引言
信息安全等級(jí)保護(hù)是國(guó)家信息安全保障的基本方法。是維護(hù)國(guó)家信息安全的根本保障。目前。各大發(fā)電集團(tuán)已根據(jù)公安部及國(guó)家電力監(jiān)管委員會(huì)(以下簡(jiǎn)稱電監(jiān)會(huì))的要求,如期開(kāi)展了信息系統(tǒng)等級(jí)保護(hù)工作,旨在通過(guò)合理分配資源,規(guī)范信息系統(tǒng)安全建設(shè)與防護(hù)。
在發(fā)電集團(tuán)等級(jí)保護(hù)的不斷建設(shè)及測(cè)評(píng)試點(diǎn)工作中,信息安全的趨勢(shì)是建立長(zhǎng)效安全機(jī)制。等級(jí)保護(hù)專業(yè)測(cè)評(píng)工作。只是推動(dòng)各單位信息安全工作PDCA(P一計(jì)劃,D一執(zhí)行,C一檢查,A一行動(dòng))模式的政策依據(jù)。而信息安全整改工作常態(tài)化的根本,一方面要不斷加強(qiáng)運(yùn)維人員的專業(yè)水平,不斷增強(qiáng)信息安全意識(shí);另一方面,要規(guī)范化地推進(jìn)自測(cè)評(píng),并結(jié)合自測(cè)評(píng)的結(jié)果統(tǒng)一規(guī)劃,客觀對(duì)待已有的脆弱性并進(jìn)行持續(xù)的改善建設(shè)。
1 自測(cè)評(píng)和專業(yè)測(cè)評(píng)相結(jié)合的必要性
目前國(guó)內(nèi)五大發(fā)電集團(tuán)企業(yè)內(nèi)的信息系統(tǒng)已逐漸由零散化向集中化發(fā)展,部分信息化水平較高的電廠已完成了DCS系統(tǒng)一體化整合工作。根據(jù)公安部2010年印發(fā)的《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知》的要求,2012年底需要完成已定級(jí)信息系統(tǒng)安全建設(shè)與整改工作。并完成專業(yè)測(cè)評(píng)工作。以中國(guó)華能集團(tuán)公司為例,所轄電廠的三級(jí)系統(tǒng)已超過(guò)90個(gè),目前下屬各單位均已完成了系統(tǒng)定級(jí)備案工作,并著手落實(shí)了整改和建設(shè)計(jì)劃,力爭(zhēng)通過(guò)積極的安全整改建設(shè)工作落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求。然而,大部分下屬單位安全基礎(chǔ)相對(duì)薄弱,未曾開(kāi)展過(guò)針對(duì)系統(tǒng)安全性的測(cè)試,忽略了在定級(jí)與整改之間的關(guān)鍵環(huán)節(jié),即對(duì)照等級(jí)保護(hù)的基本要求完成定級(jí)系統(tǒng)的自測(cè)評(píng)與差距分析的工作。使得整改建設(shè)面臨較大困難。由此可見(jiàn)自測(cè)評(píng)的重要性。而行之有效的差距分析。是各單位制定整改方案的基礎(chǔ)依據(jù)。
2010年公安部和國(guó)資委聯(lián)合印發(fā)《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級(jí)保護(hù)工作的通知》(公通字[2010]70號(hào))規(guī)定,由電監(jiān)會(huì)負(fù)責(zé)指導(dǎo)電力行業(yè)的信息系統(tǒng)安全等級(jí)保護(hù)工作。就專業(yè)測(cè)評(píng)而言,電力行業(yè)現(xiàn)存3家測(cè)評(píng)機(jī)構(gòu),各測(cè)評(píng)機(jī)構(gòu)專業(yè)測(cè)評(píng)工程師人數(shù)均為40人左右。若嚴(yán)格按照專業(yè)測(cè)評(píng)周期。逐家單位三級(jí)系統(tǒng)進(jìn)行地毯式的細(xì)致摸排,則每個(gè)三級(jí)系統(tǒng)現(xiàn)場(chǎng)測(cè)評(píng)周期為15~20個(gè)人天。若擴(kuò)展至整個(gè)專業(yè)測(cè)評(píng)過(guò)程,包含前期方案編制、分析與編制報(bào)告等工作。則單個(gè)三級(jí)系統(tǒng)測(cè)評(píng)周期為40個(gè)人天。以中國(guó)華能集團(tuán)公司下屬單位為例。專業(yè)測(cè)評(píng)人力資源投入將大于3 000個(gè)人天。因此在專業(yè)測(cè)評(píng)人才相對(duì)缺乏、IT人力資源成本不斷走高的電力行業(yè)等級(jí)保護(hù)建設(shè)工作中。自測(cè)評(píng)與專業(yè)測(cè)評(píng)相結(jié)合的方式共同校驗(yàn)等級(jí)保護(hù)合規(guī)性。也是勢(shì)在必行。
隨著電力行業(yè)信息化建設(shè)的大規(guī)模推進(jìn),目前各單位基本已設(shè)置了信息化專責(zé),如網(wǎng)管專責(zé)、系統(tǒng)運(yùn)維專責(zé)等。他們對(duì)自身單位的網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)系統(tǒng)應(yīng)用等有著較為深刻的認(rèn)識(shí)。因此需要在發(fā)電集團(tuán)各下屬單位中抽調(diào)2—3名專責(zé)工作人員開(kāi)展等級(jí)保護(hù)專項(xiàng)培訓(xùn)。使運(yùn)維人員在了解等級(jí)保護(hù)工作重要性的同時(shí),熟悉與掌握自測(cè)評(píng)的基本流程與方法,使自查工作與等級(jí)測(cè)評(píng)工作有機(jī)結(jié)合。這樣各單位的信息安全等級(jí)保護(hù)工作才能進(jìn)入螺旋狀上升的良性循環(huán)。
2 合理高效地開(kāi)展自測(cè)評(píng)工作
發(fā)電集團(tuán)總部信息中心在對(duì)運(yùn)維人員開(kāi)展信息安全培訓(xùn)的同時(shí),會(huì)引入相關(guān)的等級(jí)保護(hù)測(cè)評(píng)方法,考慮到集團(tuán)各下屬單位人員在應(yīng)對(duì)突發(fā)故障時(shí)的自主恢復(fù)能力及專業(yè)安全檢查工具使用合理性,自測(cè)評(píng)主要以訪談、檢查為主,初級(jí)階段暫不考慮開(kāi)展推廣專業(yè)測(cè)試工具。以中國(guó)華能集團(tuán)公司下屬各單位的DCS系統(tǒng)為例。結(jié)合發(fā)電行業(yè)信息系統(tǒng)的特性,就技術(shù)層面的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全展開(kāi)討論。下屬各單位DCS系統(tǒng)應(yīng)用廠商較為統(tǒng)一,系統(tǒng)主要為國(guó)內(nèi)外幾個(gè)知名廠商設(shè)計(jì),服務(wù)器為集中采購(gòu),無(wú)過(guò)多定制開(kāi)發(fā)內(nèi)容,因此應(yīng)用層面共性問(wèn)題相當(dāng)一致。若系統(tǒng)所涉及服務(wù)器未開(kāi)展過(guò)加固工作,則均為默認(rèn)配置,基本不存在個(gè)性安全性問(wèn)題。故就合理高效的開(kāi)展自測(cè)評(píng)工作而言,設(shè)計(jì)精細(xì)化、格式化的調(diào)研表格不可或缺,而各下屬單位物理環(huán)境、網(wǎng)絡(luò)環(huán)境的差異化建設(shè),將會(huì)成為技術(shù)自查部分考察的重點(diǎn)。
根據(jù)《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,按照通用管理要求計(jì)算,共有158個(gè)測(cè)評(píng)項(xiàng)。針對(duì)三級(jí)系統(tǒng)的管理自測(cè)評(píng),更應(yīng)做到有的放矢。例如,應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等;應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)人員錄用等測(cè)評(píng)指標(biāo)項(xiàng)。人員雖是安全管理的基礎(chǔ),但在發(fā)電集團(tuán)完善的體系架構(gòu)下,基本不會(huì)出現(xiàn)不符合或部分符合的情況,建議納入專業(yè)測(cè)評(píng)的合規(guī)檢查中。但就自測(cè)評(píng)而言,旨在精益求精,一針見(jiàn)血,因此自測(cè)評(píng)表格的設(shè)計(jì),在指標(biāo)量化方面,可以適當(dāng)孤立對(duì)待。在運(yùn)維人員填寫自測(cè)評(píng)表格的過(guò)程中,信息系統(tǒng)與安全基線偏離程度最高比例在自測(cè)評(píng)報(bào)告中體現(xiàn)。則是自測(cè)評(píng)的精髓之所在。
3 自測(cè)評(píng)調(diào)研表單的設(shè)計(jì)
設(shè)計(jì)自測(cè)評(píng)調(diào)研表單的目的是為了利用標(biāo)準(zhǔn)化、格式化的調(diào)研表格,在快速、實(shí)用地了解各單位信息系統(tǒng)建設(shè)情況的同時(shí),針對(duì)共性安全問(wèn)題進(jìn)行確認(rèn),也為在等級(jí)保護(hù)專業(yè)測(cè)評(píng)時(shí)所要面對(duì)的個(gè)性問(wèn)題提供實(shí)用性較強(qiáng)的現(xiàn)實(shí)依據(jù)。發(fā)電集團(tuán)總部信息中心還可以將調(diào)研表單進(jìn)行技術(shù)衍生,形成督察版調(diào)研表。引入定期安全督導(dǎo)機(jī)制,遠(yuǎn)程對(duì)各單位等級(jí)保護(hù)整改情況進(jìn)行及時(shí)的評(píng)價(jià)。
以某電廠DCS系統(tǒng)的網(wǎng)絡(luò)安全為例。簡(jiǎn)單設(shè)計(jì)了自測(cè)評(píng)調(diào)研表格樣例(見(jiàn)表1)。通過(guò)專業(yè)信息安全人員對(duì)3~5個(gè)代表性電廠的DCS系統(tǒng)調(diào)研,可將應(yīng)用安全、主機(jī)安全、數(shù)據(jù)備份及存儲(chǔ)的大部分共性問(wèn)題進(jìn)行整合:針對(duì)安全管理?蓪⒃158個(gè)檢查項(xiàng)縮減至50個(gè)關(guān)鍵點(diǎn)之內(nèi)。若原有單位DCS系統(tǒng)定級(jí)為S3A3G3。則專業(yè)測(cè)評(píng)項(xiàng)共為327個(gè)。而自測(cè)評(píng)工作僅需勾選不超過(guò)100個(gè)調(diào)研項(xiàng),或?qū)⑸宰鲅a(bǔ)充,即可達(dá)到預(yù)期效果。同時(shí),自測(cè)評(píng)調(diào)研表設(shè)計(jì)言簡(jiǎn)意賅。也降低了等級(jí)保護(hù)測(cè)評(píng)工作的門檻。
表1 發(fā)電集團(tuán)信息系統(tǒng)等級(jí)保護(hù)自謝評(píng)調(diào)研表
4 結(jié)語(yǔ)
結(jié)合發(fā)電集團(tuán)信息化建設(shè)的實(shí)際情況,等級(jí)保護(hù)自測(cè)評(píng)工作必然會(huì)是伴隨著信息系統(tǒng)生命周期的一個(gè)不斷循序漸進(jìn)的過(guò)程。通過(guò)組織內(nèi)部人員進(jìn)行精細(xì)化自測(cè)評(píng)工作,就眼前利益而言,大大提高了專業(yè)測(cè)評(píng)效率。節(jié)約了各類資源;從長(zhǎng)遠(yuǎn)角度來(lái)看,運(yùn)維人員通過(guò)自測(cè)評(píng)工作,將安全建設(shè)整改工作常態(tài)化穩(wěn)步推進(jìn)的同時(shí)。必將使決策者逐漸深刻理解信息安全防護(hù)的實(shí)際意義,更是從實(shí)際出發(fā)推動(dòng)等級(jí)保護(hù)制度盡快建立和實(shí)施的有效手段。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:發(fā)電集團(tuán)等級(jí)保護(hù)自測(cè)評(píng)實(shí)踐分析
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083935045.html