论文部分内容阅读
摘要:随着科技信息技术的发展和电力行业信息化建设的快速推进,信息安全等级保护逐渐在电力行业的生产、运行、客户服务、企业管理等领域广泛引起重视,对其进行研究和分析具有十分重要的理论和现实意义,有待于电力行业信息化规划、建设和运维人员进一步思考与探索,并在研究和实践中不断强化提升。如何有效做好电网信息安全等级保护政策,合理利用新技术,切实保障电网企业网络和信息系统的安全运行,是电网企业信息化发展过程中的迫切需要思考的问题。
关键词:电力;信息系统;安全;等级保护
前言
随着科学技术的飞速发展和人们生活水平的不断提高,计算机信息化在我国的各行各业都得到广发的应用。当前人们逐渐对高安全级信息保护技术要求也引起了重视起来,企业也在对信息安全保护水平的要求不断提高。各行业都建立了自己的信息系统以支持相关业务的开展,这些系统的运行状况在各个层面不同程度地影响着企业或行业乃至整个社会的发展。 因此,对于信息系统的等级保护工作也变得越发重要。 信息安全等级保护是指对国家安全、法人和其它组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置等,在系统的建设过程中,我们不但要关心系统所面臨的安全风险,还要加强等级的安全保护。
1信息系统安全工作重要性
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
计算机在日趋进步的现代化生活中,愈来愈占据着日常生活和工作中不可或缺的地位。计算机系统内部的数据也显得尤为重要。加强信息系统安全工作这一内容不可忽视。除了外部网络环境中各类病毒、黑客等不安全因素可以对计算机系统内部做出干扰和破坏,内部维护和使用人员在工作中的操作不当和不规范使用,同样可以导致计算机系统内部数据的混乱和丢失。诸如这类或那样的问题,计算机系统不能正常运行会严重影响人们的生活和工作,为人们带来不便。反之,加强对计算机信息系统安全的保护工作可以更好的方便人们的工作和生活,将人们生活和工作质量提上更高的一层。
2 信息安全等级保护
信息系统等级保护制度是我国信息安全领域一项重要政策,信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。根据信息系统实用业务重要程度及其安全实际需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全稳定运行,维护国家利益、公共利益和社会稳定,等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度,保障重要信息资源和重要信息系统的安全。
2.1 等级保护定级
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度,其中等级保护对象受到破坏时所侵害的客体包括三方面:公民、法人和其他组织的合法权益,社会秩序、公民利益,国家安全。等级保护对象受到破坏后对客体造成侵害的程度分为三种:一般损害,严重损害,特别严重损害。
2.2 基本要求与主要流程
等级保护的基本要求是:各基础信息网络和重要信息系统,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。等级保护的主要流程包括 6 项内容。
(1)自主定级与审批:信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
(2)评审:在信息系统确定安全保护等级过程中,可以组织专家进行评审。对拟确定为第 4 级以上信息系统的,运营使用单位或主管部门应当邀请国家信息安全等级专家评审委员会评审。
(3)备案:第 2 级以上信息系统定级单位到所在地的市级以上公安机关办理备案手续。
(4)系统安全建设:信息系统安全保护等级确定后,运营使用单位按照惯例规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实信息安全管理制度。
(5)等级测评:信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。
(6)监督检查:公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对第 3 级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
3 电力信息系统等级保护工作开展
信息系统是应社会发展、社会生活和工作需要而设计和建立的,是社会构成、行政组织体系的反映,信息安全等级保护必须符合客观存在和发展规律。开展电力信息系统等级保护应做好如下工作: 3.1 电力信息系统定级与备案
信息系统的运营、使用单位应该依照其处理信息的敏感程度、业务应用性质和部门重要程度,参考等级保护的管理规范和技术标准,按照“自主定级、专家评审、主管部门审批以及公安机关审核”的原则,确定其信息系统的安全保护等级,并报其主管部门审批同意。对于包含多个子系统的信息系统,在保障信息系统安全互联和有效信息共享的前提下,應当根据等级保护的管理规定、技术标准和信息系统内各子系统的重要程度,分别确定安全保护等级。跨地域的大系统实行纵向保护和属地保护相结合的方式。安全保护等级在三级以上的信息系统,由运营、使用单位报送本地区地市级公安机关备案。跨地域的信息系统由其主管部门向其所在地的同级公安机关进行总备案,分系统分别由当地运营、使用单位向本地地市级公安机关备案。对第五级信息和信息系统的监督检查,由国家指定的专门部门、专门机构按照有关规定进行。
3.2等级保护测评及整改工作
2011-2012 年,按照国家电力监管委员会要求,北京华电卓识信息安全测评技术中心相继完成对公司电力市场交易系统、ERP 系统、财务管理系统、营销管理等 15 个系统的等级保护测评工作。公司积极组织、协调、配合测评队伍,遵循“流程规范、方法科学、结论公正”的原则,按照国家等级保护测评工作的有关标准、规范的要求,根据《电力行业信息系统安全等级保护要求(试行)》开展测评工作,公司信息系统等级保护测评符合率达到 95%以上,顺利通过了等级保护测评,但是测评中还是发现了部分问题,主要包括:
(1)网络设备不具备双因子验证
根据国家《信息系统安全等级保护基本要求》规定,第 2 级以上(不含)信息系统网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别,按照此项基本要求,限于硬件条件,公司三级信息系统尚达不到安全防护要求。
(2)数据库审计功能未开启
根据国家《信息系统安全等级保护基本要求》规定,第 2 级及以上信息系统审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;系统不支持该要求的,应以系统运行安全和效率为前提。按照此项工作要求,公司部分系统未开启数据库审计功能,亦未部署第三方审计产品。
测评工作结束后测评人员对测评过程结果及以上问题进行了反馈,公司根据测评中发现的各类问题做好问题整改工作,确保公司信息系统安全稳定运行。整改工作如下:
(1)网络设备未设置双因子认证
对于不具备双因子验证条件的问题,公司正在加快建设统一数字认证系统,系统上线后可实现双因子验证。
(2)数据库审计功能未开启
因开启数据库审计功能会对系统性能产生较大影响,公司近期计划购置部署第三方审计产品。
3.3电力行业定期自查与监督检查
电力信息系统的运营、使用单位及其主管部门按照等级保护的管理规范和技术标准,对已经完成安全等级保护建设的信息系统进行检查评估,发现问题及时整改,加强和完善自身信息安全等级保护制度的建设,加强自我保护。对高防护要求的重要信息系统每年进行一到两次的自查,经自查未达到安全等级保护要求的要进行安全建设整改。
3.4 信息安全保障体系的建立与落实
通过信息安全保障体系的建设来提高源于人、管理、技术等因素所形成的预警能力、保护能力、检测能力、反应能力、恢复能力和反击能力,对信息系统的安全属性及功能、效率进行动态保障,安全属性包含信息系统及其基础网络的真实性、可用性、完整性、保密性、可控性、不可否认性、彻底性等安全属性,从而保障应用服务的效率和效益,促进电力信息化的可持续健康发展。
4加强信息安全等级保护的方法
信息安全等级保护分为物理安全保护和网络系统安全保护两类。
4.1 物理安全保护层面
对于物理安全保护,又分为必要考虑和需要考虑两个安全层面。对于必要考虑的物理安全方面:对于主机房等场所设施来说,要做好安全防范工作。采用先进的技术设备做到室内监控、使用用户信息登记、以及自动报警系统等。记录用户及其访问情况,方便随时查看。对于需要考虑的物理安全方面 :对于主机房以及重要信息存储设备来说,要通过采用多路电源同时接入的方式保障电源的可持续供给,谨防因断电给入侵者制造入侵的机会。
4.2 网络系统安全保护层面
根据安全保护对象的不同,有不同的保护方法。具体方法如下 :
(1)已确定安全等级系统的安全保护
对于全系统中同一安全等级的信息系统,对于任何部分、任何信息都要按照国家标准采取统一安全保护方法给其设计完整的安全机制。对于不同安全等级的分系统,对其上不同的部分及信息按照不同的安全要求设计安全保护。
(2)网络病毒的防范方法
计算机病毒严重威胁到计算机网络安全,所以防范病毒的入侵在信息系统安全保护过程中是非常重要的步骤。运用防火墙机制阻挡病毒入侵,或者给程序加密、监控系统运行情况、设置访问权限,判断是否存在病毒入侵,及时发现入侵的病毒并予以清除,保障计算机信息系统的安全。
(3)漏洞扫描与修复方法
系统存在漏洞是系统的安全隐患,不法分子常会利用系统中的漏洞对系统进行攻击破坏。因此要经常对计算机进行全面的漏洞扫描,找出系统中存在的漏洞并及时修复漏洞,避免给不法分子留下入侵机会。漏洞的修复分为系统自动修复和人工手动修复两种,由于多种原因,绝对完善的系统几乎不存在,因此要定期对系统进行漏洞扫描修复,确保系统的安全。
5 结束语
近年来电力公司高度重视信息安全工作,信息安全等级保护工作卓有成效,通过落实信息安全等级保护制度,开展管理制度建设、技术措施建设、落实等级保护各项工作要求,使信息系统安全管理水平明显提高,安全防护能力显著增强,安全隐患和安全事故明显减少,有效保障公司信息化工作健康发展,公司下一步工作重点应着手对等级保护测评发现的各项问题进行整改,保障公司网络及信息系统安全稳定运行。
参考文献
[1]易振宇.电力信息系统等级保护实施浅谈[J].信息安全与通信保密,2011.
[2]邱建勋.信息系统安全等级保护定级方法的思考[J]. 数字与缩微影像,2012.
[3]周成兵.信息系统安全等级保护整改建设研究[J].计算机安全,2014.
关键词:电力;信息系统;安全;等级保护
前言
随着科学技术的飞速发展和人们生活水平的不断提高,计算机信息化在我国的各行各业都得到广发的应用。当前人们逐渐对高安全级信息保护技术要求也引起了重视起来,企业也在对信息安全保护水平的要求不断提高。各行业都建立了自己的信息系统以支持相关业务的开展,这些系统的运行状况在各个层面不同程度地影响着企业或行业乃至整个社会的发展。 因此,对于信息系统的等级保护工作也变得越发重要。 信息安全等级保护是指对国家安全、法人和其它组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置等,在系统的建设过程中,我们不但要关心系统所面臨的安全风险,还要加强等级的安全保护。
1信息系统安全工作重要性
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
计算机在日趋进步的现代化生活中,愈来愈占据着日常生活和工作中不可或缺的地位。计算机系统内部的数据也显得尤为重要。加强信息系统安全工作这一内容不可忽视。除了外部网络环境中各类病毒、黑客等不安全因素可以对计算机系统内部做出干扰和破坏,内部维护和使用人员在工作中的操作不当和不规范使用,同样可以导致计算机系统内部数据的混乱和丢失。诸如这类或那样的问题,计算机系统不能正常运行会严重影响人们的生活和工作,为人们带来不便。反之,加强对计算机信息系统安全的保护工作可以更好的方便人们的工作和生活,将人们生活和工作质量提上更高的一层。
2 信息安全等级保护
信息系统等级保护制度是我国信息安全领域一项重要政策,信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。根据信息系统实用业务重要程度及其安全实际需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全稳定运行,维护国家利益、公共利益和社会稳定,等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度,保障重要信息资源和重要信息系统的安全。
2.1 等级保护定级
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度,其中等级保护对象受到破坏时所侵害的客体包括三方面:公民、法人和其他组织的合法权益,社会秩序、公民利益,国家安全。等级保护对象受到破坏后对客体造成侵害的程度分为三种:一般损害,严重损害,特别严重损害。
2.2 基本要求与主要流程
等级保护的基本要求是:各基础信息网络和重要信息系统,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。等级保护的主要流程包括 6 项内容。
(1)自主定级与审批:信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
(2)评审:在信息系统确定安全保护等级过程中,可以组织专家进行评审。对拟确定为第 4 级以上信息系统的,运营使用单位或主管部门应当邀请国家信息安全等级专家评审委员会评审。
(3)备案:第 2 级以上信息系统定级单位到所在地的市级以上公安机关办理备案手续。
(4)系统安全建设:信息系统安全保护等级确定后,运营使用单位按照惯例规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实信息安全管理制度。
(5)等级测评:信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。
(6)监督检查:公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对第 3 级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
3 电力信息系统等级保护工作开展
信息系统是应社会发展、社会生活和工作需要而设计和建立的,是社会构成、行政组织体系的反映,信息安全等级保护必须符合客观存在和发展规律。开展电力信息系统等级保护应做好如下工作: 3.1 电力信息系统定级与备案
信息系统的运营、使用单位应该依照其处理信息的敏感程度、业务应用性质和部门重要程度,参考等级保护的管理规范和技术标准,按照“自主定级、专家评审、主管部门审批以及公安机关审核”的原则,确定其信息系统的安全保护等级,并报其主管部门审批同意。对于包含多个子系统的信息系统,在保障信息系统安全互联和有效信息共享的前提下,應当根据等级保护的管理规定、技术标准和信息系统内各子系统的重要程度,分别确定安全保护等级。跨地域的大系统实行纵向保护和属地保护相结合的方式。安全保护等级在三级以上的信息系统,由运营、使用单位报送本地区地市级公安机关备案。跨地域的信息系统由其主管部门向其所在地的同级公安机关进行总备案,分系统分别由当地运营、使用单位向本地地市级公安机关备案。对第五级信息和信息系统的监督检查,由国家指定的专门部门、专门机构按照有关规定进行。
3.2等级保护测评及整改工作
2011-2012 年,按照国家电力监管委员会要求,北京华电卓识信息安全测评技术中心相继完成对公司电力市场交易系统、ERP 系统、财务管理系统、营销管理等 15 个系统的等级保护测评工作。公司积极组织、协调、配合测评队伍,遵循“流程规范、方法科学、结论公正”的原则,按照国家等级保护测评工作的有关标准、规范的要求,根据《电力行业信息系统安全等级保护要求(试行)》开展测评工作,公司信息系统等级保护测评符合率达到 95%以上,顺利通过了等级保护测评,但是测评中还是发现了部分问题,主要包括:
(1)网络设备不具备双因子验证
根据国家《信息系统安全等级保护基本要求》规定,第 2 级以上(不含)信息系统网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别,按照此项基本要求,限于硬件条件,公司三级信息系统尚达不到安全防护要求。
(2)数据库审计功能未开启
根据国家《信息系统安全等级保护基本要求》规定,第 2 级及以上信息系统审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;系统不支持该要求的,应以系统运行安全和效率为前提。按照此项工作要求,公司部分系统未开启数据库审计功能,亦未部署第三方审计产品。
测评工作结束后测评人员对测评过程结果及以上问题进行了反馈,公司根据测评中发现的各类问题做好问题整改工作,确保公司信息系统安全稳定运行。整改工作如下:
(1)网络设备未设置双因子认证
对于不具备双因子验证条件的问题,公司正在加快建设统一数字认证系统,系统上线后可实现双因子验证。
(2)数据库审计功能未开启
因开启数据库审计功能会对系统性能产生较大影响,公司近期计划购置部署第三方审计产品。
3.3电力行业定期自查与监督检查
电力信息系统的运营、使用单位及其主管部门按照等级保护的管理规范和技术标准,对已经完成安全等级保护建设的信息系统进行检查评估,发现问题及时整改,加强和完善自身信息安全等级保护制度的建设,加强自我保护。对高防护要求的重要信息系统每年进行一到两次的自查,经自查未达到安全等级保护要求的要进行安全建设整改。
3.4 信息安全保障体系的建立与落实
通过信息安全保障体系的建设来提高源于人、管理、技术等因素所形成的预警能力、保护能力、检测能力、反应能力、恢复能力和反击能力,对信息系统的安全属性及功能、效率进行动态保障,安全属性包含信息系统及其基础网络的真实性、可用性、完整性、保密性、可控性、不可否认性、彻底性等安全属性,从而保障应用服务的效率和效益,促进电力信息化的可持续健康发展。
4加强信息安全等级保护的方法
信息安全等级保护分为物理安全保护和网络系统安全保护两类。
4.1 物理安全保护层面
对于物理安全保护,又分为必要考虑和需要考虑两个安全层面。对于必要考虑的物理安全方面:对于主机房等场所设施来说,要做好安全防范工作。采用先进的技术设备做到室内监控、使用用户信息登记、以及自动报警系统等。记录用户及其访问情况,方便随时查看。对于需要考虑的物理安全方面 :对于主机房以及重要信息存储设备来说,要通过采用多路电源同时接入的方式保障电源的可持续供给,谨防因断电给入侵者制造入侵的机会。
4.2 网络系统安全保护层面
根据安全保护对象的不同,有不同的保护方法。具体方法如下 :
(1)已确定安全等级系统的安全保护
对于全系统中同一安全等级的信息系统,对于任何部分、任何信息都要按照国家标准采取统一安全保护方法给其设计完整的安全机制。对于不同安全等级的分系统,对其上不同的部分及信息按照不同的安全要求设计安全保护。
(2)网络病毒的防范方法
计算机病毒严重威胁到计算机网络安全,所以防范病毒的入侵在信息系统安全保护过程中是非常重要的步骤。运用防火墙机制阻挡病毒入侵,或者给程序加密、监控系统运行情况、设置访问权限,判断是否存在病毒入侵,及时发现入侵的病毒并予以清除,保障计算机信息系统的安全。
(3)漏洞扫描与修复方法
系统存在漏洞是系统的安全隐患,不法分子常会利用系统中的漏洞对系统进行攻击破坏。因此要经常对计算机进行全面的漏洞扫描,找出系统中存在的漏洞并及时修复漏洞,避免给不法分子留下入侵机会。漏洞的修复分为系统自动修复和人工手动修复两种,由于多种原因,绝对完善的系统几乎不存在,因此要定期对系统进行漏洞扫描修复,确保系统的安全。
5 结束语
近年来电力公司高度重视信息安全工作,信息安全等级保护工作卓有成效,通过落实信息安全等级保护制度,开展管理制度建设、技术措施建设、落实等级保护各项工作要求,使信息系统安全管理水平明显提高,安全防护能力显著增强,安全隐患和安全事故明显减少,有效保障公司信息化工作健康发展,公司下一步工作重点应着手对等级保护测评发现的各项问题进行整改,保障公司网络及信息系统安全稳定运行。
参考文献
[1]易振宇.电力信息系统等级保护实施浅谈[J].信息安全与通信保密,2011.
[2]邱建勋.信息系统安全等级保护定级方法的思考[J]. 数字与缩微影像,2012.
[3]周成兵.信息系统安全等级保护整改建设研究[J].计算机安全,2014.