論信息通信安全評價管理平臺建設(shè)

， ，

(國網(wǎng)寧夏電力有限公司信息通信公司，寧夏 銀川 750000)

【管理科學(xué)】

論信息通信安全評價管理平臺建設(shè)

王建磊1，許沙2，李蓉2

(國網(wǎng)寧夏電力有限公司信息通信公司，寧夏 銀川 750000)

信息通信安全性評價管理體系是組織在整體或特定范圍內(nèi)為提升信息通信系統(tǒng)安全性、穩(wěn)定性、可靠性建立的管理標準與規(guī)范。它直接指導(dǎo)著信息通信系統(tǒng)日常運維工作的開展，是信息通信運維與安全管理工作的指導(dǎo)性意見的集合。本文以信息通信安全性評價管理體系為標準，結(jié)合國網(wǎng)寧夏電力有限公司信息通信公司信息通信安全評價管理經(jīng)驗，利用信息技術(shù)與數(shù)字化技術(shù)等手段，建立了一套以客觀評價為準則，標準化、統(tǒng)一化、規(guī)范化、流程化的安全評價管理平臺。實現(xiàn)信息通信安全性評價及時、準確、客觀的要求，實現(xiàn)評價結(jié)果易分析、可追蹤的目標。

信息通信；安全性評價；缺陷管理；資產(chǎn)管理；結(jié)構(gòu)化數(shù)據(jù)；評價條目；動態(tài)管理；數(shù)據(jù)分析

隨著信息與通信技術(shù)的不斷發(fā)展，各行業(yè)對信息與通信技術(shù)的依賴程度顯著增加，這點在電力行業(yè)尤為顯著，信息與通信技術(shù)在電力行業(yè)的生產(chǎn)與管理方面發(fā)揮著不可替代的作用。信息與通信系統(tǒng)的安全穩(wěn)定運行是電力生產(chǎn)、調(diào)度、傳輸?shù)雀鳝h(huán)節(jié)的基礎(chǔ)保障。電網(wǎng)公司投入的大量的人力物力對信息通信技術(shù)與設(shè)備進行升級改造與運維監(jiān)控。但隨著時間的流逝，我們逐步發(fā)現(xiàn)信息與通信系統(tǒng)仍在面臨著來自內(nèi)部與外部的安全威脅。針對這一情況電網(wǎng)公司依據(jù)信息系統(tǒng)運維規(guī)范結(jié)合自身情況于2014年出臺了《信息通信安全性評價》管理規(guī)范，這套規(guī)范是公司在應(yīng)對信息化水平迅猛發(fā)展、通信設(shè)備日益增多、信息通信安全挑戰(zhàn)增加等問題而提出的一套有針對性的安全管理方案和措施。信息通信安全性評價能夠有效防范信息通信安全風(fēng)險，做到超前梳理安全隱患和薄弱環(huán)節(jié)，提升信息與通信安全運行的有效手段?！缎畔⑼ㄐ畔到y(tǒng)安全評價管理平臺》是依據(jù)該規(guī)范借助信息化手段研發(fā)的管理工具，該工具完全依照規(guī)范要求進行開發(fā)，實現(xiàn)了規(guī)范執(zhí)行過程的信息化、數(shù)字化、規(guī)范化、流程化、標準化。

一、項目研究目標

本項目完成后，可以顯著提高信息通信安全性評價的管理效率與效果，其主要作用表現(xiàn)在：

1.建立數(shù)字化的信息通信安全性評價管理體系。通過建立信息通信安全性評價管理體系數(shù)據(jù)庫實現(xiàn)信息通信安全性評價對應(yīng)標準的數(shù)字化、信息化。實現(xiàn)信息通信安全性評價管理體系對應(yīng)標準的動態(tài)管理的目標。優(yōu)化管理手段，提升管理效率。

2.建立以客觀評價為主的信息通信安全性評價管理體系檢查體系。通過已建立的數(shù)字化信息通信安全性評價管理體系對應(yīng)標準，通過信息化手段建立以客觀評價為主的信息通信安全性評價體系檢查方式。實現(xiàn)信息通信安全性評價管理100%全覆蓋。降低被檢查人員對體系的學(xué)習(xí)難度，縮短被檢查人員對體系的學(xué)習(xí)時間。提高信息通信安全性評價工作的可行性，促進信息通信安全性評價工作的開展。

3.建立有針對性的信息通信安全性評價管理模式。通過組織機構(gòu)、角色、權(quán)限與信息通信安全性評價標準的對應(yīng)關(guān)系，提高信息通信安全性評價的針對性，有的放矢地進行信息通信安全性評價檢查。減少被評價部門開展信息通信安全性評價的工作量，提升被評價部門開展此項工作的積極性。

4.制定信息通信安全性評價管理工作的流程。通過信息化手段建立信息通信安全性評價管理體系的流程，實現(xiàn)信息通信安全性評價管理工作各環(huán)節(jié)的標準化、統(tǒng)一化管理。

5.建立信息通信安全性評價狀況數(shù)據(jù)庫。通過建立信息通信安全性評價狀況數(shù)據(jù)庫，實現(xiàn)對信息通信安全性評價結(jié)果的數(shù)字化管理，實現(xiàn)對評價結(jié)果的動態(tài)追蹤。提升信息通信安全性評價管理工作效率與效果。 6.實現(xiàn)信息通信安全性評價的綜合分析。由于信息通信安全性評價對應(yīng)標準的數(shù)據(jù)大，通過人工手段很難做到對某一維度的統(tǒng)計分析。而通過信息化技術(shù)的接入，能夠?qū)崿F(xiàn)對數(shù)量巨大的安全性評價技術(shù)標準的統(tǒng)一收集，存檔，統(tǒng)計與分析。為相關(guān)部門日后開展工作以及領(lǐng)導(dǎo)的決策分析提供相關(guān)數(shù)據(jù)支撐。

7.建立缺陷管理數(shù)據(jù)庫，實現(xiàn)缺陷的全生命周期動態(tài)管理。缺陷管理是信息通信安全性評價工作中的重要組成部分，是各相關(guān)部門在開展日常工作時開展自查自檢的主要方法，是避免不安全事故發(fā)生的重要手段。建立缺陷管理數(shù)據(jù)庫，對每一個缺陷實行上報、檢查、消缺、存檔的標準化的全生命周期動態(tài)管理。有助于提升缺陷管理工作的效果。

二、技術(shù)理論與實際依據(jù)

1.技術(shù)原理

項目總體架構(gòu)如圖1示：

圖1 系統(tǒng)架構(gòu)圖

針對電網(wǎng)公司信息通信安全性評價管理要求以及對目前存在的問題深入分析，系統(tǒng)從信息通信安全性評價體系建立、信息通信安全性評價任務(wù)下發(fā)、信息通信安全性評價信息收集、反饋、整改等信息通信安全性評價管理全過程出發(fā)，建立一套規(guī)范化的信息通信安全性評價管理流程。按管理的實際業(yè)務(wù)特點進行有針對性的信息通信安全性評價，縮短信息通信安全性評價時間與人力成本。自動評分、匯總功能幫助信息通信安全性評價主管部門快速準確的完成信息通信安全性評價管理工作。歷史數(shù)據(jù)的橫向縱向分析幫助信息通信安全性評價管理者與被管理者快速準確的定位安全管理存在的問題，以促進整改工作的開展。

項目利用信息技術(shù)從整體上對信息通信安全性評價管理工作進行了改造和提升，項目成果將作為信息通信安全性評價管理工具對信息通信安全性評價工作全過程進行規(guī)范化、流程化、標準化的管理，為安全主管部門通過信息通信安全性評價工作的開展發(fā)現(xiàn)問題，解決問題提供數(shù)據(jù)化支撐。

2.實踐依據(jù)

(1)信息通信安全性評價體系的評價條目分析。項目課題組自2017年5月起對信息通信安全性評價體系的評價條目進行了深入分析。發(fā)現(xiàn)信息通信安全性評價條目目前多為主觀人為評價，存在評價標準不統(tǒng)一，結(jié)果不準確，評價及時性差，評價人力成本過高的問題，為解決以上問題我們對安全評價體系進行了深入分析，將體系內(nèi)所有條目轉(zhuǎn)換為能夠量化的客觀條件，提升評價準確性。 例：將有關(guān)信息通信設(shè)備資產(chǎn)的評價條目設(shè)計成客觀單選形式進行評價：

1)資產(chǎn)臺賬情況

□ 無臺賬；(得0分)；

□ 有臺賬但未包含所有信息通信資產(chǎn)信息；(得2分)；

□ 有完整臺賬，但存在賬、卡、物不一致的情況；(得3分)；

□ 有完整臺賬，且賬、卡、物一致。(得5分)。

2)資產(chǎn)驗收情況

□ 無驗收；(得0分)

□ 有驗收但驗收流程不完備；(得3分)

□ 有驗收但存在沒有設(shè)備驗收報告的情況；(得0分)

□ 有驗收，且驗收文檔、流程均完整。(得5分)

3)設(shè)備狀態(tài)

□ 所有設(shè)備狀態(tài)與文檔一致；(得3分)

□ 存在設(shè)備狀態(tài)與文檔不一致的情況；(得0分)

□ 所有設(shè)備有移交手續(xù)；(得2分)

□ 存在設(shè)備無移交手續(xù)的情況。(得0分)

4)設(shè)備報廢

□ 所有已報廢的設(shè)備均按流程進行報廢；(得5分)

□ 存在已報廢設(shè)備未按流程報廢的情況；(得0分)

(2)信息通信安全性評價相關(guān)佐證材料管理。 目前在信息通信安全性評價管理時要求對需要提供佐證材料的條目進行佐證材料的提交，佐證材料的提交目前以文檔、圖片、表格等形式呈現(xiàn)。這些材料均可實現(xiàn)電子化上傳并統(tǒng)一存放，且與各評價條目進行有效關(guān)聯(lián)，解決了評價結(jié)論與佐證材料異地存儲的問題，提升了評價有效性檢查的效率。

(3)信息通信安全性評價條目的針對性。 目前在信息通信安全性評價條目數(shù)量巨大，完成一次信息通信安全性評價需要花費大量的時間，但是信息通信安全性評價體系中的各條目并不適用于每一個被評價的對象，因此建立信息通信安全性評價條目對信息通信安全性評價對象進行針對性設(shè)置，這樣可以大大降低被評價部門完成一次信息通信安全性評價的時間，同時提高信息通信安全性評價的針對性。

(4)信息通信安全性評價結(jié)果管理。 在被評價部門按照評價條目完成一次評價后，由系統(tǒng)根據(jù)評價情況以及設(shè)置好的評價標準進行評價打分，打分由系統(tǒng)自動完成，徹底解決了人工打分耗時耗力且容易出錯的問題。

(5)信息通信安全性評價結(jié)果分析。 信息通信安全性評價工作的開展是為了通過依照信息通信安全性評價手冊檢查日常工作開展時是否符合安全管理要求，而實際工作中存在的安全漏洞和不安全隱患是進行安全管理的重點。由于信息通信安全性評價條目數(shù)量眾多，因此希望通過手動的信息通信安全性評價管理進行安全薄弱環(huán)節(jié)的分析十分困難的。通過信息化技術(shù)則很容易對信息通信安全性評價體系進行分析，通過以特定對象，選定時間軸，確定評價條目三條線索進行分析，我們很容易就會發(fā)現(xiàn)特定對象在一定時間范圍內(nèi)對某一項安全條目的執(zhí)行情況與整改情況。

3.研究的關(guān)鍵點與難點

(1)將文字描述的主觀評價標準轉(zhuǎn)換為客觀的結(jié)構(gòu)化數(shù)據(jù)。 計算機能夠且最容易識別的數(shù)據(jù)是客觀的結(jié)構(gòu)化數(shù)據(jù)，目前的信息通信安全性評價管理體系中的個條目均未建立客觀的結(jié)構(gòu)化數(shù)據(jù)，我們需要通過對眾多信息通信安全性評價條目的逐條分析找出評價依據(jù)，將文字描述的評價標準以客觀的形式展現(xiàn)出來。只有完成這些評價條目100%的客觀化轉(zhuǎn)換，才是建立信息通信安全性評價管理系統(tǒng)的基礎(chǔ)。

(2)信息通信安全性評價體系動態(tài)化管理。 我們知道信息通信安全性評價體系以及各評價標準是依據(jù)公司目前的安全管理需求而設(shè)計的，如果脫離了實際的安全管理要求則會變得毫無意義。而公司目前正處于快速發(fā)展的階段，新設(shè)備、新要求在不斷的產(chǎn)生，因此信息通信安全性評價管理系統(tǒng)中信息通信安全性評價體系必須是一個動態(tài)管理的體系，能夠隨著國家電網(wǎng)公司信息通信安全性評價管理手冊的變化而變化，這其中就包含新的評價條目的增加、舊的評價條目的刪除、各條目各標準的評分規(guī)則變化等。只有能夠快速地通過系統(tǒng)完成評價體系的動態(tài)管理才能提高本項目成果的應(yīng)用價值與易用性。

(3)信息通信安全性評價的動態(tài)分析。 信息通信安全性評價統(tǒng)計與分析是信息通信安全性評價重要的應(yīng)用成果，同時也是提升信息通信安全性評價管理水平的重要體現(xiàn)。這種分析不能是單一的、固定的。而是要依據(jù)實際情況進行動態(tài)組合分析。其中可能包括被評價對象、被評價時間范圍、被評價的方向(條目)等。通過這些條件的組合查詢與分析才能讓信息通信安全性評價主管部門與被評價部門及時客觀地掌握目前的安全情況，快速發(fā)現(xiàn)問題、定位問題最終解決問題。

三、平臺架構(gòu)

1.系統(tǒng)管理

“系統(tǒng)管理”為系統(tǒng)的基礎(chǔ)功能模塊之一，主要為提供了以系統(tǒng)用戶管理為主的基礎(chǔ)功能模塊，主要功能如下：

組織機構(gòu)管理：用戶內(nèi)部組織機構(gòu)信息的維護管理模塊，系統(tǒng)支持不限層級的樹形結(jié)構(gòu)。

用戶管理：系統(tǒng)使用人員的信息維護管理模塊，主要包括系統(tǒng)使用者的用戶名、密碼、密碼重置、主要信息等，系統(tǒng)可根據(jù)用戶實際需要設(shè)置必填與選填信息。每一個用戶需要與組織機構(gòu)、角色對應(yīng)。

角色管理：系統(tǒng)用戶的角色信息維護管理模塊，系統(tǒng)以角色來區(qū)分權(quán)限，不同的角色具有不同的訪問權(quán)限。

權(quán)限管理：系統(tǒng)個角色權(quán)限的維護管理模塊，用戶可通過勾選操作指定某一類角色對系統(tǒng)各功能模塊的訪問權(quán)限，無訪問權(quán)限的模塊不顯示。

2.安全評價標準管理

“安全評價標準管理”為系統(tǒng)的基礎(chǔ)數(shù)據(jù)維護模塊，主要為系統(tǒng)開展安全評價工作提供了基礎(chǔ)數(shù)據(jù)支撐，該模塊僅向系統(tǒng)管理員與安全評價標準管理專職人員開放。

安全評價標準錄入：“安全評價標準錄入”模塊主要為用戶提供了安全評價標準各檢查項內(nèi)容的新增。其中包含了安全評價標準的目錄、內(nèi)容、解釋、選項以及對應(yīng)分數(shù)等相關(guān)信息。

安全評價標準修改：“安全評價標準修改”模塊主要為用戶提供了安全評價標準各檢查項內(nèi)容的修改。當安全評價標準發(fā)生變化后用戶可通過此模塊進行標準調(diào)整。其中包含了安全評價標準的目錄、內(nèi)容、解釋、選項以及對應(yīng)分數(shù)等相關(guān)信息。

安全評價標準刪除：“安全評價標準刪除”模塊主要為用戶提供了安全評價標準各檢查項內(nèi)容的刪除。當安全評價標準發(fā)生變化后用戶可通過此模塊刪除對應(yīng)標準。

安全評價標準針對性管理：“安全評價針對性管理”模塊主要為用戶提供了標準各項與被檢查部門的對應(yīng)管理。通過此模塊可設(shè)置被檢查部門在進行安全性評價時是否需要進行此項檢查。

安全評價標準查詢：用戶通過“安全評價標準查詢”模塊查詢安全評價體系的各項內(nèi)容。

安全評價開關(guān)：用戶通過“安全評價開關(guān)”管理安全評價管理的開始時間與結(jié)束時間。只有在開始進行時安全評價時被檢查部門才能在系統(tǒng)進行安全評價。

3.安全評價管理

“安全評價管理”模塊主要包含在開展安全評價工作時所涉及到的各功能。

安全評價歷史記錄?！鞍踩u價歷史記錄”模塊主要包含了安全評價最終結(jié)果的歷史信息。登錄系統(tǒng)的用戶均能夠訪問此模塊。系統(tǒng)對此功能模塊進行了權(quán)限控制。其中系統(tǒng)管理員和安全評價主管部門賬號能夠通過此模塊查看到所有被評價部門的所有歷史記錄。被評價部門各賬號只能查看到本部門的歷史記錄。

安全評價上報?！鞍踩u價上報”模塊向所有開展安全評價的部門開放訪問權(quán)限。用戶可通過此模塊填寫安全評價內(nèi)容，并上傳佐證材料。填寫完成后系統(tǒng)自動進行分數(shù)統(tǒng)計。系統(tǒng)為安全評價上報設(shè)置了兩種狀態(tài)。

“保存未提交”狀態(tài)：用戶可繼續(xù)填寫或修改之前填寫的內(nèi)容；

“已提交”狀態(tài)：用戶僅能夠查看到填寫內(nèi)容，但不能進行修改。

安全評價審核。“安全評價審核”模塊向安全評價主管部門開放，當被評價部門提交了此次安全評價內(nèi)容后安全評價主管部門可通過此模塊進行安全評價內(nèi)容審核。用戶可在此模塊直接修改上報的安全評價內(nèi)容，系統(tǒng)將會根據(jù)結(jié)果重新打分。系統(tǒng)為安全評價審核設(shè)置了三種狀態(tài)：“待審核”：已上報未審核；“審核中”：用戶可繼續(xù)審核或重新審核；“審核結(jié)束”：審核結(jié)果發(fā)布，等待申訴。

安全評價申訴?！鞍踩u價申訴”模塊向所有開展安全評價的部門開放訪問權(quán)限，被評價部門可以通過此模塊向安全評價主管部門對某一項安全評價內(nèi)容進行申訴，填寫申訴理由并提交安全評價主管部門審核。審核結(jié)束后此次安全評價結(jié)果為最終結(jié)果。用戶可進行多次申訴。系統(tǒng)為申訴設(shè)置了兩種狀態(tài)：“可申訴”：被評價部門可進行申訴；“待審核”：主管部門可進行申訴審核；

安全評價統(tǒng)計。系統(tǒng)提供不同維度(如：時間、部門)的數(shù)據(jù)統(tǒng)計。此模塊向安全評價主管部門開放。

安全評價分析。系統(tǒng)提供不同維度(如：時間、部門)的數(shù)據(jù)分析，并支持曲線圖、餅圖的顯示。此模塊向安全評價主管部門開放。

4.缺陷管理

“缺陷管理”是進行缺陷上報、檢查、消缺、存檔的標準化的全生命周期動態(tài)管理的功能模塊。系統(tǒng)未“缺陷”設(shè)置了六種狀態(tài)：“已上報”：已上報主管部門的缺陷，不可修改；“待審核”：已上報未審核的缺陷；“未消缺”：已經(jīng)主管部門審核但未銷缺的缺陷，此時可對此缺陷進行銷缺處理；“消缺未審核”：已提交消缺但未經(jīng)主管部門未審核的缺陷；“消缺待審核”：已進行銷缺處理，但未經(jīng)主管部門審核的缺陷；“已消缺”：已經(jīng)主管部門確認消缺的缺陷。

缺陷上報?！叭毕萆蠄竽K”向各部門開放，各部門可通過此功能模塊進行缺陷信息的錄入，并通過此模塊上報至主管部門。

缺陷審核?！叭毕萆蠄竽K”向主管部門開放，主管部門可在此模塊中進行已上報缺陷的審核處理。

歷史缺陷。“歷史缺陷”模塊顯示所有已經(jīng)上報的缺陷，用戶可通過缺陷各種狀態(tài)進行分類查看。主管部門能夠查看到所有部門提交的缺陷，各部門能夠查看到本部門的所有缺陷。此模塊提供缺陷查詢功能。

四、結(jié)束語

項目推廣應(yīng)用后，可顯著提升信息通信安全性評價管理效率，提高信息通信安全性評價管理水平，優(yōu)化信息通信安全性評價管理流程，降低信息通信安全性評價管理成本。建立的信息通信安全性評價管理數(shù)據(jù)庫能夠?qū)崿F(xiàn)對信息通信安全性評價管理體系的動態(tài)管理，降低由于信息通信安全性評價管理體系修訂后帶來的管理成本(主要體現(xiàn)在體系學(xué)習(xí)培訓(xùn)成本)。同時能夠?qū)崿F(xiàn)對信息通信安全性評價結(jié)果的橫向縱向的數(shù)據(jù)分析，找出安全管理存在的問題，切實提高信息通信安全性評價對生產(chǎn)以及運維的積極影響。

項目通過“科技研發(fā)-示范工程”的技術(shù)路線，將使項目成果在實踐中得到檢驗，能夠盡快地為信息通信安全性評價管理工作提供信息化支撐。成果的推廣應(yīng)用將為電網(wǎng)公司信息通信安全性評價管理實現(xiàn)信息化、數(shù)字化、統(tǒng)一化、規(guī)范化、流程化帶來示范效應(yīng)，進一步提高電網(wǎng)信息通信安全性評價管理水平。

[1]IBM, Ponemon Institute. 2016年數(shù)據(jù)泄露成本研究：全球分析[Z].2016.

[2]國家電網(wǎng)公司信息系統(tǒng)運維體系規(guī)范[S].信息運安〔2009〕41號.

[3]劉德金,劉青. 計算機網(wǎng)絡(luò)安全隱患分析及其防范錯的的探討[J].計算機軟件與應(yīng)用, 2013， 28(1)：86-87.

[4]常偉,胡克瑾. 企業(yè)信息系統(tǒng)體系結(jié)構(gòu)的性能分析[J].計算機工程 ,2008(7).

[5]邱均平,張榮. 信息系統(tǒng)評價舉證分析及指標體系的分立與整合[J].科技進步與對策，2004(5).

OnConstructionofEvaluationManagementPlatformInformationCommunicationSecurity

Wang Jianlei, Xu Sha, Li Rong

(1.Information and Communication,State Grid Shaanxi Electric Power Company,Shaanxi Xi'an,710048;2.Xi'An Railway Vocational & Technical,Electronic Information School,Shaanxi Xi'an,710014)

The management system of information communication security evaluation is the management standard and standard established by the company to improve the security, stability and reliability of the information communication system. It directly guides the daily operation and maintenance of the information communication system. It directly guides the daily operation and maintenance of the information and communication system, and it's a collection of Guiding Opinions on information communication operation and maintenance and safety management. This article takes the information communication security evaluation management system as the standard, Combined with information communication security evaluation management experience. Using information technology and digital technology and other means, Seting up a set of objective to evaluation as the standard, Standardized, unified, standardized, process of safety evaluation management platform. Realize the timely, accurate and objective requirements of information communication security evaluation as uell as to achieve evaluation results easily traceablely.

Information Communication；Safety evaluation；Defect management asset management；Structured data；Evaluation items；Dynamic management；Data analysis

2017-10-28

1.王建磊(1982— )，寧夏回族自治區(qū)銀川市人，國網(wǎng)寧夏電力有限公司信息通信公司，副主任工程師。2.許沙(1980— )，女，寧夏回族自治區(qū)銀川市人，國網(wǎng)寧夏電力有限公司信息通信公司，高級工程師。3.李蓉(1985— )，女，寧夏回族自治區(qū)銀川市人，國網(wǎng)寧夏電力有限公司信息通信公司，工程師。

G40-507

A

1008-4649(2017)04-0089-06

[責(zé)任編輯王愛萍]