电力二次系统安全等级测评研究(精选7篇)
Research the testing and evaluation for classified protection to secondary system of electric power system 摘 要: 本文在研究电力二次系统基础上,以开展安全等级测评为出发点,从管理和技术两个方面研究电力二次系统安全等级测评,管理方面重点构建项目干系人模型,技术方面重点构建电力二次系统测评标准模型和测评指标体系。
关键词:电力二次系统;安全等级测评;信息安全
1.引言
信息安全等级保护制度是国家信息安全工作的基本制度。电力是国民经济重要的基础设施之一,电力安全直接关系国计民生,一直是党和政府高度关注的重点。电力行业的信息安全同样关系着国家安全、社会秩序和公共利益,电力行业的信息系统,尤其是电力二次系统是重点保护对象。
本文在研究电力二次系统基础上,以开展安全等级测评为出发点,从管理和技术两个方面研究电力二次系统安全等级测评,管理方面重点构建项目干系人模型,技术方面重点构建测评标准模型和建立电力二次系统测评指标体系。
2.电力二次系统
电力二次系统,包括电力监控系统、电力通信及数据网络等。电力监控系统,是指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等。电力调度数据网络,是指各级电力调度专用广域数据网络、电力生产专用拨号网络等。
电力行业的特点决定了电力信息安全不仅具有一般计算机信息网络信息安全的特征,而且还具有电力实时运行控制系统信息安全的特征。电力行业信息安全等级保护对象主要包括各电网企业、供电企业、6000千瓦以上(含6000千瓦)统调发电企业及其他有关电力企业的生产控制系统、生产管理系统、网站系统、管理信息系统、信息网络五大类。
根据电力行业信息系统的安全责任单位和信息系统类别,分等级确定电力二次系统安全等级测评对象,图形化表示如图1所示。[2][1]
3.项目干系人模型
从项目管理角度分析,针对电力二次系统的安全等级测评项目具有临时性、独特性和渐进明细三大特点。项目干系人管理是项目成功的关键点。项目关系人管理的主要意义体现在有助于赢得更多的资源,通过项目干系人管理,能够得到更多有影响力的干系人的支持;有助于通过快速频繁的沟通确保对项目干系人需要、希望和期望的完全理解;有助于预测项目干系人对项目的影响,尽早进行沟通和制定相应的行动计划,以免受到项目干系人的干扰。
图1电力二次系统安全等级测评对象确定图形化表示
从安全等级保护的角度来看,干系人包括国家管理部门,主要是省、市公安机关,负责信息安全等级保护工作的监督、检查、指导,主要包括受理备案和进行备案审核,会同行业管理部门联合开展检查工作;行业管理部门,具体是国家电力监管委员会及其派出机构,负责电力行业信息安全等级保护工作的督促、检查、指导,主要包括电力行业信息安全等级保护定级审批和开展安全检查;信息系统运行使用单位,具体是供电企业、发电企业或其所属机构或部门(可确定为信息系统安全责任单位),负责依照国家信息安全等级保护的管理规范和技术标准开展信息安全等级保护工作,包括自主定级、备案、整改建设、聘请等级测评机构进行安全测评,定期自查;安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;信息安全服务机构,负责根据信息系统运营、使用单位的委托,提供相关服务,协助信息系统运营、使用单位完成等级保护的相关工作;信息安全产品供应商负责开发符合等级保护相关要求的信息安全产品,按照等级保护相关要求销售信息安全产品并提供相关服务。
干系人关系模型如图2所示。
图2电力二次系统安全等级测评干系人关系模型
4.电力二次系统测评标准模型及测评指标体系
4.1 测评标准模型
等级测评是测评机构依据《信息系统安全等级保护测评要求》等管理规范和技术标准,检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程。安全等级测评过程
[3]
包括单项测评、单元测评、整体测评和风险分析。安全等级测评主要依据《信息系统安全
等级保护测评要求》等技术标准。
电力二次系统具有实时运行控制的特点,具有“安全分区、网络专用、横向隔离、纵向认证”的特殊防护要求,针对电力二次系统开展安全等级测评,必须结合行业特殊要求,将行业要求《电力二次系统安全防护规定》和《电力二次系统安全防护总体方案》与等级保护国家标准要求整合。
电力二次系统测评标准模型如图3所示。
图3电力二次系统测评标准模型
4.2测评指标体系
信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力,不同安全保护等级的信息系统要求具有不同的安全保护能力。基本安全要求[4]是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
电力二次系统安全防护规定是为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故,要求建立电力二次系统安全防护体系,保障电力系统的安全稳定运行。防护规定从技术措施和安全管理两个方面,重点对安全分区、网络专用、横向隔离、纵向认证几个层面提出。
建立电力二次系统测评指标体系,以保证电力二次系统具备相应安全等级要求的安全保护能力为出发点,以同时满足国标基线要求和行业特殊要求为原则,通过比较分析、归纳整理,选择二次防护规定要求中提出的国标基线要求未包括和高于国标基线要求的要求,按照国标基线要求框架提出电力二次系统特殊要求。国标基线要求和电力二次特殊要求共同构成电力二次系统安全等级测评指标体系。
电力二次系统特殊要求指标见表1所示,其中仅列出安全分类、安全子类、测评项数,特殊指标描述项具体内容省略(属于行业敏感信息不能公开)。国标基线要求指标与被测信息系统安全保护等级(业务信息安全等级和系统服务安全等级)密切相关,根据具体情况选定,故本文中也略去。
[5]
表1电力二次系统特殊要求指标
安全分类
安全子类
安全分区原则 生产大区内部安全防护 业务系统分置于安全区 网络专用
网络安全
电力调度数据网安全防护措施 横向隔离 纵向认证 远程拨号访问 恶意代码防范 安全Web服务 生产大区内部安全防护
主机安全
设备的接入管理 远程拨号访问
应用安全
生产大区内部安全防护 安全文件网关
数据安全及备份恢复 安全管理制度 安全管理机构 系统建设管理 系统运维管理
线路加密措施 备份与容灾 安全管理制度 安全管理机构 相关人员的安全职责 工程实施的安全管理 设备和应用系统的接入管理 日常安全管理制度 联合防护和应急处理
指标合计
特殊要求描述
测评项数2 3 3 3 6 2 2 2 1 1 1 1 1 2 1 1 1 1 1 2 3 2 1 4 49
5.结束语
随着国家信息安全等级保护制度的进一步推进和电力行业信息安全等级保护工作的进一步落实,电力二次系统安全等级测评必将大量展开。本文在理论研究和实践验证的基础上,提出的项目干系人模型、电力二次系统测评标准模型和测评指标体系对于电力二次系统安全等级测评的开展势必具有较大意义。参考文献
[1] 《电力二次系统安全防护规定》(电监会5号令)
[2] 《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)[3] 《信息系统安全等级保护测评过程指南》
当前政府部门、金融机构、企事业单位和商业组织对信息系统的依赖日益加重[1]。等级保护测评是衡量信息系统安全性的重要手段, 通过实施信息系统安全等级保护测评, 能够准确把握信息系统安全状况, 可以帮助信息系统运营使用单位按照标准进行安全建设、整改和管理运行[2,3]。但是在目前等级保护的测评过程中, 安全配置检查有着非常明显的局限性, 具体表现在: (1) 采用手工方式对测评对象进行安全配置检查, 测评对象类型非常庞大而复杂, 对人员和技术要求比较高, 必然减慢整个测评过程, 导致测评周期过长, 测评效率下降;如果为了追求速度, 减少测评对象, 必然无法满足测评强度要求, 从而影响测评结果的有效性; (2) 测评机构的测评人员水平参差不齐, 对结果的准确性影响比较大, 等级保护测评工作量大、时间周期长, 人员需要高负荷工作, 工作压力、疲劳、情绪等都导致测评结果的准确性大打折扣; (3) 目前还没有一个针对测评对象统一的安全配置检查标准, 在检查过程中各测评机构有的是依赖于某些行业自定的安全配置规范, 有的是依据测评人员的经验和感觉, 测评结果的权威性大打折扣。研究目前国内外的类似工具主要存在问题如表1所示。
因此在等级保护测评过程中, 迫切需要一款符合等级保护测评要求的、标准化的、自动化的安全配置核查工具来协助测评人员进行安全配置检查。
1 安全配置核查工具设计分析
在国外, 联邦桌面核心配置计划FDCC (Federal Desktop Core Configuration) 是美国联邦预算管理办公室OMB (Office of Management and Budget) 提出的要求所有的政府部门强制执行的安全配置基线标准[4]。FDCC定义了针对Windows XP与Vista操作系统的安全配置准则。为了检测FDCC的规范性, NIST开发了安全内容自动化协议SCAP, 以标准化的方式表达与使用安全数据, 然后进行安全问题评估。到目前为止国际上有十几款满足FDCC要求, 并通过NIST SCAP验证的安全配置检查工具。而在国内, 参考美国的FDCC, 国家信息中心于2008年提出了“政务终端安全核心配置” (CGDCC) , 最终目标是实现全国政府办公网络终端安全防护系统的统一规划、统一管理, 并为政务终端提供统一的安全策略配置、检测的补丁分发、实时的安全状态监测等终端安全护理服务[5]。该计划2010年正式立项, 相关标准、平台及工具还在研制和完善之中。
设计与实现等级测评配置检查工具的意义体现在:
(1) 提高结果一致性:提高了等级保护测评结果的一致性, 确保检查结果的科学性和准确性;
(2) 提高环境适应性:能够适应不同行业、不同条件下的复杂网络环境, 保障信息安全等级保护测评工作的顺利开展;
(3) 增强测评灵活性:开展信息安全等级保护工作是国家在保障重要信息系统安全的重大措施。依据《计算机信息系统安全保护等级划分准则》, 信息系统分为不同的保护等级, 不同保护等级的安全要求存在差异, 工具的实现能够灵活地应对这种差异, 提供给测评人员针对不同级别系统测评检查的结果报告;
(4) 降低测评成本:由于检测的一致性, 简化了检查过程对检查人员的技术要求, 简化了检查的复杂度, 加快了检查的进度, 提供了工作效率。
通过分析国内外安全配置核查工具研制工作, 还未见一款适合于等级保护测评工作, 并针对等级保护测评特性进行设计的工具。
依据日常信息系统运营维护的工作需求, 我们认为安全配置核查工具在设计上应该具备以下几点特性:
(1) 工具具有高性能:等级保护测评对象庞大而复杂, 如果需要快速准确地获取这些对象的测评结果, 需要工具具有较高的性能, 能够通过多任务多会话并发扫描、快速匹配检查模板等方式高效完成指定的检查任务;
(2) 开放而灵活的检查模板:等级保护相关规范将等级保护对象定义了五个级别, 不同级别的技术要求是不一样的, 同时测评对象种类繁多, 对技术要求各不相同, 模板数量将非常庞大, 开放的检查模板将鼓励国家、行业有能力的研究单位、部门完善这些模板的标准化;另外在等级保护测评要求中也有一些个性化的要求, 这就需要工具中的检查模板可以满足测评人员灵活定制的要求, 对检查参数值、检查条目都可以根据需要灵活添加删除;
(3) 提供二次开发接口:通过二次开发接口, 可以和其他信息安全产品形成联动, 实现更加复杂的信息安全控制、分析和管理功能, 如集中管理、集中采集、集中呈现、智能分析、自动修复等功能;
(4) 检查过程智能化:不同的操作系统有不同的配置安全标准, 甚至同一操作系统的不同版本针对同一安全配置有不同的配置差异, 因此需要工具在检查过程中智能识别系统类型和版本, 并根据差异自动选取合适的检查模板进行检查, 确保检查结果的快速准确;
(5) 适应复杂的应用环境:等级保护测评的对象环境各不一样, 复杂多变, 因此工具应该充分考虑这些复杂性, 比如提供用户名及静态或动态口令实时输入窗口、提供本地脚本检查、提供跳转连接检查、二次登录检查等;
(6) 工具容易操作:等级保护安全配置核查工作是一个繁琐而复杂的过程, 测评人员的能力参差不齐, 这就要求测评工具操作界面设置合理, 具有操作简单, 容易上手的特点;
(7) 检查结果容易分析, 并能长期保存和对比。能够提供直观化的报表, 通过饼图、柱状图、曲线图、表的形式准确清晰的体现测评对象个体差异和整体风险。
除了以上设计需求, 结合广东电网公司业务需求, 还要以国家标准《信息系统安全等级保护基本要求》为基础, 并参考《南方电网IT主流设备安全配置技术规范》来扩展业务系统、网络设备、信息化应用的范围, 建立广东电网公司安全配置检查规范模型, 模型中还应考虑不同等级资产的配置要求, 考虑不同配置的重要级别。
2 安全配置检查规范模型
《信息系统安全等级保护基本要求》将安全等级分为五个等级, 每个等级从技术和管理两方面提出要求。就技术方面而言, 主要考虑物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复。《信息系统安全等级保护基本要求》是安全配置检查规范模型建立的主要参考标准, 针对广东电网公司所属各单位信息系统安全的具体要求, 还必须参考行业规范 (如:《南方电网IT安全配置基线》) 和《信息系统通用安全要求》, 最终建立的广东电网公司安全配置检查规范模型[6,7,8]包含四层结构和三种对象, 如图1所示。安全配置检查规范模型的建立必须考虑测评对象、测评项、测评规范要求和测评项的风险值这四个因素。考虑广东电网公司未来信息系统的规划发展, 研究中的测评对象将包含5大类, 共计21个小类, 如图2所示。测评类型则包含5大项, 20多个小项, 如图3所示。针对每个测评项的具体测评要求则参考《南方电网公司IT主流设备安全配置技术规范》, 并结合等级保护中对系统、设备、应用的要求进行合理化定制, 同时根据不同等级的系统区分为二级和三级的测评要求。例如, 在身份鉴别上, 二级系统对身份鉴别没有具体要求, 三级系统则要求系统支持两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。其中安全配置检查规范中包含的每项要求来源于规范层的对象, 系统层包含了需要测评的IT系统、设备、应用对象类型, 共5大类;检查项层是系统层属于子层关系, 是每个应用对象检查项目的具体类型化, 包括了5小类;评价指标层是对测评对象失效结果的一个评价, 以确认对信息资产所造成的影响。
广东电网公司有非常多的业务系统, 不同的业务系统所面临的风险是不同的, 比如:财务系统和供应商管理系统, 前者被入侵, 会造成数据失窃, 严重导致关键性数据丢失, 系统瘫痪, 工作不能正常进行, 对广东电网公司的影响是非常巨大的, 而和供应商管理系统被入侵, 即使数据失窃或者系统瘫痪, 对广东电网公司的影响都非常有限, 因此不同的业务系统, 资产的权重决定了同一个安全配置项的失缺, 影响是不同的, 这在以往的风险测评中是需要进行量化的指标, 但是等级保护测评中安全等级已经决定了资产的重要性和价值, 因此在安全配置检查规范模型不再进行考虑, 仅考虑各测评项的风险值。在实际测评中, 广东电网公司安全配置检查规范包括了20多种测评对象, 每个测评对象包含20多个检查项。检查项非常多, 同时不同的检查项对系统的影响是不同的, 比如:帐号口令的长度设置要求, 如果没有按照规范来做, 将有可能直接导致非法登录的产生, 对系统的危害是非常巨大的;日志的存放方式没有按照规范来做, 将来可能导致的是影响出现了安全事件的事后分析处理, 对系统本身来说是没有危害, 因此不同的测评项对系统影响的风险值是不一样的。根据对广东电网公司需求的分析, 结合等级保护的相关规定, 对测评项的风险值进行了设定如表2所示。
3 类SCAP的自动化核查实现
在安全配置检查规范模型的基础上, 我们借鉴SCAP进行工具的实现[9]。安全配置核查工具的核心是各种类型安全配置检查枚举库。首先, 在枚举库中, 所有信息系统, 在同一安全等级下, 操作系统、应用、路由或安全设备的安全配置标准是一致的;其次, 同一类型系统、软件不同版本的安全配置差异要体现;第三要尽可能枚举到主流的各类操作系统、应用及设备安全配置标准。所以检查枚举库借鉴SCAP标准进行研制, 并在这个基础上, 按照等级保护相关规范要求进行合理采纳, 就可以形成适合于等级保护相关要求的安全配置检查枚举库, 大大缩减开发周期和开发难度, 我们称之为类SCAP实现。
SCAP包含两个主要元素。首先, 它是一个协议, 一组标准化格式与术语的开放规范。通过它, 软件安全产品可以互通软件缺陷与安全配置信息, 每一个规范也被称作一个SCAP组件;其次, SCAP包括软件缺陷与安全配置标准化的参考数据, 也被称作SCAP内容。目前的SCAP 1.0协议组件按类型分为:列举组, 为安全与产品相关的信息定义了标准表述符与目录;脆弱性测量与评分组, 用于测量脆弱性特征以及根据这些特征给予评分;表述与检查语言组, 运用XML Schema说明检查列表, 产生检查列表报告, 以及说明用于检查列表的低级测试过程。以华为交换机为例, 以下给出基于SCAP的限制会话状态和允许访问规则参考的配置定义并作了注释说明:
4 安全配置核查工具设计与实现
整个工具的系统架构如图4所示, 具体五个主要功能模块: (1) 扫描核心模块, 扫描核心模块是系统最重要的模块之一, 它负责完成目标的探测评估工作, 包括判定主机存活状态、操作系统识别、规则解析匹配等[10]。 (2) 安全配置测评模板库, 包含了通用配置枚举库 (CCE) 和通用平台枚举库 (CPE) , 包含已知系统、网络设备、应用、中间件、数据库等的具体类型检查参数及相关安全配置指导参数检查列表, 是系统运行的基础, 扫描调度模块和Web管理模块都依赖它进行工作。 (3) 检查结果库, 检查结果库包含了扫描任务的结果信息, 是扫描结果报告生成的基础, 也是查询和分析结果的数据来源。 (4) 数据同步模块, 数据同步模块负责系统内各模块的版本升级, 并提供和外部数据汇总服务器的数据同步。 (5) Web界面模块, Web界面模块负责和用户进行交互, 配合用户的请求完成管理工作。Web管理模块包含多个子模块共同完成用户的请求。
系统模块如图5所示。
关键的模块功能如下:
1) 用户管理界面层
用户管理界面模块负责和用户进行交互, 配合用户的请求完成管理工作。用户管理模块包含多个子模块共同完成用户的请求, 其主要子模块有: (1) 评测任务管理子模块―完成用户评估任务的管理工作; (2) 报表管理模块—读取评估结果库, 并根据评估描述信息和解决方案生成扫描报表。 (3) 测评模板管理子模块―提供对测评模板的查询、创建、添加、修改、删除。 (4) 系统管理子模块―提供工具的各种系统控制参数查询、配置, 登录用户及口令的创建和维护, 以及辅助的本地测评脚本下载接口等。
2) 系统功能模块
系统功能模块中最重要的是智能分析检查模块, 该模块提供对获取配置数据的智能分析和关联匹配, 并将结果放入检查结果库。核心任务调度模块负责读取测评任务信息, 完成目标的探测评估工作, 包括判定目标存活状态、登录目标、操作系统识别、目标配置数据获取等。结果报表分析模块提供结果数据的查询、分析及报表生成。系统升级管理模块可以完成平台枚举库和测评模板库的更新, 并且系统的各个功能模块都可以通过升级模块进行升级。
3) 系统内置库
系统内置4个库, 其中安全配置测评模板库由CCE和CPE模板库构成, CCE库包含各类设备安全配置具体要求列举, 是工具运行的基础。CPE库包含各类操作系统、应用软件、硬件的列举, 安全配置测评模板库通过关联平台枚举库来说明发现配置缺陷的平台。检查结果库包含了扫描任务的结果信息, 是扫描结果报告生成的基础, 也是查询和分析结果的数据来源。用户管理库存放了登录工具的用户名、权限、口令、审计等相关信息。
4) 二次开发接口
通过此接口工具可以与其他安全产品和管理平台进行联动, 以便于数据集中及统一的平台管理。
5) 工具实现
广东电网公司安全配置核查工具基于Web的管理方式, 用户使用浏览器通过SSL加密通道和系统Web界面模块进行交互。用户登录系统后, 可以完成创建检查任务、查看任务信息、检查任务结果、报表输出、下载配置规范检查脚本、常用工具的使用、升级设置、查看任务信息、检查任务结果和报表输出等功能, 工具主要实现流程如图6所示, 其中各步骤对应界面如图7-图10所示。
5 结语
安全配置核查工具在广东电网公司部署上线后, 使得相关等级保护配置测评工作有一个共同遵循的统一标准。通过使用安全配置核查工具可以针对等级保护的相关要求, 设定不同级别的技术要求, 考虑每个配置项的风险级别, 根据检查结果给出相应风险评分。在日常检查中, 自动化的安全配置核查工具可以避免手工检查的效率低下的缺点, 提高了检查和后期跟进的效率。安全配置核查工具能够有效促进等级保护测评工作的规范化、标准化、自动化, 能够对等级保护相关系统进行持续有效的监控, 确保符合等级保护规范要求。总的来说, 参考本研究的设计思路, 各大中型政府和企事业单位信息系统维护部门可以设计和实现适合于本单位和部门的安全配置核查工具。
参考文献
[1]肖国煜.信息系统等级保护测评实践[J].信息网络安全, 2011 (7) :34-35.
[2]蔡鹏程, 冯方回.等级保护与政务终端安全[J].信息网络安全, 2010 (08) :11-13.
[3]胡喆骞, 杨璐.终端安全管理系统的研究与应用[J].信息安全与技术, 2011 (01) :27-30.
[4]王义申.从FDCC看终端安全保护新思路[J].计算机安全, 2011 (10) :45-46.
[5]许涛, 吴亚非, 刘蓓, 等.我国政务终端安全桌面核心配置标准研究[J].计算机安全, 2010 (11) :74-76.
[6]桂永宏.业务系统安全基线的研究及应用[J].计算机安全, 2011 (10) :77-80.
[7]孙铁.创建自主可控的业务系统安全基线技术体系[J].信息网络安全, 2009 (05) :77-78.
[8]王玉萍, 段永红, 洪岢.安全基线在银行业的应用与实践[J].计算机安全, 2011 (8) :47-49.
[9]张力.引入SCAP标准提高系统配置安全[J].信息安全与技术, 2010 (10) :44-46.
摘要:采用层次分析法构建保护能力的评价指标体系,并以此为基础层层汇总计算各措施层指标的合成权重,作为保护能力得分量化的基础。同时,还在现有等级测评的基础上,创新性提出从“正反”两个不同的角度来度量信息系统的安全状况,安全保护能力评价结合了正向的保护状况和反向的风险情况进行综合判定。
关键词:等级测评;评价指标;权重;风险分析;多对象平均分
中图分类号:TP391文献标识码:A
Abstract:Evaluation Index System of information system protection capabilities was built based on AHP, which was used as the basis to calculate the various layers weights as the synthesis weight of the index of measure layer, and used as the foundation of quantifying security capability score. Meanwhile, based on the existing classified protection testing and evaluating, a new idea was put forward to measure the information system security protection situation from the "pros and cons" of two different views. Information system security capability was evaluated and comprehensively judged by combining with the positive evaluation of the protection situation and reverse risks.
Key words:classified protection testing and evaluating;evaluation index;weight;risk analysis;average score of multiobject
1引言
对信息系统实施等级测评具有重要的现实意义,其中对信息系统的安全保护能力进行评价是等级测评的重要环节。信息系统安全保护能力评价是对等级测评结果进行全面评估、分析与度量。安全保护能力评价虽然不能直接保护信息系统,但其结果可以反映信息系统的安全保护状况,发现信息系统存在的薄弱点,可以作为信息系统安全整改和后期安全规划的依据和基础。
2研究状况分析
在信息安全评价方面,从安全评估模型的着眼点看,目前存在两方面完全不同的模型:一种是从“正面”分析信息系统安全保护能力为出发点的安全评估模型,如闫强等人提出的安全度量评估模型[1];另一种则是从“反面”以信息系统存在的脆弱性为出发点的安全评估模型,如风险评估模型,从可靠性评定模型中发展过来的故障树模型等。这两种不同的模型,分别从“正反”两个不同的角度来度量信息系统的安全状况。
本文充分借鉴上述两种模型的优点,首先从“正面”分析系统安全保护能力是否达到等级保护相关标准的要求,然后从“反面”以在等级测评中发现的系统脆弱性为出发点,综合分析系统面临的风险。
3系统安全保护能力评价指标体系
系统安全保护能力评价是在等级测评的单项测评结果基础上进行的,主要内容分为五个方面:单项测评结果判定、单元测评结果判定、整体测评、风险评估以及综合分析[2,3]。
整体测评主要是以“正向”为主,包括安全控制间、层面间和区域间相互作用的安全测评,以及漏洞扫描、渗透测试等。风险评估主要是以“反向”为主,综合分析则是根据单项测评、整体测评、风险评估的结果对信息系统的整体安全保护能力状况进行综合评价分析。
单项测评中的各项测评指标直接来自《信息系统安全等级保护基本要求》[4](简称《基本要求》),与其存在一一对应的关系。这些测评指标与系统安全保护能力之间没有明确的关联关系。因此,为了判定系统安全保护能力,首先需要研究如何将安全保护能力与各项具体测评指标关联起来,形成科学的安全保护能力评价指标体系[5]。
本文借鉴层次分析法[6,7]的思想建立评价指标体系并求取各测评指标权重。评价指标体系可以分解为目标层、准则层和措施层[8]。措施层(对应《基本要求》的具体要求项)是明确实现各安全保护能力需要的安全机制或安全措施,是综合安全保护能力的最细化、最底层的层次。准则层(对应各项保护能力)是在归纳总结措施层不同层次不同方面的各项措施能够实现的安全保护能力形成的,是多项安全措施的综合,准则层是措施层与目标层之间的桥梁。目标层(A层)只有综合保护能力一个指标,是所有准则层各项保护能力的综合,是信息系统综合安全保护能力的量化直观反映,也是等级测评的最终结论,量化分数的高低可以反映出信息系统安全保护现状与相应等级安全保护能力要求之间的差距。
评价指标体系各层次内容及其之间的关系可用示例图1来表示。
其中,准则层指标可以进一步分为能力层(B层)、能力子层(C层)和能力底层(D层),该层指标自上而下是对综合保护能力的进一步细化、分解。其中能力层分为8类能力(见图1),能力子层分为36类子能力,能力底层则进一步细分为126类子能力。准则层分解示例如下表1所示:措施层(E层)来自于《基本要求》技术和管理两大部分的安全措施。其与准则层的关联关系示例如表2所示。
4测评指标综合权重计算
在建立了等级测评安全保护能力评价指标体系之后,进而通过层次分析法确定每一层相对于上一层的影响权重,得出全部测评指标的综合权重得分。
下面详细说明如何使用判断矩阵求得等级测评指标各层的权重系数。
B层相对于A层的各指标权重。根据层次分析法,当相互比较因素的重要性能够用具有实际意义的比值说明时,则取这个比值作为B层相对于A层的各指标权重。根据信息系统等级保护能力的要求,5个不同级别的安全保护能力有如下表的特点,即1级更强调安全防护方面的能力;2级在1级的基础上,进一步强调检测能力;等等。
因此,可以根据不同等级能力的体现,通过专家对比评审的方式确定判断矩阵。根据专家对比的结果形成判断矩阵AB,计算最大特征根和特征向量,归一化处理后得到B层指标对A层而言的权重系数WB,并进行一致性较验。
wb=WA1B1……WA1Bn
WA2B2……WA2Bn(1)
WA15n代表B层第n个指标对A1的权重系数,WA2Bn代表B层第n个指标对A2的权重系数,n为从1到8的正整数。
另外,C层相对于B层的各指标权重以及D层相对于C层、E层相对于D层的各指标权重是不会随安全等级的变动而改变的,也不随其服务的是业务信息安全还是系统服务安全而改变,也就是说其权重系数是相对稳定的,主要决定于C层对B层、D层对C层、E层对D层的贡献。因此,可以采取通过专家评审对比构造判断矩阵、计算最大特征根、计算特征向量并归一化的方式,得到权重向量。通过计算得出一组权重系数。
根据上述得出的这些权重系数可以生成合成权重。合成权重是指最下层(措施层E层)诸要素对最上层(目标层A层)的综合权重W。根据层次分析法,可以预先计算出从措施层E层到目标层A层的综合权重WA,WA=WB×WC×WD×WE。从而在计算综合得分中直接使用,以减少中介计算。
5安全保护能力综合评价
在等级测评中各单元测评指标的得分包括单项测评结果的符合程度直接得分和整体测评对直接得分的修正分。
5.1单项测评结果符合程度直接得分
单测评项根据不同的测评方式、测评内容等,可能会存在多个测评实施过程与之对应。执行这些测评实施过程后,会得到多个测评证据。如何根据这些测评证据获得单项测评结果是判定得到等级测评结论的基础。
单项测评结果的形成方法通常是:首先将实际获得的多个测评结果分别与预期的测评结果相比较,分别判断每一个测评结果与预期结果之间的相符性;然后,根据所有测评结果的判断情况,综合判定给出该测评项的符合程度得分,符合程度得分为5分制,满分为5分,最低分为0分,测评人员根据符合情况给出0~5的整数分值[9]。这个得分即为该测评项的单项测评结果符合程度的直接得分。其中,0分的情况是指获取的测评证据低于相应测评项应达到的最低要求。
单项测评结果的符合程度得分体现了安全保护措施是否有效以及有效性程度[10]。
同时,由于单项测评结果符合程度直接得分越高,表明该项对应的安全问题越不严重,因此可以根据单项测评结果的符合程度得分得到对应的安全问题严重程度得分。即:
S安全问题严重程度得分=5-S单项测评结果符合程度直接得分(2)
5.2单项测评结果的多对象平均分
一般来说,一个测评项可能在多个测评对象上实施。因此,作为综合得分计算基础的单项测评结果应为多个测评对象的平均得分,即多对象平均分。
5.2.1测评对象分类
针对单个测评项的测评可能会落实到一个或多个测评对象上。由于这些测评对象在信息系统中所起的作用会有所不同,所以测评对象对于测评项对应体现的安全功能所起的作用就有所不同,从而对单项测评结果形成的贡献就可能有所不同。根据测评对象对某一单项测评结果形成贡献的大小,即其重要程度的不同,把测评对象分为:重要测评对象和一般测评对象。
1)重要测评对象,主要是指该测评对象对于某一测评项在信息系统中的实现起关键性作用,即对此测评项测评结果的形成贡献非常大;
2)一般测评对象,主要是指该测评对象对于某一测评项在信息系统中的实现起一般性的作用,即对此测评项测评结果的形成贡献不大。
因为重要测评对象和一般测评对象对于单项测评结果形成的贡献大小有所不同,所以给他们赋予的权重也就应该不同[11],在这里分别赋予他们相对权重为2和1。
5.2.2多对象平均分
结合单项测评结果符合程度直接得分和测评对象权重,采用几何加权平均方法计算测评项的多对象平均分(四舍五入取整小数点后一位计):
P多对象平均分=(∑nK=1测评对象k在该测评项的符合程度得分×测评对象K权重)∑nK=1测评对象K权重(3)
其中,P为测评项的多对象平均分,n为同一测评项测评的测评对象个数。
5.3整体测评修正直接得分
系统整体测评主要是在单项测评的基础上,通过测评分析安全控制间、层面间和安全区域间存在的关联作用验证和分析不符合项是否影响系统的安全保护能力,测试分析系统的整体安全性是否合理。根据整体测评结果,确定已有安全控制措施对安全问题的弥补程度将修正因子设为0.5~0.9,已有安全问题相互之间的削弱程度将修正因子设为1.1~1.5。
根据修正因子修改安全问题严重程度值及对应的修正后的单测评项符合程度得分。具体计算公式为:
S修正后问题严重程度值=S修正前的问题严重程度值×g修正因子(4)
S修正后测评项符合程度=5-S修正后问题严重程度值/
W测评项权重(5)
其中,整体测评之后求得的修正后测评项符合程度得分即为单项测评结果符合程度最终得分,修正后问题严重程度值也为最终的安全问题严重值。
最后,根据修正后测评项符合程度判定最终的单项测评结果。
5.4风险分析
风险分析时,将结合关联资产和威胁分别分析安全危害,找出可能对信息系统、单位、社会及国家造成的最大安全危害(损失),并根据最大安全危害严重程度进一步确定信息系统面临的风险等级。最大安全危害(损失)结果应能够反映安全问题所影响业务的重要程度、相关系统组件的重要程度、安全问题严重程度以及安全事件影响范围等。
根据风险分析思路,本文确定最终的风险计算方法如下。
5.4.1可能性分析
本文以威胁的统计频率、脆弱性被利用的难易程度等因素计算安全事件发生的可能性。
安全事件发生的可能性P计算方法为:
P=f(T,V)=T×V(6)
T为威胁发生的频率;V为脆弱性组的利用难易程度,本文中为上述求出的修正后问题严重程度值。
5.4.2安全事件损失分析
L=F(A,V)=A×V(7)
L为安全事件的损失;A为资产价值;V为脆弱性组对资产的损害程度。
5.4.3安全风险分析
根据下表可计算安全风险值
R=L×P(8)
R为安全事件造成的风险;L为安全事件的损失;P为安全事件发生的可能性。
5.4.4风险等级确定
根据安全风险值R确定信息系统面临的风险等级,结果为“高”、“中”或“低”。
5.5计算综合得分及结论判定
综合得分可以采取层层往上汇总的方式来得到,各层指标的分值满分以5分计,也可以直接通过措施层E层各指标的“最终得分”乘以合成权重系数直接得到。在此以合成权重方式进行计算。
考虑等级保护要求,信息系统中不准存在高风险安全风险。因此,若信息系统中存在的安全问题会导致其面临高等级安全风险,则综合得分计算公式[9]为:
S综合得分=C60-∑mj=1Sj∑nK=1Wk×12(9)
其中,S综合得分为系统安全保护能力综合得分,Sj为修正后问题j的严重程度值,Wk为测评项k的合成权重,m为安全问题数量,n为总测评项数,不含不适用的控制点和测评项。
其他情况下,综合得分计算公式[7]为:
∑nk=1Pk×Wk∑nk=1WK×20(10)
其中S综合得分为系统安全保护能力综合得分,Pk为测评项k的多对象平均分QUOTE,Wk为测评项k的合成权重,n为总测评项数,不含不适用的控制点和测评项,有修正的测评项以4.3章节中的修正后测评项符合程度得分带入计算。
等级测评结论根据综合得分计算结果进行判定。结论分为“符合”、“基本符合”或者“不符合”,判定依据如下:
1)符合:综合得分为100分。
2)基本符合:综合得分为60分(含60分)至100分(不含100分)之间。
3)不符合:综合得分低于60分。
6结语
本文采用层次分析法构建保护能力的评价指标体系,并以此为基础层层汇总计算各措施层指标的合成权重,作为保护能力得分量化的基础。同时,本文还在现有等级测评的基础上,创新性提出了从“正反”两个不同的角度来度量信息系统的安全状况,安全保护能力评价结合了正向的保护状况和反向的风险情况进行综合判定。
依据本文的研究成果,公安部于2014年12月31日发布了《信息安全等级保护测评报告模版(2015年版)》,通过该模版发布前十几个第三级信息系统等级测评试用以及近一年来信息系统等级测评工作使用,验证了本文研究成果的有效性,能够较科学的反映信息系统的真实安全保护状况,并且已有多家机构开发了等级测评工具。
总而言之,本文采用了量化评价方式支撑系统等级测评结论判定,有利于促进等级测评往安全措施有效性和完备性方向发展,有利于等级测评工具化,从而使得结论更客观、更有利于不同系统之间安全保护状况的比较。
参考文献
[1]赵亮.信息系统安全评估理论及其群决策方法研究[D].上海:上海交通大学,2011.
[2]GB/T 28448-2012,信息安全技术 信息系统安全等级保护测评要求[S].北京:中国标准出版社,2012.
[3]GB/T 28449-2012,信息安全技术 信息系统安全等级保护测评过程指南[S].北京:中国标准出版社,2012.
[4]GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求[S].北京:中国标准出版社,2008.
[5]符萍.电子政务系统综合评价动态指标体系构建模型研究[D].成都:电子科技大学,2006.
[6]许树柏. 层次分析原理[M]. 天津:天津大学出版社,1988.
[7]王莲芬,许树柏. 层次分析法引论[M]. 北京:中国人民大学出版社,1990.
[8]袁礼, 黄洪,周绍华. 基于层次分析法的系统安全保护能力评价模型[J].计算机仿真, 2011(5):126-130.
[9]公安部网络安全保卫局.信息安全等级保护测评报告模版(2015年版)[R],2015年,http://www.djbh.net/webdev/web/HomeWebAction.do?p=getlistHomeZxdt# .
[10]袁静,任卫红,朱建平.等级测评中关键安全保护功能有效性测评技术研究[J].信息网络安全,2013(1):2-4.
第一章 总则
第一条【目的】为加强信息安全等级测评机构建设和管理,规范等级测评活动,保障信息安全等级保护制度的贯彻落实,根据《信息安全等级保护管理办法》等有关规范制订本实施细则。
第二条【适用范围】本细则适用于等级测评机构、测评人员和测评活动的规范管理。
第三条【等级测评定义】等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
第四条【测评机构定义】测评机构是经有关部门能力认可,经有关部门推荐,在一定范围内从事信息系统安全等级测评等工作的专业技术机构。
第五条【基本原则】测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务,按照统一的测评报告模版出具测评报告。
第六条【保密要求】测评机构和测评人员应当遵守《国家保密法》的规定,保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。
第七条【管理体制】测评机构应当接受各级信息安全等级保护协调(领导)小组和公安网安部门的监督管理,并接受有关部门的业务管理和技术指导。
第二章 测评机构
第八条【总体要求】测评机构分为地区性、行业性测评机构,按照属地管理和行业管理相结合的原则进行建设和管理。
第九条【职责分工】国家信息安全等级保护协调小组办公室主管等级测评机构的建设和管理工作,指导行业等级测评机构的建设和管理工作,并委托专门的技术能力审验机构对测评机构的技术能力进行评估、审查并确认。
各省(区、市)等级保护协调(领导)小组办公室负责本地等级测评机构的建设管理工作。
第十条【基本条件】申请成为等级测评机构的单位(以下简称申请单位)应当具备以下基本条件:
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)产权关系明晰,注册资金100万元以上;
(四)从事信息系统检测评估相关工作两年以上;
(五)单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(六)具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于80%。其中测评技术人员不少于10人;
(七)具备必要的办公环境、设备、设施及完备的安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁;
(九)应当具备的其他条件。
第十一条【申请提交】地方申请单位应向属地省(区、市)等级保护协调(领导)小组办公室提交申请,行业申请单位向国家信息安全等级保护工作协调小组办公室提交申请,并填写申请书,申请成为等级测评机构。
第十二条【申请材料】申请单位在申请时应提供以下材料,并对申请材料的真实性负责。
(一)《信息安全等级保护测评机构申请书》;
(二)当地公安网安部门的推荐意见;
(三)营业执照及其他注册证明文件;
(四)《内设组织机构与岗位设置情况表》;
(五)《工作人员基本情况表》、证明材料和声明;
(六)《办公场地、设备与设施情况表》;
(七)《安全测评设备、工具配备情况表》;
(八)信息系统安全测评能力报告;
(九)保密管理、项目管理、质量管理、人员管理和培训教育等相关管理文件;
(十)需要提供的其他材料。
第十三条【初审】省级(含)以上等级保护协调(领导)小组办公室收到申请材料后,应在30日内完成初审。
第十四条【技术能力审验】初审通过的,由技术能力审验机构评估、审查并确认申请单位的技术能力。
技术能力审验周期最长为一个月。审验期满前,技术能力审验机构应向等级保护协调(领导)小组办公室出具审验意见,并加盖专门印章。
第十五条【核准】省级(含)以上等级保护协调(领导)
小组办公室对通过技术能力审验的申请单位进行复核,并出具核准意见。
第十六条【目录公布】测评机构实行目录管理。各省级信息安全等级保护协调(领导)小组办公室公布本地等级测评机构目录,并向国家信息安全等级保护工作协调小组办公室备案。国家信息安全等级保护工作协调小组办公室公布《全国信息安全等级测评机构目录》。
第十七条【业务范围】测评机构应当在规定的业务范围内开展测评业务。
(一)地方测评机构在本地开展测评业务,行业测评机构在行业内开展测评业务。行业测评机构在地方开展测评业务前,应与本地等级保护协调(领导)小组办公室协调;
(二)承担有关部门委托的安全测评专项任务;
(三)配合当地公安网安部门对信息系统进行监督、检查;
(四)开展风险评估、信息安全培训、咨询服务和信息安全工程监理;
(五)为当地信息安全等级保护工作提供技术支持和服务;
(六)其他有关文件规定的职责任务。
第十八条【禁止行为】测评机构不得从事下列活动:
(一)承担信息系统安全建设整改工作;
(二)将等级测评任务分包、外包;
(三)信息安全产品开发、营销和信息系统集成活动;
(四)限定被测评单位购买、使用其指定的信息安全产品;
(五)未经许可占有、使用有关测评信息、资料及数据文件;
(六)其他可能影响测评客观、公正的活动。第十九条【风险告知】在开展测评过程中,对可能影响信息系统正常运行的,测评机构应当事先告知被测评单位,并协助其采取相应的预防措施。
第二十条【人员管理】测评机构应当建立完备的人员档案,严格履行人员录用、考核、离岗等程序,对进入重要信息系统进行测评的人员,应该进行背景审查,确保人员可靠。
第二十一条【制度管理】测评机构应当建立并落实保密管理、项目管理、质量管理、人员管理、培训教育等管理制度。
第二十二条【能力建设】测评机构要加强技术能力和管理能力建设,应在测评机构推荐目录公布后两年内至少通过一项实验室或检查机构资质认定。
第三章 人员管理
第二十三条【人员要求】测评人员应遵守国家有关法律法规、技术标准和测评人员行为准则,认真履行本细则规定 的责任和义务,为用户提供安全、客观、公正的测评服务,保证测评的质量和效果。
第二十四条【个人声明】测评人员应当提供本人社会背景、工作经历和奖惩情况的证明材料,声明相关材料的真实性并承担法律责任。
第二十五条【持证上岗】测评人员上岗前应接受培训,培训合格的由测评机构颁发上岗证。测评人员持证上岗。
第二十六条【分级管理】测评机构技术人员实行分级管理,由低到高分为初级等级测评师、中级等级测评师和高级等级测评师。
测评技术人员应当接受专门业务培训,考试合格的获得等级测评师证书。
第二十七条【培训与考试】国家信息安全等级保护协调小组办公室制定并公布培训计划,指定专门培训机构具体承担等级测评师的培训、考试工作。专门培训机构向考试合格的人员颁发等级测评师证书。
第二十八条【证书管理】专门培训机构依据等级测评师证书管理办法办理证书的审核、颁发、建档、公布、查询、年审、换发和撤销,并向省级以上等级保护工作协调小组办公室备案。
第二十九条【备案】行业测评机构每年应将本单位等级测评师培训、获证情况向国家信息安全等级保护工作协调小组办公室备案。
地方测评机构每年应将本单位等级测评师培训、获证情况向本省(区市)等级保护协调(领导)小组办公室备案。
各地等级保护协调(领导)小组办公室每年应将本地等级测评师培训、获证情况向国家等级保护协调小组办公室备案。
第三十条【年审管理】等级测评师实行年审制度。专门培训机构对等级测评师每年进行一次年审,并将年审结果报等级保护协调(领导)小组办公室。
对未通过年审的等级测评师,测评机构应暂停其开展测评工作。专门培训机构应对年审不通过的等级测评师开展培训。
第三十一条【变更告知】等级测评机构的主要管理人员和技术人员工作变动的,应及时到等级保护协调(领导)小组办公室变更备案。
第三十二条【人员法律责任】测评人员在测评工作中具有徇私舞弊、收受贿赂等违反有关法律法规行为的,应由专门培训机构撤销违规人员等级测评师证书,并按照有关规定进行处罚。
第四章 测评活动
第三十三条【用户要求】信息系统运营使用单位应当选择《等级测评机构推荐目录》中的等级测评机构,定期对信息系统开展等级测评,并加强对测评过程的监督管理。
第三十四条【整改前测评】信息系统安全建设整改前,信息系统运营使用单位可以选择测评机构进行等级测评,掌握信息系统安全状况,排查系统安全隐患和薄弱环节,明确安全建设整改需求。
第三十五条【整改后测评】信息系统安全建设整改后,信息系统运营使用单位应当再选择测评机构进行等级测评,检测系统安全保护状况与标准要求的符合性,进一步查找安全隐患和问题,并进行风险分析,为进一步整改提供依据。
第三十六条【定期测评】第三级以上(含)信息系统应当每年至少进行一次等级测评,测评完成后,信息系统运营使用单位应及时向受理备案的公安机关提交测评报告。
第三十七条【测评机构规范】测评机构应建立规范的质量管理体系,依据《信息系统安全等级保护测评要求》等标准规范对信息系统进行测评,按照公安部制订的信息系统安全等级测评报告格式编制测评报告。
第三十八条【测评费用】测评机构应当参照国家信息化工程建设项目人工计费标准合理收取测评服务费用。为防止恶意竞争,影响测评质量,测评机构开展测评业务收费应当不低于最低收费限额。
第三十九条【安全责任】测评机构应当针对等级测评工作制定保密管理规范,明确保密岗位与职责,定期对工作人员进行保密教育,与其签订《保密责任书》,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第五章 监督管理
第四十条【监管主体】各级等级保护协调(领导)小组办公室对等级测评机构、测评人员、测评活动等进行监督、检查,处理对测评机构的投诉。
第四十一条【年审】各级等级保护工作协调(领导)小组办公室对备案的测评机构及测评人员实施年审管理,每年对测评机构的能力和工作进行审核、审查,并公布审核、审查结果。
第四十二条【机构违规】测评机构违反规定,情节轻微的,由等级保护协调领导机构办公室责令其限期改正或予以通报、警告。
测评机构出现以下情况之一的,按照相应规定和程序,由等级保护协调(领导)机构决定撤销其测评机构资格并及时向社会公告。
(一)违反法律、法规并被起诉的;
(二)发生重大泄密事件的;
(三)运营管理不规范,严重影响测评质量,经整改仍无法达到要求的;
(四)与被测评单位共同隐瞒在安全评估过程中发现的安全漏洞,未按要求写入评估报告的;
(五)在评估过程中弄虚作假,编造安全评估报告的;
(六)不履行规定的责任和义务,经通报批评、警告仍不改正的;
(七)测评机构成立后一年内不开展测评业务的;
(八)由于自身原因主动提出退出的;
(九)连续两次年审未通过的;
(十)违反其他有关规定的。
第四十三条【争议处理】测评机构应当严格遵循申诉、投诉及争议处理制度,妥善处理争议事件,及时采取纠正和改进措施。
第四十四条【监督自身要求】各级等级保护协调(领导)小组办公室应严格依照本细则的有关规定,按照公平、公正的原则开展监督检查工作。
(电监安全〔2011〕19 号),http:///html/information/717803214/7***100069.shtml 各派出机构,国家电网公司,南方电网公司,华能、大唐、华电、国电、中电投集团公司,各有关电力企业:
为加强电力二次系统安全管理工作,保证电力系统安全稳定运行,依据相关法律法规,我会组织制定了《电力二次系统安全管理若干规定》,已经2011年9月20日主席办公会议通过,现印发你们,请依照执行。
附件:《电力二次系统安全管理若干规定》
附件:
电力二次系统安全管理若干规定
第一条 为加强电力二次系统安全管理,确保电网安全稳定运行,依据相关法律法规,制定本规定。
第二条 电力调度机构(以下简称调度机构)和电网、发电、规划设计、监理等电力企业及相关电力用户等各相关单位依据本规定开展电力二次系统安全管理工作。
第三条 本规定所称电力二次系统包括继电保护和安全自动装置、发电机励磁和调速系统、电力通信和调度自动化系统(以下简称二次系统);所称涉网二次系统是指发电厂及相关电力用户中与电网安全稳定运行有关的二次系统。
第四条 调度机构负责所辖系统内的二次系统专业管理工作。
第五条 电力监管机构依法对二次系统管理工作实施监管。
第六条 规划设计管理
(一)二次系统规划设计应满足国家和行业相关技术标准和有关规定。
(二)二次系统规划设计应满足电网安全稳定运行要求。
(三)二次系统规划设计应征求调度机构意见。
第七条 设备入网管理
(一)二次系统设备选型及配置应满足国家和行业相关技术标准,以及设备技术规程、规范的要求。
(二)二次系统设备应选择有相应资质的质检机构检验合格的产品。
(三)涉网二次系统设备选型及配置应征求调度机构意见,并满足调度机构相关管理规定及反事故措施的有关要求。
第八条 建设管理
(一)电力企业及相关电力用户负责本单位二次系统建设工作。
(二)二次系统安装、试验、验收应满足国家和行业相关标准、规范及调度机构有关规程和管理制度的要求。
(三)二次系统项目建设完成应由项目监理单位出具相关质量评估报告,其中涉网二次系统应经调度机构确认。
第九条 运行管理
(一)调度机构负责调度管辖范围内二次系统的运行管理工作。组织或参与发电厂及相关电力用户涉网二次系统的安全检查工作,参与发电厂及相关电力用户涉网二次系统的电力安全事故调查工作,参与发电厂及相关电力用户涉网二次系统的事故分析工作,制定反事故措施。
(二)电力企业及相关电力用户应按照国家、行业标准及调度机构相关规程和管理制度组织二次系统的定期检查和日常维护工作。
(三)二次系统设备、装置及功能应按照相关规定投退,不得随意投入、停用或改变参数设置。属调度机构调度管辖范围内的二次系统设备、装置及功能因故需要投入、退出、停用或改变设置的应报相应调度机构批准同意后方可进行。
(四)电力企业及相关电力用户应对不满足电网安全稳定运行要求的二次系统及时进行更新、改造,并进行相关试验。需要进行联合调试的,调度机构负责安排相关运行方式为联合调试创造条件。
(五)电力企业及相关电力用户所进行的影响电网安全及二次系统运行的重要设备投运和重大试验工作,应严密组织,防止引发电网事故和设备事故;调度机构应提前将有关投运和试验安排通知相关单位,并报告电力监管机构。
(六)已运行的二次系统(包括硬件和软件)需要改造升级的,应满足第七条的规定。
第十条 继电保护及安全自动装置定值管理
(一)电网安全运行要求加装的安全自动装置的控制策略与定值由调度机构负责下达。
(二)与电网有配合关系的继电保护及安全自动装置定值由调度机构负责管理,管理方式包括:
1.由调度机构下达;
2.由发电厂及相关电力用户按调度机构的给定限值要求整定,并报调度机构审核和备案。
(三)发电厂及相关电力用户负责整定的与电网安全运行有关的继电保护及安全自动装置定值应报调度机构备案。
(四)继电保护整定工作原则上应由本企业专业人员具体负责;如需外委,应委托经认证的单位承担。
(五)调度机构应及时将影响涉网二次系统运行和整定的系统阻抗等有关变化情况,书面通知发电厂及相关电力用户;发电厂及相关电力用户应及时与调度机构沟通,调整二次系统的运行方式和有关定值。
第十一条 发电机励磁与调速系统参数管理
(一)发电厂应按调度机构要求提供系统分析用的发电机励磁系统(包括电力系统稳定器PSS)和调速系统的数学模型和实测参数。
(二)发电厂的发电机励磁系统和调速系统定值和参数应报送调度机构备案。
(三)发电厂应根据电力系统网络结构变化及发电机励磁系统和调速系统变化,进行相关试验,并根据试验结论和调度机构的技术要求调整发电机励磁系统和调速系统定值参数,满足电力系统安全稳定运行要求。
(四)调度机构应指导发电厂做好发电机励磁系统与调速系统的参数优化和管理工作,并配合发电厂进行相关试验工作。
第十二条 电力通信与调度自动化管理
(一)电力企业及相关电力用户应相互配合,共同做好电力通信与调度自动化系统的设计、安装和调试工作。
(二)电力企业及相关电力用户各自负责所属电力通信与调度自动化系统的运行维护工作。
(三)调度机构应对各相关单位的电力通信与调度自动化系统的技术管理工作进行业务指导。
第十三条 异常与事故处理
(一)电力系统发生异常与故障后,各相关单位应依据调度规程和现场运行规程的有关规定,正确、迅速地进行处理,保全现场的记录、资料,并及时向调度机构报告相关一次设备及二次设备状态和处理情况。
(二)各相关单位应加强沟通,相互提供有关资料,积极查找异常与故障原因,并配合相关部门进行电力安全事故调查。
(三)各相关单位应分别制定整改措施,并负责落实。
第十四条 专业人员管理
(一)各相关单位应当配备足够的二次系统专业技术人员,并保证人员的相对稳定。
(二)调度机构应组织并督促二次系统专业技术培训和技术交流工作。
第十五条 综合管理
(一)调度机构应组织各相关单位贯彻执行国家和行业有关二次系统的标准、规程和规范。
(二)调度机构应组织制定(修订)调度管辖范围内二次系统的规程、规范和相关管理制度,并将与电力监管相关的事项报电力监管机构备案。
(三)调度机构应定期组织召开二次系统专业会议;组织开展二次系统运行统计分析工作,及时发布分析报告。
第十六条 技术监督
(一)电力企业及相关电力用户应依据国家和行业相关标准、规程和规范开展二次系统技术监督工作。
(二)调度机构应指导和参与二次系统技术监督工作。
第十七条 各相关单位应按电力监管机构的要求及时报送与电力监管相关的二次系统运行、管理等方面资料。
电力监管机构可对各相关单位二次系统相关工作进行现场检查,对检查中发现的违规行为,有权当场予以纠正或者要求限期改正。
第十八条 电力监管机构可以依据相关规定对二次系统管理工作中的有关争议进行调解或裁决。
第十九条 电力监管机构可以以适当形式发布二次系统管理工作情况。
第二十条 违反本办法有关规定的,由电力监管机构依法追究其责任。
第二十一条 电监会各派出机构可根据情况制定相应的实施细则。
LXW 201070700-2015
拉西瓦发电分公司
电力二次系统安全防护管理办法
2015—7—20发布 2015—7—20实施
拉西瓦发电分公司 发 布
LXW 201070700-2015
目
次
前言......................................................................II 1 目的....................................................................1 2 范围....................................................................1 3 规范性引用文件..........................................................1 4 术语和定义..............................................................1 5 职责与权限..............................................................1 6 管理活动的内容和方法....................................................2
I
前言
本标准编制所依据的起草规则为GB/T 1.1-2009《标准化工作导则 第1部分:标准的结构和编写》和LXW 200010100《拉西瓦发电分公司标准编写基本规则》。
本标准由拉西瓦发电分公司标准管理委员会提出。本标准由拉西瓦发电分公司安生部归口。
本标准起草部门位:拉西瓦发电分公司安生部。本标准主要起草人:向朕华。本标准审核人:程志峰。本标准批准人:于文革。本标准2015年7月首次修订。
II LXW 201070700-2015 目的
本标准规定了拉西瓦发电分公司电力二次系统安全防护管理工作。范围
本标准适用于拉西瓦发电分公司(以下简称“分公司”)的电力二次系统安全防护管理工作。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
《中华人民共和国计算机信息系统安全保护条例》,国务院1994年发布。《电网和电厂计算机监控系统及调度数据网络安全防护规定》,国家经贸委[2002]第30号令。
《电力监控系统安全防护规定》,国家发展和改革委员会14号令。《电力二次系统安全防护总体方案》,国家电监会电监安全[2006]34号文。术语和定义
4.1 电力二次系统:各级电力监控系统和调度数据网络(SPDnet)以及各级调度管理信息系统(OMS)和电力数据通信网络(SPInet)构成的大系统。
4.2 控制区(安全Ⅰ区):由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安全区域。
4.3 非控制区(安全Ⅱ区):在水电站生产控制范围内在线运行,但不直接参与控制,是水电站生产过程的必要环并纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域。职责与权限
5.1 安全生产部
5.1.1 负责二次设备安全防护的执行情况、安全评估。5.1.2 负责报送上级单位要求的报告。
5.1.3 负责对技术方案的审核,对涉及电力二次安全防护的产品选用提出指导意见。5.2 运行维护部
5.2.1 负责电力二次安全防护设备的硬件维护及更换。5.2.32负责电力二次安全防护设备的软件维护及更新。管理活动的内容与方法
6.1 技术要求
6.1.1电站电力二次安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则,保障电站计算机监控系统和电力调度数据网络的安全。
6.1.2 在生产控制大区内控制区和非控制区之间应当采用防火墙等隔离设施,实现逻辑隔离;控制区的各控制系统之间应采取必要的访问控制措施。
6.1.3在生产控制大区与管理信息大区之间相连必须采取接近于物理隔离强度的隔离措施;如以网络方式相连,必须部署电力专用横向单向安全隔离装置。
6.1.4 在电站电力生产控制大区与电力调度数据网之间的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关进行安全防护。6.2 安全区之间的隔离要求
6.2.1安全区Ⅰ与安全区Ⅱ之间的隔离要求:
采用硬件防火墙可使安全区之间逻辑隔离。禁止跨越安全区Ⅰ与安全区Ⅱ的E-MAIL、WEB、telnet、rlogin。
6.2.2安全区Ⅰ/Ⅱ与安全区Ⅲ/Ⅳ之间的隔离要求:
采用物理隔离装置可使安全区之间物理隔离。禁止跨越安全区Ⅰ/Ⅱ与安全区Ⅲ/Ⅳ的非数据应用穿透
物理隔离装置的安全防护强度适应由安全区Ⅰ/Ⅱ向安全区Ⅲ/Ⅳ的单向数据传输。由安全区Ⅲ/Ⅳ向安全区Ⅰ/Ⅱ的单向数据传输必须经安全数据过滤网关串接物理隔离装置。6.2.3同一安全区间纵向防护与隔离
同一安全区间纵向联络使用VPN网络进行连接
安全区Ⅰ/Ⅱ分别使用SPDnet的实时VPN1与非实时VPN2 安全区Ⅲ/Ⅳ分别使用SPInet的VPN 6.3 防病毒措施
防病毒软件要求覆盖所有服务器及客户端。对关键服务器实时查毒,对于客户端定期进行查毒,制定查毒策略,并备有查杀记录。病毒防护是调度系统与网络必须的安全措施。病毒的防护应该覆盖所有安全区I、II、III的主机与工作站。特别在安全区I、II要建立
LXW 201070700-2015
独立的防病毒中心,病毒特征码要求必须以离线的方式及时更新。安全区III的防病毒中心原则上可以和安全区IV的防病毒中心共用。6.4 数据与系统备份
对关键应用的数据与应用系统进行备份,确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。6.5安全补丁
通过及时更新系统安全补丁,消除系统内核漏洞与后门。6.6电力二次安全防护工作实施
6.6.1 安全生产部组织对运行维护部人员进行电力二次安全防护工作的技能培训 6.6.2 安全生产部组织开展电站电力二次安全防护工作的自查及评价工作。
6.6.3 运行维护部按照安全生产部提出的要求进行电力二次安全防护工作的实施及改进工作。
6.6.4 电站每半个月检查一次电力二次安防设备是否运行正常,每三个月检查一次电力二次安防结构和策略是否合规、二次安防网络拓扑图是否与现场“图实相符”,对发现问题应及时组织整改。
6.7 制定、实施控制措施及应急处理
6.7.1 安全生产部对电力二次安全防护发现问题进行汇总,制定更新改造或改进计划,并由分公司领导审批。
6.7.2 运行维护部根据审批的更新改造或改进计划,组织编制更新改造或改进方案,报安全生产部审核。
6.7.3 运行维护部安装已审批的更新改造或改进计划,实施电力二次安全防护工作,方案实施完成后报安全生产部进行验收。
6.7.4 安全生产部组织对管理目标及方案的实施情况进行验收。
6.7.5 当电力生产控制大区出现安全事件,尤其是遭受黑客或恶意代码攻击时,应立即向分公司主管领导报告,并联合采取紧急防护措施,防止事态扩大,同时注意保护现场,以便进行调查取证。
6.7.6 在应急处理过程中,当有威胁电站安全稳定运行的网络或黑客攻击时,在征得分公司主管领导同意后,将受攻击系统与网络隔离,尽量保证系统运行安全。6.8 检查与改进
6.8.1 安全生产部根据电站电力二次安全防护管理情况及行业有关二次安全防护的工作要求,组织对电站电力二次安全防护工作情况进行检查,及时提出不符合项目,运行维护部组织落实整改。
6.8.2 凡涉及电站二次安防结构变更、二次安防设备退运的二次系统运维工作(以下统称为“二次安防运维工作”),均应办理工作票,工作票应明确工作内容、结构变更情况及安全措施。二次安防运维工作必须经电站二次安防人员许可后方可开展。如现场工作涉及纵向加密装置,必须征得相关调度机构自动化专责许可后,方可开展。
6.8.3 二次安防运维工作结束后,工作许可人应全面检查二次安防结构及策略是否合规,对不符合规程规定的应立即阻止整改。对二次安防网络结构变更,应及组织更新网络拓扑图,并于变更后3个工作日内上报相应调度机构。
6.8.4 电站应加强对厂家二次技术人员的管理。凡参与站内二次安防运维工作的厂家技术人员,应具备必要的二次安防知识,并通过电站安全生产部组织的二次安防考试。二次安防运维工作过程中,运行维护部工作人员应对厂家技术人员实行全过程监护,杜绝由于厂家技术人员工作随意而导致的二次安防违规事件。6.9 杜绝发生的违规事件
6.9.1 电力二次安防设备,包括纵向加密装置、防火墙、隔离装置等未经许可随意退出运行。
6.9.2 电力二次安防设备未配置任何安全策略或安全策略为明通。6.9.3 外网(internet 网络)未经任何安全措施直接接入生产控制大区。6.9.4 二次系统网络拓扑图与现场实际接线不相符。
6.9.5 生产控制区与非控制区未经任何安全防护设备直接相连。6.9.6 厂家以任何方式远程直接接入电站生产控制大区。
数据采集与监控(Supervisory Control And Data Acquisition,SCADA)、分布式控制系统(Distributed Control System,DCS)、过程控制系统(Process Control System,PCS)、可编程逻辑控制器(Programmable Logic Controller,PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。
2010年,席卷全球工业界的震网(Stuxnet)蠕虫,已感染了全球超过45 000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒,伊朗政府也确认该国的布什尔核电站遭到该蠕虫的攻击。“震网”病毒事件充分反映出工业控制系统信息安全面临着严峻的形势[1,2,3]。作为世界上第一个以工业控制系统为攻击目标的病毒,“震网”的出现更是引发了国际范围内加速推进基础设施安全防御的呼声。
1 电力工控系统信息安全测评体系设计
在深入分析我国电力工控系统信息安全测评体系建设需求的基础上,参考国际、国家信息安全工程管理标准[4,5],结合电力行业多年信息安全防护实践经验,提出由实验验证环境、产品检测能力和安全服务能力3部分组成的电力工控系统信息安全测评体系框架(见图1)。
实验验证环境将根据典型电力工控系统架构和我国电力系统特点进行建设,包括应用系统层、通信规约层、终端设备层在内的安全实验验证基础设施;实验验证环境将根据典型电力工控系统架构和我国电力系统特点进行建设,包括建设至少包括应用系统层、通信规约层、终端设备层在内的安全实验验证基础设施;开发信息安全防护技术和产品、验证现有安全防护技术及产品的防护能力、安全测评方法和工具有效性及安全性;设计开发针对电力工控系统、终端设备、电力专用通信规约、无线设备等的测评技术和测评工具,测试针对工控系统的渗透攻防技术;为安全测评服务提供仿真培训环境,以提高信息安全运行维护人员技术能力。
产品检测能力的建设将根据我国电力工控系统安全标准和规范,建设工控系统产品检测中心,研究与制定工控系统安全服务产品检测规范和实施指南,为主站系统及终端设备供应商提供产品安全检测服务,为电力企业提供系统和设备出厂检测服务。
安全服务能力的建设包括组织架构和人才队伍两大方面,具体包括:建立健全常态化信息安全服务机制,研究与制定安全评估与加固、上线前安全测评、等级保护测评等工作规范、流程、实施指南、作业指导,为电力企业在线运行的工控系统提供常态化信息安全测评服务。
2 电力工控系统信息安全测评体系建设方案
电力工控系统信息安全测评体系是开放、动态、持续改进的系统,它将“无序、零散、被动”的应对信息安全转变为“系统、连贯、主动”的组织信息安全活动。电力工控系统信息安全测评体系的建设是一个系统工程,需借鉴吸收国际和国外先进的信息安全技术、管理经验,基于现有国家信息安全标准体系研究和标准制定成果,结合电力工控系统设计、开发、建设、实施、运维、废弃等生命周期各阶段的信息安全需求和服务经验,研究提出符合实际的电力控制系统信息安全测评体系总体框架,满足国家重要基础行业的生产控制系统信息安全服务需要。体系建设主要包括实验验证环境建设、产品检测能力建设和安全服务能力建设3方面内容。
2.1 实验验证环境建设
电力工控系统信息安全实验验证环境的建设将根据典型电力工控系统架构和我国电力系统特点,建设包括主站系统层、通信网络层、终端设备层在内的实验验证环境,开发、验证安全防护技术防护能力、安全测评方法和工具有效性及安全性,测试针对工控系统的渗透攻防技术,为安全测评提供仿真环境,培训安全服务人员能力。
电力工控系统分布广泛,在发、输、变、配、用、调等六大环节的数据采集与监控以及过程控制等方面均有应用。因此,在设计和搭建此实验验证环境时应充分考虑电力生产控制系统的架构,包括主站/控制中心(本地、异地)、现场设备、通信网络、调度数据展现、远程接入客户端、现场设备和移动存储介质等主要资产和功能组件(见图2)。全面体现电力工控系统实时性要求高、网络相对封闭、可靠性要求高、不能接受宕机、设备处理能力有限、通信协议专有等特点。
2.2 产品检测能力建设
产品检测能力的建设将根据我国电力工控系统安全标准和规范,建设工控系统产品检测中心,研究与制定工控系统安全服务产品检测规范和实施指南,为工控系统生产商提供产品研发安全咨询和检测服务,也可为电力企业提供工控系统出厂检测服务。
为了验证电力工控系统及相关设备安全功能的有效性、发掘并分析电力工控系统及终端设备的安全脆弱性、模拟黑客植入恶意代码或预留后门程序进行攻击,需要基于我国电力工控系统的组成架构,参照国际上电力工控系统有关标准和我国等级保护基本要求[6,7,8],搭建对电力工控系统的安全性测试环境。在该环境中对软件运行承载环境进行大规模仿真和模拟;对其安全性能,尤其是特殊架构中的关键设备、工控网络协议和所用密码机制,进行漏洞挖掘及脆弱性检测等工作,从而验证电力工控系统专用设备安全性与标准要求的符合性。
同时,制定电力工控系统产品安全检测标准规范以及实施指南。检测标准规范应包括典型电厂工控系统及终端设备产品架构、功能要求、性能要求、安全要求等测试要求,并围绕工控系统制定产品检测保证要求,如交付和运行保证、指导性文档、测试保证、脆弱性保证、风险规避等;实施指南应包括电厂典型工控系统及终端设备的检测范围、检测流程、检测方法、安全管理及风险管控、检测工具管理规程、检测机构及人员管理等。
2.3 安全服务能力建设
电力工控系统安全服务能力的建设包括构建与完善组织架构和人才队伍,建立健全常态化信息安全服务机制,研究与制定安全评估与加固、上线前安全测评、等保测评等工作规范、流程,为电力企业在线运行的工控系统提供常态化信息安全测评服务。
安全服务能力建设应以电力工控系统全生命周期各阶段的安全需求为服务依据,以系统信息安全实验验证环境和产品检测体系为基础,为电力企业工控系统提供常态化安全测评服务,从调研、设计开发,到实施、运维、废弃等各个环节提供安全咨询、建议和信息安全技术保障。
电力工控系统对系统运行安全性、可靠性和稳定性要求很高,因此,安全测评服务应当以保证系统正常稳定运行、保证风险可控在控为前提,测评人员需具备信息安全测评、加固、设计等能力和资质,应当掌握电力生产控制相关的业务知识背景,所使用的测评工具和方法不能对在运系统造成任何影响。电力工控系统安全测评除了具有丰富的服务内容,还需要严格的管控措施以及稳定、可靠、可控的技术和管理支撑,拟建设的电力工控系统安全服务能力架构如图3所示。
3 结语
随着无线智能终端、基于云计算技术防护系统、RFID类产品和系统等各类新技术和新产品的发展和应用,以及“震网”等专门针对物理隔离网络的新型攻击病毒的出现,高价值的工业控制系统日益成为新的攻击目标,因此,研究并建立电力工控系统信息安全测评体系愈发显得重要而迫切,并将对电力生产乃至国民经济的安全运行产生重大影响。
摘要:工业控制系统广泛应用于社会生产活动中,其安全性直接关系到国家安全和社会稳定。文章分析了电力工业控制系统面临的安全威胁和安全防护现状,提出了一个由实验验证环境、产品检测能力和安全服务能力等3部分组成的电力工控系统信息安全测评体系框架,并探讨了体系的建设方案。通过测评体系的建设可进行测评标准规范的研究和工具研发,为工控产品生产商提供产品安全检测服务,为电力企业在运工控系统提供常态化信息安全服务。
关键词:电力工业控制系统,信息安全,测评体系
参考文献
[1]李战宝,潘卓.透视“震网”病毒[A].第26次全国计算机安全学术交流会[C].北京:中国计算机学会计算机安全专业委员会,2011.
[2]Symantec W32.Stuxnet dossier version1.3[EB/OL].http://www.wired.com/images_blogs/threatlevel/2010/11/w32_stuxnet_dossier.pdf,2010-11-12.
[3]安天实验室.Stuxnet蠕虫攻击工业控制系统事件的综合报告[EB/OL].http://www.antiy.com/cn/security/2010/Report_On_the_Attacking_of_Worm_Struxnet_by_antiy_labs.htm,2010-9-27.
[4]ISO/IEC21827:Information technologySystems Security Engineering-Capability Maturity Model[S].2002.
[5]GB/T20282—2006:信息安全技术信息系统安全工程管理要求[S].2006.
[6]NIST SP800-53:Recommended Security Controls for Federal Information Systems[S].2009.
[7]NIST SP800-82:Guide to Industrial Control Systems Security[S].2011.
【电力二次系统安全等级测评研究】推荐阅读:
电力计费系统09-07
电力营销系统功能分析07-25
电力系统保护测试指南05-25
电力系统基础考试试卷06-02
电力系统运行方式分为06-21
电力系统分析a07-11
电力系统元件及参数07-11
sg186电力营销系统09-19
浅谈电力系统及其发展06-06
DCS系统电力工程论文07-20
