论信息通信安全评价管理平台建设

， ，

(国网宁夏电力有限公司信息通信公司，宁夏 银川 750000)

【管理科学】

论信息通信安全评价管理平台建设

王建磊1，许沙2，李蓉2

(国网宁夏电力有限公司信息通信公司，宁夏 银川 750000)

信息通信安全性评价管理体系是组织在整体或特定范围内为提升信息通信系统安全性、稳定性、可靠性建立的管理标准与规范。它直接指导着信息通信系统日常运维工作的开展，是信息通信运维与安全管理工作的指导性意见的集合。本文以信息通信安全性评价管理体系为标准，结合国网宁夏电力有限公司信息通信公司信息通信安全评价管理经验，利用信息技术与数字化技术等手段，建立了一套以客观评价为准则，标准化、统一化、规范化、流程化的安全评价管理平台。实现信息通信安全性评价及时、准确、客观的要求，实现评价结果易分析、可追踪的目标。

信息通信；安全性评价；缺陷管理；资产管理；结构化数据；评价条目；动态管理；数据分析

随着信息与通信技术的不断发展，各行业对信息与通信技术的依赖程度显著增加，这点在电力行业尤为显著，信息与通信技术在电力行业的生产与管理方面发挥着不可替代的作用。信息与通信系统的安全稳定运行是电力生产、调度、传输等各环节的基础保障。电网公司投入的大量的人力物力对信息通信技术与设备进行升级改造与运维监控。但随着时间的流逝，我们逐步发现信息与通信系统仍在面临着来自内部与外部的安全威胁。针对这一情况电网公司依据信息系统运维规范结合自身情况于2014年出台了《信息通信安全性评价》管理规范，这套规范是公司在应对信息化水平迅猛发展、通信设备日益增多、信息通信安全挑战增加等问题而提出的一套有针对性的安全管理方案和措施。信息通信安全性评价能够有效防范信息通信安全风险，做到超前梳理安全隐患和薄弱环节，提升信息与通信安全运行的有效手段。《信息通信系统安全评价管理平台》是依据该规范借助信息化手段研发的管理工具，该工具完全依照规范要求进行开发，实现了规范执行过程的信息化、数字化、规范化、流程化、标准化。

一、项目研究目标

本项目完成后，可以显著提高信息通信安全性评价的管理效率与效果，其主要作用表现在：

1.建立数字化的信息通信安全性评价管理体系。通过建立信息通信安全性评价管理体系数据库实现信息通信安全性评价对应标准的数字化、信息化。实现信息通信安全性评价管理体系对应标准的动态管理的目标。优化管理手段，提升管理效率。

2.建立以客观评价为主的信息通信安全性评价管理体系检查体系。通过已建立的数字化信息通信安全性评价管理体系对应标准，通过信息化手段建立以客观评价为主的信息通信安全性评价体系检查方式。实现信息通信安全性评价管理100%全覆盖。降低被检查人员对体系的学习难度，缩短被检查人员对体系的学习时间。提高信息通信安全性评价工作的可行性，促进信息通信安全性评价工作的开展。

3.建立有针对性的信息通信安全性评价管理模式。通过组织机构、角色、权限与信息通信安全性评价标准的对应关系，提高信息通信安全性评价的针对性，有的放矢地进行信息通信安全性评价检查。减少被评价部门开展信息通信安全性评价的工作量，提升被评价部门开展此项工作的积极性。

4.制定信息通信安全性评价管理工作的流程。通过信息化手段建立信息通信安全性评价管理体系的流程，实现信息通信安全性评价管理工作各环节的标准化、统一化管理。

5.建立信息通信安全性评价状况数据库。通过建立信息通信安全性评价状况数据库，实现对信息通信安全性评价结果的数字化管理，实现对评价结果的动态追踪。提升信息通信安全性评价管理工作效率与效果。 6.实现信息通信安全性评价的综合分析。由于信息通信安全性评价对应标准的数据大，通过人工手段很难做到对某一维度的统计分析。而通过信息化技术的接入，能够实现对数量巨大的安全性评价技术标准的统一收集，存档，统计与分析。为相关部门日后开展工作以及领导的决策分析提供相关数据支撑。

7.建立缺陷管理数据库，实现缺陷的全生命周期动态管理。缺陷管理是信息通信安全性评价工作中的重要组成部分，是各相关部门在开展日常工作时开展自查自检的主要方法，是避免不安全事故发生的重要手段。建立缺陷管理数据库，对每一个缺陷实行上报、检查、消缺、存档的标准化的全生命周期动态管理。有助于提升缺陷管理工作的效果。

二、技术理论与实际依据

1.技术原理

项目总体架构如图1示：

图1 系统架构图

针对电网公司信息通信安全性评价管理要求以及对目前存在的问题深入分析，系统从信息通信安全性评价体系建立、信息通信安全性评价任务下发、信息通信安全性评价信息收集、反馈、整改等信息通信安全性评价管理全过程出发，建立一套规范化的信息通信安全性评价管理流程。按管理的实际业务特点进行有针对性的信息通信安全性评价，缩短信息通信安全性评价时间与人力成本。自动评分、汇总功能帮助信息通信安全性评价主管部门快速准确的完成信息通信安全性评价管理工作。历史数据的横向纵向分析帮助信息通信安全性评价管理者与被管理者快速准确的定位安全管理存在的问题，以促进整改工作的开展。

项目利用信息技术从整体上对信息通信安全性评价管理工作进行了改造和提升，项目成果将作为信息通信安全性评价管理工具对信息通信安全性评价工作全过程进行规范化、流程化、标准化的管理，为安全主管部门通过信息通信安全性评价工作的开展发现问题，解决问题提供数据化支撑。

2.实践依据

(1)信息通信安全性评价体系的评价条目分析。项目课题组自2017年5月起对信息通信安全性评价体系的评价条目进行了深入分析。发现信息通信安全性评价条目目前多为主观人为评价，存在评价标准不统一，结果不准确，评价及时性差，评价人力成本过高的问题，为解决以上问题我们对安全评价体系进行了深入分析，将体系内所有条目转换为能够量化的客观条件，提升评价准确性。 例：将有关信息通信设备资产的评价条目设计成客观单选形式进行评价：

1)资产台账情况

□ 无台账；(得0分)；

□ 有台账但未包含所有信息通信资产信息；(得2分)；

□ 有完整台账，但存在账、卡、物不一致的情况；(得3分)；

□ 有完整台账，且账、卡、物一致。(得5分)。

2)资产验收情况

□ 无验收；(得0分)

□ 有验收但验收流程不完备；(得3分)

□ 有验收但存在没有设备验收报告的情况；(得0分)

□ 有验收，且验收文档、流程均完整。(得5分)

3)设备状态

□ 所有设备状态与文档一致；(得3分)

□ 存在设备状态与文档不一致的情况；(得0分)

□ 所有设备有移交手续；(得2分)

□ 存在设备无移交手续的情况。(得0分)

4)设备报废

□ 所有已报废的设备均按流程进行报废；(得5分)

□ 存在已报废设备未按流程报废的情况；(得0分)

(2)信息通信安全性评价相关佐证材料管理。 目前在信息通信安全性评价管理时要求对需要提供佐证材料的条目进行佐证材料的提交，佐证材料的提交目前以文档、图片、表格等形式呈现。这些材料均可实现电子化上传并统一存放，且与各评价条目进行有效关联，解决了评价结论与佐证材料异地存储的问题，提升了评价有效性检查的效率。

(3)信息通信安全性评价条目的针对性。 目前在信息通信安全性评价条目数量巨大，完成一次信息通信安全性评价需要花费大量的时间，但是信息通信安全性评价体系中的各条目并不适用于每一个被评价的对象，因此建立信息通信安全性评价条目对信息通信安全性评价对象进行针对性设置，这样可以大大降低被评价部门完成一次信息通信安全性评价的时间，同时提高信息通信安全性评价的针对性。

(4)信息通信安全性评价结果管理。 在被评价部门按照评价条目完成一次评价后，由系统根据评价情况以及设置好的评价标准进行评价打分，打分由系统自动完成，彻底解决了人工打分耗时耗力且容易出错的问题。

(5)信息通信安全性评价结果分析。 信息通信安全性评价工作的开展是为了通过依照信息通信安全性评价手册检查日常工作开展时是否符合安全管理要求，而实际工作中存在的安全漏洞和不安全隐患是进行安全管理的重点。由于信息通信安全性评价条目数量众多，因此希望通过手动的信息通信安全性评价管理进行安全薄弱环节的分析十分困难的。通过信息化技术则很容易对信息通信安全性评价体系进行分析，通过以特定对象，选定时间轴，确定评价条目三条线索进行分析，我们很容易就会发现特定对象在一定时间范围内对某一项安全条目的执行情况与整改情况。

3.研究的关键点与难点

(1)将文字描述的主观评价标准转换为客观的结构化数据。 计算机能够且最容易识别的数据是客观的结构化数据，目前的信息通信安全性评价管理体系中的个条目均未建立客观的结构化数据，我们需要通过对众多信息通信安全性评价条目的逐条分析找出评价依据，将文字描述的评价标准以客观的形式展现出来。只有完成这些评价条目100%的客观化转换，才是建立信息通信安全性评价管理系统的基础。

(2)信息通信安全性评价体系动态化管理。 我们知道信息通信安全性评价体系以及各评价标准是依据公司目前的安全管理需求而设计的，如果脱离了实际的安全管理要求则会变得毫无意义。而公司目前正处于快速发展的阶段，新设备、新要求在不断的产生，因此信息通信安全性评价管理系统中信息通信安全性评价体系必须是一个动态管理的体系，能够随着国家电网公司信息通信安全性评价管理手册的变化而变化，这其中就包含新的评价条目的增加、旧的评价条目的删除、各条目各标准的评分规则变化等。只有能够快速地通过系统完成评价体系的动态管理才能提高本项目成果的应用价值与易用性。

(3)信息通信安全性评价的动态分析。 信息通信安全性评价统计与分析是信息通信安全性评价重要的应用成果，同时也是提升信息通信安全性评价管理水平的重要体现。这种分析不能是单一的、固定的。而是要依据实际情况进行动态组合分析。其中可能包括被评价对象、被评价时间范围、被评价的方向(条目)等。通过这些条件的组合查询与分析才能让信息通信安全性评价主管部门与被评价部门及时客观地掌握目前的安全情况，快速发现问题、定位问题最终解决问题。

三、平台架构

1.系统管理

“系统管理”为系统的基础功能模块之一，主要为提供了以系统用户管理为主的基础功能模块，主要功能如下：

组织机构管理：用户内部组织机构信息的维护管理模块，系统支持不限层级的树形结构。

用户管理：系统使用人员的信息维护管理模块，主要包括系统使用者的用户名、密码、密码重置、主要信息等，系统可根据用户实际需要设置必填与选填信息。每一个用户需要与组织机构、角色对应。

角色管理：系统用户的角色信息维护管理模块，系统以角色来区分权限，不同的角色具有不同的访问权限。

权限管理：系统个角色权限的维护管理模块，用户可通过勾选操作指定某一类角色对系统各功能模块的访问权限，无访问权限的模块不显示。

2.安全评价标准管理

“安全评价标准管理”为系统的基础数据维护模块，主要为系统开展安全评价工作提供了基础数据支撑，该模块仅向系统管理员与安全评价标准管理专职人员开放。

安全评价标准录入：“安全评价标准录入”模块主要为用户提供了安全评价标准各检查项内容的新增。其中包含了安全评价标准的目录、内容、解释、选项以及对应分数等相关信息。

安全评价标准修改：“安全评价标准修改”模块主要为用户提供了安全评价标准各检查项内容的修改。当安全评价标准发生变化后用户可通过此模块进行标准调整。其中包含了安全评价标准的目录、内容、解释、选项以及对应分数等相关信息。

安全评价标准删除：“安全评价标准删除”模块主要为用户提供了安全评价标准各检查项内容的删除。当安全评价标准发生变化后用户可通过此模块删除对应标准。

安全评价标准针对性管理：“安全评价针对性管理”模块主要为用户提供了标准各项与被检查部门的对应管理。通过此模块可设置被检查部门在进行安全性评价时是否需要进行此项检查。

安全评价标准查询：用户通过“安全评价标准查询”模块查询安全评价体系的各项内容。

安全评价开关：用户通过“安全评价开关”管理安全评价管理的开始时间与结束时间。只有在开始进行时安全评价时被检查部门才能在系统进行安全评价。

3.安全评价管理

“安全评价管理”模块主要包含在开展安全评价工作时所涉及到的各功能。

安全评价历史记录。“安全评价历史记录”模块主要包含了安全评价最终结果的历史信息。登录系统的用户均能够访问此模块。系统对此功能模块进行了权限控制。其中系统管理员和安全评价主管部门账号能够通过此模块查看到所有被评价部门的所有历史记录。被评价部门各账号只能查看到本部门的历史记录。

安全评价上报。“安全评价上报”模块向所有开展安全评价的部门开放访问权限。用户可通过此模块填写安全评价内容，并上传佐证材料。填写完成后系统自动进行分数统计。系统为安全评价上报设置了两种状态。

“保存未提交”状态：用户可继续填写或修改之前填写的内容；

“已提交”状态：用户仅能够查看到填写内容，但不能进行修改。

安全评价审核。“安全评价审核”模块向安全评价主管部门开放，当被评价部门提交了此次安全评价内容后安全评价主管部门可通过此模块进行安全评价内容审核。用户可在此模块直接修改上报的安全评价内容，系统将会根据结果重新打分。系统为安全评价审核设置了三种状态：“待审核”：已上报未审核；“审核中”：用户可继续审核或重新审核；“审核结束”：审核结果发布，等待申诉。

安全评价申诉。“安全评价申诉”模块向所有开展安全评价的部门开放访问权限，被评价部门可以通过此模块向安全评价主管部门对某一项安全评价内容进行申诉，填写申诉理由并提交安全评价主管部门审核。审核结束后此次安全评价结果为最终结果。用户可进行多次申诉。系统为申诉设置了两种状态：“可申诉”：被评价部门可进行申诉；“待审核”：主管部门可进行申诉审核；

安全评价统计。系统提供不同维度(如：时间、部门)的数据统计。此模块向安全评价主管部门开放。

安全评价分析。系统提供不同维度(如：时间、部门)的数据分析，并支持曲线图、饼图的显示。此模块向安全评价主管部门开放。

4.缺陷管理

“缺陷管理”是进行缺陷上报、检查、消缺、存档的标准化的全生命周期动态管理的功能模块。系统未“缺陷”设置了六种状态：“已上报”：已上报主管部门的缺陷，不可修改；“待审核”：已上报未审核的缺陷；“未消缺”：已经主管部门审核但未销缺的缺陷，此时可对此缺陷进行销缺处理；“消缺未审核”：已提交消缺但未经主管部门未审核的缺陷；“消缺待审核”：已进行销缺处理，但未经主管部门审核的缺陷；“已消缺”：已经主管部门确认消缺的缺陷。

缺陷上报。“缺陷上报模块”向各部门开放，各部门可通过此功能模块进行缺陷信息的录入，并通过此模块上报至主管部门。

缺陷审核。“缺陷上报模块”向主管部门开放，主管部门可在此模块中进行已上报缺陷的审核处理。

历史缺陷。“历史缺陷”模块显示所有已经上报的缺陷，用户可通过缺陷各种状态进行分类查看。主管部门能够查看到所有部门提交的缺陷，各部门能够查看到本部门的所有缺陷。此模块提供缺陷查询功能。

四、结束语

项目推广应用后，可显著提升信息通信安全性评价管理效率，提高信息通信安全性评价管理水平，优化信息通信安全性评价管理流程，降低信息通信安全性评价管理成本。建立的信息通信安全性评价管理数据库能够实现对信息通信安全性评价管理体系的动态管理，降低由于信息通信安全性评价管理体系修订后带来的管理成本(主要体现在体系学习培训成本)。同时能够实现对信息通信安全性评价结果的横向纵向的数据分析，找出安全管理存在的问题，切实提高信息通信安全性评价对生产以及运维的积极影响。

项目通过“科技研发-示范工程”的技术路线，将使项目成果在实践中得到检验，能够尽快地为信息通信安全性评价管理工作提供信息化支撑。成果的推广应用将为电网公司信息通信安全性评价管理实现信息化、数字化、统一化、规范化、流程化带来示范效应，进一步提高电网信息通信安全性评价管理水平。

[1]IBM, Ponemon Institute. 2016年数据泄露成本研究：全球分析[Z].2016.

[2]国家电网公司信息系统运维体系规范[S].信息运安〔2009〕41号.

[3]刘德金,刘青. 计算机网络安全隐患分析及其防范错的的探讨[J].计算机软件与应用, 2013， 28(1)：86-87.

[4]常伟,胡克瑾. 企业信息系统体系结构的性能分析[J].计算机工程 ,2008(7).

[5]邱均平,张荣. 信息系统评价举证分析及指标体系的分立与整合[J].科技进步与对策，2004(5).

OnConstructionofEvaluationManagementPlatformInformationCommunicationSecurity

Wang Jianlei, Xu Sha, Li Rong

(1.Information and Communication,State Grid Shaanxi Electric Power Company,Shaanxi Xi'an,710048;2.Xi'An Railway Vocational & Technical,Electronic Information School,Shaanxi Xi'an,710014)

The management system of information communication security evaluation is the management standard and standard established by the company to improve the security, stability and reliability of the information communication system. It directly guides the daily operation and maintenance of the information communication system. It directly guides the daily operation and maintenance of the information and communication system, and it's a collection of Guiding Opinions on information communication operation and maintenance and safety management. This article takes the information communication security evaluation management system as the standard, Combined with information communication security evaluation management experience. Using information technology and digital technology and other means, Seting up a set of objective to evaluation as the standard, Standardized, unified, standardized, process of safety evaluation management platform. Realize the timely, accurate and objective requirements of information communication security evaluation as uell as to achieve evaluation results easily traceablely.

Information Communication；Safety evaluation；Defect management asset management；Structured data；Evaluation items；Dynamic management；Data analysis

2017-10-28

1.王建磊(1982— )，宁夏回族自治区银川市人，国网宁夏电力有限公司信息通信公司，副主任工程师。2.许沙(1980— )，女，宁夏回族自治区银川市人，国网宁夏电力有限公司信息通信公司，高级工程师。3.李蓉(1985— )，女，宁夏回族自治区银川市人，国网宁夏电力有限公司信息通信公司，工程师。

G40-507

A

1008-4649(2017)04-0089-06

[责任编辑王爱萍]