国家电网公司信息安全等级保护工作交流

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
信息安全等级保护安全建设整改工作培训材料之二
全面规划 狠抓落实

信息安全工作再上新台阶

----国家电网公司信息安全等级保护工作交流
国家电网公司是国有特大型企业，是关系国家能源安全和国民经济
命脉的国有重要骨干企业，核心业务为电网的建设和运营，承担着为经
济社会发展提供安全、经济、清洁、可持续的电力供应的基本使命。国
家电网公司经营区域覆盖26个省（自治区、直辖市），占国土面积的
88%，为超过10亿人口提供电力服务，管理员工153.7万人，公司名
列2009年《财富》全球企业500强第15位，是全球最大的公用事业
企业。
作为关系国家能源安全和国民经济命脉的重要骨干企业，国家电网
公司内部运转和对外服务依托大量业务信息系统，信息化依赖程度很
高。公司历来高度重视信息化工作，大力推进信息化企业建设，自2006
年开始实施SG186工程，构筑横向集成、纵向贯通的一体化企业级信
息集成平台，建设八大业务应用系统，健全完善六个保障体系，提出“十
一五”末初步建成信息化企业和数字化电网的目标，即在国际先进管理
理念指导下，以信息技术为依托，构建电网企业生产、经营、管理和决
策的信息管理系统，实现公司人、财、物三大基本要素和业务处理的全
过程信息化，促进公司各项业务流程的规范化、标准化，达到工作流、
资金流、物资流、信息流的高度整合和共享，实现公司生产自动化、管
理现代化、决策科学化。SG186工程至今年年底将提前一年全部完成
建设目标，为公司人财物集约化管理和智能电网建设提供了坚强支撑。
通过国家信息化测评机构测算，信息化对公司主营业务的销售收入贡献
率达到1％以上，SG186工程取得每年数十亿元的明显效益。在国资委
公布的2007年度中央企业信息化水平评价结果中，被评为十家A级企
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
业之一，综合排名第四，是电力行业唯一进入A级的企业。
随着国家电网公司“SG186”工程的推进，公司加快实施一体化平
台建设，推进三级贯通，强化系统集成与实用化，实现公司总部与各单
位系统的级联，八大业务应用整体全面推广、拓展深化应用，信息化效
能、效率、效益提升作用明显，信息系统的基础性、全局性、全员性作
用日益增强。电网信息安全作为电网安全的重要组成部分，是电网信息
化持续深入推进的基本保障，直接影响着电力企业的运行与管理工作，
对电力生产控制系统安全有着重大影响。
国家电网公司从维护国家安全、社会稳定与公民权益出发，按照国
家信息安全等级保护制度要求，将信息安全纳入电网生产安全体系，加
强管控，逐级分解安全责任，建立了完善的信息安全机制，按照“双网
双机、分区分域、等级防护、多层防御”的安全策略，实施了双网隔离，
部署了信息内外网邮件系统，统一配置了安全移动存储介质，建设一体
化安全运行监管平台和信息安全综合工作平台，构建了运行维护标准化
体系和信息安全技术督查体系，全面开展风险评估、强化应急响应、加
强信息安全保密等系列措施，初步建立了公司信息安全等级保护纵深防
御体系，有关工作得到了国家主管部门的高度肯定和认可,并获得电力行
业信息安全工作突出单位称号。
下面将国家电网公司信息安全等级保护工作开展情况介绍如下：
一、等级保护工作介绍
国家电网公司高度重视等级保护工作，全面落实公安部《信息安全
等级保护管理办法》、《关于开展信息安全等级保护安全建设整改工作的
指导意见》、《信息系统安全等级保护基本要求》等系列管理和技术要求，
以定级工作为基础，强化顶层设计，加强标准化建设，管理和技术齐抓
共管开展等级保护建设整改，整体工作遵照定级备案、方案设计、等保
建设、等保测评和运行维护的五个步骤开展，目前已有2/3的单位完成
等级保护建设，并将于年底全面完成建设整改工作。
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
图1 国家电网公司等级保护工作流程图
（一）定级备案
2008年初，遵照公安部《关于开展全国重要信息系统安全等级保
护定级工作的通知》（公信安[2007]861号）和电监会《电力行业信息
系统安全等级保护定级工作指导意见》（电监信息〔2007〕44号）的文
件要求，国家电网公司组织对在运的信息系统进行定级，并按照公安部
和电监会对公司信息系统定级的审批，公司完成了30个网省公司、21
直属单位的信息系统定级与组织备案工作，涉及公司所有万余个在运信
息系统，其中四级系统32个，三级系统占31.8%、二级系统占68.1%。
图2 国家电网公司信息系统安全等级分布
（二）体系设计
按照《信息系统安全等级保护基本要求》、《信息安全等级保护安全
建设整改工作指南》的要求，国家电网公司结合电网安全需求，对电网
信息安全工作进行整体规划和体系设计，制定了《国家电网公司信息化
“SG186”工程安全防护总体方案》，确定了“双网双机、分区分域、
等级防护、多层防御”的信息安全防护总体策略，其核心内容为强化网
络边界安全，结合信息安全等级对信息内、外网应用系统进行安全域划
分，将各安全域按边界、网络、主机及应用环境四个层次实施安全防护。
图3 体系构成示意图
具体内容为：一是将管理信息网划分为信息内网和信息外网，管理
信息内外网之间采用逻辑强隔离策略进行隔离，信息内外网分别使用物
理隔离并独立的服务器和桌面计算机。二是在网络方面，构筑了网络边
界三道防线，第一道防线为强化互联网与信息外网之间控制策略；第二
道防线为信息外网与信息内网之间采用强隔离措施和物理断开，切断信
息内网与互联网的连接；第三道防线为管理信息大区与生产控制大区强
隔离。三是在信息内网，按照“统筹资源、重点保护、适度安全”的原
则，依据信息系统等级定级结果，采用“二级系统统一成域，三级系统
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
独立分域”的方法划分安全域。信息外网划分为外网应用系统域和外网
桌面终端域。各安全域采用符合等级保护要求的技术措施进行防护。
图4 三道防线示意图
国家电网公司针对各安全域防护特点的差异，明确了各域的安全控
制措施及防护方案，设计了7个典型设计的分册。即，在边界方面：制
定了《网络与信息系统安全隔离实施指导意见》，应用具有自主知识产
权的逻辑强隔离装置、正反向隔离装置等措施。在网络方面：采用国产
网络设备和安全设备，并对经由网络传输的业务信息流进行安全防护。
在主机方面：制定了《国家电网公司信息安全加固实施指南》，开展主
机安全加固。在应用方面:制定了《国家电网公司信息应用系统通用安全
要求》，开展应用系统安全性测试与整改。在数据方面：应用安全移动
存储介质进行内外网数据交换，并开展三个集中式信息系统容灾中心建
设。在管理方面辅助以信息安全综合工作平台进行管理。
(三)深化标准
国家电网公司结合电网信息安全防护的特殊性，以国家信息系统等
级保护基本要求和电力行业信息安全要求为基础，对电网等级保护标准
指标进行深化、扩充，将国家等级保护二级系统技术指标项由79个扩
充至134个，三级系统技术指标项由136个扩充至184个，并将指标
作为整改要求，制定了《国家电网公司“SG186”工程等级保护验收标
准》，所有在运行信息系统必须于2009年按照标准完成整改。
表1 电网需求与国家标准要求对照表

要求类
二级系统 三级系统
国家标准 电网需求 国家标准 电网需求

物理安全 19 30 32 39
网络安全 18 33 33 44
主机系统安全 19 37 32 53
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
应用安全 19 29 31 40
数据安全 4 5 8 8
合计 79 134 136 184
（四）现状测评
按照公安部对等级保护安全建设整改工作中进行信息系统安全保
护现状分析的要求，国家电网公司组织内部测评队伍，在等级保护安全
建设之前按照定级结果，根据国家和公司等级保护标准，对信息系统开
展了技术和管理两方面的现状评估，寻找信息系统在物理安全、网络安
全、主机安全、应用安全、数据安全以及安全管理上与相应安全等级标
准的差距，并进行差距汇总和分析，根据不足问题重点进行建设整改工
作。
表2 公司等级保护符合性评估结果表
（五）安全建设整改
2009年，公司结合公安部等级保护建设指导意见，印发《国家电
网公司信息安全等级保护建设的实施指导意见》，要求公司系统各单位
于2009年底完成等级保护建设整改工作。具体建设内容包括：在技术
措施上进行机房物理环境整改、安全域划分与实现、边界网络防护、安
全配置加固、应用及数据安全防护，在管理上加强人员队伍建设并完善
信息安全管理工作。
1.机房物理环境整改
各单位按照《国家电网公司信息机房设计及建设规范》、《国家电网
公司信息机房管理规范》的要求，完善机房环境、设备管理、运行管理、
电源管理、安全管理和资料管理，并从防雷、防火、防水、防静电、防
盗窃、防破坏、电力供应、机房物理访问控制等方面对机房环境进行改
造。
2.安全域划分与实现
在双网双机基础上，根据信息系统的安全等级，采用部署防火墙、
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
交换机划分 VLAN及设置访问控制策略等技术措施进行安全域划分。
3.边界网络防护
明确公司信息内外网五类边界，并对五类边界部署网络访问控制、
入侵防护等多项通用防护措施，并特别采用公司自主研发的逻辑强隔离
装置、一体化安全监管平台、边界安全监测等技术措施进行防护。
4.主机安全配置加固
各单位遵照《国家电网公司信息安全加固实施指南》，通过配置安
全策略、安装安全补丁、强化系统访问控制能力、修补系统漏洞等方法
对各类主机设备的操作系统、数据库、中间件等及时进行策略配置和加
固。包括：帐号权限加固、数据访问控制加固、服务加固、网络访问控
制加固、口令策略加固、审计策略加固、漏洞加固、通信信息安全加固
等方面。在办公计算机终端上，全公司统一组织部署桌面终端管理系统，
对终端的安全准入、补丁的自动升级、终端安全防护进行自动维护和监
测管理。
5.应用及数据安全防护
依照国家和公司标准，从用户身份认证、访问控制、安全审计、通
信数据保护、容错能力等多方面进行应用系统安全改造和建设。在数据
保护方面，应用安全移动存储介质进行内外网数据交换。为确保不因人
为或自然的原因，造成数据信息丢失和信息系统支持的业务功能停止或
服务中断，公司提出建设集中式信息系统容灾中心，启动北京、上海、
西安三个集中式信息系统容灾中心建设。
6、强化信息安全队伍建设
公司按照公安部要求，从安全管理、运行、监督、技术支持等方面
加强信息安全队伍建设，确保安全责任落实。公司组织成立了“两级三
线”（总部、网省两级，一线服务、二线运维、三线技术支持）运维服
务队伍，负责各单位日常安全运行维护工作。建立了约400人的总部和
网省两级信息安全技术督查队伍，负责监督和指导各单位信息安全工作