南方电网二次系统安全防护测评细则
南方电网公司系统运行部 南方电网公司电网自动化重点实验室
2014年3月 广州
目录
1. 测评目的 ................................................................................................................ 1 2. 测评依据 ................................................................................................................ 1 3. 测评范围 ................................................................................................................ 1 4. 测评流程 ................................................................................................................ 2 5. 评价细则 ................................................................................................................ 2 附件1 二次系统汇总列表........................................................................................... 5 附件2二次系统详细信息调查表和系统主机、网络、安防设备信息表................ 6 附件3二次系统安全防护情况汇总表........................................................................ 8 附件4:二次系统安全防护评价细则(二级系统)................................................. 9 附件5:二次系统安全防护评价细则(三级系统)................................................. 9 附件6:二次系统安全防护评价细则(四级系统)................................................. 9
1. 测评目的
贯彻落实公安部、国家电力监管机构、以及公司关于电力二次系统安全防护和等级保护工作的有关要求,统一二次系统安全防护测评标准,提高电力二次系统安全防护水平,确保电力二次系统安全稳定运行,编制本细则。
2. 测评依据
1)《电力二次系统安全防护规定》(电监会5号令)
2)《电力二次系统安全防护总体方案》(电监安全[2006]34号) 3)《信息系统安全等级保护基本要求》(GB/T 22239-2008) 4)《信息安全风险评估规范》(GB/T 20984-2007) 5)《信息系统安全等级保护测评要求》(GB/T 28448-2012) 6)《电力行业信息系统安全等级保护基本要求》(电监信息[2012]62号)
7)《电力二次系统安全防护评估规范(试行)》
8)《中国南方电网电力二次系统安全防护技术规范》(Q/CSG110005-2012)
3. 测评范围
等保定级在二级及以上的电力二次系统,包括调度机构负责建设、运维的业务系统,以及其他业务部门负责建设、运维的二次系统。具体测评对象包括:网络结构、交换机/路由器、防火墙、操作系统、数据库、物理机房、数据安全管理、应用系统。
第1页
4. 测评流程
自查和抽查阶段的测评流程一般包括测评准备、现场测评和报告编制三个阶段。
1)资料收集要求被检单位向测评单位提交二次系统汇总列表(附件1)及二次系统详细信息调查表(附件2)等资料,提交的相关资料包括拓扑图和主要设备的配置信息。
2)现场测评是测评单位在现场采用访谈、调阅管理规定、核实系统的部署情况、查看设备的实际配置、漏洞扫描、渗透测试等手段,收集、记录存在问题的过程。
3)形成报告阶段,测评单位根据评价细则评分形成测评结果,列出存在的问题;被评价单位制定整改计划,上报二次系统安全防护情况汇总表(附件3)至公司系统运行部。
5. 评价细则
1)系统测评的内容包括:二次安防整体安全、网络整体安全、交换/路由安全、防火墙安全、操作系统安全、数据库安全、应用系统安全、物理安全、数据管理安全共9个类别。
测评分项指标和加权分值如下:
表1 测评分项指标和加权分值
序号 1 2 3 4 分项 二次安防整体安全 测评指标 分项加权分值 20 20 10 10 管理安全、安全分区、网络专用、横向隔离、纵向认证、其他技术措施 结构安全、边界完整性检查、入侵防网络整体安全 范、恶意代码防范 交换/路由安全 访问控制、安全审计、网络设备防护 防火墙安全 访问控制、安全审计、网络设备防护 第2页
5 6 7 8 9 身份鉴别、访问控制、安全审计、剩操作系统安全 余信息保护、入侵防范、恶意代码防范、资源控制 身份鉴别、访问控制、安全审计、资数据库安全 源控制 身份鉴别、访问控制、安全审计、剩应用系统安全 余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制 物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水物理安全 和防潮、防静电、温湿度控制、电力供应、电磁防护 数据完整性、数据保密性、备份和恢数据管理安全 复 系统分值总计 10 10 10 5 5 100 2)等保二级、三级和四级的系统采用不同的评价细则,具体参见附件4、5、6。
3)系统内某个测评指标涉及到多个测评对象(如:设备)的,超过5个的部分按30%抽样测评。
抽样公式:
x,x5 y5(x5)30%,x5其中:x为所有测评对象,y为抽样测评对象。
4)系统内某个测评指标涉及到多个测评对象的,测评指标的评价按二次平均法计算,即取平均分与最低分再次平均。
5)某个测评对象的测评指标得分,为该测评指标对应各测评项的平均分。
6)某个系统的分项得分,为该分项对应测评指标的平均分;分项加权得分为分项加权分值(表1)乘分项得分百分比。
公式:分项加权得分=加权分值*分项得分/100
第3页
7)某个系统的得分,为各分项加权得分的总加。
8)某个单位安全测评得分,按照被测评系统的同级系统平均分的定级权值加权计算得出,其中四级系统定级权值为5,三级系统定级权值为3,二级系统定级权值为2。
示例:
省公司得分=(四级系统得分*5+三级系统平均分*3+二级系统平均分*2)/(5+3+2)
供电局得分=(三级系统平均分*3+二级系统平均分*2)/( 3+2)
第4页
附件1 二次系统汇总列表
表2 二次系统汇总列表
序号 1 2 3 4 5 6 7 8 单位1 单位名称 系统1 系统2 系统3 系统4 系统1 系统2 系统3 系统4 系统名称 等保定级 分区部署 系统规模 填写服务器、工作站、主机、网络设备和安全设备数量 单位2 第5页
附件2二次系统详细信息调查表和系统主机、网络、安防设备信息表
表3 二次系统详细信息调查表
系统名称: 安全等级: 二次系统详细信息调查表 所属单位及部门: 部署分区: 系统简介 系统架构、功能、数据及安全防护措施的描述。 网络拓扑图 表4 系统主机、网络、安防设备信息表 xxxxx系统主机、网络、安防设备信息表 第6页
编号 1 2 3 4 5 设备名称 设备型号 操作系统 IP地址 多个则应列明 承担业务 位于机房的位置 与之互联的设备名称
第7页
附件3二次系统安全防护情况汇总表
表5 二次系统安全防护情况汇总表
序单位名号 称 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 单位1 单位2 单位得分 系统1 系统名称 系统 得分 测评项 测评项 名称 得分 问题描述 已整改 是/否 整改计划 备注 系统2 系统1 针对测评中发现的不符合项进行描述,每个问题一行 测评项得分1 1 得分1 ...... 得分2 得分1 第8页
附件4:二次系统安全防护评价细则(二级系统) 另附文档。
附件5:二次系统安全防护评价细则(三级系统) 另附文档。
附件6:二次系统安全防护评价细则(四级系统) 另附文档。
第9页
因篇幅问题不能全部显示,请点此查看更多更全内容