关于信息安全等级保护在电力信息系统中的应用

关于信息安全等级保护在电力信息系统中的应用

徐杰

（南京华盾电力信息安全测评有限公司江苏南京211106）

摘要：对信息安全等级的保护在电力信息系统中是一个十分重要同时又需要持续跟进加强的一个过程，采取信息安全等级保护可以在很大程度上帮助电力企业建立安全建设的长效机制，从而促使电网的安全性，保证期可靠运行。而在现实工作中，要结合实际条件加以改进防护等，能够充分组建电力信息系统安全等级防护规范，这样以来，在现实工作中，能又快又好的进行安全防护的作业。

关键词：信息安全；等级保护；安全技术；网络系统

1信息安全等级保护

1.1信息安全保护等级的划分

对信息系统安全保护等级的主要影响因子有2个：一是其在国家发展进程中的重要性；二是一旦被故意或者偶然损坏后对这个国家经济与社会发展的危害程度。这个等级往往分为下面5个等级：

第一级：用户自主保护级信息系统遭受破坏，它可能会影响到当事人以及其所在组织一定程度地利益损失，然而对整个社会发展的稳定、集体的利益或者国家的安全都没有很大的损伤。这种信息系统的重要性和所采取的安全防护措施都根据用户自己来决定。

第二级：系统审计保护级信息系统遭受破坏，这种情况的发生会对所在组织机构和当地人民群众利益遭受程度较大的危害，也会影响到社会的稳定和集体的利益，然而对国家安全无影响。

第三级：安全标记保护级信息系统遭受破坏，这种情况的发生会对整个社会的稳定以及集体造成影响重大的损伤，也会对国家安全产生很大威胁。这个等级同时有着系统审计保护级的全部信息保护功能，在这个基础上它也会强制对系统进行监查并记录全部内容，主要监控的是访问者以及所访问的对象。

第四级：结构化保护级遭到破坏，这种情况的发生会使得相关组织机构以及人民群众利益受到巨大的损伤，同时对整个社会的稳定和集体的利益以及国家安全产生了特别重大的危害。

第五级：访问验证保护级信息系统遭受破坏，这种情况的发生会使得国家安全受到极其严重的危害。此级别具有上面几个所有级别的功能，同时对系统设置访问验证保护，这样做不仅可以记录访问者以及该访问者对系统的访问历史，另外对访问者的访问权限进行设定，最大限度保证信息安全不泄露。

1.2信息安全等级的划分

1.2.1按相关政策规定划分安全保护等级

在进行信息安全保护时，有一些需要特殊保护和隔离的信息系统，比方说国防部、国家机关或者重点科研机构等特殊机构的信息系统。针对这种系统，要特别严格，根据有关的信息安全等级保护的相关政策等法律法规的要求，对其系统进行防护。

1.2.2按照保护数据的价值划分保护等级

针对被保护的信息的类别及价值的不同，设置不同的安全保护等级。这样做是为了在保护信息安全的同时最大限度减小其运作的投入。

2电力信息系统安全等级保护防护要求

电力信息系统安全等级保护要求重点对象是等级保护三级及以上的系统，换句话说就是监督检查级与强制监督检查级。安全等级防主要发挥以下作用：一是能够使企业可以抵制外来的或者说是敌对组织的不怀好意的对系统的破坏；二是防止企业内部人员与外部势力勾结而进行的对系统的破坏；三是对安全事件记性审核登记；四是能够追查审核违规违法行为等等。电力信息系统安全等级防护要求的系统设计到电力生产控制系统、生产管理系统、管理信息系统、网站系统以及信息网络系统，具体有下面这些系统：220KV以上的变电站自动化NCS系统、单机容量300兆瓦及以上的火电机组控制DCS系统含辅机控制系统等许多形形色色各类信息系统。

3信息安全等级保护的方式

信息安全等级保护具体分为技术和管理两大类，其中技术可分为物理安全、网络安全、主机安全、应用安全、数据安全等五个层面；管理可分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等，针对技术层面。具体如下两种：

3.1物理安全保护方面

此类保护又可以从两个安全角度进行划分：一是必要考虑：针对主机房等场所设施，要采取安全防范工作。需要使用比较先进的技术设备以便达到可以进行室内监控、使用用户信息登记以及自动报警等措施，可以监控记录用户及其访问情况，以便日后追查。而使需要考虑：针对主机房以及重要信息存储设备，则应该采取多路电源同时接入的措施以保护电源的可持续供给性，防止一旦发生断电会给入侵者制造入侵的机会。针对电力工控机房，往往在温湿度控制、漏水检测、静电防护等方面做的不够完善。

3.2网络系统安全保护方面

针对于不同安全保护对象的不同，存在不同的保护方法。详细方法有以下几个：

3.2.1已确定安全等级系统的安全保护

如果整个系统中有安全等级相同的信息系统，这种情况下，对于它的每一个地方、每一处信息应该根据国家标准使用统一安全保护方法给其设计完整的安全机制。如果有安全等级不同的系统，有共用的网络及安全设备，则要按照就高原则，低等级的系统采用较高等级系统的防护要求执行

3.2.2网络病毒的安全保护

网络安全中一个很大的毒瘤是计算机病毒，因此说防止病毒的入侵对系统进行破坏在信息系统安全保护过程中是至关重要的一个步骤。防止病毒入侵方式多种，目前常常使用防火墙等阻挡病毒入侵，有的也会采取给程序加密、监控系统运行情况等来观察病毒入侵与否，能够尽量最快发现入侵的病毒并予以杀灭，从而保护计算机信息系统。电力工控系统在生产控制大区存在的主要问题是缺少集中部署安全审计系统，缺少入侵检测系统及恶意代码防护设备。

3.2.3漏洞扫描与修复方法

系统存在漏洞会对系统有一定的潜在危害，许多入侵者往往会利用系统中已有漏洞对系统展开攻击，所以说要频繁对计算机进行全面的漏洞扫描，采用一定方式找出系统里的漏洞同时给予修复等措施，从根源上防止非法入侵者通过这个手段对系统进行破坏。电力工控系统生产控制大区是与互联网隔离的，同时禁止使用U盘等移动介质，对于操作系统及病毒库的升级目前还存在一定难度

4电力信息系统等级保护实施

信息系统是在社会经济、生活以及实际工作的进步和需求的基础上设置的，它在一定程度上是社会组织机构以及行政组织机构的反映，它的安全保护等级也应该符合客观实际的条件以及社会发展的规律要求。如何进行电力信息系统等级保护？主要从下面几个方面进行把关：

4.1电力信息系统定级与备案

信息系统的运营以及使用单位需要根据它处理信息的实际情况（包括其敏感程度等），结合等级保护的管理规范和技术标准，还要根据国家对信息系统保护的相关原则，明确其信息系统的安全保护等级，并报其主管部门审批同意。如果有很多子系统的信息系统，它不仅应该保障信息系统安全互联以及有效信息共享，还应当结合等级保护的具体情况（各子系统的重要程度等各类），对各个保护等级进行各自划分。如果是安全保护等级在三级以上的信息系统，就需要由运营、使用单位报送本地区地市级公安机关进行备案。如果是跨地域的信息系统，同上面类似，备案部门为所在地的同级公安机关。如果是第五级的信息和信息系统的监督检查，要求更为严格，需要由国家指定的特殊部门、特殊机构根据相关规定严格执行。

4.2电力信息系统等级保护安全建设

如果信息系统已经存在，这种情况下，运营和使用单位需要做的就是明确其安全保护等级。根据明确的等级的保护桂发来购买合适的信息安全产品，这样可以建立起来一个合理的安全防护措施促使系统很好的整改。对于那些新建以及改扩建的系统则也应该根据相关等级保护管理规范从设计到施工上进行严格要求。

4.3电力行业定期自查与监督检查

对于已经完成安全等级保护措施的额信息系统，其运营和使用单位等主管部门需要根据等级保护的管理规范进行检查评估，一旦发现问题就立马进行整改，从本质上加强和完善自身信息安全等级保护制度的建设从而增强自我防护能力。对防护要求很高的重要信息系统则要每年进行1~2次的自身检查，如果自查不合格就需要整改。

4.4信息安全保障体系的建立与落实

通过信息安全保障体系的建设可以用来提高源于人、管理以及技术三方面所形成的预示能力、防护能力等各类对待系统安全的能力，可以对信息系统的安全属性及功能以及效率上开展动态保护，所谓安全属性指的是信息系统和它的基础网络的真实可用性、完整保密性等安全属性。采取这种方式能够使得应用服务的效率和效益提升，可以促使电力信息化的学术研究长远发展。

5结束语

等级保护建设从根本意义上是合规性建设，一方面要充分利用现有的设备和技术手段解决问题；另一方面要针对多业务安全域间条块化隔离和多角色主机复用问题，通过原有技术手段的进一步组合和创新性方案的提出，在生产中解决这些问题。虚拟化资源动态分配和桌面终端的一机多域的解决方案，可充分地利用现有的技术隔离措施以及设备，实现端到端的策略对接，多角色主机接入。

参考文献：

[1]张红雁，邓广志，董辰，武天琪.信息安全等级保护用于电力信息系统的实践探究[J].工程技术：全文版 ，2016（4）：00197-00197.

[2]朱世顺.信息安全等级保护在电力信息系统中的应用[J].电力信息与通信技术 ，2010，8（4）：12-12.

[3]高阳，王晓磊，尹蕊，阿力木.安全技术在电力行业等级保护中的应用[J].中国科技博览，2014（3）：624-624.