信息安全等級保護標準在電力行業的應用
從國家推行信息安全等級保護工作以來,電力行業結合行業信息系統功能特點和安全防護現狀,擬定了行業相關標準。本文在介紹電力行業信息安全等級保護要求的同時,描述了國家基本指標和行業特殊指標應用于等級
統包括財務應用相關的各系統,主要功能包括預算管理、核算管理、資金管理、電子支付等。
3.1 等級保護測評工作中測評指標的選取
開展電力企業信息安全等級保護測評工作時,一般來說,測評指標包括基本指標和特殊指標兩部分。基本指標依據信息系統確定的業務信息安全保護等級和系統服務安全保護等級,選擇國家標準《信息系統安全等級保護基本要求》中對應級別的安全要求作為等級測評的基本指標。基本指標的指標類別和數量見表3-1。
測評指標 | |||||
技術/管理 | 安全類 | 數量 | |||
S類 | A類 | G類 | 小計 | ||
(2級) | (3級) | (3級) | |||
安全技術 | 物理安全 | 1 | 4 | 25 | 30 |
網絡安全 | 1 | 0 | 31 | 32 | |
主機安全 | 9 | 5 | 12 | 26 | |
應用安全 | 11 | 9 | 6 | 26 | |
數據安全 | 2 | 4 | 0 | 6 | |
安全理 | 安全管理制度 | 0 | 0 | 11 | 11 |
安全管理機構 | 0 | 0 | 20 | 20 | |
人員安全管理 | 0 | 0 | 16 | 16 | |
系統建設管理 | 0 | 0 | 45 | 45 | |
系統運維管理 | 0 | 0 | 62 | 62 | |
合 計 | 274(控制點) |
表3-1 基本指標
同時,應結合行業和系統的實際,依據信息系統確定的業務信息安全保護等級和系統服務安全保護等級,選擇《電力行業信息系統安全等級保護基本要求》中對應級別的安全要求作為本次等級測評的特殊指標。特殊指標的指標類別和數量見表3-2。
測評指標 | |||||
技術/管理 | 安全類 | 數量 | |||
S類 | A類 | G類 | 小計 | ||
(2級) | (3級) | (3級) | |||
安全技術 | 物理安全 | 1 | 4 | 25 | 30 |
網絡安全 | 1 | 0 | 37 | 38 | |
主機安全 | 9 | 5 | 12 | 26 | |
應用安全 | 11 | 9 | 6 | 26 | |
數據安全 | 2 | 3 | 0 | 5 | |
安全管理 | 安全管理制度 | 0 | 0 | 11 | 11 |
安全管理機構 | 0 | 0 | 20 | 20 | |
人員安全管理 | 0 | 0 | 16 | 16 | |
系統建設管理 | 0 | 0 | 45 | 45 | |
系統運維管理 | 0 | 0 | 62 | 62 | |
合 計 | 279(控制點) |
表3-2 特殊指標
此外,還有總體要求指標。《電力行業信息系統安全等級保護基本要求》(送審稿)中管理信息系統類和生產控制類系統總體要求均由整體技術要求和通用管理要求組成,如管理信息類系統整體技術要求規定:管理信息大區網絡與生產控制大區網絡應物理隔離;兩網之間有信息通信交換時應部署符合電力系統要求的單向隔離裝置;管理信息大區網絡可進一步劃分為內部網絡和外部網絡,兩網之間有信息通信交換時防護強度應強于邏輯隔離;具有層次網絡結構的單位可統一提供互聯網出口;二級系統統一成域,三級系統單獨成域;三級系統域由獨立子網承載,每個域有唯一網絡出口,可在網絡出口處部署三級等級保護專用裝置為系統提供整體安全防護。通用管理要求規定:如果本單位管理信息大區僅有一級信息系統時,通用管理要求等同采用一級;如果本單位管理信息大區含有二級及以下等級信息系統時,通用管理要求等同采用二級;如果本單位管理信息大區含有三級及以下等級信息系統時,通用管理要求等同采用三級。
3.2等級保護測評工作中測評指標的應用
在信息安全等級保護試點測評工作中,由于被評估單位信息資產種類、數量多,在一段時間內不可能逐一進行全面檢測,三級系統的檢測采用抽樣方法進行,其目的是確定技術脆弱性檢測的重點對象和目標。抽樣檢測的對象和目標必須要能代表信息系統的安全現狀,否則評估結果就會偏離實際情況。試點測評工作中,對電力企業的電力財務(資金)管理系統資產抽樣時遵循了典型性、全面性兩原則。典型性原則即對同一應用中軟件配置完全相同的資產抽樣部分資產,全面性原則即對財務(資金)管理系統中每一類資產都要抽樣。
根據選取的指標項以及系統測評對象選取結果,在前期系統調研的成果上,現場需要開發作業指導書以及編制實施方案。在測評工作中,通過測評以及核查的結果綜合分析可給出系統面臨的風險,并在安全技
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
Kubernetes為什么會逐漸成為云計算的標準?
2018-01-18標準 -
云計算成朝陽產業,未來發展已成趨勢
-
2018關于云計算的五個預測:容器、AI、定制云
2018-01-18容器