導(dǎo)語：信息通信安全性評(píng)價(jià)體系構(gòu)建及應(yīng)用一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：文章從提升信息通信系統(tǒng)支撐國家電網(wǎng)公司“三集五大”體系深化工作出發(fā)，提出構(gòu)建信息通信融合的“信息通信安全性評(píng)價(jià)體系”，編制評(píng)價(jià)體系的標(biāo)準(zhǔn)及查評(píng)依據(jù)，并開展了試點(diǎn)查評(píng)。通過信息通信安全性評(píng)價(jià)的構(gòu)建，實(shí)現(xiàn)了對(duì)信息通信系統(tǒng)事前安全管理、事中科學(xué)管控及事后的查漏治理，有效促進(jìn)了信息通信專業(yè)安全管理水平的不斷提升。

關(guān)鍵詞：信息；通信；融合；安全性評(píng)價(jià)

0引言

安全性評(píng)價(jià)是促進(jìn)電網(wǎng)整體安全水平提升的重要措施，長期以來在輸電網(wǎng)、城市電網(wǎng)及電網(wǎng)調(diào)度專業(yè)開展，形成了以上專業(yè)領(lǐng)域完善的安全評(píng)價(jià)體系。隨著國家電網(wǎng)公司“三集五大”體系建設(shè)的深化，作為電網(wǎng)生產(chǎn)運(yùn)行支撐的信息通信系統(tǒng)正發(fā)揮著越來越重要的作用。由于管理機(jī)構(gòu)的設(shè)置，機(jī)構(gòu)改革前，信息專業(yè)安全性評(píng)價(jià)偏重于管理信息網(wǎng)絡(luò)的建設(shè)、維護(hù)，輸電網(wǎng)、城市電網(wǎng)和電網(wǎng)調(diào)度系統(tǒng)安全性評(píng)價(jià)中均未涵蓋信息專業(yè)，缺少對(duì)電力信息專業(yè)系統(tǒng)性評(píng)價(jià)的方法；同時(shí)，電力通信專業(yè)安全性評(píng)價(jià)僅作為一個(gè)分支專業(yè)納入調(diào)度系統(tǒng)安全性評(píng)價(jià)內(nèi)容中。該情形已不適應(yīng)于“三集五大”體系建設(shè)后信息通信全面支撐公司生產(chǎn)運(yùn)營的要求，迫切需要適應(yīng)信息通信融合的新形勢，按照管理架構(gòu)面對(duì)信息通信各級(jí)管理和支撐單位，涵蓋所有電力系統(tǒng)信息通信設(shè)備和業(yè)務(wù)，從規(guī)劃、設(shè)計(jì)、建設(shè)、檢修、運(yùn)維全過程開展信息通信安全性評(píng)價(jià)體系的設(shè)計(jì)，補(bǔ)充完善電網(wǎng)安全性評(píng)價(jià)體系信息通信環(huán)節(jié)。同時(shí)，進(jìn)一步加強(qiáng)信息通信安全性評(píng)價(jià)方法和實(shí)施過程的研究，實(shí)現(xiàn)信息通信系統(tǒng)安全管理水平的全面提升。

1評(píng)價(jià)背景

信息通信安全性評(píng)價(jià)是依照信息安全標(biāo)準(zhǔn)對(duì)信息通信系統(tǒng)及其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性進(jìn)行科學(xué)評(píng)價(jià)的過程。隨著通信技術(shù)和信息技術(shù)的迅猛發(fā)展，信息和通信2個(gè)專業(yè)在技術(shù)層面的趨同性越來越高，通信技術(shù)逐步由底層向應(yīng)用層延伸，信息技術(shù)逐步由頂層向傳輸層擴(kuò)展。目前，融合的信息通信技術(shù)（ICT）已成為發(fā)展的主流，技術(shù)的融合促進(jìn)了信息通信架構(gòu)和業(yè)務(wù)的融合。堅(jiān)強(qiáng)智能電網(wǎng)以信息通信平臺(tái)為支撐，以智能控制為手段，包含電力系統(tǒng)的發(fā)、輸、變、配、用和調(diào)度各個(gè)環(huán)節(jié)，實(shí)現(xiàn)“電力流、信息流、業(yè)務(wù)流”的高度一體化融合，對(duì)信息通信的支撐能力和安全提出了更高的要求。目前電網(wǎng)信息通信安全面臨極大挑戰(zhàn)，據(jù)統(tǒng)計(jì)，北京奧運(yùn)期間，監(jiān)測并阻截了大量來自互聯(lián)網(wǎng)的非正常訪問；上海世博會(huì)期間，電監(jiān)會(huì)及供電企業(yè)遭受多次高風(fēng)險(xiǎn)攻擊。當(dāng)前國家電網(wǎng)公司已完成信息通信組織架構(gòu)和業(yè)務(wù)的融合，電力生產(chǎn)管理模式和信息通信業(yè)務(wù)需求的變化，使得信息通信安全性綜合評(píng)價(jià)標(biāo)準(zhǔn)和評(píng)價(jià)機(jī)制的研究迫在眉睫。同時(shí)，融合如大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等信息通信新技術(shù)的應(yīng)用，對(duì)電力信息通信安全提出了新的挑戰(zhàn)。至今業(yè)界對(duì)信息安全性評(píng)價(jià)主要基于安全標(biāo)準(zhǔn)和過程方法進(jìn)行評(píng)估。較為典型的包括ISO17799、NISTSP800-30、NISTSP800-26，對(duì)于信息安全評(píng)價(jià)的方法有決策樹、層次分析法、模糊評(píng)價(jià)法等[1-2]。ISO17799標(biāo)準(zhǔn)提供了一個(gè)完整的切入、實(shí)施、維護(hù)和文件化組織內(nèi)部的信息安全框架，系統(tǒng)地涵蓋了信息系統(tǒng)的11個(gè)方面、36個(gè)目標(biāo)和134項(xiàng)安全控制，但是由于缺乏指標(biāo)計(jì)算，其可操作性不強(qiáng)。NISTSP800-30與NISTSP800-26是美國國家標(biāo)準(zhǔn)技術(shù)局從管理、技術(shù)和操作3個(gè)層面提出的安全管理方法。信息保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）是美國國家安全局（NSA）制定的，為保護(hù)美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南[3-5]。IATF從整體、過程的角度，強(qiáng)調(diào)人、技術(shù)、操作這3個(gè)核心，把信息安全保障分為保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護(hù)區(qū)域邊界、保護(hù)計(jì)算環(huán)境、支撐基礎(chǔ)設(shè)施4個(gè)領(lǐng)域。IATF對(duì)我國信息安全工作的發(fā)展和信息安全保障體系的建設(shè)起到重要的參考和指導(dǎo)作用。ITSEC是歐洲的安全評(píng)價(jià)標(biāo)準(zhǔn)，將安全概念分為功能與評(píng)估2部分，采用了安全分級(jí)管理。在信息通信融合的背景下，電力系統(tǒng)信息通信安全性包含更廣泛的意義，不僅包括信息安全，還包括信息通信設(shè)備、業(yè)務(wù)應(yīng)用，同時(shí)也涵蓋了管理措施、基礎(chǔ)設(shè)施等方面。電力信息通信安全性評(píng)價(jià)是一個(gè)系統(tǒng)性、整體性、全覆蓋的工作。目前電力信息通信安全性評(píng)價(jià)總體來說缺少系統(tǒng)性和整體性，信息通信分別從各自的需求對(duì)安全進(jìn)行評(píng)價(jià)。隨著“三集五大”戰(zhàn)略的實(shí)施，電力信息通信承載了信息流和業(yè)務(wù)流，涵蓋了電力信息采集、傳輸、處理和存儲(chǔ)的各個(gè)環(huán)節(jié)，在專業(yè)融合背景下，對(duì)電力信息通信的安全性評(píng)價(jià)方案的完善與融合迫在眉睫。

2評(píng)價(jià)目標(biāo)

電力信息通信安全性評(píng)價(jià)是一個(gè)系統(tǒng)性的評(píng)價(jià)過程，在確立評(píng)價(jià)目標(biāo)時(shí)，應(yīng)具備以下特征。1）適應(yīng)信息通信專業(yè)融合新要求。電力信息通信的融合是一個(gè)有機(jī)的、無縫的融合，是以系統(tǒng)融合為基礎(chǔ)，以業(yè)務(wù)融合為支撐，對(duì)電力信息傳輸、處理流程的全面整合。因此，信息設(shè)備、通信設(shè)備以及系統(tǒng)要支撐融合，其安全性的評(píng)價(jià)方法和方式要體現(xiàn)業(yè)務(wù)融合、設(shè)備融合和系統(tǒng)的整合。2）適應(yīng)管理深化的新要求。電力信息通信的安全性要在安全保障機(jī)制、管理體系及監(jiān)督考核體系方面做好安全管理，對(duì)于安全措施的落實(shí)和具體實(shí)施形成制度保障，確保安全措施落地。3）滿足技術(shù)發(fā)展的新要求。電力信息通信安全性綜合評(píng)價(jià)，對(duì)評(píng)價(jià)指標(biāo)要進(jìn)行科學(xué)的分解與詳細(xì)的量化規(guī)劃，對(duì)各個(gè)指標(biāo)根據(jù)實(shí)際進(jìn)行分級(jí)分類，形成科學(xué)的規(guī)劃層次，以便于對(duì)相應(yīng)指標(biāo)的重要性進(jìn)行科學(xué)的判斷。國家電網(wǎng)公司“三集五大”體系建設(shè)深化完善以來，信息通信專業(yè)在安全管理方面，缺乏系統(tǒng)規(guī)范的手段，無法對(duì)專業(yè)管理、系統(tǒng)缺陷等方面的安全風(fēng)險(xiǎn)進(jìn)行全面梳理與管控，部分安全問題得不到及時(shí)有效的整改和處置，客觀上增加了系統(tǒng)安全風(fēng)險(xiǎn)帶來的威脅。構(gòu)建信息通信安全性評(píng)價(jià)體系并開展實(shí)際應(yīng)用，需要深入分析和研究信息通信安全管理的現(xiàn)狀，剖析存在的困難和問題，形成一整套完善細(xì)致的安全性評(píng)價(jià)標(biāo)準(zhǔn)和評(píng)價(jià)機(jī)制；通過及時(shí)找出工作中的薄弱環(huán)節(jié)，重新梳理管理工作重點(diǎn)和重大安全風(fēng)險(xiǎn)點(diǎn)，有助于指導(dǎo)、細(xì)化確定年度信息通信管理工作目標(biāo)，制定并落實(shí)具有針對(duì)性的管控措施，實(shí)現(xiàn)年度信息通信管理工作的目標(biāo)化和精益化管理；同時(shí)進(jìn)一步完善“三集五大”建設(shè)配套安全管理體系，促進(jìn)信息通信系統(tǒng)整體安全水平再上新臺(tái)階，實(shí)現(xiàn)信息通信專業(yè)的管理現(xiàn)代化、決策科學(xué)化、運(yùn)維標(biāo)準(zhǔn)化，全面支撐電網(wǎng)和公司各項(xiàng)業(yè)務(wù)需求和發(fā)展。根據(jù)評(píng)價(jià)的特征及需要解決的問題，可以確定信息通信安全性評(píng)價(jià)的主要目標(biāo)是：明確信通工作的責(zé)任體系、保障體系和監(jiān)督體系，實(shí)現(xiàn)安全基礎(chǔ)的自我診斷，進(jìn)一步促進(jìn)安全生產(chǎn)；基于信通融合的安全性評(píng)價(jià)，優(yōu)化資金投入組合，促進(jìn)信息通信系統(tǒng)整體安全水平再上新臺(tái)階；提升企業(yè)對(duì)信息通信事件的預(yù)見性、控制和前置處置的能力。

3評(píng)價(jià)流程及模型

3.1評(píng)價(jià)流程

借鑒電網(wǎng)安全性評(píng)價(jià)的評(píng)價(jià)流程[6-7]，從閉環(huán)管理、客觀評(píng)價(jià)、整改落實(shí)及成效監(jiān)督的角度出發(fā)，信息通信安全性評(píng)價(jià)的流程主要包括評(píng)價(jià)指標(biāo)體系規(guī)劃、專家查評(píng)、結(jié)果分析、建議反饋等階段。在信息通信安全性評(píng)價(jià)體系中，評(píng)價(jià)過程劃分為4個(gè)階段（見圖1）：準(zhǔn)備、安全點(diǎn)辨識(shí)、安全性評(píng)價(jià)、安全風(fēng)險(xiǎn)控制。準(zhǔn)備階段主要對(duì)現(xiàn)場調(diào)研和搜集資料；安全點(diǎn)辨識(shí)指對(duì)電力信息通信設(shè)備、業(yè)務(wù)等可能會(huì)帶來安全隱患的點(diǎn)進(jìn)行標(biāo)識(shí)；安全性評(píng)價(jià)指對(duì)電力信息通信安全點(diǎn)進(jìn)行分級(jí)分類，選擇評(píng)價(jià)方法和模型，由定性分析到定量分析，確定指標(biāo)權(quán)重參數(shù)；安全風(fēng)險(xiǎn)控制指對(duì)安全風(fēng)險(xiǎn)點(diǎn)實(shí)施風(fēng)險(xiǎn)控制和應(yīng)急預(yù)案的制定。與電力信息通信安全性評(píng)價(jià)過程相對(duì)應(yīng)的，電力信息通信安全性評(píng)價(jià)流程如圖2所示。評(píng)價(jià)流程的關(guān)鍵是確定安全性評(píng)價(jià)的指標(biāo)體系，通過安全風(fēng)險(xiǎn)點(diǎn)辨識(shí)，對(duì)安全性評(píng)價(jià)的內(nèi)容分級(jí)分類，形成清晰的層次關(guān)系；第2步是設(shè)計(jì)調(diào)查表，根據(jù)實(shí)際情況確定評(píng)價(jià)參數(shù)模型，邀請專家對(duì)各個(gè)指標(biāo)的相對(duì)重要性進(jìn)行分析；第3步是根據(jù)參數(shù)模型對(duì)結(jié)果進(jìn)行分析；第4步是根據(jù)計(jì)算分析的結(jié)果與實(shí)際情況，收集反饋建議；最后是根據(jù)反饋建議完善參數(shù)模型，形成電力信息通信安全性評(píng)價(jià)方案。

3.2評(píng)價(jià)模型

網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性、將會(huì)面臨的威脅、所采取的安全措施以及一旦安全事件發(fā)生對(duì)這個(gè)系統(tǒng)造成的損失和危害程度進(jìn)行綜合的分析，從而對(duì)整個(gè)系統(tǒng)面臨的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，為進(jìn)一步提高系統(tǒng)的安全性提供依據(jù)[6]。根據(jù)電力信息通信專業(yè)實(shí)際情況，電力信息通信安全性評(píng)價(jià)的框架采用三維立體模型，分為管理、指標(biāo)和業(yè)務(wù)系統(tǒng)3個(gè)維度（見圖3）。在管理方面，分為管理體系、保障體系和監(jiān)督考核體系，各參評(píng)單位要求有完善的方案和相應(yīng)的措施；在指標(biāo)方面，分為綜合信息運(yùn)行指標(biāo)、通信運(yùn)行指標(biāo)、桌面運(yùn)行指標(biāo)和臺(tái)賬等，要求從指標(biāo)量化方面達(dá)到安全要求；在業(yè)務(wù)系統(tǒng)方面，針對(duì)系統(tǒng)軟硬件安全要素，分為信息通信業(yè)務(wù)、信息通信系統(tǒng)和信息通信設(shè)備。

3.3評(píng)價(jià)內(nèi)容

基于管理、指標(biāo)與業(yè)務(wù)系統(tǒng)三維模型，吸收相關(guān)規(guī)程、規(guī)范和管理制度內(nèi)容，結(jié)合信息通信專業(yè)在安全生產(chǎn)管理的工作要求，針對(duì)各項(xiàng)安全要素，編制《信息通信安全性評(píng)價(jià)標(biāo)準(zhǔn)》（以下簡稱《標(biāo)準(zhǔn)》）?！稑?biāo)準(zhǔn)》是查評(píng)工作的依據(jù)，其主要內(nèi)容涵蓋安全管理體系、建設(shè)管理、調(diào)運(yùn)檢管理、信息系統(tǒng)安全防護(hù)、電力通信系統(tǒng)及設(shè)備、信息通信機(jī)房及電源設(shè)施、應(yīng)急管理七大部分，評(píng)價(jià)項(xiàng)目共152項(xiàng)，全面覆蓋信息通信規(guī)劃、建設(shè)、調(diào)度、運(yùn)維、檢修、應(yīng)急全過程。評(píng)價(jià)從安全管理體系出發(fā)，明確信息通信安全管理的組織體系、制度體系、安全監(jiān)督、例行工作和教育培訓(xùn)工作5個(gè)方面的具體查評(píng)要求；在建設(shè)管理環(huán)節(jié)，著重從設(shè)計(jì)階段的信息通信安全管理、開發(fā)階段的信息安全管理、系統(tǒng)上下線與設(shè)備接入管理、等級(jí)保護(hù)測評(píng)、信息通信安全監(jiān)理與現(xiàn)場安全管控五方面強(qiáng)化要求；調(diào)運(yùn)檢管理方面分別涵蓋調(diào)控、運(yùn)行、檢修及其指標(biāo)的具體查評(píng)要求；信息系統(tǒng)安全防護(hù)方面覆蓋應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、主機(jī)存儲(chǔ)及數(shù)據(jù)庫、安全設(shè)備、終端及外設(shè)和災(zāi)備系統(tǒng)六大部分；通信系統(tǒng)及設(shè)備從網(wǎng)絡(luò)結(jié)構(gòu)與配置、通信設(shè)備、重要業(yè)務(wù)系統(tǒng)與通道、通信線纜等4個(gè)方面開展查評(píng)；信息通信機(jī)房及電源設(shè)施重點(diǎn)查評(píng)機(jī)房環(huán)境和電源等輔助設(shè)施；應(yīng)急管理查評(píng)組織體系、預(yù)案體系、保障體系、處置與評(píng)估等4部分。評(píng)價(jià)總體采用“分小節(jié)評(píng)估匯總，加權(quán)歸一化評(píng)估”的方法評(píng)估。在準(zhǔn)備階段由各層級(jí)單位根據(jù)自身信息通信專業(yè)的實(shí)際情況確定評(píng)價(jià)的范圍，在管理現(xiàn)狀不適合評(píng)估項(xiàng)要求的情形下，可將該評(píng)估項(xiàng)列為不參評(píng)項(xiàng)，并在對(duì)應(yīng)小節(jié)的評(píng)分匯總時(shí)剔除該力信息與通信技術(shù)項(xiàng)，從而便于提高評(píng)價(jià)的普適性和通用性，并能夠做到對(duì)信通專業(yè)的全面覆蓋，不留死角。因而可適用于電力系統(tǒng)各級(jí)單位信通專業(yè)安全性評(píng)價(jià)工作，具有較好的普適性和推廣價(jià)值。各部分評(píng)分分值依據(jù)項(xiàng)目所處環(huán)節(jié)特點(diǎn)設(shè)定可較全面地反映出信息通信管理和系統(tǒng)整體安全管控的實(shí)際需要。對(duì)于不同層級(jí)的評(píng)價(jià)單位，由于部分查評(píng)項(xiàng)目的適用性差異，導(dǎo)致評(píng)價(jià)總分的絕對(duì)值差異，因而在查評(píng)時(shí)，除評(píng)分之外還同時(shí)出具查評(píng)報(bào)告，并在報(bào)告中對(duì)評(píng)分?jǐn)?shù)據(jù)進(jìn)行歸一化處理?！安樵u(píng)報(bào)告”的最終得分規(guī)定為以相對(duì)得分率來表示，以便直觀反映被查評(píng)單位信息通信系統(tǒng)整體安全性水平的量化情況。

3.4評(píng)價(jià)方法

從更加有利于發(fā)現(xiàn)存在問題和促進(jìn)提升的角度出發(fā)，信息通信安全性評(píng)價(jià)采用自查評(píng)和專家查評(píng)2個(gè)階段開展。自查評(píng)階段由被查單位自行組織內(nèi)部查評(píng)，并對(duì)自查評(píng)中發(fā)現(xiàn)的相關(guān)問題組織自查自糾、整改落實(shí)。自查單位根據(jù)實(shí)際情況，總結(jié)經(jīng)驗(yàn)，分析問題，形成評(píng)價(jià)自查評(píng)估報(bào)告；專家查評(píng)是在各單位自查評(píng)的基礎(chǔ)上，組織專家開展現(xiàn)場查評(píng)。電力信息通信安全性評(píng)價(jià)查評(píng)流程如圖4所示。圖4電力信息通信安全性評(píng)價(jià)查評(píng)流程從提升查評(píng)工作規(guī)范性，評(píng)分的權(quán)威性、客觀性和公正性角度出發(fā)，在評(píng)價(jià)體系構(gòu)建過程中，對(duì)照《標(biāo)準(zhǔn)》，編制《信息通信安全性評(píng)價(jià)查評(píng)依據(jù)》（以下簡稱《依據(jù)》），對(duì)查評(píng)項(xiàng)目所依據(jù)的相關(guān)標(biāo)準(zhǔn)、規(guī)程、規(guī)范和制度等進(jìn)行引用并作出說明，便于清晰的解釋查評(píng)標(biāo)準(zhǔn)中的相關(guān)查評(píng)要求，確保安全性評(píng)價(jià)過程中評(píng)分得當(dāng)，真實(shí)完整的對(duì)參評(píng)單位給出準(zhǔn)確的量化評(píng)分。為做好安評(píng)查評(píng)后的后續(xù)整改工作，將《信息通信安全性評(píng)價(jià)結(jié)果匯總表》、《信息通信安全性評(píng)價(jià)發(fā)現(xiàn)問題及整改情況表(自查單位用)》和《信息通信安全性評(píng)價(jià)發(fā)現(xiàn)問題及整改建議表（查評(píng)組用）》等后續(xù)工作指導(dǎo)性材料納入評(píng)價(jià)體系，指明所存在的安全風(fēng)險(xiǎn)點(diǎn)及隱患問題，給出整改提升建議，協(xié)助被查單位梳理信息通信專業(yè)安全管理薄弱環(huán)節(jié)，進(jìn)一步明確信息通信系統(tǒng)規(guī)劃目標(biāo)及建設(shè)項(xiàng)目需要解決的重點(diǎn)、難點(diǎn)問題，為信息通信項(xiàng)目的立項(xiàng)及管理決策提供基礎(chǔ)依據(jù)。

4評(píng)價(jià)實(shí)例

結(jié)合《標(biāo)準(zhǔn)》和《依據(jù)》的編制，對(duì)江蘇某供電公司開展了試查評(píng)。在該單位的試點(diǎn)查評(píng)工作中，總體參與評(píng)價(jià)項(xiàng)目總項(xiàng)目數(shù)152項(xiàng)，實(shí)際參評(píng)項(xiàng)152項(xiàng)，無調(diào)整項(xiàng)目，查評(píng)中共發(fā)現(xiàn)問題24項(xiàng)，重點(diǎn)問題4項(xiàng)，實(shí)得得分率90.7%。該公司經(jīng)過整改，完成整改問題4項(xiàng)，整改完成率16.7%。暫時(shí)未完成整改項(xiàng)目制定了整改計(jì)劃，并落實(shí)相關(guān)項(xiàng)目資金計(jì)劃，確保整改計(jì)劃按期完成。通過評(píng)估，發(fā)現(xiàn)專職運(yùn)維人員編制缺員、安全管理制度有待完善、調(diào)度大樓及重要通信站通道路由不具備等重點(diǎn)問題。根據(jù)查評(píng)結(jié)果形成“信息通信安全性評(píng)價(jià)發(fā)現(xiàn)問題及整改計(jì)劃表”，梳理編寫出《信息通信安全性評(píng)價(jià)建議項(xiàng)目》，為儲(chǔ)備項(xiàng)目的申報(bào)提供了依據(jù)。

5評(píng)價(jià)成效與特點(diǎn)

信息通信安全性評(píng)價(jià)面向信通專業(yè)橫向全過程，縱向全層級(jí)，有效支撐國家電網(wǎng)公司“三集五大”改革深化的新需求，滿足信通系統(tǒng)兩級(jí)調(diào)度、三級(jí)運(yùn)維的新思路，遵循企業(yè)信息化統(tǒng)一架構(gòu)、系統(tǒng)集成、數(shù)據(jù)共享的新部署，符合信息通信融合支撐公司“兩個(gè)轉(zhuǎn)變”的新要求。結(jié)合信通系統(tǒng)兩級(jí)調(diào)度、三級(jí)運(yùn)維的新思路，《標(biāo)準(zhǔn)》在調(diào)運(yùn)檢環(huán)節(jié)查評(píng)中，重點(diǎn)強(qiáng)化調(diào)控環(huán)節(jié)中的運(yùn)行方式集中管理，深化運(yùn)行管理環(huán)節(jié)中的專業(yè)巡檢和日常巡檢具體要求，落實(shí)檢修環(huán)節(jié)中的計(jì)劃申報(bào)審批和兩票工作要求。結(jié)合信息安全治理提升工作需要，在信息安全環(huán)節(jié)查評(píng)中，進(jìn)一步明確系統(tǒng)上下線管理要求、信息系統(tǒng)備案管理、信息終端申請與接入管理要求。對(duì)信息通信安全管理體系、建設(shè)、機(jī)房與輔助設(shè)施統(tǒng)一查評(píng)要求，充分體現(xiàn)信息通信融合的管理理念。增加信息通信應(yīng)急管理查評(píng)內(nèi)容，以形成信通專業(yè)支撐配套電網(wǎng)應(yīng)急體系的總體應(yīng)急管理架構(gòu)，滿足信通融合后“三集五大”建設(shè)深化新要求。

6結(jié)語

信息通信安全性評(píng)價(jià)首次在信通融合的背景下，從信息通信管理全過程對(duì)信息通信系統(tǒng)進(jìn)行量化評(píng)估，進(jìn)一步補(bǔ)充完善了電網(wǎng)安全性評(píng)價(jià)信息通信環(huán)節(jié)，有利于進(jìn)一步提升信息通信安全運(yùn)行管理水平。然而，信息通信技術(shù)發(fā)展日新月異，生產(chǎn)運(yùn)營管理變化具有不確定性，近年來信通專業(yè)的終端通信接入網(wǎng)、農(nóng)村供電所信息通信系統(tǒng)、移動(dòng)信息通信系統(tǒng)等未在評(píng)價(jià)中涉及，下一步將結(jié)合相關(guān)標(biāo)準(zhǔn)和規(guī)范的出臺(tái)，補(bǔ)充完善評(píng)價(jià)中相應(yīng)內(nèi)容，提高評(píng)價(jià)的全面性和普適性。

作者:韋磊 李小永 周劍 李秋生 婁征 單位:1. 國網(wǎng)南京供電公司 2. 國網(wǎng)江蘇省電力公司

參考文獻(xiàn)：

[1]胡濤,黃健,鄢威,等.一種電力生產(chǎn)安全性評(píng)價(jià)方法研究及應(yīng)用[J].電力系統(tǒng)保護(hù)與控制,2009,37(16):46-49.HUTao,HUANGJian,YANWei.Anevaluationmethodofelectricpowerproductionsecurityanditsapplication[J].PowerSystemProtectionandControl2009,37(16):46-49.

[2]周潔.模糊綜合評(píng)價(jià)模型在網(wǎng)絡(luò)系統(tǒng)安全性評(píng)估中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2013(12):78-79.ZHOUJie.Fuzzycomprehensiveevaluationmodelintheapplicationofthenetworksystemsecurityevaluationresearch[J].NetworkSecurityTechnology&Application,2013(12):78-79.

[3]ISO17799—2005.Informationtechnologysecuritytechniquescodeofpracticeforinformationsecuritymanagement[S].2005.

[4]NISTSpecialPublication800-30(R1).Guideforconductingriskassessments[S].2009.

[5]NISTSpecialPublication800-26.Securityself-assessmentguideforinformationtechnologysystems[S].2009.

[6]馬麗英,李鳳榮.電力企業(yè)安全性評(píng)價(jià)改進(jìn)[J].電力學(xué)報(bào),2009,24(2):165-166.MALi-ying,LIFeng-rong.Improvementsonsafetyassessmentofelectricpowerenterprises[J].JournalofElectricPower,2009,24(2):165-166.

[7]霍鵬.安全性評(píng)價(jià)在電力一次設(shè)備安全生產(chǎn)管理中的作用探討[J].經(jīng)營管理者,2013(30):375-376.