術(shù)測(cè)試和安全管理核查的基礎(chǔ)上，根據(jù)系統(tǒng)的特點(diǎn)，發(fā)現(xiàn)和分析安全控制間、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系，以及安全控制間、層面間和區(qū)域間是否存在安全功能上的增強(qiáng)、補(bǔ)充和削弱作用以及系統(tǒng)整體結(jié)構(gòu)安全性、不同系統(tǒng)之間整體安全性等，最終給出改進(jìn)建議。

總體要求測(cè)評(píng)時(shí)，可分別從技術(shù)和管理的角度進(jìn)行測(cè)評(píng)。進(jìn)行整體技術(shù)要求測(cè)評(píng)工作時(shí)，通過查看和核實(shí)網(wǎng)絡(luò)拓?fù)鋱D、人員訪談等方法，了解到電力公司信息網(wǎng)絡(luò)分為管理信息大區(qū)和生產(chǎn)管理大區(qū)，兩大區(qū)之間有信息通信交換的需求，因此采用了正/反向隔離裝置，以滿足管理信息大區(qū)至生產(chǎn)管理大區(qū)、生產(chǎn)管理大區(qū)至管理信息大區(qū)之間的數(shù)據(jù)交換需求。根據(jù)公司信息系統(tǒng)安全防護(hù)總體方案要求，公司管理信息大區(qū)又分為信息內(nèi)網(wǎng)和信息外網(wǎng)，兩網(wǎng)之間采用強(qiáng)邏輯隔離裝置，且雙網(wǎng)隔離方案已實(shí)施。電力企業(yè)財(cái)務(wù)管理信息系統(tǒng)重要應(yīng)用部署在內(nèi)網(wǎng)，有外網(wǎng)交互功能的應(yīng)用將前端署在外網(wǎng)，關(guān)鍵數(shù)據(jù)處理部分部署在內(nèi)網(wǎng)。電力公司信息內(nèi)網(wǎng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)，并且單個(gè)系統(tǒng)由獨(dú)立子網(wǎng)承載，單獨(dú)劃分安全域，每個(gè)域的網(wǎng)絡(luò)出口唯一。系統(tǒng)與系統(tǒng)之間、二級(jí)單位與本部之間均部署了防火墻，啟用了訪問控制功能。進(jìn)行通用管理要求測(cè)評(píng)工作時(shí)，由于電力公司管理信息大區(qū)含三級(jí)及以下等級(jí)信息系統(tǒng)，所以確定通用管理要求等同采用三級(jí)。

應(yīng)用基本指標(biāo)和特殊指標(biāo)進(jìn)行測(cè)評(píng)時(shí)，一般是按照測(cè)評(píng)項(xiàng)一條一條分別進(jìn)行測(cè)評(píng)的。具體可采取的測(cè)評(píng)方式有：使用問卷調(diào)查表，對(duì)通信系統(tǒng)進(jìn)行初步的系統(tǒng)調(diào)研，掌握系統(tǒng)的主要功能和業(yè)務(wù)流程。調(diào)閱定級(jí)報(bào)告，詳細(xì)了解評(píng)估范圍內(nèi)的二次系統(tǒng)及其包含的信息資產(chǎn)，為下一步測(cè)評(píng)指標(biāo)的選取做好準(zhǔn)備;在用戶許可的情況下，對(duì)通信系統(tǒng)的關(guān)鍵設(shè)備和關(guān)鍵系統(tǒng)進(jìn)行安全漏洞掃描、手工配置檢查等安全技術(shù)測(cè)試，對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行合理性分析，對(duì)應(yīng)用系統(tǒng)進(jìn)行安全性分析，發(fā)現(xiàn)和分析系統(tǒng)安全技術(shù)方面所面臨的風(fēng)險(xiǎn);采用安全核查表的形式從管理層面和技術(shù)規(guī)范執(zhí)行角度，對(duì)通信系統(tǒng)進(jìn)行現(xiàn)場(chǎng)的安全管理核查，了解到包括人的因素在內(nèi)的系統(tǒng)運(yùn)行狀況。通過對(duì)核查結(jié)果的分析，發(fā)現(xiàn)和分析系統(tǒng)安全管理方面所面臨的風(fēng)險(xiǎn)。根據(jù)不同的測(cè)評(píng)方式、測(cè)評(píng)內(nèi)容等，執(zhí)行現(xiàn)場(chǎng)測(cè)評(píng)后，會(huì)得到多個(gè)測(cè)評(píng)證據(jù)。對(duì)多個(gè)測(cè)評(píng)證據(jù)需進(jìn)行單項(xiàng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定，最終進(jìn)行整體測(cè)評(píng)。

4 結(jié)論

本文介紹了電力行業(yè)信息安全工作和信息安全等級(jí)保護(hù)工作的開展情況，對(duì)國(guó)家信息安全等級(jí)保護(hù)基本要求和電力行業(yè)信息安全等級(jí)保護(hù)基本要求進(jìn)行了差異比較。在電力行業(yè)開展信息安全等級(jí)保護(hù)試點(diǎn)測(cè)評(píng)工作的背景下，本文描述了協(xié)調(diào)應(yīng)用等級(jí)保護(hù)要求基本指標(biāo)和行業(yè)特殊指標(biāo)的測(cè)評(píng)方法以及具有電力系統(tǒng)特色的總體要求的測(cè)評(píng)方法。電力行業(yè)信息安全等級(jí)保護(hù)試點(diǎn)測(cè)評(píng)工作范圍逐漸擴(kuò)大，各電力企業(yè)之間存在一定的差異和差距，等級(jí)保護(hù)試點(diǎn)工作的開展較大程度上的推動(dòng)了電力行業(yè)信息安全工作的進(jìn)展，同時(shí)由于智能電網(wǎng)等新技術(shù)的應(yīng)用，電力信息系統(tǒng)的自動(dòng)化、互動(dòng)化、信息化特征越來越明顯，這些都將對(duì)電力行業(yè)等級(jí)保護(hù)測(cè)評(píng)工作的測(cè)評(píng)方法提出更大的挑戰(zhàn)。