信息安全等级保护安全建设整改工作培训材料之二
全面规划狠抓落实
信息安全工作再上新台阶
----国家电网公司信息安全等级保护工作交流
国家电网公司是国有特大型企业,是关系国家能源安全和国民经济命脉的国有重要骨干企业,核心业务为电网的建设和运营,承担着为经济社会发展提供安全、经济、清洁、可持续的电力供应的基本使命。国家电网公司经营区域覆盖26个省(自治区、直辖市),占国土面积的88%,为超过10亿人口提供电力服务,管理员工153.7万人,公司名列2009年《财富》全球企业500强第15位,是全球最大的公用事业企业。
作为关系国家能源安全和国民经济命脉的重要骨干企业,国家电网公司内部运转和对外服务依托大量业务信息系统,信息化依赖程度很高。公司历来高度重视信息化工作,大力推进信息化企业建设,自2006年开始实施SG186工程,构筑横向集成、纵向贯通的一体化企业级信息集成平台,建设八大业务应用系统,健全完善六个保障体系,提出“十一五”末初步建成信息化企业和数字化电网的目标,即在国际先进管理理念指导下,以信息技术为依托,构建电网企业生产、经营、管理和决策的信息管理系统,实现公司人、财、物三大基本要素和业务处理的全过程信息化,促进公司各项业务流程的规范化、标准化,达到工作流、资金流、物资流、信息流的高度整合和共享,实现公司生产自动化、管理现代化、决策科学化。SG186工程至今年年底将提前一年全部完成建设目标,为公司人财物集约化管理和智能电网建设提供了坚强支撑。通过国家信息化测评机构测算,信息化对公司主营业务的销售收入贡献
率达到1%以上,SG186工程取得每年数十亿元的明显效益。在国资委公布的2007年度中央企业信息化水平评价结果中,被评为十家A级企业之一,综合排名第四,是电力行业唯一进入A级的企业。
随着国家电网公司“SG186”工程的推进,公司加快实施一体化平台建设,推进三级贯通,强化系统集成与实用化,实现公司总部与各单位系统的级联,八大业务应用整体全面推广、拓展深化应用,信息化效能、效率、效益提升作用明显,信息系统的基础性、全局性、全员性作用日益增强。电网信息安全作为电网安全的重要组成部分,是电网信息化持续深入推进的基本保障,直接影响着电力企业的运行与管理工作,对电力生产控制系统安全有着重大影响。
国家电网公司从维护国家安全、社会稳定与公民权益出发,按照国家信息安全等级保护制度要求,将信息安全纳入电网生产安全体系,加强管控,逐级分解安全责任,建立了完善的信息安全机制,按照“双网双机、分区分域、等级防护、多层防御”的安全策略,实施了双网隔离,部署了信息内外网邮件系统,统一配置了安全移动存储介质,建设一体化安全运行监管平台和信息安全综合工作平台,构建了运行维护标准化体系和信息安全技术督查体系,全面开展风险评估、强化应急响应、加强信息安全保密等系列措施,初步建立了公司信息安全等级保护纵深防御体系,有关工作得到了国家主管部门的高度肯定和认可,并获得电力行业信息安全工作突出单位称号。
下面将国家电网公司信息安全等级保护工作开展情况介绍如下:
一、等级保护工作介绍
国家电网公司高度重视等级保护工作,全面落实公安部《信息安全等级保护管理办法》、《关于开展信息安全等级保护安全建设整改工作的指导意见》、《信息系统安全等级保护基本要求》等系列管理和技术要求,以定级工作为基础,强化顶层设计,加强标准化建设,管理和技术齐抓共管开展等级保护建设整改,整体工作遵照定级备案、方案设计、等保
建设、等保测评和运行维护的五个步骤开展,目前已有2/3的单位完成等级保护建设,并将于年底全面完成建设整改工作。
图1 国家电网公司等级保护工作流程图
(一)定级备案
2008年初,遵照公安部《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)和电监会《电力行业信息系统安全等级保护定级工作指导意见》(电监信息〔2007〕44号)的文件要求,国家电网公司组织对在运的信息系统进行定级,并按照公安部和电监会对公司信息系统定级的审批,公司完成了30个网省公司、21直属单位的信息系统定级与组织备案工作,涉及公司所有万余个在运信息系统,其中四级系统32个,三级系统占31.8%、二级系统占68.1%。
68.1%
31.8%0.1%二级系统三级系统
四级系统
图2 国家电网公司信息系统安全等级分布
(二)体系设计
按照《信息系统安全等级保护基本要求》、《信息安全等级保护安全建设整改工作指南》的要求,国家电网公司结合电网安全需求,对电网信息安全工作进行整体规划和体系设计,制定了《国家电网公司信息化“SG186”工程安全防护总体方案》,确定了“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略,其核心内容为强化网络边界安全,结合信息安全等级对信息内、外网应用系统进行安全域划分,将各安全域按边界、网络、主机及应用环境四个层次实施安全防护。
图3 体系构成示意图
具体内容为:一是将管理信息网划分为信息内网和信息外网,管理信息内外网之间采用逻辑强隔离策略进行隔离,信息内外网分别使用物理隔离并独立的服务器和桌面计算机。二是在网络方面,构筑了网络边界三道防线,第一道防线为强化互联网与信息外网之间控制策略;第二道防线为信息外网与信息内网之间采用强隔离措施和物理断开,切断信息内网与互联网的连接;第三道防线为管理信息大区与生产控制大区强隔离。三是在信息内网,按照“统筹资源、重点保护、适度安全”的原则,依据信息系统等级定级结果,采用“二级系统统一成域,三级系统独立
分域”的方法划分安全域。信息外网划分为外网应用系统域和外网桌面终端域。各安全域采用符合等级保护要求的技术措施进行防护。
图4 三道防线示意图
国家电网公司针对各安全域防护特点的差异,明确了各域的安全控制措施及防护方案,设计了7个典型设计的分册。即,在边界方面:制定了《网络与信息系统安全隔离实施指导意见》,应用具有自主知识产权的逻辑强隔离装置、正反向隔离装置等措施。在网络方面:采用国产网络设备和安全设备,并对经由网络传输的业务信息流进行安全防护。在主机方面:制定了《国家电网公司信息安全加固实施指南》,开展主机安全加固。在应用方面:制定了《国家电网公司信息应用系统通用安全要求》,开展应用系统安全性测试与整改。在数据方面:应用安全移动存储介质进行内外网数据交换,并开展三个集中式信息系统容灾中心建设。在管理方面辅助以信息安全综合工作平台进行管理。
(三)深化标准
国家电网公司结合电网信息安全防护的特殊性,以国家信息系统等级保护基本要求和电力行业信息安全要求为基础,对电网等级保护标准指标进行深化、扩充,将国家等级保护二级系统技术指标项由79个扩充至134个,三级系统技术指标项由136个扩充至184个,并将指标
