三级信息系统等级保护常见问题的整改建议

根据《信息安全技术信息系统安全等级保护基本要求》,三级信息系统必须具备相应等级的基本安全保护能力。在各级电力公司,信息系统等级保护工作正如火如荼展开,国家电网公司信息网络安全实验室采用风险评估的方法对多家网省电力公司的三级业务系统进行了等级保护测评。结合电网企业信息安全的实际,从技术和管理角度对信息安全等级保护部分细节进行了探讨,总结了等级保护测评中遇到的常见问题,提出了解决这些问题的改进建议。     

构筑信息安全保护的闸门——专访公安部信息安全网络监察局郭启全处长

2007年被业界称为信息安全等级保护元年，随着《信息安全等级保护管理办法》（公通字[2007]43号）和《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）两个指导性纲领文件相继出台，信息安全等级保护工作在全国范围内紧锣密鼓、如火如荼地开展起来…为此国家电力监管委员会于2007年11月23日颁发了《电力行业信息系统等级保护定级工作指导意见》，     

信息安全等级保护管理办法

《信息安全等级保护管理办法》(以下简称《管理办法》)已于2007年6月22日,由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委制定完成并审批通过。《管理办法》自发布之日起施行,意味着《信息安全等级保护管理办法(试行)》(公通字[2006]7号)同时废止。《管理办法》(公通字[2007]43号)定级时更为客观地描述了信息系统安全保护等级,信息系统的安全等级直接表示为第一级、第二级......第五级,这是一个大的变化。其次,新办法不再将监管强度、保护措施与系统定级标准相对应,而是根据信息系统被侵害客体的受侵害程度进行划分。再有,等级保护工作的主要内容是定级、备案、系统建设整改、等级测评、监督检查,而科学、准确、公正地确定信息系统的安全等级是开展信息安全等级保护工作的关键。     

信息系统等级保护自动化评估方法实践

信息安全等级保护制度是国家重要信息系统信息安全保护的主要标准之一,标准执行的符合度是以安全技术、管理技术的落实情况为依据,主要通过人工检查与问询的方式进行评估[1]。为提高评估效率、降低人力成本,本文提出一种信息系统等级保护自动化评估方法,并应用于信息安全等级保护检查工作中,实现对重要信息系统安全策略的持续监测、分析与评价,根据评价结果分析等级保护标准落实情况,发现安全技术与管理技术的不足,提高信息系统安全保障能力。     

电力系统信息安全等级保护研究

随着《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）和“关于信息安全等级保护工作的实旋意见》（公通字[2004]66号）的发布,明确了信息安全等级保护已作为国家信息安全保障的一项基本制度。《信息安全等级保护管理办法》（公通字[2007]43号）的出台标志着等级保护各项准备工作已经就绪,等级保护已进入实旋阶段。探讨等级保护的基本原理以及如何在电力系统中构建等级化的安全体系。     

地区级供电企业言息安全风险评估研究

论述了建立地区级供电企业信息安全风险评估模型的必要性,并通过研究国内外风险评估及信息安全理论,提出了一种以业务系统为核心,结构ISO27001信息安全管理体系,国家等级保护制度,国家电网公司SG186总体防护方案,适用于供电企业的信息安全风险评估模型。通过浙江省某地区电力局进行的风险评估,详细阐述了该模型的具体实施过程。     

发电集团等级保护自测评实践分析

针对发电集团等级保护建设与测评工作中信息安全专业人才相对缺乏、IT人力资源成本不断走高等实际情况,对发电集团信息系统等级保护建设的自测评与差距分析阶段的实践情况进行论述并设计调研表,提出通过组织内部人员进行精细化自测评工作,将大大提高工作效率并节约各类资源,验证了合理高效的开展自测评工作将是奠定"安全服务自主化"基石的必要因素,并将切实有效推进等级保护工作的开展,促使信息安全整改工作常态化。     

工业和信息化部评出首批国家级信息化和工业化深度融合示范企业

近日,国家电网公司、浙江省电力公司和大连供电公司分别代表不同层级被工业和信息化部评为首批国家级信息化和工业化深度融合示范企业。国家电网公司认真贯彻落实党中央、国务院关于信息化的战略部署,将信息化纳入公司整体发展战略,大力推进信息化与工业化深度融合,建成了覆盖公司各级单位的一体化企业级信息系统,构筑了电网信息安全等级保护纵     

发电企业信息安全风险分析及控制策略

分析了信息化发展到一定阶段，发电企业所面临的信息安全风险，提出了改进企业信息安全状态．防范信息风脸，提升信息系统安全保护等级的技术控制策略和管理控制策略。     

浅谈电力信息系统安全等级保护定级工作

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。电力是关系国计民生的重要行业，开展电力系统信息安全等级保护工作是必要而迫切的。其中定级工作，是开展信息系统建设，整改、测评、备案、监督检查等后续工作的重要基础和前提。以华东电力设计院图档管理系统为例，阐述了在信息安全等级保护定级工作中如何确定定级对象，怎样确定受侵害的客体以及确定对客体的侵害程度，并以此为依据，最终确定信息系统安全保护等级的过程和方法。     

联想网御等级化安全体系管理支撑平台

自《国家信息化领导小组关于加强信息安全保障工作的意见》明确提出“实行信息安全等级保护”制度以来,国家主管部门陆续发布了一系列相关政策法规,推进信息安全等级保护工作的落实。联想网御作为民族信息安全企业的代表参与了等级保护相关政策和标准的起草编制工作,承担了国家电子政务信息安全的4个试点项目,为广东省政府办公厅、广东省民政厅、江门市政府、佛山市政府、南海区政府等提供了等级保护安全体系的咨询、设计和规划工作,在试点工作中积累了等级保护设计实施的经验。在总结上述试点经验和为政府、电信、金融、电力等行业安全服务经验的基础上,联想网御将等级保护、风险评估、安全体系等设计方法进行知识沉淀、积累和升华,构建了基于知识库的等级化安全体系管理支撑平台,希望能够为政府主管部门推进等级保护工作,为用户实施和建设等级保护体系提供参考。     

美国电力行业信息安全工作现状与特点分析

美国是从事电力行业信息安全研究工作最早的国家之一,也是发布电力行业信息安全标准与指南最多的国家。介绍了美国电力行业信息安全研究与管理框架,描述了国土安全部、能源部、国家标准技术研究院和北美电力可靠性组织等相关政府部门和标准化组织的工作机制,分析了《关键设施保护标准》、《联邦信息系统推荐安全措施》和《工业自动化与控制系统...     

电力行业三级信息系统等级保护典型设计研究

电力行业事关国家经济命脉,随着电力行业信息化水平的快速提升,电力行业关键信息系统的安全性显得至关重要。在国家信息安全等级保护政策指导下,加强对电力行业三级信息系统的安全防护研究,从技术和管理2个层面提炼典型设计经验,更好地服务电力行业信息安全等级保护工作,更好地发挥信息化对电力行业发展的战略支撑作用。     

中国电力科学研究院信息安全实验室检测公告（2013年第2号）

中国电力科学研究院信息安全实验室是电力行业信息安全领域权威检测机构,是国家电网公司唯一指定的信息安全检测机构,同时也是中国信息安全认证中心授权的“IT产品信息安全认证”检测实验室。测评业务领域包括：信息技术产品安全测评、信息安全产品测砰、应朋软件安全测评、信息安全风险评估、信息系统等级保护测评、其他信息安全相关测评等。     

中国电科院完成电力行业信息安全等级保护测评中心年度复审迎检

2014年6月24日,公安部十一局组织专家开展电力行业信息安全等级保护测评中心的资质复审工作。中国电科院信息安全实验室作为电力行业等级保护测评机构进行迎检工作。     

中国电力科学研究院信息安全实验室检测公告

(2013年第2号)中国电力科学研究院信息安全实验室是电力行业信息安全领域权威检测机构,是国家电网公司唯一指定的信息安全检测机构,同时也是中国信息安全认证中心授权的"IT产品信息安全认证"检测实验室。测评业务领域包括:信息技术产品安全测评、信息安全产品测评、应用软件安全测评、信息安全风险评估、信息系统等级保护测评、     

信息安全等级保护在电力信息系统中的应用

由于国家重要领域,行业仍然大量使用国外的计算机软硬件产品,包括芯片、操作系统,平台软件、中间件等,为降低基础网络和重要信息系统面临的安全风险,国家出台了一系列法规、政策文件,在重要行业大力开展等级保护工作,如《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》     

基于模糊神经网络的电力系统信息安全风险评估

结合信息系统等级保护划分策略,介绍一种基于模糊神经网络的风险评估方法,分析使用该方法构建的电力系统信息安全网络评估指标体系,并验证了该方法的准确性。     

基于模糊综合评判的电力风险评估方法的研究

风险评估技术能够检测信息系统面临的风险,是实现信息系统等级保护的重要基础和依据.文中以信息安全管理标准ISO/IEC 27000系列为基础构建电力系统信息安全风险评估指标体系,建立电力系统风险评估模型,并且采用多层次模糊综合评判算法计算风险值.首先确定信息系统的保护级别,然后利用ISO/IEC 27005划分信息安全风险因素指标,构建多层次风险因素,设定不同权重和评判集,计算出风险值,并且给出了应用实例验证算法.     

网络安全等级保护在大型水电站的实践

按照《信息安全技术网络安全等级保护基本要求》要求,对某大型水电站电力监控系统安全防护现状做出详细分析后,提出电力监控系统安全防护整改方案。整改方案严格遵守《信息安全技术网络安全等级保护基本要求》《电力监控系统安全防护规定》等重要文件要求,涵盖了水电站主要的电力监控系统。在采取了有针对性的技术措施加强安全防护的同时,完善了水电站电力监控系统安全防护管理的建设。最后,对部分遗留问题进行了初步探讨,以便今后进一步完善电力监控系统安全防护体系建设。