二是强化纵深防御,包括:积极推进电力监控系统的国产化工作;继续推进电力工控设备信息安全漏洞的检测和整改工作;不断推进电力企业内网监视平台的建设工作;扎实推进电力监控系统安全防护评估工作和电力行业信息安全等级保护测评工作(两项工作同步完成,不增加企业重复工作量),形成电力监控系统安全防护体系的不断改进和持续完善机制;积极研发并逐步推广应用基于可信计算技术的系统安全免疫。
记者:电力监控系统安全防护工作与国家信息安全等级保护工作有什么联系和区别?
史玉波:信息系统安全等级保护是在国家范围内推行的对于网络与信息安全的一项基本制度,它主要针对通用的计算机信息系统,从技术与管理等方面提出了普遍适用的措施、规定和要求。
电力监控系统安全防护主要针对与电力生产、供应密切相关的电力监控系统,并根据其具体功能及实际特点,有针对性提出了相关的安全防护措施。
总体来看,电力监控系统安全防护的防护强度基本满足或超过相应等级信息系统安全等级保护的要求,并且对于电力监控系统,其相关安全防护措施更加具有系统性、整体性、针对性和可操作性。
举一个最简单的例子,对于一个部署在省级调度机构的电能量计量系统,按照信息系统安全等级保护的规定和要求,可以定级为三级系统,只需按照等级保护三级系统的要求采取相关的各项管理和技术措施即可,比如物理防护、网络隔离等。但是,在电力监控系统安全防护体系中,则会结合电力行业的实际特点,提出更加完整、具体的规定和要求,比如按照“安全分区”的要求,这个系统应该摆放在哪个安全区;按照“横向隔离”或者“纵向认证”的要求,这个系统应该在与其有数据交互的其他业务系统或者本系统的终端之间采取哪些安全防护措施,这些都会有更加明确的规定。
可以这么说,信息系统安全等级保护的有关规定和要求是一个通用的、基本的门槛,而电力监控系统安全防护根据电力行业的特点,对其予以了细化、补充、完善和加强。