(最新)国家电网训材料之2国家电网公司信息安全等级保护工作.doc

信息安全等级保护安全建设整改工作培训材料之二全面规划 狠抓落实 信息安全工作再上新台阶 -国家电网公司信息安全等级保护工作交流国家电网公司是国有特大型企业，是关系国家能源安全和国民经济命脉的国有重要骨干企业，核心业务为电网的建设和运营，承担着为经济社会发展提供安全、经济、清洁、可持续的电力供应的基本使命。国家电网公司经营区域覆盖26个省（自治区、直辖市），占国土面积的88%，为超过10亿人口提供电力服务，管理员工153.7万人，公司名列2009年财富全球企业500强第15位，是全球最大的公用事业企业。作为关系国家能源安全和国民经济命脉的重要骨干企业，国家电网公司内部运转和对外服务依托大量业务信息系统，信息化依赖程度很高。公司历来高度重视信息化工作，大力推进信息化企业建设，自2006年开始实施SG186工程，构筑横向集成、纵向贯通的一体化企业级信息集成平台，建设八大业务应用系统，健全完善六个保障体系，提出“十一五”末初步建成信息化企业和数字化电网的目标，即在国际先进管理理念指导下，以信息技术为依托，构建电网企业生产、经营、管理和决策的信息管理系统，实现公司人、财、物三大基本要素和业务处理的全过程信息化，促进公司各项业务流程的规范化、标准化，达到工作流、资金流、物资流、信息流的高度整合和共享，实现公司生产自动化、管理现代化、决策科学化。SG186工程至今年年底将提前一年全部完成建设目标，为公司人财物集约化管理和智能电网建设提供了坚强支撑。通过国家信息化测评机构测算，信息化对公司主营业务的销售收入贡献率达到1以上，SG186工程取得每年数十亿元的明显效益。在国资委公布的2007年度中央企业信息化水平评价结果中，被评为十家A级企业之一，综合排名第四，是电力行业唯一进入A级的企业。 随着国家电网公司“SG186”工程的推进，公司加快实施一体化平台建设，推进三级贯通，强化系统集成与实用化，实现公司总部与各单位系统的级联，八大业务应用整体全面推广、拓展深化应用，信息化效能、效率、效益提升作用明显，信息系统的基础性、全局性、全员性作用日益增强。电网信息安全作为电网安全的重要组成部分，是电网信息化持续深入推进的基本保障，直接影响着电力企业的运行与管理工作，对电力生产控制系统安全有着重大影响。国家电网公司从维护国家安全、社会稳定与公民权益出发，按照国家信息安全等级保护制度要求，将信息安全纳入电网生产安全体系，加强管控，逐级分解安全责任，建立了完善的信息安全机制，按照“双网双机、分区分域、等级防护、多层防御”的安全策略，实施了双网隔离，部署了信息内外网邮件系统，统一配置了安全移动存储介质，建设一体化安全运行监管平台和信息安全综合工作平台，构建了运行维护标准化体系和信息安全技术督查体系，全面开展风险评估、强化应急响应、加强信息安全保密等系列措施，初步建立了公司信息安全等级保护纵深防御体系，有关工作得到了国家主管部门的高度肯定和认可,并获得电力行业信息安全工作突出单位称号。下面将国家电网公司信息安全等级保护工作开展情况介绍如下：一、等级保护工作介绍国家电网公司高度重视等级保护工作，全面落实公安部信息安全等级保护管理办法、关于开展信息安全等级保护安全建设整改工作的指导意见、信息系统安全等级保护基本要求等系列管理和技术要求，以定级工作为基础，强化顶层设计，加强标准化建设，管理和技术齐抓共管开展等级保护建设整改，整体工作遵照定级备案、方案设计、等保建设、等保测评和运行维护的五个步骤开展，目前已有2/3的单位完成等级保护建设，并将于年底全面完成建设整改工作。图1 国家电网公司等级保护工作流程图（一）定级备案2008年初，遵照公安部关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）和电监会电力行业信息系统安全等级保护定级工作指导意见（电监信息200744号）的文件要求，国家电网公司组织对在运的信息系统进行定级，并按照公安部和电监会对公司信息系统定级的审批，公司完成了30个网省公司、21直属单位的信息系统定级与组织备案工作，涉及公司所有万余个在运信息系统，其中四级系统32个，三级系统占31.8%、二级系统占68.1%。图2 国家电网公司信息系统安全等级分布 （二）体系设计按照信息系统安全等级保护基本要求、信息安全等级保护安全建设整改工作指南的要求，国家电网公司结合电网安全需求，对电网信息安全工作进行整体规划和体系设计，制定了国家电网公司信息化“SG186”工程安全防护总体方案，确定了“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略，其核心内容为强化网络边界安全，结合信息安全等级对信息内、外网应用系统进行安全域划分，将各安全域按边界、网络、主机及应用环境四个层次实施安全防护。图3 体系构成示意图具体内容为：一是将管理信息网划分为信息内网和信息外网，管理信息内外网之间采用逻辑强隔离策略进行隔离，信息内外网分别使用物理隔离并独立的服务器和桌面计算机。二是在网络方面，构筑了网络边界三道防线，第一道防线为强化互联网与信息外网之间控制策略；第二道防线为信息外网与信息内网之间采用强隔离措施和物理断开，切断信息内网与互联网的连接；第三道防线为管理信息大区与生产控制大区强隔离。三是在信息内网，按照“统筹资源、重点保护、适度安全”的原则，依据信息系统等级定级结果，采用“二级系统统一成域，三级系统独立分域”的方法划分安全域。信息外网划分为外网应用系统域和外网桌面终端域。各安全域采用符合等级保护要求的技术措施进行防护。图4 三道防线示意图国家电网公司针对各安全域防护特点的差异，明确了各域的安全控制措施及防护方案，设计了7个典型设计的分册。即，在边界方面：制定了网络与信息系统安全隔离实施指导意见，应用具有自主知识产权的逻辑强隔离装置、正反向隔离装置等措施。在网络方面：采用国产网络设备和安全设备，并对经由网络传输的业务信息流进行安全防护。在主机方面：制定了国家电网公司信息安全加固实施指南，开展主机安全加固。在应用方面:制定了国家电网公司信息应用系统通用安全要求，开展应用系统安全性测试与整改。在数据方面：应用安全移动存储介质进行内外网数据交换，并开展三个集中式信息系统容灾中心建设。在管理方面辅助以信息安全综合工作平台进行管理。(三)深化标准国家电网公司结合电网信息安全防护的特殊性，以国家信息系统等级保护基本要求和电力行业信息安全要求为基础，对电网等级保护标准指标进行深化、扩充，将国家等级保护二级系统技术指标项由79个扩充至134个，三级系统技术指标项由136个扩充至184个，并将指标作为整改要求，制定了国家电网公司“SG186”工程等级保护验收标准，所有在运行信息系统必须于2009年按照标准完成整改。表1 电网需求与国家标准要求对照表要求类二级系统三级系统国家标准电网需求国家标准电网需求物理安全19303239网络安全18333344主机系统安全19373253应用安全19293140数据安全4588合计79134136184（四）现状测评按照公安部对等级保护安全建设整改工作中进行信息系统安全保护现状分析的要求，国家电网公司组织内部测评队伍，在等级保护安全建设之前按照定级结果，根据国家和公司等级保护标准，对信息系统开展了技术和管理两方面的现状评估，寻找信息系统在物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理上与相应安全等级标准的差距，并进行差距汇总和分析，根据不足问题重点进行建设整改工作。表2 公司等级保护符合性评估结果表（五）安全建设整改2009年，公司结合公安部等级保护建设指导意见，印发国家电网公司信息安全等级保护建设的实施指导意见，要求公司系统各单位于2009年底完成等级保护建设整改工作。具体建设内容包括：在技术措施上进行机房物理环境整改、安全域划分与实现、边界网络防护、安全配置加固、应用及数据安全防护，在管理上加强人员队伍建设并完善信息安全管理工作。1.机房物理环境整改各单位按照国家电网公司信息机房设计及建设规范、国家电网公司信息机房管理规范的要求，完善机房环境、设备管理、运行管理、电源管理、安全管理和资料管理，并从防雷、防火、防水、防静电、防盗窃、防破坏、电力供应、机房物理访问控制等方面对机房环境进行改造。2.安全域划分与实现在双网双机基础上，根据信息系统的安全等级，采用部署防火墙、交换机划分 VLAN及设置访问控制策略等技术措施进行安全域划分。3.边界网络防护明确公司信息内外网五类边界，并对五类边界部署网络访问控制、入侵防护等多项通用防护措施，并特别采用公司自主研发的逻辑强隔离装置、一体化安全监管平台、边界安全监测等技术措施进行防护。4.主机安全配置加固各单位遵照国家电网公司信息安全加固实施指南，通过配置安全策略、安装安全补丁、强化系统访问控制能力、修补系统漏洞等方法对各类主机设备的操作系统、数据库、中间件等及时进行策略配置和加固。包括：帐号权限加固、数据访问控制加固、服务加固、网络访问控制加固、口令策略加固、审计策略加固、漏洞加固、通信信息安全加固等方面。在办公计算机终端上，全公司统一组织部署桌面终端管理系统，对终端的安全准入、补丁的自动升级、终端安全防护进行自动维护和监测管理。5.应用及数据安全防护依照国家和公司标准，从用户身份认证、访问控制、安全审计、通信数据保护、容错能力等多方面进行应用系统安全改造和建设。在数据保护方面，应用安全移动存储介质进行内外网数据交换。为确保不因人为或自然的原因，造成数据信息丢失和信息系统支持的业务功能停止或服务中断，公司提出建设集中式信息系统容灾中心，启动北京、上海、西安三个集中式信息系统容灾中心建设。6、强化信息安全队伍建设公司按照公安部要求，从安全管理、运行、监督、技术支持等方面加强信息安全队伍建设，确保安全责任落实。公司组织成立了“两级三线”（总部、网省两级，一线服务、二线运维、三线技术支持）运维服务队伍，负责各单位日常安全运行维护工作。建立了约400人的总部和网省两级信息安全技术督查队伍，负责监督和指导各单位信息安全工作落实。公司组织中国电力科学研究院、国网电力科学研究院的信息安全实验室组成信息安全技术保障队伍，培养了信息安全专业研究服务人员百余人，在信息安全服务、技术研发、安全攻防及监测等方面开展了大量的工作。成立了由公司内外部专家组成的专家组，对重大信息安全决策、事件会商研判，对疑难问题进行分析和处置，并定期召开协调例会，为解决信息安全工作中遇到的问题提供技术支持。并制定了对应的人员安全管理制度，明确了人员录用、离岗、考核、教育培训管理要求。7、完善信息安全管理工作公司将等级保护与日常管理紧密结合，不断完善。按照公安部信息安全等级保护安全建设整改指导意见中信息安全管理建设的要求，公司各级单位成立了信息化工作领导小组，按照“谁主管谁负责、谁运行谁负责”和属地化管理原则，逐级落实了信息安全责任。建立了完善的信息安全管理、信息系统运行、信息内容保密等规章制度和操作规程，建立了与公司信息化发展相适应的信息安全监督机制、应急机制、通报机制、事件责任追究机制和风险管理机制，将信息安全全面纳入公司安全生产管理体系。并按照信息系统与信息安全“同步规划、同步建设、同步投入运行”的三同步原则，加大信息安全资金投入，按照人员、时间、精力“三个百分之百”的要求，实现了全面、全员、全过程、全方位的“四全”安全管理。同时，公司加强信息系统建设管理，印发信息系统上下线管理规定和应用软件通用安全要求等，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容。并规范了系统运维管理，开展运维标准化作业，明确了公司运维体系、费用标准、工作规范、流程标准、操作规程、装备标准、管理制度、考核标准，包含机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。建立信息安全技术督查机制，构建了两级技术督查队伍，定期对信息安全工作的落实情况进行自查和监督检查。同时，利用技术手段加强信息安全日常运维工作。一是建设了一体化信息安全运行监管平台，对电网信息网络设备、安全设备、网络边界、应用系统、桌面终端进行实时安全监测，极大地提高了重要信息系统日常安全监测、预警、应急响应与防御能力。二是建设了信息安全综合工作平台，整合了国家电网公司的信息安全日常管理、运行与督查工作需求，将国家信息安全等级保护工作要求细化为可量化、可操作的技术和管理指标，按照总部、网省公司、地市公司的国网信息安全管理模式，实现等级保护执行情况的上报、监管，能够在线上完成定级、备案、整改、测评和检查等主要工作，使国网各级单位的等级保护与日常工作相结合并不断完善提升。（六）建设整改后等级测评在各单位完成等级保护安全建设之后，电网公司结合整改工程验收工作，组织内部测评队伍进行效果测评。内部测评结束后，再聘请国家信息安全等级保护工作协调小组备案的测评机构进行等级测评，验证与国家等级保护标准的符合性。通过公司内部和专业测评机构的两级测评，有效推进了国家、行业、电网信息安全标准在电网企业的落实完善。二、试点示范工程情况为确保等级保护实施工作取得实效，通过国家发改委立项审批，开展了“电网信息安全等级保护纵深防御示范工程”建设，以试点单位建设进行试验示范，并在全公司范围进行推广。浙江省电力公司、陕西省电力公司、中国电力财务有限公司三个试点单位进行边界、网络、主机、应用数据的等级保护纵深防御体系建设，全面应用自主信息化装备和自主知识产权信息技术产品，并开展了大量细致的国产化测评、验证和自主可控模式的探索。示范工程得到了国家发改委、公安部的高度认可，取得了良好的效果，极大地提升了电网防御能力，为等级保护在电网的推广应用奠定了基础。图5 示范工程项目内容示意图示范工程包含以下九个方面重点内容：（一）建立电网信息系统安全等级保护纵深防御体系建立电网信息安全等级保护纵深防御体系的三道防线，将电网信息系统划分为生产控制大区、信息内网、信息外网。根据电网信息系统防护特点，生产控制大区实现“安全分区、专网专用、横向隔离、纵向认证”的安全策略，管理信息大区实现“双网双机、分区分域、等级保护、多层防御”的安全策略。图6 等级保护纵深防御体系结构图（二）建设电网一体化信息安全运行监管平台电网一体化信息安全运行监管平台是集综合网管、安全管理、桌面管理、IT运维、网络边界管理为一体的信息系统运行监控管理平台，实现了边界防御、网络监控、主机监控、应用防护和桌面终端安全的全方位监管功能。图7 一体化安全运行监管平台（三）建设国产安全电网运行控制平台国产安全电网运行控制平台是按照等级保护四级系统保护要求，基于国产服务器和网络设备，采用国产B级安全操作系统、国产数据库、国产中间件等基础软件的分布式一体化调度支持平台。图8 安全电网运行控制平台（四）建设电网信息安全综合工作平台电网信息安全综合工作平台的功能体系覆盖了国家电网公司信息安全管理工作的主要内容，并支持公安部等级保护工作管理，以信息系统定级、备案、整改、测评和检查等规定步骤为主线，实现等级保护工作任务的下发、执行、进度监控和督办。平台建设内容包含了两个体系、三个综合模块和四个管理机制，具体为等级保护合规性管理体系和ISMS合规性管理体系；日常办公的综合管理模块、知识产权保护模块和培训教育模块；风险管理机制、应急管理机制、技术督查机制和事故通报机制。电网信息安全综合工作平台为公司系统各级信息化工作人员提供了及时、准确、可靠的信息安全工作支撑，体现出了四点先进性和创新性：一是为电力行业内首次应用支持国家信息安全等级保护工作要求的信息管理平台；二是引进国际先进的信息安全管理体系（ISMS）理论，指导国家电网公司的信息安全管理工作；三是为信息安全技术督查工作的履行和监管提供统一的工作管理平台，有效提升两级技术督查工作机制的执行效果；四是实现从硬件服务器、基础软件平台到应用系统的全国产化。 图9 信息安全综合工作平台（五）自主研发信息内外网逻辑强隔离装置信息内外网逻辑强隔离装置是整个等级保护纵深防御体系中的核心安全设备，应用于纵深防御第二道防线。装置对数据库操作进行权限和内容的控制，满足内外网业务数据交换的功能，实现对内网数据库访问的严格控制，彻底隔离内网与互联网连接。图10 信息内外网逻辑强隔离装置（六）自主研发安全移动存储介质管理系统安全移动存储介质管理系统是纵深防护体系中针对数据层面的防护措施，对文件的读写进行访问限制和操作审计，内嵌主动式病毒安全防御功能，数据加密存储，解决了办公数据在信息内外网的安全交换问题，并能对文件的读写进行审计。安全移动存储介质管理系统是针对电网秘密信息的管理，在国产现有安全产品基础上研发定制而成。图11 安全移动存储介质管理系统（七）建设电网安全运维体系与技术督查体系通过完善电网两级三线安全运维服务体系，建立两级信息安全技术督查工作机制，将信息安全技术和管理有机结合起来，实现安全管理、运维、监督相辅相成、相互监督的局面。图12 安全运维服务体系与技术督查体系（八）开展国产化和自主可控技术探索在国产化方面，全面采用国产的信息安全产品构建等级保护纵深防御体系，在试点单位中针对基础、通用和专业类的应用系统，进行信息系统全国产化改造的重要探索，同时完成了两个平台等关键系统的全国产化建设。图13 国产化改造示范系统在自主可控方面，通过统一标准、自主研发、自主实施、产权管理、安全测评、安全管控、安全巡检、风险管理等手段实现信息系统全生命周期各阶段的安全可控。图14 信息系统全生命周期的自主可控（九）等级保护纵深防御示范工程仿真实验环境建设将中国电科院信息系统安全实验室、国网电科院信息网络安全实验室和国网信通公司信息网络实验室作为国家电网公司重大实验能力建设框架的一部分，针对安全产品、信息系统建立测评验证与运行仿真环境，以确保信息系统与安全产品的高可靠性与稳定性。三、经验与体会（一）领导高度重视，一手抓信息化，一手抓信息安全长期以来国家电网公司党组高度重视信息安全,始终坚持一手抓信息化建设,一手抓信息安全工作。随着公司信息化“SG186”工程的推进，全面落实了信息安全责任制，执行了“三个百分之百”（人员、时间、精力三个方面百分之百投入到信息安全工作中）、 “四全”（全面、全员、全过程、全方位）的安全管理、“三同步”（信息安全与信息系统同步规划、同步建设、同步投入运行）的原则，将信息安全纳入电网生产安全，建立了完善的信息安全规章制度，健全了信息安全管理机制，加大信息安全资金投入，强化信息安全队伍建设，保障了信息安全的执行到位。（二）全局规划，典型设计，扎实落实信息安全等级保护制度国家电网公司结合电网安全需求，依照国家等级保护系列标准要求，对电网信息安全工作进行整体规划，制定了国家电网公司“SG186”工程安全防护总体方案，实施“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略，构筑了三道防线，进行了典型设计，明确了安全控制措施，将等级保护落到实处。（三）深化标准，扩充要求，结合行业要求进行落地国家电网公司结合电网信息安全防护的特殊性，以国家信息系统等级保护基本要求和电力行业信息安全要求为基础，对电网等级保护标准指标进行深化、扩充，并在试点单位实施验证。同时组织内部测评队伍，按照标准在等级保护建设前进行符合性评估，在等级保护建设完成后进行效果测评，有效推进了国家、行业、电网信息安全标准在电网企业的落实完善。（四）示范验证，试点实施，电网等级保护取得实效为确保等级保护实施工作取得实效，国家电网公司通过国家发改委立项审批，开展了“电网信息安全等级保护纵深防御示范工程”建设，三个试点单位等级保护建设全部采用国产产品， 核心安全防护设备采用自主研发， 核心信息系统和基础类、通用类以及专业类应用系统采用全国产服务器、操作系统、数据库和中间件，试点工作取得良好的示范效果，为全网推广打下坚实基础。（五）统筹组织，强化落实，全网开展等级保护建设为加快等级保护在国网范围的推广应用，国家电网公司统一组织了万余个系统等级保护定级备案，按照“统筹组织、统一规范、全面覆盖”的实施原则，统一组织了机房物理环境整改、安全域划分与实现、安全配置加固、应用及数据安全防护、安全队伍建设、信息安全管理完善、建设信息安全综合工作平台等工作。（六）完善体系，强化监测，将等级保护融入日常信息安全工作按照等级保护管理工作要求，国家电网公司健全了信息安全防护机制，完善了信息安全防护体系，运用技术手段加强日常管理，建设了一体化信息安全运行监管平台和信息安全综合工作平台，将等级保护融入日常安全运行与管理中。