电力二次系统安全防护等级评定及整改条件书052讲解.docx

1、电力二次系统安全防护等级评定及整改条件书052讲解C.7技术条件书审批页格式和编写格式广东省粤电集团有限公司湛江中粤能源有限公司电力二次系统安全防护评估、等级评定及整改技术条件书编写人：_ 初审：（主管部门分部经理/部长）：_ 会审： _ 审核：（生产技术分部专工/经理）_ 审定：（生产经营部部长） 批准：（主管生产经营公司领导）：_ 设备部电气分部保管责任人：李志东编号：JSTJSSBDQ201300保管地点：电气分部保管期限：记录日期：2013.5.21、概述1.1本技术条件书适用于湛江中粤能源有限公司电力二次系统安全防护评估、等级评定及整改项目(以下简称本项目)，本技术条件书文件的所有解

2、释权归湛江中粤能源有限公司。1.2本技术条件书提出了项目的建设规模、主要业务需求和技术指标要求，以供服务提供商编写应答书和报价之用。1.3项目范围主要包括:一、电力二次系统安全防护评估；二、安全整改加固；三、信息安全等级保护测评； 1.4 应提交的项目交付物为：一、电力二次系统安全防护评估报告；二、安全整改、加固报告；三、信息安全等级保护测评报告；2、项目需求2.1项目背景目前电力二次系统的信息安全已经成为支撑湛江中粤能源有限公司各生产业务稳定运行的重要载体，而信息系统的安全防护更显得尤为重要。为规范电力二次系统安全防护评估工作，依据电力二次系统安全防护规定（电监会第5号令）及电监会关于印发电

3、力二次系统安全防护评估规范（试行）的通知要求，需开展电力二次系统安全评估工作，此外电力二次系统信息安全等级保护作为我国信息安全保障的一项基本制度，需通过统一的信息安全等级保护管理规范和技术标准，对信息系统分等级实行安全保护，并对等级保护工作的实施进行监督、管理。因此，为了进一步贯彻落实电监会、公安部、针对信息安全的要求，全面提高湛江中粤能源有限公司电力二次系统的基础信息网络和重要信息系统的信息安全保护能力和水平，湛江中粤能源有限公司拟进行电力二次系统信息安全评估和信息系统安全等级保护测评工作。2.2项目目标对湛江中粤能源有限公司电力二次系统的网络和信息系统进行全面的安全评估和等保测评，并提出合

4、理的风险控制解决方案，对发现的问题或安全漏洞进行修补；协助湛江中粤能源有限公司通过电监会评估检测及公安部等级保护测评。项目依据国家、电监会相关标准以发现本厂电力二次系统存在的信息安全风险，确保目前相应的电力二次系统达到厂站相应一般、重要防护要求及国家相应的二、三级等级保护的要求，能够防护系统免受来自外部小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在

5、系统遭到损害后，能够在一段时间内恢复部分功能。2.3工作内容2.3.1电力二次系统安全防护评估依照电力二次系统安全防护规定（电监会第5号令）、电力二次系统安全评估规范（试行）、发电厂二次系统安全防护方案等，对湛江中粤能源有限公司的网络和信息系统进行风险评估，提交相关电力二次系统安全防护评估报告和安全整改建议。风险评估的内容应包括：信息系统资产调研、信息系统安全现状调研、网络设备安全审计、操作系统安全审计、漏洞扫描、重要日志分析、渗透测试、网络结构分析、综合风险分析、安全组织架构及管理制度分析，以及安全防护评估报告编写。2.2.2电力二次系统信息安全整改、加固根据电力二次系统安全防护评估报告，针

6、对存在的安全隐患以及未落实的安全措施制订安全整改方案，明确整改的目标、项目和进度。依据安全整改方案，配备符合标准要求的安全专用产品，完成相应产品的拓扑设计，以及安装调试。根据评估风险和安全方案，并结合电力二次系统安全防护规定、信息安全技术、信息系统安全等级保护基本要求，依据安全整改方案，落实安全技术措施，提供安全维护服务，对湛江中粤能源有限公司的网络设备、服务器和应用系统进行安全加固，提交安全加固报告。 2.2.3电力二次系统信息安全等级保护测评通过在湛江中粤能源有限公司电力二次系统安全防护评估的基础上对各电力二次系统整改现状调研和分析，参照国家等级保护标准体系，开展等级保护的定级、备案、整改

7、、测评等工作。通过测评评判现有信息系统在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面的安全整改现状，并针对信息安全整改的结果，依据国家等级保护标准验证信息安全整改效果，以保证湛江中粤能源有限公司信息系统安全保护能力达到国家相应的要求，并通过公安部（当地网监）认定的等级保护第三方测评机构的最终测评。本项目涉及的信息系统包括：序号系统名称1. 煤耗在线监测系统2. PMU系统3. 电能量计量系统4. 安稳系统5. 保信子站系统6. 变电站监控系统7. 远动RTU系统3、项目技术要求3.1项目实施须遵循的标准在信息安全评

8、估及等级保护测评过程中，必须依照以下标准规范：1、电监会安全评估标准： 电力二次系统安全防护规定（电监会第5号令） 电力二次系统安全评估规范（试行）2、等级保护安全测评标准： 信息安全技术 信息安全风险评估规范（GB/T 20984-2007） 信息系统安全保障评估框架（GB/T 20274） 信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008）3.2项目实施应满足的原则项目的方案设计与具体实施应满足以下原则： 符合性原则：符合电监会、国家等信息安全评估/测评有关规范，指出防范的方针和保护的原则； 标准性原则：安全评估及等级保护测评发现的安全风险及差距的整改、设计与实施

9、应依据行业、国内、国际的相关标准进行； 规范性原则：安全服务提供商在项目实施工作中的过程和文档，应具有很好的规范性，可以便于项目的跟踪和控制； 可控性原则：安全服务的方法和过程要在双方认可的范围之内，保证对于服务工作的可控性； 整体性原则：安全风险及差距整改建议的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患； 最小影响原则：测评及扫描工作应尽可能小的影响系统和网络的正常运行，不能对各系统的运行和业务产生显著影响； 保密原则：应对服务过程中获得的数据和结果严格保密，XX不得泄露给任何单位和个人，不得利用此数据进行任何侵害利益的行为，否则有权追究其责任。3.3项目

10、使用的工具信息安全评估及等级保护测评阶段，应使用安全扫描系统对网络设备、服务器进行扫描，因此还必须提供扫描工具，扫描工具须拥有国内自主知识产权。 扫描工具应具备以下能力： 指标项目指标描述内容扫描系统功能漏洞库支持的漏洞数量3000个并发扫描的线程数250个配置核查工具应具备以下能力： 指标项目指标描述内容核查系统功能Windows标准检测模块 支持 增强设备模块 选配 检测设备品牌总数 20种以上 可自定义检查设备支持可检测IP范围 无限 单报表IP点总数（IP） 500检查速度（IP/分钟） 3 并发检查数（IP） 5 最大用户数 15 并发任务数 5 最大存储任务数 300 单个任务最大

11、IP数 1个C 3.4整体技术要求1.安全调查和测评的过程中，如需我公司人员配合，测评单位需要详细描述需要配合的内容：各种表单，需要详细描述表单的名称、功能及主要表项等等，并由给出具体示例。2.对本项目中可能需要的硬件平台(如笔记本电脑、PC、工作站等)均由测评单位提供，将按照相关要求对设备进行必要的处理。在服务期间未经许可不得将设备带离指定场所，也不得使用任何未经确认的存储设备对测评数据进行复制。3本厂需要给出在进行调查和测评时所需要提供的信息列表。有权拒绝提供任何信息列表以外的资产信息。4.安全测评应按照分层的原则，包括但不限于以下对象：物理环境、网络结构、网络服务、主机系统、数据库系统、

12、应用系统、安全相关人员、处理流程、安全管理制度、安全策略等。5. 应提供本项目的测评方案，包括技术部分和实施部分。技术部分包括整体流程、技术方法和服务方案设计等，需要对每项技术方法的应用位置进行详细描述，技术方案中应详细描述本次测评采用的测评方式及标准、漏洞测试和应用分析的方法；6.实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等，需要明确每项工作的时间安排、操作时间和操作人员。安全调查和测评过程中，如需使用安全工具，请在实施方案中详细描述所使用的安全工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求等。7. 应详细描述安全调查和测评的组

13、织方式，包括组成的人员及分工、测评的过程组织、实施时间安排、测评方式所遵循的标准等。4、项目实施过程及内容4.1电力二次系统安全防护评估电力二次系统安全防护评估过程需按照电力二次系统安全评估规范（试行）开展工作，在评估阶段应完成下述工作。 1、资产评估：收集信息资产，包括有形资产和无形资产，如服务器、网络设备、存储设备、应用软件、数据、人员、管理等。2、安全威胁及脆弱性分析：建立安全风险模型，该模型必须包含但不限于以下要素：资产、影响、威胁、脆弱性，并对威胁、漏洞、风险的等级划分标准。对服务器和网络设备进行安全脆弱性行为分析。其中，服务器的安全评估包括操作系统安全（WINDOWS、LINUX、

14、HP-UNIX、AIX）评估和应用软件（如数据库、IIS、APACHE、TOMCAT、WEBLOGIC）的安全评估。 3、漏洞扫描：漏洞扫描针对信息系统的主要IT设备（服务器，网络设备，安全设备）的自身脆弱性进行安全评估。扫描内容包括端口扫描、系统扫描、漏洞扫描、数据库等应用软件扫描等，服务完成后应提供扫描报告，解决方案并对发现漏洞给予解决。 4、网络结构安全分析：为降低整体网络安全风险、增强IT内控的实效性、更清晰的评价和监控现有安全状况，需要对网络结构进行分析，并结合业务情况进行安全域的规划设计。 5、应用安全扫描：对重要应用系统进行安全扫描，扫描测试至少包括以下部分： 端口扫描：通过对目

15、标地址的TCP/UDP端口扫描，确定其所开放的服务的数量和类型，为进行深层次的渗透提供依据。 远程溢出：对端口扫描出来的漏洞进行利用，可以使用工具等手段实现远程溢出攻击。 口令猜测：对指定业务系统的认证模块进行口令猜测，使用多种手段猜测口令。 本地溢出：在拥有了一个普通用户的账号之后，使用一些特殊的技术手段，获得管理员权限或提高普通用户权限。 脚本测试：利用SQL语句进行一些特殊操作，绕过应用系统自身的限制，从而获得一定的权限。检查出应用系统代码的漏洞环节。包括以下环节：检查应用系统架构,防止用户绕过系统直接修改数据库；检查身份认证模块，用以防止非法用户绕过身份认证；检查数据库接口模块，用以防

16、止用户获取系统权限； 检查文件接口模块，防止用户获取系统文件； 检查其他安全威胁； 敏感信息测试：利用工具获取应用系统的源代码、应用软件版本系统等敏感信息的测试。 6、对外服务系统代码分析：对公司涉及对外服务的系统（包括外部网站、邮件、VPN等），进行代码分析，检查可能存在的安全漏洞。 7、安全组织架构及管理制度分析：在对调峰调频发电公司安全组织架构及管理制度调研的基础上，参考ISO 27001风险管理体系要求，分析公司安全组织架构是否合理，信息安全管理标准是否完善，并提出改进建议。 8、综合风险分析：在对信息体系的各个层次进行技术安全评估基础上，综合分析信息系统面临的各方面威胁，依靠定量计算

17、和定性分析结合的方式，计算出信息系统各方面的风险级别，并提出解决措施。确保本厂的电力二次系统安全防护满足：安全分区，网络专用，横向隔离，纵向认证的基本要求。4.2安全整改、加固根据安全评估分析报告和安全整改建议，并结合湛江中粤能源有限公司电力二次系统安全防护规定（电监会第5号令）、信息安全技术 信息系统安全等级保护基本要求，对所属电力二次系统的网络设备、服务器及应用系统进行安全整改、加固，提交安全整改、加固报告。1、安全整改方案：制订详细的安全整改实施计划，对必须新增安全软硬件产品或其它软硬件才能解决相关安全问题，提出建议并说明相关的必要性和可行性，提供相关的产品资料计划中应包含详细的风险规避

18、措施。2、高风险日志处理服务：对发现的高风险日志进行追踪、处理，消除安全隐患。3、重要服务器安全策略修补服务：对重要服务器的安全策略进行修补。4、重要网络设备安全策略修补服务：对重要网络设备的安全策略进行修补。5、安全加固报告：完成对修补内容和过程的详细记录。6、加固要求主要采用优化配置、调整安全策略、安装补丁、安装安全工具软件(不须购置)、调整网络结构等方式进行，加固报告完成对修补内容和过程的详细记录。4.3信息安全等级保护测评信息系统整改、加固完成后，测评单位负责聘请符合国家规定的第三方测评机构进行测评。经测评，信息系统安全状况未达到安全保护等级要求的，需要再制定方案进行整改，直至通过第三

19、方测评机构等级测评。1、协助定级备案：确定等级，提交等级报告、备案表和自检表送当地网监部门备案。2、安全技术测评：针对湛江中粤能源有限公司7个计划定级系统分别从5个技术层面进行现场测评和分析，记录相关的测评结果。3、安全管理测评：针对湛江中粤能源有限公司7个计划定级系统别从5个管理层面进行现场测评和分析，记录相关的测评结果。4、形成等级测评结论及测评报告备案提交：针对湛江中粤能源有限公司7个计划定级系统测评在数据汇总分析的基础上，分析系统存在的问题，给出系统等级测评结论，并由公安网监认证测评机构编制等级保护测评报告提交网监备案。5、项目管理要求5.1 组织实施要求1. 服务商应安排专职项目经理

20、负责本次服务项目的实施。2. 服务商应保证项目团队成员的稳定，以保证服务的质量和连贯性。5.2人员安排要求本项目的技术服务人员需具有信息安全服务工作经验，参加过信息安全等级保护及信息安全体系建设项目并取得信息安全方面资质证书，提供人员管理及配备方案，并确保人员的稳定。如更换技术服务人员，须由我厂同意并签字确认。1、项目经理（项目实施负责人）A.教育水平：计算机、电子信息、通信类、网络安全、项目管理类硕士或同等学历。B.工作经验：3年以上信息安全工作经验及项目管理经验，有信息安全等级保护测评项目经验者优先。C.专业知识：熟悉信息安全等级测评和管理体系建设，能够熟练使用常规的WEB应用扫描、基线扫

21、描、漏洞扫描工具，具有一定的操作系统、网络安全、网站和数据库知识。熟练掌握信息安全风险评估的一般流程、要求和网络安全知识。具有等级保护测评师（中级及以上）、CISP、CCNP、MCSE认证，熟悉IT服务管理、数据库知识、中间件知识、黑客常用入侵手段、工具者优先考虑。D.素质能力：具备信息安全管理和协调能力，工作认真负责，具有高度的责任心、信息安全意识和积极开拓进取精神。3、服务技术工程师A.教育水平：计算机、电子信息、通信类、网络安全、项目管理类专科或以上学历。B.工作经验：2年以上信息安全工作经验，有信息安全等级保护测评经验者优先。C.专业知识：熟悉信息安全等级测评和管理体系建设，能够熟练使

22、用常规的WEB应用扫描、基线扫描、漏洞扫描工具，具有一定的操作系统、网络安全、网站和数据库知识。熟练掌握信息安全风险评估的一般流程、要求和网络安全知识。具有等级保护测评师（初级及以上）、CCNA认证，熟悉常用测评手段、工具者优先考虑。6、交付的成果和报告测评单位方需按阶段交付项目成果报告1、电力二次系统安全防护评估实施完成后，需提交下列材料： 电力二次系统安全评估报告2、安全整改、加固实施完成后，需提交下列材料： 电力二次系统安全整改报告 电力二次系统安全加固报告3、信息安全的等级保护测评实施完成后，需提交下列材料： 电力二次系统信息安全的等级保护测评报告注：需针对每个定级系统独立出具测评报告

23、7、技术要求及支持服务1、测评单位必须保证所提供的评估报告、整改报告、等级测评报告等格式和内容必须完全符合电监会电力二次系统安全防护评估规范的要求，对于我厂二次系统中的不符合项要负责整改并使其完全符合文件规范的要求。测评单位要参加由广东电网公司电力科学研究院组织的、计划于年月间进行的对我厂的二次系统安全评估活动，检查中如有不符合的内容和部分，测评单位要负责整改。2、测评单位方应说明本项目的技术队伍和实施组织方式、服务模式，以及售后服务的开展方式；测评单位方应在本项目范围内提供1年的技术支持服务。3、为本项目提供服务的单位必须相应的技术力量和同类项目的业绩，有专门的技术支持及售后服务部门，具备相

24、应的应急服务能力，包括有关的专业技术人员。4、除本技术条件书文件另有说明外，所有服务、工具均应按照国际标准、国家标准、电监会标准进行实施。所用的标准必须是最新版本，如果这些标准的内容有矛盾时，应按照最高标准的条款执行或按双方协商同意的标准或条款执行。5、测评单位应按照本技术条件书文件的要求提供详细、完整的技术方案。该技术方案要完全满足或高于本技术条件书文件要求，对于本技术条件书文件中的某些部分，如不能满足要求，或有其它替代方案，或有其它修改建议，应在技术方案中指出其必须进行修改的理由以及与原要求的差别，否则，即认为可以满足本技术条件书文件的要求。6 、项目实施过程中要求所提供的所有软件、工具必须是合法的正版软件，并且实施时为最新成熟版本，有中文版必须采用中文版。7、应保证所提供的所有资料真实、完整、准确无误，否则将有权取消的测评单位资格，由此产生的一切后果由承担。