下载文档原格式
关于开展电力行业信息系统安全等级保护定级工作的通知关于开展电力行业信息系统安全等级保护定级工作的通知各相关单位:为进一步加强电力行业信息系统的安全保护工作,提高信息系统安全等级保护水平,确保电力行业信息系统的稳定运行和数据安全,根据《国家信息安全等级保护制度》和《电力行业信息系统安全等级保护实施基本要求》,我单位决定开展电力行业信息系统安全等级保护定级工作。
现将有关事项通知如下:一、工作目标本次工作的目标是全面了解电力行业信息系统的安全现状,明确电力行业信息系统安全等级,确保信息系统的安全性、完整性和可用性。
二、工作内容1. 电力行业信息系统安全等级评定根据电力行业的实际情况,制定电力行业信息系统安全等级评定指南,包括系统规模、重要性、业务功能等方面的要求。
各相关单位需全面了解自身信息系统的情况,按照评定指南进行自查自评,并提交相应的材料,协助进行等级评定工作。
2. 安全风险评估为进一步了解电力行业信息系统的安全风险,各相关单位需配合进行安全风险评估工作。
评估内容包括但不限于系统漏洞、网络安全、物理安全等方面。
评估结果将作为安全等级定级的重要依据。
3. 安全等级定级根据各单位自查自评和安全风险评估的结果,结合评定指南要求,我单位将对各相关单位的信息系统进行安全等级定级工作。
定级结果将根据等级评定指南进行分类确定,并向各单位下发安全等级证书。
4. 信息系统安全建设方案各单位在完成自查自评和安全等级定级后,需根据定级结果,提出信息系统安全建设方案,针对可能存在的安全问题提出具体的整改措施和时间节点。
三、工作要求1. 提高安全意识各相关单位应进一步提高安全意识,加强信息安全管理,加大对电力行业信息系统的保护力度。
培训和教育工作也需加强,确保全体员工都具备一定的信息安全意识和技能。
2. 合理规划信息系统各单位在规划、设计和建设信息系统时,必须充分考虑安全因素,制定相应的安全策略和措施,并确保系统能够满足安全等级定级的要求。
电力行业信息系统安全等级保护基本要求随着信息技术在电力行业中的广泛应用,电力行业信息系统安全问题日益凸显。
为了保护电力行业的信息安全,提高电力行业信息系统的安全等级,国家制定了电力行业信息系统安全等级保护基本要求。
以下是这些基本要求的详细介绍。
一、基本要求的概述基本要求包括安全等级划分、安全技术要求、安全管理要求、监督检查要求等方面内容。
二、安全等级划分根据不同的保护需求,将电力行业信息系统分为五个等级,从低到高分别是一级、二级、三级、四级、五级。
三、安全技术要求安全技术要求包括电力行业信息系统安全的要求和控制措施。
控制措施包括访问控制、身份认证、数据加密、安全传输、安全审计等方面。
四、安全管理要求安全管理要求包括组织管理、安全策略和规程、人员安全管理、物理环境管理等方面。
组织管理主要涉及电力行业信息系统安全的组织机构、职责划分和人员配备。
安全策略和规程要求制定合理的安全策略和规程,明确安全责任、权限和流程。
人员安全管理要求对操作人员进行安全培训,确保人员的安全意识和安全素质。
物理环境管理要求对信息系统的机房、终端设备等进行有效的保护和管理。
五、监督检查要求监督检查要求包括自查、定期检查、不定期检查等方面。
自查是指电力企事业单位定期对信息系统进行自我评估,发现问题及时改进。
定期检查是指国家相关部门定期对电力行业信息系统进行检查,评估其安全状况。
不定期检查是指国家相关部门根据需要对电力行业信息系统进行突击检查。
六、其它要求此外,电力行业信息系统安全等级保护基本要求还包括突发事件处置、安全漏洞管理、信息共享和协作等方面的要求。
突发事件处置要求电力行业信息系统建立应急响应机制,及时处置信息安全事件。
安全漏洞管理要求建立漏洞监测和修复机制,及时修补系统中的漏洞。
信息共享和协作要求电力行业加强与相关部门的信息共享和协作,形成多方合作、共同防范的态势。
总之,电力行业信息系统安全等级保护基本要求对电力行业的信息系统进行了全面规范和保护,为电力行业信息安全提供了重要的技术和管理支持,有效保障了电力行业信息系统的安全等级。
电力公司信息系统等级安全项目三级系统域建设方案1.1 概述与建设目标三级系统域是依据等级保护定级标准而将国家电网公司的应用系统定为三级的所有系统的集合,按等级保护方法将等级保护定级为三级的系统独立成域进行安全防护建设。
省公司三级系统主要包括电力市场交易系统、财务管理系统,营销管理系统为二级系统,但按照国家电网公司要求需按照三级系统进行防护。
省公司三级系统域等级保护建设目标是落实《信息安全技术信息安全等级保护基本要求》中三级系统各项指标和要求,实现信息系统三级系统独立分域,完善三级系统边界防护、配置合理的网络环境、增强主机系统安全防护及三级系统各应用的安全。
针对《信息安全技术信息安全等级保护基本要求》中三级系统各项指标和要求,为保障其稳定、安全运行,本方案从物理安全、网络安全、主机系统、应用安全和数据安全与备份等五个层面进行等级保护建设。
1.2 物理安全根据国家电网公司“三基”建设方案要求,省公司及地市公司物理安全均按照《信息安全技术信息安全等级保护基本要求》中三级系统要求进行建设。
1.2.1 物理安全建设目标省公司及地市公司机房均需按照《信息安全技术信息系统安全等级保护基本要求》三级系统机房物理环境要求,并参照《国家电网公司信息机房设计及建设规范》的相关内容,对机房进行等级保护建设和改造,建设目标如下:1)机房物理位置合适,环境控制措施得当,具有防震、防风、防水、防火、防尘、防盗、防雷、防静电以及温湿度可控等安全防护措施。
2)机房管理措施全面得当,如:出入管理规范、卫生管理规范、值班巡视制度等等,保障各业务系统稳定、安全的运行。
3)电力冗余设计,从而保障公司各业务系统在遇断电、线路故障等突发事件时能正常稳定运行。
4)机房各类指标应满足《信息安全技术信息系统安全等级保护基本要求》三级系统机房物理环境要求中的必须完成项。
1.2.2 机房感应雷防护措施省公司及19个下属公司信息机房均增加防雷保安器,防止感应雷的产生。
电力行业信息安全等级保护测评中心年度监督检查工作会议召
开
佚名
【期刊名称】《电力信息化》
【年(卷),期】2012(10)12
【摘要】2012年12月10日,电力行业信息安全等级保护测评中心年度监督检查工作会议顺利召开。
公安部十一局总工程师郭启全一行莅临中国电科院进行检查指导,国家电力监管委员会信息中心主任孙耀唯、中国电科院副院长王力科出席会议。
【总页数】1页(P30-30)
【关键词】信息安全等级保护;监督检查工作;电力行业;测评;国家电力监管委员会;总工程师;信息中心;公安部
【正文语种】中文
【中图分类】F426.61
【相关文献】
1.中国电科院完成电力行业信息安全等级保护测评中心年度复审迎检 [J], ;
2.银行业信息科技外包联合监督平台召开2014年度工作会议等 [J],
3.银行业信息科技外包联合监督平台召开2014年度工作会议 [J], 张艳
4.卫生部统计信息中心召开卫生行业信息安全等级保护工作专家研讨会 [J],
5.电力行业信息安全等级保护测评中心工作会议暨测评实验室授牌仪式召开 [J],
因版权原因,仅展示原文概要,查看原文内容请购买。
电力公司信息系统等级安全项目信息安全管理建设方案
1.1建设目标
省公司信息系统的管理与运维总体水平较高,各项管理
措施比较到位,经过多年的建设,已形成一整套完备有效的
管理制度。
省公司通过严格、规范、全面的管理制度,结合
适当的技术手段来保障信息系统的安全。
管理规范已经包含
了信息安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通讯与操作管理、访问控制、信息系统的获取、开发和维护、信息安全事故管理、业务连续性管理等方面,但与《信息安全技术信息系统安全等级保护基本要求》存在一定的差距,需进行等级保护建设。
通过等级保护管理机构与制度建设,完善公司信息系统管理机构和管理制度,落实《信息安全技术信息系统安全等级保护基本要求》管理制度各项指标和要求,提高公司信息系统管理与运维水平。
通过等级保护建设,实现如下目标:
1)落实《信息安全技术信息系统安全等级保护基本要
求》管理制度各项指标和要求。
2)在公司信息安全总体方针和安全策略的引导下,各管
理机构能按时需要规划公司信息安全发展策略,及时
发布公司各类信息安全文件和制度,对公司各类安全
制度中存在的问题定期进行修订与整改。
3)系统管理员、网络管理员、安全管理员等信息安全管
理与运维工作明确,明确安全管理机构各个部门和岗位的职责、分工和技能要求。
4)在安全技术培训与知识交流上,能拥有安全业界专
家、专业安全公司或安全组织的技术支持,以保证省公司信息系统安全维护符合各类安全管理要求并与时俱进。
国家电网公司信息安全等级保护安全建设整改工作经验介绍王继业
【期刊名称】《警察技术》
【年(卷),期】2010(000)002
【摘要】@@ 国家电网公司作为全球最大的公用事业企业,运转着世界上用户规模最大的信息系统,按照公司实现数字化电网和信息化企业的目标,已基本建成了覆盖全国的生产控制系统和管理信息系统.信息安全作为信息化深入推进的重要保障,对电网安全有着重大影响.
【总页数】2页(P13-14)
【作者】王继业
【作者单位】国家电网公司信息化工作部
【正文语种】中文
【相关文献】
1.信息安全等级保护安全建设整改工作政策解读 [J], 郭启全
2.国家信息安全等级保护工作协调小组办公室关于发布《全国信息安全等级保护测评机构推荐目录》的公告/信息安全等级保护政策培训教程正式出版发行 [J],
3.水利信息安全等级保护整改工作的实践 [J], 蔡阳
4.公安部举办中央国家机关信息安全等级保护安全建设整改工作培训班 [J],
5.北京市召开信息安全等级保护安全建设整改工作部署会 [J], 程斌
因版权原因,仅展示原文概要,查看原文内容请购买。
电力公司信息系统等级安全项目二级系统域建设方案1.1 概述与建设目标二级系统域是依据等级保护定级标准将国家电网公司应用系统定为二级的所有系统的集合,按分等级保护方法将等级保护定级为二级的系统集中部署于二级系统域进行安全防护,二级系统域主要涵盖与二级系统相关的主机、服务器、网络等。
省公司二级系统主要包括内部门户(网站)、对外门户(网站)、生产管理信息系统、协同办公系统、人力资源管理系统、物资管理系统、项目管理系统和邮件系统等共8个二级系统,除对外门户外,其它七个内网二级系统需按二级系统要求统一成域进行安全防护。
二级系统域等级保护建设目标是落实《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求,实现信息系统二级系统统一成域,完善二级系统边界防护,配置合理的网络环境,增强二级系统主机系统安全防护及二级系统各应用的安全与稳定运行。
针对《信息安全技术信息安全等级保护基本要求》中二级系统各项指标和要求,保障系统稳定、安全运行,本方案将二级系统域安全解决方案分为边界防护、网络环境、主机系统及应用安全四个层面进行安全建设。
1.2 网络安全1.2.1 网络安全建设目标省公司下属各地市公司网络安全建设按照二级系统要求进行建设,通过等级保护建设,实现如下目标:1)网络结构清晰,具备冗余空间满足业务需求,根据各部门和业务的需求,划分不同的子网或网段,网络图谱图与当前运行情况相符;2)各网络边界间部署访问控制设备,通过访问控制功能控制各业务间及办公终端间的访问;3)启用网络设备安全审计,以追踪网络设备运行状况、设备维护、配置修改等各类事件;4)网络设备口令均符合国家电网公司口令要求,采用安全的远程控制方法对网络设备进行远程控制。
1.2.2 地市公司建设方案根据测评结果,地市公司信息网络中网络设备及技术方面主要存在以下问题:5)网络设备的远程管理采用明文的Telnet方式;6)部分网络设备采用出厂时的默认口令,口令以明文的方式存储于配置文件中;7)交换机、IDS等未开启日志审计功能,未配置相应的日志服务器;8)供电公司内网与各银行间的防火墙未配置访问控制策略;9)网络设备采用相同的SNMP口令串进行管理;10)未开启网络设备登录失败处理功能,未限制非法登录次数,当网络登录连接超时时未设置自动退出等措施;11)缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查与监测措施;12)未限制网络最大流量数及网络连接数;13)未限制具有拨号访问权限的用户数量。
信息安全等级保护工作简报第(10)期国家信息安全等级保护工作协调小组办公室2007年8月29日电力行业加快组织开展信息安全等级保护定级工作为贯彻落实《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》要求,提高电力行业网络和信息系统的安全保障能力和水平,国家电力监管委员会(以下简称电监会)作为电力行业网络与信息安全监督管理部门,结合行业特点,近期印发了《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2007]34号,以下简称《通知》),组织国家电网公司、南方电网公司、华能、大唐、华电、国电、中电投集团公司以及各有关电力公司开展重要信息系统安全等级保护定级工作。
一是明确了定级工作的组织。
为在电力行业有效贯彻落实国家信息安全等级保护制度,《通知》中明确了定级工作的组织机构及职责分工。
电监会成立电力行业网络与信息安全领导小组,统一协调领导电力行业信息系统安全等级保护定级工作,领导小组下设办公室,具体负责定级工作的组织开展,监督、指导信息系统运营使用单位的定级工作。
同时,成立了电力行业信息系统安全等级保护定级工作专家组,就定级工作提供指导、咨询,对定级结果进行评审。
此外,《通知》要求各电力公司确定等级保护责任部门,负责组织开展本公司信息系统安全等级保护定级工作。
二是明确了定级工作的内容。
第一,各电力公司责任部门要组织本系统的信息系统运营使用单位,开展对所属网络和信息系统的摸底调查工作,全面掌握信息网络和信息系统的数量、分布、业务类型、系统结构、应用或服务范围等基本情况。
第二,各电力公司在摸底调查的基础上,按照要求确定各定级对象,初步确定其安全保护等级,起草定级报告,并由各电力公司责任部门汇总后统一报送领导小组办公室。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
第三,领导小组办公室印发《电力行业信息系统安全等级保护定级实施指南》(以下简称《实施指南》),指导各电力公司和信息系统运营使用单位的定级工作,组织专家对上报的定级报告进行分类评审。
电力行业信息系统安全等级保护定级工作指导意见国家电力监管委员会二〇〇七年十一月目录1 引言 (1)2 依据 (1)3 术语和定义 (1)3.1 信息系统 (1)3.2 等级保护对象 (2)3.3 客体 (2)3.4 系统服务 (2)4 工作组织 (2)5 定级原理 (3)5.1 信息系统安全保护等级 (3)5.2 信息系统安全保护等级的定级要素 (4)5.2.1 受侵害的客体 (4)5.2.2 对客体的侵害程度 (4)5.3 定级要素与等级的关系 (4)6 定级方法 (5)6.1 定级流程 (5)6.2 确定定级对象 (6)6.2.1 作为定级对象的基本特征 (7)6.2.2 定级对象的识别方法 (7)6.2.3 定级对象信息系统边检和边界设备的确定方法 (11)6.2.4 电力行业信息系统安全等级保护定级对象分类 (13)6.3 确定受侵害的客体 (13)6.4 确定对客体的侵害程度 (14)6.4.1 侵害的客观方面 (14)6.4.2 综合判定侵害程度 (15)6.5可能侵害的客体及侵害程度的确定方法 (17)6.6 确定定级对象的安全保护等级 (19)6.7 关于定级过程的说明 (20)7 关于审批流程的说明 (23)8 等级变更 (24)9 电力行业信息系统安全等级保护定级参考 (24)1 引言为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)和国家电力监管委员会《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)要求,指导电力行业信息系统安全保护定级工作,制定本意见。
2 依据《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息〔2007〕34号)3 术语和定义3.1 信息系统基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的系统。
信息安全等级保护安全建设整改工作培训材料之二全面规划狠抓落实信息安全工作再上新台阶----国家电网公司信息安全等级保护工作交流国家电网公司是国有特大型企业,是关系国家能源安全和国民经济命脉的国有重要骨干企业,核心业务为电网的建设和运营,承担着为经济社会发展提供安全、经济、清洁、可持续的电力供应的基本使命。
国家电网公司经营区域覆盖26个省(自治区、直辖市),占国土面积的88%,为超过10亿人口提供电力服务,管理员工153.7万人,公司名列2009年《财富》全球企业500强第15位,是全球最大的公用事业企业。
作为关系国家能源安全和国民经济命脉的重要骨干企业,国家电网公司内部运转和对外服务依托大量业务信息系统,信息化依赖程度很高。
公司历来高度重视信息化工作,大力推进信息化企业建设,自2006年开始实施SG186工程,构筑横向集成、纵向贯通的一体化企业级信息集成平台,建设八大业务应用系统,健全完善六个保障体系,提出“十一五”末初步建成信息化企业和数字化电网的目标,即在国际先进管理理念指导下,以信息技术为依托,构建电网企业生产、经营、管理和决策的信息管理系统,实现公司人、财、物三大基本要素和业务处理的全过程信息化,促进公司各项业务流程的规范化、标准化,达到工作流、资金流、物资流、信息流的高度整合和共享,实现公司生产自动化、管理现代化、决策科学化。
SG186工程至今年年底将提前一年全部完成建设目标,为公司人财物集约化管理和智能电网建设提供了坚强支撑。
通过国家信息化测评机构测算,信息化对公司主营业务的销售收入贡献率达到1%以上,SG186工程取得每年数十亿元的明显效益。
在国资委公布的2007年度中央企业信息化水平评价结果中,被评为十家A级企业之一,综合排名第四,是电力行业唯一进入A级的企业。
随着国家电网公司“SG186”工程的推进,公司加快实施一体化平台建设,推进三级贯通,强化系统集成与实用化,实现公司总部与各单位系统的级联,八大业务应用整体全面推广、拓展深化应用,信息化效能、效率、效益提升作用明显,信息系统的基础性、全局性、全员性作用日益增强。
电网信息安全作为电网安全的重要组成部分,是电网信息化持续深入推进的基本保障,直接影响着电力企业的运行与管理工作,对电力生产控制系统安全有着重大影响。
国家电网公司从维护国家安全、社会稳定与公民权益出发,按照国家信息安全等级保护制度要求,将信息安全纳入电网生产安全体系,加强管控,逐级分解安全责任,建立了完善的信息安全机制,按照“双网双机、分区分域、等级防护、多层防御”的安全策略,实施了双网隔离,部署了信息内外网邮件系统,统一配置了安全移动存储介质,建设一体化安全运行监管平台和信息安全综合工作平台,构建了运行维护标准化体系和信息安全技术督查体系,全面开展风险评估、强化应急响应、加强信息安全保密等系列措施,初步建立了公司信息安全等级保护纵深防御体系,有关工作得到了国家主管部门的高度肯定和认可,并获得电力行业信息安全工作突出单位称号。
下面将国家电网公司信息安全等级保护工作开展情况介绍如下:一、等级保护工作介绍国家电网公司高度重视等级保护工作,全面落实公安部《信息安全等级保护管理办法》、《关于开展信息安全等级保护安全建设整改工作的指导意见》、《信息系统安全等级保护基本要求》等系列管理和技术要求,以定级工作为基础,强化顶层设计,加强标准化建设,管理和技术齐抓共管开展等级保护建设整改,整体工作遵照定级备案、方案设计、等保建设、等保测评和运行维护的五个步骤开展,目前已有2/3的单位完成等级保护建设,并将于年底全面完成建设整改工作。
图1 国家电网公司等级保护工作流程图(一)定级备案2008年初,遵照公安部《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)和电监会《电力行业信息系统安全等级保护定级工作指导意见》(电监信息〔2007〕44号)的文件要求,国家电网公司组织对在运的信息系统进行定级,并按照公安部和电监会对公司信息系统定级的审批,公司完成了30个网省公司、21直属单位的信息系统定级与组织备案工作,涉及公司所有万余个在运信息系统,其中四级系统32个,三级系统占31.8%、二级系统占68.1%。
68.1%31.8%0.1%二级系统三级系统四级系统图2 国家电网公司信息系统安全等级分布(二)体系设计按照《信息系统安全等级保护基本要求》、《信息安全等级保护安全建设整改工作指南》的要求,国家电网公司结合电网安全需求,对电网信息安全工作进行整体规划和体系设计,制定了《国家电网公司信息化“SG186”工程安全防护总体方案》,确定了“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略,其核心内容为强化网络边界安全,结合信息安全等级对信息内、外网应用系统进行安全域划分,将各安全域按边界、网络、主机及应用环境四个层次实施安全防护。
图3 体系构成示意图具体内容为:一是将管理信息网划分为信息内网和信息外网,管理信息内外网之间采用逻辑强隔离策略进行隔离,信息内外网分别使用物理隔离并独立的服务器和桌面计算机。
二是在网络方面,构筑了网络边界三道防线,第一道防线为强化互联网与信息外网之间控制策略;第二道防线为信息外网与信息内网之间采用强隔离措施和物理断开,切断信息内网与互联网的连接;第三道防线为管理信息大区与生产控制大区强隔离。
三是在信息内网,按照“统筹资源、重点保护、适度安全”的原则,依据信息系统等级定级结果,采用“二级系统统一成域,三级系统独立分域”的方法划分安全域。
信息外网划分为外网应用系统域和外网桌面终端域。
各安全域采用符合等级保护要求的技术措施进行防护。
图4 三道防线示意图国家电网公司针对各安全域防护特点的差异,明确了各域的安全控制措施及防护方案,设计了7个典型设计的分册。
即,在边界方面:制定了《网络与信息系统安全隔离实施指导意见》,应用具有自主知识产权的逻辑强隔离装置、正反向隔离装置等措施。
在网络方面:采用国产网络设备和安全设备,并对经由网络传输的业务信息流进行安全防护。
在主机方面:制定了《国家电网公司信息安全加固实施指南》,开展主机安全加固。
在应用方面:制定了《国家电网公司信息应用系统通用安全要求》,开展应用系统安全性测试与整改。
在数据方面:应用安全移动存储介质进行内外网数据交换,并开展三个集中式信息系统容灾中心建设。
在管理方面辅助以信息安全综合工作平台进行管理。
(三)深化标准国家电网公司结合电网信息安全防护的特殊性,以国家信息系统等级保护基本要求和电力行业信息安全要求为基础,对电网等级保护标准指标进行深化、扩充,将国家等级保护二级系统技术指标项由79个扩充至134个,三级系统技术指标项由136个扩充至184个,并将指标作为整改要求,制定了《国家电网公司“SG186”工程等级保护验收标准》,所有在运行信息系统必须于2009年按照标准完成整改。
表1 电网需求与国家标准要求对照表(四)现状测评按照公安部对等级保护安全建设整改工作中进行信息系统安全保护现状分析的要求,国家电网公司组织内部测评队伍,在等级保护安全建设之前按照定级结果,根据国家和公司等级保护标准,对信息系统开展了技术和管理两方面的现状评估,寻找信息系统在物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理上与相应安全等级标准的差距,并进行差距汇总和分析,根据不足问题重点进行建设整改工作。
表2 公司等级保护符合性评估结果表(五)安全建设整改2009年,公司结合公安部等级保护建设指导意见,印发《国家电网公司信息安全等级保护建设的实施指导意见》,要求公司系统各单位于2009年底完成等级保护建设整改工作。
具体建设内容包括:在技术措施上进行机房物理环境整改、安全域划分与实现、边界网络防护、安全配置加固、应用及数据安全防护,在管理上加强人员队伍建设并完善信息安全管理工作。
1.机房物理环境整改各单位按照《国家电网公司信息机房设计及建设规范》、《国家电网公司信息机房管理规范》的要求,完善机房环境、设备管理、运行管理、电源管理、安全管理和资料管理,并从防雷、防火、防水、防静电、防盗窃、防破坏、电力供应、机房物理访问控制等方面对机房环境进行改造。
2.安全域划分与实现在双网双机基础上,根据信息系统的安全等级,采用部署防火墙、交换机划分VLAN及设置访问控制策略等技术措施进行安全域划分。
3.边界网络防护明确公司信息内外网五类边界,并对五类边界部署网络访问控制、入侵防护等多项通用防护措施,并特别采用公司自主研发的逻辑强隔离装置、一体化安全监管平台、边界安全监测等技术措施进行防护。
4.主机安全配置加固各单位遵照《国家电网公司信息安全加固实施指南》,通过配置安全策略、安装安全补丁、强化系统访问控制能力、修补系统漏洞等方法对各类主机设备的操作系统、数据库、中间件等及时进行策略配置和加固。
包括:帐号权限加固、数据访问控制加固、服务加固、网络访问控制加固、口令策略加固、审计策略加固、漏洞加固、通信信息安全加固等方面。
在办公计算机终端上,全公司统一组织部署桌面终端管理系统,对终端的安全准入、补丁的自动升级、终端安全防护进行自动维护和监测管理。
5.应用及数据安全防护依照国家和公司标准,从用户身份认证、访问控制、安全审计、通信数据保护、容错能力等多方面进行应用系统安全改造和建设。
在数据保护方面,应用安全移动存储介质进行内外网数据交换。
为确保不因人为或自然的原因,造成数据信息丢失和信息系统支持的业务功能停止或服务中断,公司提出建设集中式信息系统容灾中心,启动北京、上海、西安三个集中式信息系统容灾中心建设。
6、强化信息安全队伍建设公司按照公安部要求,从安全管理、运行、监督、技术支持等方面加强信息安全队伍建设,确保安全责任落实。
公司组织成立了“两级三线”(总部、网省两级,一线服务、二线运维、三线技术支持)运维服务队伍,负责各单位日常安全运行维护工作。
建立了约400人的总部和网省两级信息安全技术督查队伍,负责监督和指导各单位信息安全工作落实。
公司组织中国电力科学研究院、国网电力科学研究院的信息安全实验室组成信息安全技术保障队伍,培养了信息安全专业研究服务人员百余人,在信息安全服务、技术研发、安全攻防及监测等方面开展了大量的工作。
成立了由公司内外部专家组成的专家组,对重大信息安全决策、事件会商研判,对疑难问题进行分析和处置,并定期召开协调例会,为解决信息安全工作中遇到的问题提供技术支持。
并制定了对应的人员安全管理制度,明确了人员录用、离岗、考核、教育培训管理要求。
7、完善信息安全管理工作公司将等级保护与日常管理紧密结合,不断完善。
按照公安部信息安全等级保护安全建设整改指导意见中信息安全管理建设的要求,公司各级单位成立了信息化工作领导小组,按照“谁主管谁负责、谁运行谁负责”和属地化管理原则,逐级落实了信息安全责任。
