐加强的特点。
3 电力行业信息安全等级保护标准的应用在电力行业信息安全等级保护测评中心组织的国家电网公司信息安全等级保护测评试点工作中,依据信息系统重要程度和使用范围、覆盖不同安全等级的原则,选取了具有代表性的二、三级管理信息系统共6个开展试点测评工作,被测评单位为网省级电力企业。
某电力企业财务(资金)管理信息系统为试点测评信息系统之一,安全保护等级为三级,具体安全级别为S2A3G3。该系统包括财务应用相关的各系统,主要功能包括预算管理、核算管理、资金管理、电子支付等。
3.1 等级保护测评工作中测评指标的选取
开展电力企业信息安全等级保护测评工作时,一般来说,测评指标包括基本指标和特殊指标两部分。基本指标依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级,选择国家标准《信息系统安全等级保护基本要求》中对应级别的安全要求作为等级测评的基本指标。基本指标的指标类别和数量见表3-1。
测评指标 | |||||
技术/管理 | 安全类 | 数量 | |||
S类 | A类 | G类 | 小计 | ||
(2级) | (3级) | (3级) | |||
安全技术 | 物理安全 | 1 | 4 | 25 | 30 |
网络安全 | 1 | 0 | 31 | 32 | |
主机安全 | 9 | 5 | 12 | 26 | |
应用安全 | 11 | 9 | 6 | 26 | |
数据安全 | 2 | 4 | 0 | 6 | |
安全理 | 安全管理制度 | 0 | 0 | 11 | 11 |
安全管理机构 | 0 | 0 | 20 | 20 | |
人员安全管理 | 0 | 0 | 16 | 16 | |
系统建设管理 | 0 | 0 | 45 | 45 | |
系统运维管理 | 0 | 0 | 62 | 62 | |
合 计 | 274(控制点) |
表3-1 基本指标
同时,应结合行业和系统的实际,依据信息系统确定的业务信息安全保护等级和系统服务安全保护等级,选择《电力行业信息系统安全等级保护基本要求》中对应级别的安全要求作为本次等级测评的特殊指标。特殊指标的指标类别和数量见表3-2。
测评指标 | |||||
技术/管理 | 安全类 | 数量 | |||
S类 | A类 | G类 | 小计 | ||
(2级) | (3级) | (3级) | |||
安全技术 | 物理安全 | 1 | 4 | 25 | 30 |
网络安全 | 1 | 0 | 37 | 38 | |
主机安全 | 9 | 5 | 12 | 26 | |
应用安全 | 11 | 9 | 6 | 26 | |
数据安全 | 2 | 3 | 0 | 5 | |
安全管理 | 安全管理制度 | 0 | 0 | 11 | 11 |
安全管理机构 | 0 | 0 | 20 | 20 | |
人员安全管理 | 0 | 0 | 16 | 16 | |
系统建设管理 | 0 | 0 | 45 | 45 | |
系统运维管理 | 0 | 0 | 62 | 62 | |
合 计 | 279(控制点) |
表3-2 特殊指标
此外,还有总体要求指标。《电力行业信息系统安全等级保护基本要求》(送审稿)中管理信息系统类和生产控制类系统总体要求均由整体技术要求和通用管理要求组成,如管理信息类系统整体技术要求规定:管理信息大区网络与生产控制大区网络应物理隔离;两网之间有信息通信交换时应部署符合电力系统要求的单向隔离装置;管理信息大区网络可进一步划分为内部网络和外部网络,两网之间有信息通信交换时防护强度应强于逻辑隔离;具有层次网络结构的单位可统一提供互联网出口;二级系统统一成域,三级系统单独成域;三级系统域由独立子网承载,每个域有唯一网络出口,可在网络出口处部署三级等级保护专用装置为系统提供整体安全防护。通用管理要求规定:如果本单位管理信息大区仅有一级信息系统时,通用管理要求等同采用一级;如果本单位管理信息大区含有二级及以下等级信息系统时,通用管理要求等同采用二级;如果本单位管理信息大区含有三级及以下等级信息系统时,通用管理要求等同采用三级。
3.2等级保护测评工作中测评指标的应用
在信息安全等级保护试点测评工作中,由于被评估单位信息资产种类、数量多,在一段时间内不可能逐一进行全面检测,三级系统的检测采用抽样方法进行,其目的是确定技术脆弱性检测的重点对象和目标。抽样检测的对象和目标必须要能代表信息系统的安全现状,否则评估结果就会偏离实际情况。试点测评工作中,对电力企业的电力财务(资金)管理系统资产抽样时遵循了典型性、全面性两原则。典型性原则即对同一应用中软件配置完全相同的资产抽样部分资产,全面性原则即对财务(资金)管理系统中每一类资产都要抽样。
根据选取的指标项以及系统测评对象选取结果,在前期系统调研的成果上,现场需要开发作业指导书以及编制实施方案。在测评工作中,通过测评以及核查的结果综合分析可给出系统面临的风险,并在安全技术测试和安全管理核查的基础上,根据系统的特点,发现和分析安全控制间、层面间以及区域间的相互关联关系,以及安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及系统整体结构安全性、不同系统之间整体安全性等,最终给出改进建议。
总体要求测评时,可分别从技术和管理的角度进行测评。进行整体技术要求测评工作时,通过查看和核实网络拓扑图、人员访谈等方法,了解到电力公司信息网络分为管理信息大区和生产管理大区,两大区之间有信息通信交换的需求,因此采用了正/反向隔离装置,以满足管理信息大区至生产管理大区、生产管理大区至管理信息大区之间的数据交换需求。根据公司信息系统安全防护总体方案要求,公司管理信息大区又分为信息内网和信息外网,两网之间采用强逻辑隔离装置,且双网隔离方案已实施。电力企业财务管理信息系统重要应用部署在内网,有外网交互功能的应用将前端署在外网,关键数据处理部分部署在内网。电力公司信息内网采用冗余技术设计网络结构,并且单个系统由独立子网承载,单独划分安全域,每个域的网络出口唯一。系统与系统之间、二级单位与本部之间均部署了防火墙,启用了访问控制功能。进行通用管理要求测评工作时,由于电力公司管理信息大区含三级及以下等级信息系统,所以确定通用管理要求等同采用三级。
应用基本指标和特殊指标进行测评时,一般是按照测评项一条一条分别进行测评的。具体可采取的测评方式有:使用问卷调查表,对通信系统进行初步的系统调研,掌握系统的主要功能和业务流程。调阅定级报告,详细了解评估范围内的二次系统及其包含的信息资产,为下一步测评指标的选取做好准备;在用户许可的情况下,对通信系统的关键设备和关键系统进行安全漏洞扫描、手工配置检查等安全技术测试,对网络拓扑结构进行合理性分析,对应用系统进行安全性分析,发现和分析系统安全技术方面所面临的风险;采用安全核查表的形式从管理层面和技术规范执行角度,对通信系统进行现场的安全管理核查,了解到包括人的因素在内的系统运行状况。通过对核查结果的分析,发现和分析系统安全管理方面所面临的风险。根据不同的测评方式、测评内容等,执行现场测评后,会得到多个测评证据。对多个测评证据需进行单项结果判定、单元测评结果判定,最终进行整体测评。
4 结论
本文介绍了电力行业信息安全工作和信息安全等级保护工作的开展情况,对国家信息安全等级保护基本要求和电力行业信息安全等级保护基本要求进行了差异比较。在电力行业开展信息安全等级保护试点测评工作的背景下,本文描述了协调应用等级保护要求基本指标和行业特殊指标的测评方法以及具有电力系统特色的总体要求的测评方法。电力行业信息安全等级保护试点测评工作范围逐渐扩大,各电力企业之间存在一定的差异和差距,等级保护试点工作的开展较大程度上的推动了电力行业信息安全工作的进展,同时由于智能电网等新技术的应用,电力信息系统的自动化、互动化、信息化特征越来越明显,这些都将对电力行业等级保护测评工作的测评方法提出更大的挑战。