1 引言

 

近年來，電力系統(tǒng)內(nèi)部各組織共同建立起具有行業(yè)特點(diǎn)的信息安全技術(shù)防護(hù)體系和管理組織體系，信息安全保障能力建設(shè)有力支撐了電力系統(tǒng)信息化、自動(dòng)化的發(fā)展。然而，隨著信息安全工作的深入開展和電力系統(tǒng)內(nèi)外部環(huán)境的不斷變化，不同組織間信息安全工作水平存在差異的問題也逐漸顯現(xiàn)出來。信息安全水平評(píng)價(jià)工作依據(jù)統(tǒng)一標(biāo)準(zhǔn)客觀評(píng)價(jià)行業(yè)內(nèi)各組織的信息安全工作水平，可通過比學(xué)趕幫，不斷提高電力行業(yè)信息安全管理水平，促進(jìn)行業(yè)整體網(wǎng)絡(luò)與信息安全防護(hù)能力持續(xù)提升。

 

信息安全水平評(píng)價(jià)工作的開展，需要科學(xué)、全面、可操作、可量化的指標(biāo)體系作為基礎(chǔ)和保障，但當(dāng)前行業(yè)內(nèi)外學(xué)者提出的信息安全指標(biāo)[1-2]并不能滿足電力信息安全水平評(píng)價(jià)工作的需要。本文結(jié)合電力系統(tǒng)信息安全工作實(shí)際，系統(tǒng)的構(gòu)建出電力信息安全水平評(píng)價(jià)指標(biāo)體系，提出具體評(píng)價(jià)指標(biāo)，闡明單個(gè)評(píng)價(jià)指標(biāo)的量化方法和信息安全水平指數(shù)的計(jì)算方法。

 

2 評(píng)價(jià)指標(biāo)體系框架

 

2.1 評(píng)價(jià)指標(biāo)體系構(gòu)建原則

 

為了能夠客觀、準(zhǔn)確、全面的反映不同電力組織的信息安全工作水平，在確定指標(biāo)體系時(shí)遵循了以下基本原則[3]：

 

1)科學(xué)性原則

 

從信息化及信息安全的基本理論和定義出發(fā)，選取能準(zhǔn)確反應(yīng)組織信息安全工作實(shí)際情況的指標(biāo)，既要具有全面性、概括性、也應(yīng)具有綜合性和精確性。

 

2)可操作性原則

 

在考慮具有科學(xué)性的基礎(chǔ)上，還要使選取的指標(biāo)有據(jù)可依，指標(biāo)應(yīng)來源于國家、電力行業(yè)近年來在信息安全方面提出的規(guī)范、要求，同時(shí)指標(biāo)也應(yīng)支持方便的獲取準(zhǔn)確數(shù)據(jù)，以支撐評(píng)價(jià)結(jié)果的被客觀量化。

 

3)可比性原則

 

水平評(píng)價(jià)的結(jié)果需要支持在橫向上(電力行業(yè)不同組織間)和縱向上(同一組織的不同時(shí)期間)的比較與分析。

 

4)向?qū)栽瓌t

 

指標(biāo)體系的設(shè)置應(yīng)對(duì)行業(yè)信息安全工作起到正面的引導(dǎo)和向?qū)ё饔?。引?dǎo)行業(yè)各組織重視信息安全工作，夯實(shí)信息安全工作基礎(chǔ)，提升安全防護(hù)效果。

 

2.2 評(píng)價(jià)指標(biāo)體系模型

 

圍繞組織體系、規(guī)章制度、資金保障、人員安全管理、服務(wù)外包管控、關(guān)鍵信息資產(chǎn)管控、信息系統(tǒng)建設(shè)安全管理、安全分區(qū)防御、網(wǎng)絡(luò)安全防護(hù)、主機(jī)和設(shè)備安全防護(hù)、應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)、物理安全防護(hù)、信息系統(tǒng)運(yùn)行安全管理、災(zāi)難恢復(fù)、應(yīng)急管理，共15個(gè)方面構(gòu)建電力信息安全水平評(píng)價(jià)指標(biāo)體系，如圖1所示。

 

 

圖1 電力信息安全水平評(píng)價(jià)指標(biāo)體系模型

 

從圖1可見，電力信息安全水平評(píng)價(jià)指標(biāo)體系模型包括三個(gè)部分：

 

1)信息安全管理基礎(chǔ)。組織體系、規(guī)章制度、資金保障、人員安全管理、服務(wù)外包管控、關(guān)鍵信息資產(chǎn)管控是組織信息安全工作的基礎(chǔ)內(nèi)容，同時(shí)也為信息安全防護(hù)技術(shù)措施落實(shí)和建設(shè)運(yùn)行安全管理提供基礎(chǔ)性支持。

 

2)信息安全管理核心。信息系統(tǒng)建設(shè)安全管理、信息系統(tǒng)運(yùn)行安全管理、應(yīng)急管理是信息組織信息安全管理的核心內(nèi)容。信息系統(tǒng)典型的生命周期包含規(guī)劃設(shè)計(jì)、開發(fā)采購、實(shí)施交付、運(yùn)行維護(hù)、廢棄五個(gè)階段，信息安全管理工作應(yīng)貫穿信息系統(tǒng)的完整生命周期。

 

3)信息安全技術(shù)保障。安全分區(qū)防御、網(wǎng)絡(luò)安全防護(hù)、主機(jī)和設(shè)備安全防護(hù)、應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)、物理安全防護(hù)、災(zāi)難恢復(fù)是指標(biāo)體系中提出的技術(shù)評(píng)價(jià)內(nèi)容，與信息安全管理相一致，組織應(yīng)在信息系統(tǒng)整個(gè)生命周期落實(shí)信息安全技術(shù)保障要求，提升組織網(wǎng)絡(luò)和信息系統(tǒng)自身的安全保護(hù)能力。

 

在上述電力信息安全水平評(píng)價(jià)指標(biāo)體系模型的建立基礎(chǔ)上，可以分別對(duì)評(píng)價(jià)指標(biāo)類細(xì)化具體評(píng)價(jià)指標(biāo)，以達(dá)到對(duì)組織信息安全工作水平實(shí)施定量化、精細(xì)化、常態(tài)化評(píng)價(jià)的實(shí)踐目的。

 

3 評(píng)價(jià)指標(biāo)

 

3.1 評(píng)價(jià)指標(biāo)內(nèi)容

 

根據(jù)圖1描述的評(píng)價(jià)指標(biāo)體系模型，依據(jù)《電力監(jiān)管條例》(中華人民共和國國務(wù)院令第432號(hào))、《電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理暫行規(guī)定》(電監(jiān)信息[2007]50號(hào))和國家有關(guān)標(biāo)準(zhǔn)規(guī)范[4-12]，在15個(gè)信息安全評(píng)價(jià)類框架下，提出70個(gè)電力信息安全水平評(píng)價(jià)指標(biāo)，共同構(gòu)成信息安全水平評(píng)價(jià)指標(biāo)體系。具體評(píng)價(jià)指標(biāo)如表1所示。

 

表1 電力信息安全水平評(píng)價(jià)指標(biāo)

 

指標(biāo)類 指標(biāo)項(xiàng)

標(biāo)識(shí) 類名 項(xiàng)數(shù) 項(xiàng)名

ORG 組織體系 5 信息安全組織建立，第一責(zé)任人確立，責(zé)任落實(shí)，專職機(jī)構(gòu)及崗位設(shè)置，安全人員配置

REG 規(guī)章制度 5 整體策略及總體方案制定，規(guī)章制度及體系完整性，操作規(guī)程制定，制度發(fā)布，管理體系認(rèn)證

FUN 資金保障 3 經(jīng)費(fèi)預(yù)算，安全建設(shè)經(jīng)費(fèi)投入，安全運(yùn)維經(jīng)費(fèi)投入

PER 人員安全管理 5 全員安全培訓(xùn)，全員保密協(xié)議簽訂，專業(yè)技能培訓(xùn)，人員審查，崗位調(diào)整管控

OSE 服務(wù)外包管控 4 外包服務(wù)協(xié)議，第三方人員訪問管理，遠(yuǎn)程服務(wù)管控，現(xiàn)場(chǎng)開發(fā)管控

ASS 關(guān)鍵信息資產(chǎn)管控 3 資產(chǎn)清單，資產(chǎn)管理職責(zé)，信息系統(tǒng)基礎(chǔ)資料歸檔

CON 信息系統(tǒng)建設(shè)安全管理 8 上線安全測(cè)評(píng)，等級(jí)保護(hù)建設(shè)，等級(jí)保護(hù)測(cè)評(píng)開展情況，等級(jí)保護(hù)測(cè)評(píng)通過率，風(fēng)險(xiǎn)評(píng)估，產(chǎn)品采購和使用，核心產(chǎn)品采購測(cè)試，安全產(chǎn)品國產(chǎn)化情況

SDD 安全分區(qū)防御 5 大區(qū)間隔離，生產(chǎn)控制大區(qū)內(nèi)部邏輯隔離，縱向認(rèn)證，跨區(qū)連接管控，內(nèi)外網(wǎng)隔離

NET 網(wǎng)絡(luò)安全防護(hù) 6 生產(chǎn)控制大區(qū)防護(hù)，管理信息大區(qū)防護(hù)，互聯(lián)網(wǎng)出口統(tǒng)一管理，互聯(lián)網(wǎng)出口安全管控，無線網(wǎng)絡(luò)安全應(yīng)用，移動(dòng)終端安全接入

HEQ 主機(jī)和設(shè)備安全防護(hù) 5 補(bǔ)丁更新，惡意代碼防護(hù)，系統(tǒng)加固，辦公終端管控，主機(jī)和設(shè)備賬號(hào)口令管理

ADA 應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù) 5 應(yīng)用系統(tǒng)安全功能及配置，面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)安全監(jiān)控和攻擊防御，面向互聯(lián)網(wǎng)服務(wù)系統(tǒng)周期性測(cè)試，應(yīng)用系統(tǒng)帳號(hào)口令管理，重要數(shù)據(jù)安全保護(hù)

PEN 物理安全防護(hù) 1 機(jī)房安全建設(shè)

OPE 信息系統(tǒng)運(yùn)行安全管理 5 日常維護(hù)，安全審計(jì)，補(bǔ)丁管理，移動(dòng)介質(zhì)管理，安全監(jiān)測(cè)

REC 災(zāi)難恢復(fù) 4 硬件冗余，系統(tǒng)和數(shù)據(jù)備份，異地災(zāi)備，恢復(fù)測(cè)試

EME 應(yīng)急管理 6 信息通報(bào)，應(yīng)急預(yù)案制定，專項(xiàng)應(yīng)急處置預(yù)案制定，應(yīng)急演練，應(yīng)急資源配備，事故調(diào)查

 

3.2 評(píng)價(jià)指標(biāo)構(gòu)成

 

評(píng)價(jià)指標(biāo)是實(shí)現(xiàn)信息安全水平評(píng)價(jià)的具體項(xiàng)目，為支撐信息安全水平評(píng)價(jià)的可操作性、評(píng)價(jià)結(jié)果的可比性，每個(gè)評(píng)價(jià)指標(biāo)需要被賦四個(gè)內(nèi)涵，分別是：一個(gè)評(píng)價(jià)要求、一個(gè)指標(biāo)權(quán)重、一個(gè)指標(biāo)屬性、一個(gè)量化方法。圖2描述了評(píng)價(jià)指標(biāo)的結(jié)構(gòu)。

 

 

圖2 評(píng)價(jià)指標(biāo)描述結(jié)構(gòu)

 

評(píng)價(jià)指標(biāo)需要包含的四個(gè)要素詳述如下：

 

1)評(píng)價(jià)要素：說明每個(gè)評(píng)價(jià)指標(biāo)的具體評(píng)價(jià)要求，在定性指標(biāo)中描述組織信息安全工作應(yīng)達(dá)到的工作水平，在定量指標(biāo)中描述應(yīng)從組織信息安全工作中提取的具體量值。

 

2)指標(biāo)屬性：每項(xiàng)評(píng)價(jià)指標(biāo)屬性是定性指標(biāo)和定量指標(biāo)之一。

 

3)指標(biāo)權(quán)重：應(yīng)用專家咨詢法與層次化分析方法結(jié)合確定的，表示評(píng)價(jià)指標(biāo)在評(píng)價(jià)指標(biāo)體系中所起作用的相對(duì)數(shù)值[13]。

 

4)量化方法：每個(gè)評(píng)價(jià)指標(biāo)項(xiàng)量化評(píng)分方法選取“符合/不符合判斷法”、“比率值法”、“選項(xiàng)賦值法”之一。

 

4 量化統(tǒng)計(jì)方法

 

4.1 評(píng)價(jià)指標(biāo)量化方法

 

對(duì)于電力信息安全水平評(píng)價(jià)指標(biāo)體系中包含的70個(gè)評(píng)價(jià)指標(biāo)，根據(jù)其指標(biāo)屬性的不同，分別確定了“符合/不符合判斷法”、“比率值法”、“選項(xiàng)賦值法”三種評(píng)價(jià)指標(biāo)量化方法。其中定性指標(biāo)應(yīng)用“符合/不符合判斷法”，定量指標(biāo)可依據(jù)指標(biāo)特性選取“比率值法”或“選項(xiàng)賦值法”。

 

1、符合/不符合判定法

 

根據(jù)組織信息安全工作實(shí)際情況是否符合指標(biāo)評(píng)價(jià)要素中描述的基本要求，為評(píng)價(jià)指標(biāo)賦予量化值，表2列出了 的賦值方法。

 

表2 應(yīng)用符合/不符合判定法的 的賦值方法

 

4.2 信息安全水平指數(shù)計(jì)算方法

 

 

5 結(jié)束語

 

本文以電力組織信息安全工作水平為研究對(duì)象，從組織體系、規(guī)章制度、資金保障、人員安全管理、服務(wù)外包管控、關(guān)鍵信息資產(chǎn)管控、信息系統(tǒng)建設(shè)安全管理、安全分區(qū)防御、網(wǎng)絡(luò)安全防護(hù)、主機(jī)和設(shè)備安全防護(hù)、應(yīng)用系統(tǒng)和數(shù)據(jù)安全防護(hù)、物理安全防護(hù)、信息系統(tǒng)運(yùn)行安全管理、災(zāi)難恢復(fù)、應(yīng)急管理等15個(gè)方面出發(fā)建立了一套指標(biāo)體系。同時(shí)從國家和行業(yè)的要求、規(guī)范為出發(fā)點(diǎn)確定了70個(gè)具體評(píng)價(jià)指標(biāo)，并提出了具體評(píng)價(jià)指標(biāo)的量化方法和組織信息安全水平指數(shù)的計(jì)算方法。本文提出的電力信息安全水平評(píng)價(jià)指標(biāo)體系在電力行業(yè)十八大信息安全檢查工作中得以應(yīng)用，從應(yīng)用結(jié)果來看客觀、精細(xì)、量化的反映了電力組織當(dāng)前信息安全工作水平。電力信息安全水平評(píng)價(jià)指標(biāo)的構(gòu)建和量化統(tǒng)計(jì)方法的確定，為當(dāng)前電力行業(yè)信息安全監(jiān)管和電力組織對(duì)信息安全工作開展情況的自評(píng)價(jià)提供了必要的技術(shù)支持。為保證評(píng)價(jià)指標(biāo)的科學(xué)性和適用性，電力系統(tǒng)信息安全研究人員還需要根據(jù)信息安全工作內(nèi)容和信息安全防護(hù)技術(shù)的發(fā)展，不斷的調(diào)整和優(yōu)化評(píng)價(jià)指標(biāo)，保障電力系統(tǒng)信息安全。

 

參考文獻(xiàn)

 

1.張靜,陳冠直,趙玉潔等. 石油石化信息安全態(tài)勢(shì)評(píng)估指標(biāo)體系研究. 信息網(wǎng)絡(luò)安全. 2012,3.19-24.

 

2.楊海鷹, 余建坤, 謝健等. 信息系統(tǒng)安全評(píng)價(jià)指標(biāo)體系的評(píng)價(jià)因素集研究. 全國商情:經(jīng)濟(jì)理論研究. 2011,12. 32-35.

 

3.工業(yè)和信息化部信息化推進(jìn)司，國家統(tǒng)計(jì)局統(tǒng)計(jì)科學(xué)研究所.中國信息化發(fā)展指數(shù)統(tǒng)計(jì)監(jiān)測(cè)年度報(bào)告2011[M].北京:中國發(fā)展出版社，2011.

 

4.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求[S].2006.

 

5.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 22239-2008 信息安全技術(shù) 信息安全等級(jí)保護(hù)基本要求[S].2008

 

6.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 22081-2008 信息技術(shù) 安全技術(shù) 信息安全實(shí)用規(guī)則[S].2008.

 

7.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 20274.1-2008 信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第1部分：簡(jiǎn)介和一般模型[S].2008.

 

8.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 20274.3-2008 信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第3部分：管理保障[S].2008.

 

9.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 24363-2009 信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范[S].2009.

 

10.中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局. GB/T 20988-2007 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范[S].2007.

 

11.中華人民共和國國務(wù)院. 第432號(hào)令 電力監(jiān)管條例[S].2005.

 

12.國家電力監(jiān)管委員會(huì). 5號(hào)令 電力二次系統(tǒng)安全防護(hù)規(guī)定[S].2006.

 

13.程崯, 王宇, 余軒等. 電力變壓器運(yùn)行狀態(tài)綜合評(píng)判指標(biāo)的權(quán)重確定. 中國電力, 2011, 44(4),26-30.