本文针对发电集团等级保护建设与测评工作中信息安全专业人才相对缺乏、IT人力资源成本不断走高等实际情况,对发电集团信息系统等级保护建设的自测评与差距分析阶段的实践情况进行论述并设计调研表,提出通过组织内部人员进行精细化自测评工作,将大大提高工作效率并节约各类资源,验证了合理高效的开展自测评工作将是奠定“安全服务自主化“基石的必要因素,并将切实有效推进等级保护工作的开展,促使信息安全整改工作常态化。
引言
信息安全等级保护是国家信息安全保障的基本方法。是维护国家信息安全的根本保障。目前。各大发电集团已根据公安部及国家电力监管委员会(以下简称电监会)的要求,如期开展了信息系统等级保护工作,旨在通过合理分配资源,规范信息系统安全建设与防护。
在发电集团等级保护的不断建设及测评试点工作中,信息安全的趋势是建立长效安全机制。等级保护专业测评工作。只是推动各单位信息安全工作PDCA(P一计划,D一执行,C一检查,A一行动)模式的政策依据。而信息安全整改工作常态化的根本,一方面要不断加强运维人员的专业水平,不断增强信息安全意识;另一方面,要规范化地推进自测评,并结合自测评的结果统一规划,客观对待已有的脆弱性并进行持续的改善建设。
1 自测评和专业测评相结合的必要性
目前国内五大发电集团企业内的信息系统已逐渐由零散化向集中化发展,部分信息化水平较高的电厂已完成了DCS系统一体化整合工作。根据公安部2010年印发的《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》的要求,2012年底需要完成已定级信息系统安全建设与整改工作。并完成专业测评工作。以中国华能集团公司为例,所辖电厂的三级系统已超过90个,目前下属各单位均已完成了系统定级备案工作,并着手落实了整改和建设计划,力争通过积极的安全整改建设工作落实等级保护制度的各项要求。然而,大部分下属单位安全基础相对薄弱,未曾开展过针对系统安全性的测试,忽略了在定级与整改之间的关键环节,即对照等级保护的基本要求完成定级系统的自测评与差距分析的工作。使得整改建设面临较大困难。由此可见自测评的重要性。而行之有效的差距分析。是各单位制定整改方案的基础依据。
2010年公安部和国资委联合印发《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号)规定,由电监会负责指导电力行业的信息系统安全等级保护工作。就专业测评而言,电力行业现存3家测评机构,各测评机构专业测评工程师人数均为40人左右。若严格按照专业测评周期。逐家单位三级系统进行地毯式的细致摸排,则每个三级系统现场测评周期为15~20个人天。若扩展至整个专业测评过程,包含前期方案编制、分析与编制报告等工作。则单个三级系统测评周期为40个人天。以中国华能集团公司下属单位为例。专业测评人力资源投入将大于3 000个人天。因此在专业测评人才相对缺乏、IT人力资源成本不断走高的电力行业等级保护建设工作中。自测评与专业测评相结合的方式共同校验等级保护合规性。也是势在必行。
随着电力行业信息化建设的大规模推进,目前各单位基本已设置了信息化专责,如网管专责、系统运维专责等。他们对自身单位的网络架构、业务系统应用等有着较为深刻的认识。因此需要在发电集团各下属单位中抽调2—3名专责工作人员开展等级保护专项培训。使运维人员在了解等级保护工作重要性的同时,熟悉与掌握自测评的基本流程与方法,使自查工作与等级测评工作有机结合。这样各单位的信息安全等级保护工作才能进入螺旋状上升的良性循环。
2 合理高效地开展自测评工作
发电集团总部信息中心在对运维人员开展信息安全培训的同时,会引入相关的等级保护测评方法,考虑到集团各下属单位人员在应对突发故障时的自主恢复能力及专业安全检查工具使用合理性,自测评主要以访谈、检查为主,初级阶段暂不考虑开展推广专业测试工具。以中国华能集团公司下属各单位的DCS系统为例。结合发电行业信息系统的特性,就技术层面的物理安全、网络安全、主机安全、应用安全、数据安全展开讨论。下属各单位DCS系统应用厂商较为统一,系统主要为国内外几个知名厂商设计,服务器为集中采购,无过多定制开发内容,因此应用层面共性问题相当一致。若系统所涉及服务器未开展过加固工作,则均为默认配置,基本不存在个性安全性问题。故就合理高效的开展自测评工作而言,设计精细化、格式化的调研表格不可或缺,而各下属单位物理环境、网络环境的差异化建设,将会成为技术自查部分考察的重点。
根据《电力行业信息系统安全等级保护基本要求》,按照通用管理要求计算,共有158个测评项。针对三级系统的管理自测评,更应做到有的放矢。例如,应配备一定数量的系统管理员、网络管理员、安全管理员等;应指定或授权专门的部门或人员负责人员录用等测评指标项。人员虽是安全管理的基础,但在发电集团完善的体系架构下,基本不会出现不符合或部分符合的情况,建议纳入专业测评的合规检查中。但就自测评而言,旨在精益求精,一针见血,因此自测评表格的设计,在指标量化方面,可以适当孤立对待。在运维人员填写自测评表格的过程中,信息系统与安全基线偏离程度最高比例在自测评报告中体现。则是自测评的精髓之所在。
3 自测评调研表单的设计
设计自测评调研表单的目的是为了利用标准化、格式化的调研表格,在快速、实用地了解各单位信息系统建设情况的同时,针对共性安全问题进行确认,也为在等级保护专业测评时所要面对的个性问题提供实用性较强的现实依据。发电集团总部信息中心还可以将调研表单进行技术衍生,形成督察版调研表。引入定期安全督导机制,远程对各单位等级保护整改情况进行及时的评价。
以某电厂DCS系统的网络安全为例。简单设计了自测评调研表格样例(见表1)。通过专业信息安全人员对3~5个代表性电厂的DCS系统调研,可将应用安全、主机安全、数据备份及存储的大部分共性问题进行整合:针对安全管理。可将原有158个检查项缩减至50个关键点之内。若原有单位DCS系统定级为S3A3G3。则专业测评项共为327个。而自测评工作仅需勾选不超过100个调研项,或将稍做补充,即可达到预期效果。同时,自测评调研表设计言简意赅。也降低了等级保护测评工作的门槛。
表1 发电集团信息系统等级保护自谢评调研表
4 结语
结合发电集团信息化建设的实际情况,等级保护自测评工作必然会是伴随着信息系统生命周期的一个不断循序渐进的过程。通过组织内部人员进行精细化自测评工作,就眼前利益而言,大大提高了专业测评效率。节约了各类资源;从长远角度来看,运维人员通过自测评工作,将安全建设整改工作常态化稳步推进的同时。必将使决策者逐渐深刻理解信息安全防护的实际意义,更是从实际出发推动等级保护制度尽快建立和实施的有效手段。