电力行业重要信息系统.docx
《电力行业重要信息系统.docx》由会员分享,可在线阅读,更多相关《电力行业重要信息系统.docx(13页珍藏版)》请在冰豆网上搜索。
电力行业重要信息系统
电力行业重要信息系统
安全检查工作方案
国家电力监管委员会
二〇〇六年八月
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)的要求,国家电力监管委员(以下简称电监会)对中国南方电网有限责任公司和各发电企业集团公司开展电力行业重要信息系统安全检查工作。
1目标
电力企业信息安全检查工作的主要目标是通过检查评估的方式,发现企业重要信息系统当前面临的主要安全问题,督促整改,确保电力重要信息系统的安全。
本次安全检查工作完成以下任务:
完成电力企业重点单位、重要系统安全大检查,进行安全情况总体分析,统计重大和典型信息安全问题,提出有效的整改措施。
2工作组织
电力行业重要信息系统安全检查工作组织如图1所示:
图1电力行业重要信息系统安全检查工作组织图
电力信息安全检查领导小组:
统一协调领导电力重要信息系统安全检查工作。
电监会副主席史玉波同志任组长,中国南方电网有限责任公司、各发电集团公司、电监会信息中心、电监会安全监管局负责人参加。
电力信息安全专家委员会:
对检查工作提供指导、咨询。
电力信息安全检查领导小组办公室:
负责日常事务,组织成立电力重要信息系统安全检查工作组。
办公室设在信息中心,办公室主任由倪吉祥主任兼任。
电力重要信息系统安全检查工作组:
督导检查各单位重要信息系统的安全自查工作。
电力企业信息安全检查工作组:
由被检查的电力企业工作人员组成,负责本电力企业检查工作的配合、协调和管理工作。
技术支持单位:
按照电力信息安全检查领导小组办公室的统一部署,由国家电网信息安全实验室等技术支持单位为各电力企业集团重要信息系统安全检查工作提供技术支持。
3范围与内容
电力企业信息安全检查工作主要面对电力二次系统和重要管理信息系统,检查范围如下:
(1)管理信息系统
强调对基础信息系统和重点业务系统进行安全性检查,具体包括:
基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况。
重点单位:
各集团公司总部。
(2)电力二次系统
对电力二次系统的检查在遵循上面提到的内容外,还要依据《电力二次系统安全防护总体方案》的技术要求,具体包括:
网络分区和边界安全、网络和主机设备的配置与管理、现有安全防护措施、二次系统安全管理。
重点单位:
各级调度(交易)中心、电厂。
4方法与流程
安全检查工作中将采取风险评估的基本方法,确保检查工作的科学性。
本次安全检查工作时间紧、涉及范围广,为确保工作的质量,采用如下图2所示的工作流程:
图2工作流程
1)重要资产识别
识别重要系统、重要网络设备、重要服务器,及其安全属性破坏后的影响。
2)安全事件
统计各单位半年内发生的较大的、或者发生次数较多的信息安全事件,形成安全事件列表。
3)安全缺陷检查
对重要资产清单中所列的系统或信息资产进行安全缺陷检查,填写安全缺陷列表。
4)综合分析
统计安全事件、缺陷,分析产生的原因,形成安全检查报告,提出针对性的整改要求。
5)安全整改
各单位根据安全检查报告中的解决措施,实施整改,力争将检查中发现的安全隐患快速、高效的解决。
5工作进度计划
电力企业检查工作计划如下:
工作计划与成果
工作阶段
时间安排
工作内容
工作成果
准备阶段
1)成立信息安全检查工作组、专家委员会
●电力企业信息安全检查工作方案
●各单位检查工作计划
2)制定安全检查工作方案
1)各单位检查工作计划
2)
3)
实施阶段
1)各单位安全检查工作
●重点单位评估报告
●各单位检查报告
●各单位整改工作报告
2)各单位检查结果整理
总结阶段
1)对各单位检查结果进行汇总、整理,形成本次检查工作的工作报告
●电力企业信息安全检查工作报告,上报电监会。
6检查工作风险控制
安全检查工作对象是对各单位重要系统、重要数据和敏感信息等资产,因此,存在影响系统的正常运行、敏感信息泄漏等风险,需要高度重视,制定周密的防范措施。
检查表一规章制度与组织管理
检查项目
检查内容
检查结果
1组织机构
是否成立了信息安全领导机构、工作机构
2岗位职责
是否有专职网络管理人员
是否有专职应用系统管理人员
是否有专职系统管理人员
各专责的工作职责与工作范围是否有制度明确进行界定
3病毒管理
是否制定了计算机病毒防治管理制度
是否制定了定期升级的安全策略
是否制定了病毒预警和报告机制
病毒扫描策略是否规定了1周内至少进行一次扫描?
4运行管理
是否建立了信息系统运行管理规程?
机房管理制度?
运行值班制度是否规定了普通情况下5*8小时、关键时期的7*24小时的现场值班内容?
是否建立了缺陷管理制度
是否建立了统计汇报制度
是否建立了运维流程,并按照流程进行操作
是否对值班人员进行了安排?
5账号与口令管理
是否制定了账号、口令管理制度?
普通用户账户密码、口令长度是否有要求?
系统用户身份发生变化后是否及时对其账户进行了变更或注销?
检查表二网络与系统安全
检查项目
检查内容
检查结果
1网络架构
局域网核心交换设备,广域网核心路由设备是否采取了设备冗余或准备了备用设备?
是否有不经过防火墙的外联链路?
2网络分区
生产控制系统和管理信息系统之间是否部署了隔离措施
VLAN间的访问控制是否合理?
3网络设备
网络设备配置是否进行了备份?
(电子、物理介质)
网络关键点设备是否双电源?
是否关闭了HTTP、FTP、TFTP等服务?
是否有IP地址的规划方案和分配策略?
是否有IP地址分配记录?
5补丁管理
是否有补丁管理的手段,或管理制度?
Windows系统主机补丁安装是否齐全?
是否有补丁安装的测试记录?
6系统安全配置
是否对操作系统的安全配置进行了严格的设置?
是否删除了系统中不必要的服务、协议?
8主机备份
重要的系统主机是否采用了双机备份?
是否进行过热切换,或者故障恢复的测试?
检查表三网络服务与应用系统
检查项目
检查内容
检查结果
1WWW服务
WWW服务用户账户、口令是否健壮?
外部网站是否有备份,或其他保护措施?
2电子邮件服务
是否对近3个月的邮件数据进行了备份?
是否有专门针对邮件病毒、垃圾邮件的安全措施?
邮件系统管理员账户/口令是否强健?
邮件系统的维护、检查是否有审计记录?
3远程拨号访问服务
是否有限制远程拨号访问的管理措施?
用于业务系统维护的远程拨号访问是否采取了身份验证、访问操作记录等措施?
4应用系统
应用系统的角色、权限分配是否有记录?
用户账户的变更、修改、注销是否有记录?
(查看半年记录情况)
关键应用系统的数据功能操作是否进行审计?
是否有针对关键应用系统的应急预案?
新系统上线前是否进行过安全性测试?
检查表四安全技术管理与设备运行状况
检查项目
检查内容
检查分值
1防火墙
网络中的防火墙部署位置是否合理?
防护墙规则配置是否符合安全要求?
2防病毒系统
防病毒系统是否覆盖所有服务器及客户端?
对服务器的防病毒客户端管理策略配置是否合理?
是否有专责人员负责维护防病毒系统,并及时发布病毒通告?
3入侵检测系统
检查入侵检测系统部署是否合理、能否覆盖主要网络边界与主要服务器?
是否定期对审计信息进行分析?
4安全技术管理
是否部署了身份认证系统?
是否部署了安全管理平台?
是否采用了漏洞扫描系统?
重要系统一年内是否进行了信息安全风险评估?
是否部署了针对安全设备的日志服务器?
检查表五存储备份系统
检查项目
检查内容
检查分值
1备份策略
是否建立了明确、合理的备份策略?
是否严格按照备份策略对系统数据进行备份?
2恢复预案
是否建立了明确的恢复预案?
是否定期进行恢复演练?
3备份介质管理
检查是否建立介质的管理制度和废弃介质的处理制度
储存介质是否存放在安全环境
是否有严格的介质存取控制,是否有专人对存储介质进行定期检查
检查表六介质及物理环境安全
检查项目
检查内容
检查结果
1机房内部安全防护
主机房是否安装了门禁、监控与报警系统?
2机房供、配电
是否有详细的机房配线图?
机房供电系统是否将动力、照明用电与计算机系统供电线路分开?
机房是否配备应急照明装置?
是否定期对UPS的运行状况进行检测?
3机房环境防护
是否采用了气体防火措施?
空调系统是否定期进行检查?
机房温度是否控制在摄氏26度以下?
检查表七安全服务状况
检查项目
检查内容
检查结果
1安全服务外包情况
是否将安全服务外包?
2安全服务提供商资质
如果存在安全服务外包情况,安全服务提供商是否具有安全服务资质?
3服务方式
安全服务商是否按要求将进行安全服务所涉及的系统信息采取有效的保密措施?
检查表八应急处置
检查项目
检查内容
检查结果
1应急预案
重要系统是否有完善的、可操作的应急预案?
是否对应急预案进行了定期演练?
2通报机制
是否按要求建立了及时的信息安全信息通报机制?
检查表九安全事件登记表
编号
安全事件
事件情况简单说明()
发生日期
后果
处理措施
升级会员 