南方电网科学研究院有限责任公司电力行业信息安全等级保护测评中心(第五实验室)2014年09月1CHINASOUTHERNPOWERGRID演讲人介绍姓名陈华军(13428880328)职务研究员、信息安全培训中心负责人、南方电网信息技术与信息安全实验室主任、电力行业信息安全等级保护测评中心第五实验室副主任教育经历1999年9月–2003年7月:武汉大学机械电子与自动化学院2003年8月–2006年3月:日本筑波大学计算控制学院工作经历2006年4月–2011年8月:日本横河电机公司工业控制安全技术研究所2011年9月–现在:南方电网科学研究院智能电网研究所业务资质国家注册信息安全人员CISP、国家信息安全等级保护测评师(中级)、物联网技术高级工程师、网络安全工程师(JP)、操作系统安全工程师(JP)CHINASOUTHERNPOWERGRID引言信息安全生产安全安全电力安全生产规范宣贯工作会议人身安全环境安全4中国国家安全委员会,俗称“国安委”,全称为“中华人民共和国国家安全委员会”,英文为CouncilofStateSecurityofthePeople‘sRepublicofChina。中央国家安全委员会由习近平任主席,李克强、张德江任副主席,下设常务委员和委员若干名。(2013年11月12日)国家安全5中央网络安全和信息化小组于2014年2月27日成立,习近平任组长并召开首次会议并发表重要讲话,要求把我国建设成网络强国。“没有网络安全就没有国家安全,没有信息化就没有现代化。”截止2014年7月7日,成立了11个省网信小组6国家互联网信息办公室-网络安全审查制度范围:适用于国内外产品;结果:强制性,审查的过程、标准、机制是封闭的,无需披露原因,无时间限制对象:产品和服务的安全性与可控性,从源头上杜绝网络安全风险隐患,确保公共安全和国家网络空间安全;7国家能源局电力安全监管司职责:组织拟订除核安全外的电力运行安全、电力建设工程施工安全、工程质量安全监督管理办法的政策措施并监督实施,承担电力安全生产监督管理、可靠性管理和电力应急工作,负责水电站大坝的安全监督管理,依法组织或参与电力生产安全事故调查处理。国家能源局信息中心电力行业信息安全等级保护测评中心中国电力科学研究院南方电网科学研究院国网电力科学研究院国电南京自动化股份有限公司北京华电卓识信息安全测评技术中心8中国信息协会信息安全专业委员会能源工作组成立暨能源行业工控系统安全92010年9月伊朗铀燃料浓缩设施遭受“震网病毒”攻击10工作经历2006年4月–2011年8月:日本横河电机公司工业控制安全技术研究所;2011年9月–现在:南方电网科学研究院智能电网研究所;控制系统控制器传感器11安全?1213安全?SafetyOrSecurityOr“SafetyandSecurity”CHINASOUTHERNPOWERGRID几个问题14贵公司的信息安全是哪个部门归口管理,该哪个部门归口管理?信息安全事件是否隶属于安全生产事件的范围?是否应该遵守《电力安全事件监督管理规定》?电力行业信息安全是哪个部门监管,信息安全事件怎么报送?电力行业信息安全怎么保障?国家及行业有哪些政策法规和管理办法?CHINASOUTHERNPOWERGRID目录15一、实验室介绍二、国家信息安全相关政策与标准三、国家能源行业信息安全相关政策与标准四、信息安全现场测评工作中发现的常见问题CHINASOUTHERNPOWERGRID南方电网公司的组织架构16CHINASOUTHERNPOWERGRID南方电网科学研究院的业务定位17战略目标三大核心业务成为服务好、创新强、人才优的国际先进科研和技术咨询机构•三大核心技术领域•坚持自主创新•牵头实施国家级项目科技研发总体定位南方电网公司中央研究院•为电网资产全生命周期管理提供技术支撑•支撑电网规划•支撑电网建设•支撑电网运行•支撑市场营销技术服务•电网规划咨询•直流工程集成•电力电子应用(柔直、STATCOM、SVC、串补、直流融冰等)咨询和工程集成CHINASOUTHERNPOWERGRID科技创新与实验检测平台18特高压试验研究平台昆明特高压基地广州特高压基地先进输变电技术研究平台电力电子实验室噪声和电磁环境实验室大电网实验研究平台仿真实验室系统安全防御实验室电网控制保护实验室电网自劢化实验室电网节能技术与经济运行实验室智能电网技术研究平台智能电网实验室计量技术实验室信息技术与信息安全实验室CHINASOUTHERNPOWERGRID信息安全相关资质19编号资质名称1国家信息安全服务一级资质2电力行业信息安全等级保护测评资质3CNAS检查机构认可资质(ISO/IEC17020)4CNAS检测校准实验室认可资质(ISO/IEC17025)5信息安全应急响应服务资质6信息安全风险评估资质7注册信息安全员培训机构认可资质CHINASOUTHERNPOWERGRID电力行业信息安全等级保护测评资质20CHINASOUTHERNPOWERGRID目录21一、实验室介绍二、国家信息安全相关政策与标准三、国家能源行业信息安全相关政策与标准四、信息安全现场测评工作中发现的常见问题CHINASOUTHERNPOWERGRID信息安全保护的背景22通信保密安全计算机系统安全网络信息系统安全1994年2000年2003年保守国家秘密法(1989)(2010年修订)中央关于加强密码工作的决定计算机信息系统安全保护条例(草案)-86计算机信息系统安全保护条例(1994)计算机信息系统安全专用产品检测和销售许可证管理办法-97计算机信息网络国际联网安全保护管理办法-97计算机信息系统保密管理暂行规定-98商用密码管理条例-99《国家信息化领导小组关于加强信息安全保障工作的意见》(中央办公厅、国务院办公厅转发[2003]27号)互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定CHINASOUTHERNPOWERGRID信息安全保护的背景23计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。主管部门公安部主管全国计算机信息系统安全保护工作(含安全监督职权)。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。安全保护制度计算机信息系统实行安全等级保护。使用单位应当建立健全安全管理制度。安全专用产品(硬件、软件)的销售实行许可证制度。《计算机信息系统安全保护条例》CHINASOUTHERNPOWERGRID信息安全保护的背景24主要任务(重点加强的安全保障工作)实行信息安全等级保护加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发,推进信息安全产业发展加强信息安全法制建设和标准化建设加快信息安全人才培养,增强全民信息安全意识保证信息安全资金加强对信息安全保障工作的领导,建立健全信息安全管理责任制《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)CHINASOUTHERNPOWERGRID信息安全等级保护25定级备案安全建设整改等级测评监督检查《关于开展全国重要信息安全等级保护定级工作的通知》(公通字[2007]861号《信息系统安全等级保护备案实施细则》(公信安[2007]1360号)《关于开展信息系统安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)《关于推劢信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号)《关于印发信息安全等级保护测评报告模版(试行)的通知》(公信安[2009]1487号)《公安机关信息安全等级保护检查工作规定(试行)》(公信安[2008]736号)《关于开展信息安全等级保护专项监督检查工作的通知》(公信安[2010]1175号)《信息安全等级保护管理办法》(公通字[2007]43号)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办法[2003]27号)CHINASOUTHERNPOWERGRID信息安全等级保护相关政策标准26基础类《中华人民共和国计算机信息系统安全保护条例》《计算机信息系统安全保护等级划分准则》GB17859-1999《信息安全等级保护管理办法》(公通字[2007]43号)《电力行业信息安全等级保护管理办法》《信息系统安全等级保护实施指南》GB/T25058-2010《电力行业网络与信息安全管理办法》(国能安全[2014]317号)《电力监控系统安全防护规定》CHINASOUTHERNPOWERGRID信息安全等级保护相关政策标准27应用类定级:《信息系统安全保护等级定级指南》GB/T22240-2008《电力行业信息系统安全等级保护定级指导意见》建设/测评:《信息系统安全等级保护基本要求》GB/T22239-2008《电力行业信息安全等级保护基本要求》《电力行业信息安全等级保护基本要求释义》《信息系统安全等级保护测评要求》GB/T28448-2012《信息系统通用安全技术要求》GB/T20271-2006《信息系统等级保护安全设计技术要求》GB/T25070-2010管理:《信息系统安全管理要求》GB/T20269-2006《信息系统安全工程管理要求》GB/T20282-2006CHINASOUTHERNPOWERGRID信息安全等级保护相关政策标准28技术类GB/T21052-2007信息安全技术信息系统物理安全技术要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统安全技术要求其他信息产品、信息安全产品相关标准...其他类GB/T20984-2007信息安全技术信息安全风险评估规范GB/Z24364-2009信息安全技术信息安全风险管理指南GB/T24363-2009信息安全技术信息安全应急响应计划规范GB/Z20285-2007信息安全技术信息安全事件管理指南GB/Z20986-2007信息安全技术信息安全事件分类分级指南GB/T20988-2007信息安全技术信息系统灾难恢复规范CHINASOUTHERNPOWERGRID目录29一、实验室介绍二、国家信息安全相关政策与标准三、国家能源行业信息安全相关政策与标准四、信息安全现场测评工作中发现的常见问题CHINASOUTHERNPOWERGRID电力行业网络与信息安全管理办法电力监控系统安全防护规定电力行业信息安全等级保护管理办法国家能源行业信息安全相关政策标准CHINASOUTHERNPOWERGRID3.1电力行业网络与信息安全管理办法31(一)总则(二)监督管理职责(三)电力企业职责(四)监督检查(五)附则参考:《信息安全等级保护管理办法》(公安部颁布)CHINASOUTHERNPOWERGRID3.1电力行业网络与信息安全管理办法32(第一条~第三条)CHINASOUTHERNPOWERGRID3.1电力行业网络与信息安全管理办法33安全一体化“大”安全国家安全能源安全(第四条~第五条)CHINASOUTHERNPOWERGRID3.1电力行业网络与信息安全管理办法34CHINASOUTHERNPOWERGRID3.1电力行业网络与信息安全管理办法35责任主体主要责任人