電力系統(tǒng)信息通信安全性評價(jià)體系構(gòu)建及應(yīng)用

郭佳

【摘要】：安全性評價(jià)是促進(jìn)電網(wǎng)整體安全水平提升的重要措施，長期以來在輸電網(wǎng)、城市電網(wǎng)及電網(wǎng)調(diào)度專業(yè)開展，形成了以上專業(yè)領(lǐng)域完善的安全評價(jià)體系。隨著國家電網(wǎng)公司“三集五大”體系建設(shè)的深化，作為電網(wǎng)生產(chǎn)運(yùn)行支撐的信息通信系統(tǒng)正發(fā)揮著越來越重要的作用。由于管理機(jī)構(gòu)的設(shè)置，機(jī)構(gòu)改革前，信息專業(yè)安全性評價(jià)偏重于管理信息網(wǎng)絡(luò)的建設(shè)、維護(hù)，輸電網(wǎng)、城市電網(wǎng)和電網(wǎng)調(diào)度系統(tǒng)安全性評價(jià)中均未涵蓋信息專業(yè)，缺少對電力信息專業(yè)系統(tǒng)性評價(jià)的方法；同時(shí)，電力通信專業(yè)安全性評價(jià)僅作為一個(gè)分支專業(yè)納入調(diào)度系統(tǒng)安全性評價(jià)內(nèi)容中。

【關(guān)鍵詞】：電力系統(tǒng)；信息通信；安全性評價(jià)體系；構(gòu)建；應(yīng)用

1、評價(jià)背景

信息通信安全性評價(jià)是依照信息安全標(biāo)準(zhǔn)對信息通信系統(tǒng)及其處理、傳輸和存儲的信息的機(jī)密性、完整性和可用性進(jìn)行科學(xué)評價(jià)的過程。隨著通信技術(shù)和信息技術(shù)的迅猛發(fā)展，信息和通信2個(gè)專業(yè)在技術(shù)層面的趨同性越來越高，通信技術(shù)逐步由底層向應(yīng)用層延伸，信息技術(shù)逐步由頂層向傳輸層擴(kuò)展。目前，融合的信息通信技術(shù)（ICT）已成為發(fā)展的主流，技術(shù)的融合促進(jìn)了信息通信架構(gòu)和業(yè)務(wù)的融合。堅(jiān)強(qiáng)智能電網(wǎng)以信息通信平臺為支撐，以智能控制為手段，包含電力系統(tǒng)的發(fā)、輸、變、配、用和調(diào)度各個(gè)環(huán)節(jié)，實(shí)現(xiàn)“電力流、信息流、業(yè)務(wù)流”的高度一體化融合，對信息通信的支撐能力和安全提出了更高的要求。

ISO17799標(biāo)準(zhǔn)提供了一個(gè)完整的切入、實(shí)施、維護(hù)和文件化組織內(nèi)部的信息安全框架，系統(tǒng)地涵蓋了信息系統(tǒng)的11個(gè)方面、36個(gè)目標(biāo)和134項(xiàng)安全控制，但是由于缺乏指標(biāo)計(jì)算，其可操作性不強(qiáng)。NISTSP800-30與NISTSP800-26是美國國家標(biāo)準(zhǔn)技術(shù)局從管理、技術(shù)和操作3個(gè)層面提出的安全管理方法。信息保障技術(shù)框是美國國家安全局（NSA）制定的，為保護(hù)美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南。IATF從整體、過程的角度，強(qiáng)調(diào)人、技術(shù)、操作這3個(gè)核心，把信息安全保障分為保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護(hù)區(qū)域邊界、保護(hù)計(jì)算環(huán)境、支撐基礎(chǔ)設(shè)施4個(gè)領(lǐng)域。IATF對我國信息安全工作的發(fā)展和信息安全保障體系的建設(shè)起到重要的參考和指導(dǎo)作用。ITSEC是歐洲的安全評價(jià)標(biāo)準(zhǔn)，將安全概念分為功能與評估2部分，采用了安全分級管理。在信息通信融合的背景下，電力系統(tǒng)信息通信安全性包含更廣泛的意義，不僅包括信息安全，還包括信息通信設(shè)備、業(yè)務(wù)應(yīng)用，同時(shí)也涵蓋了管理措施、基礎(chǔ)設(shè)施等方面。電力信息通信安全性評價(jià)是一個(gè)系統(tǒng)性、整體性、全覆蓋的工作。目前電力信息通信安全性評價(jià)總體來說缺少系統(tǒng)性和整體性，信息通信分別從各自的需求對安全進(jìn)行評價(jià)。隨著“三集五大”戰(zhàn)略的實(shí)施，電力信息通信承載了信息流和業(yè)務(wù)流，涵蓋了電力信息采集、傳輸、處理和存儲的各個(gè)環(huán)節(jié)，在專業(yè)融合背景下，對電力信息通信的安全性評價(jià)方案的完善與融合迫在眉睫。

2、評價(jià)目標(biāo)

國家電網(wǎng)公司“三集五大”體系建設(shè)深化完善以來，信息通信專業(yè)在安全管理方面，缺乏系統(tǒng)規(guī)范的手段，無法對專業(yè)管理、系統(tǒng)缺陷等方面的安全風(fēng)險(xiǎn)進(jìn)行全面梳理與管控，部分安全問題得不到及時(shí)有效的整改和處置，客觀上增加了系統(tǒng)安全風(fēng)險(xiǎn)帶來的威脅。構(gòu)建信息通信安全性評價(jià)體系并開展實(shí)際應(yīng)用，需要深入分析和研究信息通信安全管理的現(xiàn)狀，剖析存在的困難和問題，形成一整套完善細(xì)致的安全性評價(jià)標(biāo)準(zhǔn)和評價(jià)機(jī)制；通過及時(shí)找出工作中的薄弱環(huán)節(jié)，重新梳理管理工作重點(diǎn)和重大安全風(fēng)險(xiǎn)點(diǎn)，有助于指導(dǎo)、細(xì)化確定年度信息通信管理工作目標(biāo)，制定并落實(shí)具有針對性的管控措施，實(shí)現(xiàn)年度信息通信管理工作的目標(biāo)化和精益化管理；同時(shí)進(jìn)一步完善“三集五大”建設(shè)配套安全管理體系，促進(jìn)信息通信系統(tǒng)整體安全水平再上新臺階，實(shí)現(xiàn)信息通信專業(yè)的管理現(xiàn)代化、決策科學(xué)化、運(yùn)維標(biāo)準(zhǔn)化，全面支撐電網(wǎng)和公司各項(xiàng)業(yè)務(wù)需求和發(fā)展。

3、評價(jià)內(nèi)容

基于管理、指標(biāo)與業(yè)務(wù)系統(tǒng)三維模型，吸收相關(guān)規(guī)程、規(guī)范和管理制度內(nèi)容，結(jié)合信息通信專業(yè)在安全生產(chǎn)管理的工作要求，針對各項(xiàng)安全要素，編制《信息通信安全性評價(jià)標(biāo)準(zhǔn)》（以下簡稱《標(biāo)準(zhǔn)》）?！稑?biāo)準(zhǔn)》是查評工作的依據(jù)，其主要內(nèi)容涵蓋安全管理體系、建設(shè)管理、調(diào)運(yùn)檢管理、信息系統(tǒng)安全防護(hù)、電力通信系統(tǒng)及設(shè)備、信息通信機(jī)房及電源設(shè)施、應(yīng)急管理七大部分，評價(jià)項(xiàng)目共152項(xiàng)，全面覆蓋信息通信規(guī)劃、建設(shè)、調(diào)度、運(yùn)維、檢修、應(yīng)急全過程。評價(jià)從安全管理體系出發(fā)，明確信息通信安全管理的組織體系、制度體系、安全監(jiān)督、例行工作和教育培訓(xùn)工作5個(gè)方面的具體查評要求；在建設(shè)管理環(huán)節(jié)，著重從設(shè)計(jì)階段的信息通信安全管理、開發(fā)階段的信息安全管理、系統(tǒng)上下線與設(shè)備接入管理、等級保護(hù)測評、信息通信安全監(jiān)理與現(xiàn)場安全管控五方面強(qiáng)化要求；調(diào)運(yùn)檢管理方面分別涵蓋調(diào)控、運(yùn)行、檢修及其指標(biāo)的具體查評要求；信息系統(tǒng)安全防護(hù)方面覆蓋應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、主機(jī)存儲及數(shù)據(jù)庫、安全設(shè)備、終端及外設(shè)和災(zāi)備系統(tǒng)六大部分；通信系統(tǒng)及設(shè)備從網(wǎng)絡(luò)結(jié)構(gòu)與配置、通信設(shè)備、重要業(yè)務(wù)系統(tǒng)與通道、通信線纜等4個(gè)方面開展查評；信息通信機(jī)房及電源設(shè)施重點(diǎn)查評機(jī)房環(huán)境和電源等輔助設(shè)施；應(yīng)急管理查評組織體系、預(yù)案體系、保障體系、處置與評估等4部分。評價(jià)總體采用“分小節(jié)評估匯總，加權(quán)歸一化評估”的方法評估。在準(zhǔn)備階段由各層級單位根據(jù)自身信息通信專業(yè)的實(shí)際情況確定評價(jià)的范圍，在管理現(xiàn)狀不適合評估項(xiàng)要求的情形下，可將該評估項(xiàng)列為不參評項(xiàng)，并在對應(yīng)小節(jié)的評分匯總時(shí)剔除該項(xiàng)，從而便于提高評價(jià)的普適性和通用性，并能夠做到對信通專業(yè)的全面覆蓋，不留死角。因而可適用于電力系統(tǒng)各級單位信通專業(yè)安全性評價(jià)工作，具有較好的普適性和推廣價(jià)值。各部分評分分值依據(jù)項(xiàng)目所處環(huán)節(jié)特點(diǎn)設(shè)定可較全面地反映出信息通信管理和系統(tǒng)整體安全管控的實(shí)際需要。對于不同層級的評價(jià)單位，由于部分查評項(xiàng)目的適用性差異，導(dǎo)致評價(jià)總分的絕對值差異，因而在查評時(shí)，除評分之外還同時(shí)出具查評報(bào)告，并在報(bào)告中對評分?jǐn)?shù)據(jù)進(jìn)行歸一化處理。

4、結(jié)論

[1]胡濤，黃健，鄢威，等.一種電力生產(chǎn)安全性評價(jià)方法研究及應(yīng)用[J].電力系統(tǒng)保護(hù)與控制，2009，37（16）：46-49.