引言

    信息安全等級保護是國家信息安全保障的基本方法。是維護國家信息安全的根本保障。目前。各大發電集團已根據公安部及國家電力監管委員會(以下簡稱電監會)的要求，如期開展了信息系統等級保護工作，旨在通過合理分配資源，規范信息系統安全建設與防護。

    在發電集團等級保護的不斷建設及測評試點工作中，信息安全的趨勢是建立長效安全機制。等級保護專業測評工作。只是推動各單位信息安全工作PDCA(P一計劃，D一執行，C一檢查，A一行動)模式的政策依據。而信息安全整改工作常態化的根本，一方面要不斷加強運維人員的專業水平，不斷增強信息安全意識；另一方面，要規范化地推進自測評，并結合自測評的結果統一規劃，客觀對待已有的脆弱性并進行持續的改善建設。

1 自測評和專業測評相結合的必要性

    目前國內五大發電集團企業內的信息系統已逐漸由零散化向集中化發展，部分信息化水平較高的電廠已完成了DCS系統一體化整合工作。根據公安部2010年印發的《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》的要求，2012年底需要完成已定級信息系統安全建設與整改工作。并完成專業測評工作。以中國華能集團公司為例，所轄電廠的三級系統已超過90個，目前下屬各單位均已完成了系統定級備案工作，并著手落實了整改和建設計劃，力爭通過積極的安全整改建設工作落實等級保護制度的各項要求。然而，大部分下屬單位安全基礎相對薄弱，未曾開展過針對系統安全性的測試，忽略了在定級與整改之間的關鍵環節，即對照等級保護的基本要求完成定級系統的自測評與差距分析的工作。使得整改建設面臨較大困難。由此可見自測評的重要性。而行之有效的差距分析。是各單位制定整改方案的基礎依據。

    2010年公安部和國資委聯合印發《關于進一步推進中央企業信息安全等級保護工作的通知》(公通字[2010]70號)規定，由電監會負責指導電力行業的信息系統安全等級保護工作。就專業測評而言，電力行業現存3家測評機構，各測評機構專業測評工程師人數均為40人左右。若嚴格按照專業測評周期。逐家單位三級系統進行地毯式的細致摸排，則每個三級系統現場測評周期為15～20個人天。若擴展至整個專業測評過程，包含前期方案編制、分析與編制報告等工作。則單個三級系統測評周期為40個人天。以中國華能集團公司下屬單位為例。專業測評人力資源投入將大于3 000個人天。因此在專業測評人才相對缺乏、IT人力資源成本不斷走高的電力行業等級保護建設工作中。自測評與專業測評相結合的方式共同校驗等級保護合規性。也是勢在必行。

    隨著電力行業信息化建設的大規模推進，目前各單位基本已設置了信息化專責，如網管專責、系統運維專責等。他們對自身單位的網絡架構、業務系統應用等有著較為深刻的認識。因此需要在發電集團各下屬單位中抽調2—3名專責工作人員開展等級保護專項培訓。使運維人員在了解等級保護工作重要性的同時，熟悉與掌握自測評的基本流程與方法，使自查工作與等級測評工作有機結合。這樣各單位的信息安全等級保護工作才能進入螺旋狀上升的良性循環。

2 合理高效地開展自測評工作

    發電集團總部信息中心在對運維人員開展信息安全培訓的同時，會引入相關的等級保護測評方法，考慮到集團各下屬單位人員在應對突發故障時的自主恢復能力及專業安全檢查工具使用合理性，自測評主要以訪談、檢查為主，初級階段暫不考慮開展推廣專業測試工具。以中國華能集團公司下屬各單位的DCS系統為例。結合發電行業信息系統的特性，就技術層面的物理安全、網絡安全、主機安全、應用安全、數據安全展開討論。下屬各單位DCS系統應用廠商較為統一，系統主要為國內外幾個知名廠商設計，服務器為集中采購，無過多定制開發內容，因此應用層面共性問題相當一致。若系統所涉及服務器未開展過加固工作，則均為默認配置，基本不存在個性安全性問題。故就合理高效的開展自測評工作而言，設計精細化、格式化的調研表格不可或缺，而各下屬單位物理環境、網絡環境的差異化建設，將會成為技術自查部分考察的重點。

    根據《電力行業信息系統安全等級保護基本要求》，按照通用管理要求計算，共有158個測評項。針對三級系統的管理自測評，更應做到有的放矢。例如，應配備一定數量的系統管理員、網絡管理員、安全管理員等；應指定或授權專門的部門或人員負責人員錄用等測評指標項。人員雖是安全管理的基礎，但在發電集團完善的體系架構下，基本不會出現不符合或部分符合的情況，建議納入專業測評的合規檢查中。但就自測評而言，旨在精益求精，一針見血，因此自測評表格的設計，在指標量化方面，可以適當孤立對待。在運維人員填寫自測評表格的過程中，信息系統與安全基線偏離程度最高比例在自測評報告中體現。則是自測評的精髓之所在。

3 自測評調研表單的設計

    設計自測評調研表單的目的是為了利用標準化、格式化的調研表格，在快速、實用地了解各單位信息系統建設情況的同時，針對共性安全問題進行確認，也為在等級保護專業測評時所要面對的個性問題提供實用性較強的現實依據。發電集團總部信息中心還可以將調研表單進行技術衍生，形成督察版調研表。引入定期安全督導機制，遠程對各單位等級保護整改情況進行及時的評價。

    以某電廠DCS系統的網絡安全為例。簡單設計了自測評調研表格樣例(見表1)。通過專業信息安全人員對3～5個代表性電廠的DCS系統調研，可將應用安全、主機安全、數據備份及存儲的大部分共性問題進行整合：針對安全管理。可將原有158個檢查項縮減至50個關鍵點之內。若原有單位DCS系統定級為S3A3G3。則專業測評項共為327個。而自測評工作僅需勾選不超過100個調研項，或將稍做補充，即可達到預期效果。同時，自測評調研表設計言簡意賅。也降低了等級保護測評工作的門檻。

表1 發電集團信息系統等級保護自謝評調研表

4 結語

    結合發電集團信息化建設的實際情況，等級保護自測評工作必然會是伴隨著信息系統生命周期的一個不斷循序漸進的過程。通過組織內部人員進行精細化自測評工作，就眼前利益而言，大大提高了專業測評效率。節約了各類資源；從長遠角度來看，運維人員通過自測評工作，將安全建設整改工作常態化穩步推進的同時。必將使決策者逐漸深刻理解信息安全防護的實際意義，更是從實際出發推動等級保護制度盡快建立和實施的有效手段。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：發電集團等級保護自測評實踐分析

本文網址：http://www.guhuozai8.cn/html/consultation/1083935045.html