信息通信安全性评价体系构建及应用.docVIP

信息通信安全性评价体系构建及应用 摘要：文章从提升信息通信系统支撑国家电网公司“三集五大”体系深化工作出发，提出构建信息通信融合的“信息通信安全性评价体系”，编制评价体系的标准及查评依据，并开展了试点查评。通过信息通信安全性评价的构建，实现了对信息通信系统事前安全管理、事中科学管控及事后的查漏治理，有效促进了信息通信专业安全管理水平的不断提升。 关键词：信息；通信；融合；安全性评价 0引言 安全性评价是促进电网整体安全水平提升的重要措施，长期以来在输电网、城市电网及电网调度专业开展，形成了以上专业领域完善的安全评价体系。随着国家电网公司“三集五大”体系建设的深化，作为电网生产运行支撑的信息通信系统正发挥着越来越重要的作用。由于管理机构的设置，机构改革前，信息专业安全性评价偏重于管理信息网络的建设、维护，输电网、城市电网和电网调度系统安全性评价中均未涵盖信息专业，缺少对电力信息专业系统性评价的方法；同时，电力通信专业安全性评价仅作为一个分支专业纳入调度系统安全性评价内容中。该情形已不适应于“三集五大”体系建设后信息通信全面支撑公司生产运营的要求，迫切需要适应信息通信融合的新形势，按照管理架构面对信息通信各级管理和支撑单位，涵盖所有电力系统信息通信设备和业务，从规划、设计、建设、检修、运维全过程开展信息通信安全性评价体系的设计，补充完善电网安全性评价体系信息通信环节。同时，进一步加强信息通信安全性评价方法和实施过程的研究，实现信息通信系统安全管理水平的全面提升。 1评价背景 信息通信安全性评价是依照信息安全标准对信息通信系统及其处理、传输和存储的信息的机密性、完整性和可用性进行科学评价的过程。随着通信技术和信息技术的迅猛发展，信息和通信2个专业在技术层面的趋同性越来越高，通信技术逐步由底层向应用层延伸，信息技术逐步由顶层向传输层扩展。目前，融合的信息通信技术（ICT）已成为发展的主流，技术的融合促进了信息通信架构和业务的融合。坚强智能电网以信息通信平台为支撑，以智能控制为手段，包含电力系统的发、输、变、配、用和调度各个环节，实现“电力流、信息流、业务流”的高度一体化融合，对信息通信的支撑能力和安全提出了更高的要求。目前电网信息通信安全面临极大挑战，据统计，北京奥运期间，监测并阻截了大量来自互联网的非正常访问；上海世博会期间，电监会及供电企业遭受多次高风险攻击。当前国家电网公司已完成信息通信组织架构和业务的融合，电力生产管理模式和信息通信业务需求的变化，使得信息通信安全性综合评价标准和评价机制的研究迫在眉睫。同时，融合如大数据、云计算、物联网、移动互联网等信息通信新技术的应用，对电力信息通信安全提出了新的挑战。至今业界对信息安全性评价主要基于安全标准和过程方法进行评估。较为典型的包括ISO17799、NISTSP800-30、NISTSP800-26，对于信息安全评价的方法有决策树、层次分析法、模糊评价法等[1-2]。ISO17799标准提供了一个完整的切入、实施、维护和文件化组织内部的信息安全框架，系统地涵盖了信息系统的11个方面、36个目标和134项安全控制，但是由于缺乏指标计算，其可操作性不强。NISTSP800-30与NISTSP800-26是美国国家标准技术局从管理、技术和操作3个层面提出的安全管理方法。信息保障技术框架（InformationAssuranceTechnicalFramework，IATF）是美国国家安全局（NSA）制定的，为保护美国政府和工业界的信息与信息技术设施提供技术指南[3-5]。IATF从整体、过程的角度，强调人、技术、操作这3个核心，把信息安全保障分为保护网络和基础设施、保护区域边界、保护计算环境、支撑基础设施4个领域。IATF对我国信息安全工作的发展和信息安全保障体系的建设起到重要的参考和指导作用。ITSEC是欧洲的安全评价标准，将安全概念分为功能与评估2部分，采用了安全分级管理。在信息通信融合的背景下，电力系统信息通信安全性包含更广泛的意义，不仅包括信息安全，还包括信息通信设备、业务应用，同时也涵盖了管理措施、基础设施等方面。电力信息通信安全性评价是一个系统性、整体性、全覆盖的工作。目前电力信息通信安全性评价总体来说缺少系统性和整体性，信息通信分别从各自的需求对安全进行评价。随着“三集五大”战略的实施，电力信息通信承载了信息流和业务流，涵盖了电力信息采集、传输、处理和存储的各个环节，在专业融合背景下，对电力信息通信的安全性评价方案的完善与融合迫在眉睫。 2评价目标 电力信息通信安全性评价是一个系统性的评价过程，在确立评价目标时，应具备以下特征。1）适应信息通信专业融合新要求。电力信息通信的融合是一个有机的、无