樊博 杨静 王西海
(国网山东郓城县供电公司 山东郓城 274700)
摘要:电力系统安全防护是一个重大的任务,它涉及到国家的安全,如果一旦发生大面积停电事故,就可能导致很大的经济损失,甚至会影响国家安全或者社会稳定,所以说加强电力信息系统的安全等级保护势在必行。本文首先对信息安全等级保护做了概述,然后分析了电力行业实施信息安全等级保护制度的原则,最后详细阐述了信息安全等级保护在电力信息系统中的应用。
关键词:信息安全;等级保护;电力信息系统;管理;网络安全
一、信息安全等级保护概述
(一)信息安全保护等级的划分
对信息系统安全保护等级的主要影响因子有 2 个:一是其在国家发展进程中的重要性;二是一旦被故意或者偶然损坏后对这个国家经济与社会发展的危害程度。这个等级往往分为下面 5 个等级:
第一级:用户自主保护级信息系统遭受破坏,它可能会影响到当事人以及其所在组织一定程度地利益损失,然而对整个社会发展的稳定、集体的利益或者国家的安全都没有很大的损伤。这种信息系统的重要性和所采取的安全防护措施都根据用户自己来决定。
第二级:系统审计保护级信息系统遭受破坏,这种情况的发生会对所在组织机构和当地人民群众利益遭受程度较大的危害,也会影响到社会的稳定和集体的利益,然而对国家安全无影响。
第三级:安全标记保护级信息系统遭受破坏,这种情况的发生会对整个社会的稳定以及集体造成影响重大的损伤,也会对国家安全产生很大威胁。这个等级同时有着系统审计保护级的全部信息保护功能,在这个基础上它也会强制对系统进行监查并记录全部内容,主要监控的是访问者以及所访问的对象。
第四级:结构化保护级遭到破坏,这种情况的发生会使得相关组织机构以及人民群众利益受到巨大的损伤,同时对整个社会的稳定和集体的利益以及国家安全产生了特别重大的危害。
第五级:访问验证保护级信息系统遭受破坏,这种情况的发生会使得国家安全受到极其严重的危害。此级别具有上面几个所有级别的功能,同时对系统设置访问验证保护,这样做不仅可以记录访问者以及该访问者对系统的访问历史,另外对访问者的访问权限进行设定,最大限度保证信息安全不泄露。
(二)信息安全等级的划分
1、按相关政策规定划分安全保护等级
在进行信息安全保护时,有一些需要特殊保护和隔离的信息系统,比方说国防部、国家机关或者重点科研机构等特殊机构的信息系统。针对这种系统,要特别严格,根据有关的信息安全等级保护的相关政策等法律法规的要求,对其系统进行防护。
2、按照保护数据的价值划分保护等级
针对被保护的信息的类别及价值的不同,设置不同的安全保护等级.这样做是为了在保护信息安全的同时最大限度减小其运作的投入。
二、电力行业实施信息安全等级保护制度的原则
电力行业实施信息安全等级保护制度应该遵循以下基本原则:
(一)明确责任,共同保护
通过等级保护,组织和动员电力行业各企业和单位共同参与信息安全保护工作;各方主体按照等级保护的规范和标准分别承担相应的、明确具体的信息安全保护责任。
(二)依照标准,自行保护
电力行业和企业和单位应运用国家强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。
(三)同步建设,动态调整
信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。
期刊文章分类查询,尽在期刊图书馆等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。
(四)指导监督,重点保护
电力行业和企业和单位应通过国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督。
三、信息安全等级保护在电力信息系统中的应用
(一)管理方面
等级保护管理建设包括的内容非常多,很多单位经过多年的建设已经形成了较为完善的管理体系,比较容易满足等级保护的要求。易出现不符合项的主要有以下方面:管理制度的评审和修订不及时;人员离岗后相应系统权限、各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等撤销或收回不及时;关键岗位的人员未签署保密协议;外部人员管控不到位;介质的分类、维修和销毁等管理不完善。
其中,特别需要引起重视的是对内部员工和外部研发及技术支持人员的管控,这些人员往往接触和掌握公司大量敏感信息,对公司资产造成的威胁最大。除了加强安全教育外,还应签署保密协议,从法律上对可能出现的违约行为加以限制和威慑。
(二)物理环境安全
一些物理安全问题往往受限于多种因素而难以整改,或整改成本过高,在等级保护应用中一般选择接受现状,如机房位置的选择、机房布局与区域划分、电磁防护。
出现概率较高且相对容易整改的不符合项主要有:无电子门禁系统;机房出入管理不严格,出入登记缺失或记录不详细;无防感应雷措施;强弱电线缆未隔离铺设;设备无标签或标签信息不完备;无防水检测和报警设施;未使用精密空调或由于水质过硬等原因而导致湿度调节功能不完善。
近些年电力信息化建设突飞猛进,信息系统规模愈来愈庞大,从而直接导致机房设备数量的大幅增加,对机房空间、空调、供电乃至机房承重都造成了很大挑战,再加上一些机房原本就是通过办公室等改建而成,因此很多单位的机房物理安全难以全面满足等级保护要求,通常需要借助新建或搬迁机房才能得到根本的解决。
(三)网络安全
基础网络是承载电力信息系统运行的平台,其安全性直接决定了整个信息系统的安全等级,是等级保护建设的重点之一。
网络安全防护主要包括:
1、安全域划分:根据等级保护定级结果,对高安全等级系统,如4级系统、3级系统划分独立的安全域,对安全性要求相对较低的2级系统可统一划分为1
个安全域,同时结合电力系统自身的特点,将互联网接入区与办公网络分离,并实施强边界隔离,通过层层设防,提高关键业务系统和数据的安全性。
2、确定网络边界:确保所有的网络边界都纳入公司统一的管理之中,常见的边界有:与Internet互联网的边界、银企互联边界、与其他社会代收机构的边界(专线连接)、公共服务通道(专线、GPRS、CDMA、3G等)与其他社会代收机构连接(VPN)等。
3、实施边界安全防护:明确了网络边界后,对边界进行分类汇总,通过部署防火墙或者网络设备上设置访问控制策略,严格控制不同安全域之间的访问行为,尤其是低安全域访问高安全域的行为。
4、网络设备安全防护:网络设备的远程管理都要采取SSH、HTTPS等加密方式,且限制管理员登录地址;网络设备口令的加密强度、SNMP服务的默认口令串等也是网络设备防护的薄弱点。
(四)主机安全
主机系统的安全状况历来比较受重视,在防病毒、补丁升级、弱口令、入侵检测等方面均有较完善的安全措施。根据等级保护3级要求,需完善的方面如下:
采用SSH、HTTPS等加密方式进行远程管理;
监控重要服务器的CPU、硬盘、内存、网络等资源的使用情况,并对系统的服务水平降低到预先规定的最小值进行检测和报警。
结语
综上,等级保护是信息安全领域一项基本国策,我国等级保护的相关技术标准还在制定和完善中,这就要求组织的管理者在实施等级保护要求中,不断探索和实践,把等级保护工作真正落实到实处。电力行业正在实施的二次防护工作,就是一种用等级保护的思想,保证发电系统、调度系统等重要电力信息系统的安全保障工作,它对全面推进等级保护在电力行业中的推广有着积极的作用。
参考文献
[1]祝国邦. 信息安全等级保护安全建设整改工作新进展[J]. 信息安全与通信保密. 2010(01)
[2]郭启全. 加快落实信息安全等级保护整改建设工作[J]. 信息安全与通信保密. 2010(05)
论文作者:樊博,杨静,王西海
论文发表刊物:《电力设备》2016年第9期
论文发表时间:2016/7/4
标签:等级论文; 信息安全论文; 信息系统论文; 系统论文; 边界论文; 机房论文; 电力行业论文; 《电力设备》2016年第9期论文;