0引言
随着我国信息化应用的深入发展,信息技术和设备在各行各业中都得到了广泛应用。当前,借助信息化手段打造的智能化电网正在我国电力企业中发展壮大,电力企业已经基本上实现了信息化和自动化,而信息安全问题在信息化应用过程中也日趋突出。如果电力企业核心业务系统发生信息安全事件,势必会对电力系统的稳定运行造成影响,一旦电力系统瘫痪,就会给国家造成不可估量的经济损失,以及负面的社会影响。所以电力企业必须加强信息安全管理,国家层面及行业内部均出台了相关的信息安全管理要求,其目的都是确保各类重要信息系统的安全稳定运行。
1信息安全等级保护
1.1信息安全保护等级划分
依据国家标准《信息系统安全等级保护基本要求》(GB/T22239-2008),电力行业内部出台了《电力行业信息系统安全等级保护基本要求》(电监信息〔2012〕62号)。从相关标准中可知信息系统的安全保护等级主要有2个要素决定:一是系统受到破坏后所侵害到的客体范围,这里的客体主要包括公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全等。侵害客体范围越大,级别越高其保护等级也越高。二是系统受到破坏后对客体造成的损害程度,主要有三种认定,即一般损害、严重损害、特别严重损害。程度越深保护等级越高。根据定级要求,安全保护等级被分为以下5个等级。第一级:用户自主保护级的信息系统受到破坏,这可能会在一定程度上造成当事人和其所在的组织的利益受损,但是对于国家的安全、集体的利益以及社会稳定的发展并未造成较大的损伤。第二级:系统审计保护级的信息系统受到破坏,该情况可能会对当事人所在的组织与人民群众的切身利益受到较大程度的损失,同时也影响了集体的利益与社会的安定团结,但是并未对国家安全产生影响。第三级:安全标记保护级的信息系统受到破坏,在这种情况下集体利益和整个社会的安全稳定遭受到了重大程度上的损伤,此外该等级有着与系统审计保护级相类似的全部信息的保护功能,它在此基础上会强制对于系统检查并记录相关内容,主要监控和检查的是访问者与被访问的对象。第四级:结构化保护级的信息系统受到破坏,该情况可能会对人民群众的切身利益以及一些机构组织带来不利的影响,此外还对国家的安全、集体的利益以及整个社会的安定团结带来重大的损失。第五级:访问验证保护级的信息系统受到破坏,在这种情况下的国家安全将会受到极其恶劣和严重的影响。
1.2信息安全等级定级
(1)安全保护等级依据相应的政策与规定进行定级相应的政策与规定指的是《信息系统安全等级保护基本要求》的国家标准和《电力行业信息系统安全等级保护基本要求》的行业标准,在安全防护信息的过程中,诸如一些国家机关、重点的科研单位以及国防部等特殊机构的信息系统应当进行特殊的保护与相应的隔离。这些系统应该进行特别严格的对待,需要依据防护信息安全等级中的相应法律法规与政策的规定,从而对于系统进行监控和防护。
(2)安全保护等级依据需要保护的数据的价值进行定级依据需要被保护的信息类别与所存在价值的不同,进而设置出不同的防护安全等级。这样可以在保护信息安全的同时还能够最大程度降低所投入的运作。从信息安全保护等级的划分情况及电力企业的属地等级及重要程度来看,电力企业中各类业务信息系统的保护定级一般会在第二级到第四级之间。电力信息系统的安全等级防护及其要求的重点对象是防护信息系统等级在三级和三级以上的系统,其实质主要是监督检查级与强制监督检查级。
2电力信息系统的安全等级防护及其要求
安全等级防护主要具备以下几个作用:一是帮助企业有效地防止外部势力和企业内部人员对系统造成破坏;二是针对安全事件进行性质审查和等级确认;三是帮助企业抵制所面对的可能会破坏系统的行为;四是对于违法违规的行为能够进行审核和追查。电力信息系统安全等级防护及其要求涉及了电力生产控制系统和管理信息系统,但重点则是以电力生产控制系统的安全防护为主,如若电力生产控制系统遭受攻击,将引发电网事故。所以电力企业在电力生产控制系统的规划、设计、建设阶段就要加强安全防护审核,新建或改造系统投运前需通过安全等保测评。系统投运后需将安全防护纳入日常运行监视和管理范围,建立专项应急机制和预案,当发生信息安全事件时,采取应急防护措施,防止事态扩大。
3信息安全等级保护的方式
信息安全等级保护的方式主要有以下三方面:
3.1物理安全保护方面
物理安全保护主要从系统运行环境进行安全管理控制:对主机房等设备运行环境进行安全防范管理。利用较为先进的技术和设备实现对重要信息设备进行不间断电源、防尘、防震、防火、防盗、防雷、防静电、温湿度控制、电磁屏蔽防护、数据备份及防泄露等方面的防护,确保各类信息设备的安全稳定运行。由此可看出,物理安全保护的目标就是为信息系统设备提供安全稳定的运行环境。
3.2主机安全保护方面
主机安全保护主要从主机安全运行进行安全管理配置:主要对主机中运行的操作系统、数据库、中间件及其它应用系统的安全运行进行配置管理。具体要求主要有身份鉴别、访问控制、安全审计、安全标记、剩余信息保护、入侵防范、恶意代码防范、可信路径、资源控制等安全配置要求。主机作为承载信息系统的主体,也是信息系统安全保护的主体。
3.3网络安全保护方面
网络安全保护主要对网络设备及网络通信(访问)进行安全管理:主要通过对网络结构、访问控制、安全审计、边界安全管理、入侵防范、恶意代码防范、网络设备安全配置等安全管理审查项进行全面审查,从而确保信息网络的安全可靠运行。
4电力信息系统等级保护策略
电力企业信息系统安全等级保护工作关系着电力系统的安全稳定运行,加强信息系统安全等级保护是电力企业信息管理工作的工作重点,主要有以下几项关键点,通过相关保护措施、策略加强信息安全等级保护工作:
4.1信息系统分级统一保护措施
电力企业拥有各种不同业务功能的业务系统,这此信息系统大多分属于第二级到第四级的安全级别,不同的安全级别其安全要求和保护强度都不相同,这就要求电力企业在每个信息系统新建时便根据信息系统分级划分标准进行等级保护定级。根据各个信息系统的定级情况,将同等级信息系统纳入相同的安全管理区域进行统一管理,确保各个信息系统都能全面按照相应等级保护要求进行安全管控,从而有效提升各信息系统的安全管理水平。
4.2信息安全定期检查及应急演练
这里的检查不仅指上级单位的安全检查,还包括信息系统运营单位的安全自查。对于不同安全等级保护措施的信息系统,需要根据等级保护的管理规范进行检查评估,一旦发现问题立马进行整改,从本质上加固信息系统安全配置,提升信息系统安全防护水平。对于不同等级的信息系统,应制定不同时间段的定期检查计划及应急演练计划,通过应急演练模拟突发安全事件时信息系统可能发生的各类安全问题,信息系统管理人员按照应急预案开展应急处置,以此验证应急预案的正确性,并提升信息系统管理人员的应急处置能力,进而确保信息系统在发生安全事件时,能够在最短时间内将事件影响降低到尽可能小的范围内。
4.3信息安全保障体系的建立与落实
通过信息安全保障体系的建设可以用来提高源于人、管理以及技术三方面所形成的预防能力、防护能力等各类提升系统安全的能力,可以使信息系统安全管控作业实现规范化、标准化和常态化的管理,实现对信息系统的安全属性、功能应用以及服务效率上开展动态保护,所谓安全属性指的是信息系统和它的基础网络的真实可用性、完整保密性等安全属性。通过信息安全保障体系的落实,使信息系统安全管理工作以更加具体的作业操作方式呈现,从而使信息安全管理工作更加具体化,在确保信息系统安全稳定运行的同时促进了电力企业对信息安全作业的管控。
参考文献
[1]朱世顺.电力生产控制系统信息安全等级保护研究[J].电力信息化,2012.
[2]李冬.浅谈企业信息安全等级保护工作[J].网络安全技术与应用,2013.
作者:吴秋玫 丁东 车勇波 杨鸥 单位:云南电网有限责任公司普洱供电局
相关专题:中国航天科技集团公司 山西老区职业技术学院
