1 引言

 

近年來，電力系統內部各組織共同建立起具有行業特點的信息安全技術防護體系和管理組織體系，信息安全保障能力建設有力支撐了電力系統信息化、自動化的發展。然而，隨著信息安全工作的深入開展和電力系統內外部環境的不斷變化，不同組織間信息安全工作水平存在差異的問題也逐漸顯現出來。信息安全水平評價工作依據統一標準客觀評價行業內各組織的信息安全工作水平，可通過比學趕幫，不斷提高電力行業信息安全管理水平，促進行業整體網絡與信息安全防護能力持續提升。

 

信息安全水平評價工作的開展，需要科學、全面、可操作、可量化的指標體系作為基礎和保障，但當前行業內外學者提出的信息安全指標[1-2]并不能滿足電力信息安全水平評價工作的需要。本文結合電力系統信息安全工作實際，系統的構建出電力信息安全水平評價指標體系，提出具體評價指標，闡明單個評價指標的量化方法和信息安全水平指數的計算方法。

 

2 評價指標體系框架

 

2.1 評價指標體系構建原則

 

為了能夠客觀、準確、全面的反映不同電力組織的信息安全工作水平，在確定指標體系時遵循了以下基本原則[3]：

 

1)科學性原則

 

從信息化及信息安全的基本理論和定義出發，選取能準確反應組織信息安全工作實際情況的指標，既要具有全面性、概括性、也應具有綜合性和精確性。

 

2)可操作性原則

 

在考慮具有科學性的基礎上，還要使選取的指標有據可依，指標應來源于國家、電力行業近年來在信息安全方面提出的規范、要求，同時指標也應支持方便的獲取準確數據，以支撐評價結果的被客觀量化。

 

3)可比性原則

 

水平評價的結果需要支持在橫向上(電力行業不同組織間)和縱向上(同一組織的不同時期間)的比較與分析。

 

4)向導性原則

 

指標體系的設置應對行業信息安全工作起到正面的引導和向導作用。引導行業各組織重視信息安全工作，夯實信息安全工作基礎，提升安全防護效果。

 

2.2 評價指標體系模型

 

圍繞組織體系、規章制度、資金保障、人員安全管理、服務外包管控、關鍵信息資產管控、信息系統建設安全管理、安全分區防御、網絡安全防護、主機和設備安全防護、應用系統和數據安全防護、物理安全防護、信息系統運行安全管理、災難恢復、應急管理，共15個方面構建電力信息安全水平評價指標體系，如圖1所示。

 

 

圖1 電力信息安全水平評價指標體系模型

 

從圖1可見，電力信息安全水平評價指標體系模型包括三個部分：

 

1)信息安全管理基礎。組織體系、規章制度、資金保障、人員安全管理、服務外包管控、關鍵信息資產管控是組織信息安全工作的基礎內容，同時也為信息安全防護技術措施落實和建設運行安全管理提供基礎性支持。

 

2)信息安全管理核心。信息系統建設安全管理、信息系統運行安全管理、應急管理是信息組織信息安全管理的核心內容。信息系統典型的生命周期包含規劃設計、開發采購、實施交付、運行維護、廢棄五個階段，信息安全管理工作應貫穿信息系統的完整生命周期。

 

3)信息安全技術保障。安全分區防御、網絡安全防護、主機和設備安全防護、應用系統和數據安全防護、物理安全防護、災難恢復是指標體系中提出的技術評價內容，與信息安全管理相一致，組織應在信息系統整個生命周期落實信息安全技術保障要求，提升組織網絡和信息系統自身的安全保護能力。

 

在上述電力信息安全水平評價指標體系模型的建立基礎上，可以分別對評價指標類細化具體評價指標，以達到對組織信息安全工作水平實施定量化、精細化、常態化評價的實踐目的。

 

3 評價指標

 

3.1 評價指標內容

 

根據圖1描述的評價指標體系模型，依據《電力監管條例》(中華人民共和國國務院令第432號)、《電力行業網絡與信息安全監督管理暫行規定》(電監信息[2007]50號)和國家有關標準規范[4-12]，在15個信息安全評價類框架下，提出70個電力信息安全水平評價指標，共同構成信息安全水平評價指標體系。具體評價指標如表1所示。

 

表1 電力信息安全水平評價指標

 

指標類 指標項

標識 類名 項數 項名

ORG 組織體系 5 信息安全組織建立，第一責任人確立，責任落實，專職機構及崗位設置，安全人員配置

REG 規章制度 5 整體策略及總體方案制定，規章制度及體系完整性，操作規程制定，制度發布，管理體系認證

FUN 資金保障 3 經費預算，安全建設經費投入，安全運維經費投入

PER 人員安全管理 5 全員安全培訓，全員保密協議簽訂，專業技能培訓，人員審查，崗位調整管控

OSE 服務外包管控 4 外包服務協議，第三方人員訪問管理，遠程服務管控，現場開發管控

ASS 關鍵信息資產管控 3 資產清單，資產管理職責，信息系統基礎資料歸檔

CON 信息系統建設安全管理 8 上線安全測評，等級保護建設，等級保護測評開展情況，等級保護測評通過率，風險評估，產品采購和使用，核心產品采購測試，安全產品國產化情況

SDD 安全分區防御 5 大區間隔離，生產控制大區內部邏輯隔離，縱向認證，跨區連接管控，內外網隔離

NET 網絡安全防護 6 生產控制大區防護，管理信息大區防護，互聯網出口統一管理，互聯網出口安全管控，無線網絡安全應用，移動終端安全接入

HEQ 主機和設備安全防護 5 補丁更新，惡意代碼防護，系統加固，辦公終端管控，主機和設備賬號口令管理

ADA 應用系統和數據安全防護 5 應用系統安全功能及配置，面向互聯網服務系統安全監控和攻擊防御，面向互聯網服務系統周期性測試，應用系統帳號口令管理，重要數據安全保護

PEN 物理安全防護 1 機房安全建設

OPE 信息系統運行安全管理 5 日常維護，安全審計，補丁管理，移動介質管理，安全監測

REC 災難恢復 4 硬件冗余，系統和數據備份，異地災備，恢復測試

EME 應急管理 6 信息通報，應急預案制定，專項應急處置預案制定，應急演練，應急資源配備，事故調查

 

3.2 評價指標構成

 

評價指標是實現信息安全水平評價的具體項目，為支撐信息安全水平評價的可操作性、評價結果的可比性，每個評價指標需要被賦四個內涵，分別是：一個評價要求、一個指標權重、一個指標屬性、一個量化方法。圖2描述了評價指標的結構。

 

 

圖2 評價指標描述結構

 

評價指標需要包含的四個要素詳述如下：

 

1)評價要素：說明每個評價指標的具體評價要求，在定性指標中描述組織信息安全工作應達到的工作水平，在定量指標中描述應從組織信息安全工作中提取的具體量值。

 

2)指標屬性：每項評價指標屬性是定性指標和定量指標之一。

 

3)指標權重：應用專家咨詢法與層次化分析方法結合確定的，表示評價指標在評價指標體系中所起作用的相對數值[13]。

 

4)量化方法：每個評價指標項量化評分方法選取“符合/不符合判斷法”、“比率值法”、“選項賦值法”之一。

 

4 量化統計方法

 

4.1 評價指標量化方法

 

對于電力信息安全水平評價指標體系中包含的70個評價指標，根據其指標屬性的不同，分別確定了“符合/不符合判斷法”、“比率值法”、“選項賦值法”三種評價指標量化方法。其中定性指標應用“符合/不符合判斷法”，定量指標可依據指標特性選取“比率值法”或“選項賦值法”。

 

1、符合/不符合判定法

 

根據組織信息安全工作實際情況是否符合指標評價要素中描述的基本要求，為評價指標賦予量化值，表2列出了 的賦值方法。

 

表2 應用符合/不符合判定法的 的賦值方法

 

4.2 信息安全水平指數計算方法

 

 

5 結束語

 

本文以電力組織信息安全工作水平為研究對象，從組織體系、規章制度、資金保障、人員安全管理、服務外包管控、關鍵信息資產管控、信息系統建設安全管理、安全分區防御、網絡安全防護、主機和設備安全防護、應用系統和數據安全防護、物理安全防護、信息系統運行安全管理、災難恢復、應急管理等15個方面出發建立了一套指標體系。同時從國家和行業的要求、規范為出發點確定了70個具體評價指標，并提出了具體評價指標的量化方法和組織信息安全水平指數的計算方法。本文提出的電力信息安全水平評價指標體系在電力行業十八大信息安全檢查工作中得以應用，從應用結果來看客觀、精細、量化的反映了電力組織當前信息安全工作水平。電力信息安全水平評價指標的構建和量化統計方法的確定，為當前電力行業信息安全監管和電力組織對信息安全工作開展情況的自評價提供了必要的技術支持。為保證評價指標的科學性和適用性，電力系統信息安全研究人員還需要根據信息安全工作內容和信息安全防護技術的發展，不斷的調整和優化評價指標，保障電力系統信息安全。

 

參考文獻

 

1.張靜,陳冠直,趙玉潔等. 石油石化信息安全態勢評估指標體系研究. 信息網絡安全. 2012,3.19-24.

 

2.楊海鷹, 余建坤, 謝健等. 信息系統安全評價指標體系的評價因素集研究. 全國商情:經濟理論研究. 2011,12. 32-35.

 

3.工業和信息化部信息化推進司，國家統計局統計科學研究所.中國信息化發展指數統計監測年度報告2011[M].北京:中國發展出版社，2011.

 

4.中華人民共和國國家質量監督檢驗檢疫總局. GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求[S].2006.

 

5.中華人民共和國國家質量監督檢驗檢疫總局. GB/T 22239-2008 信息安全技術 信息安全等級保護基本要求[S].2008

 

6.中華人民共和國國家質量監督檢驗檢疫總局. GB/T 22081-2008 信息技術 安全技術 信息安全實用規則[S].2008.

 

7.中華人民共和國國家質量監督檢驗檢疫總局. GB/T 20274.1-2008 信息安全技術 信息系統安全保障評估框架 第1部分：簡介和一般模型[S].2008.

 

8.中華人民共和國國家質量監督檢驗檢疫總局. GB/T 20274.3-2008 信息安全技術 信息系統安全保障評估框架 第3部分：管理保障[S].2008.

 

9.中華人民共和國國家質量監督檢驗檢疫總局. GB/T 24363-2009 信息安全技術 信息安全應急響應計劃規范[S].2009.

 

10.中華人民共和國國家質量監督檢驗檢疫總局. GB/T 20988-2007 信息安全技術 信息系統災難恢復規范[S].2007.

 

11.中華人民共和國國務院. 第432號令 電力監管條例[S].2005.

 

12.國家電力監管委員會. 5號令 電力二次系統安全防護規定[S].2006.

 

13.程崯, 王宇, 余軒等. 電力變壓器運行狀態綜合評判指標的權重確定. 中國電力, 2011, 44(4),26-30.