一種電網(wǎng)企業(yè)信息系統(tǒng)安全事件分類與定級的新方法

李紅宇，劉 欣，帥興洲

(1.邯鄲供電公司，河北 邯鄲 056035；2.河北省電力公司，石家莊 050021)

隨著國家電網(wǎng)公司信息化建設工作的不斷深入，在生產(chǎn)、經(jīng)營、管理等方面對信息系統(tǒng)的依賴性越來越高，對信息系統(tǒng)的安全要求也越來越高，信息系統(tǒng)事件已等同于生產(chǎn)安全進行考核及管理。為此，在新版的《國家電網(wǎng)公司安全事故調(diào)查規(guī)程》(2012年1月1日起施行)中，除原有的人身、電網(wǎng)、設備三類事故外，增加了信息系統(tǒng)事故，并按嚴重程度從高到低對五至八級信息系統(tǒng)事件進行了定義。為進一步實現(xiàn)信息系統(tǒng)事件的快速定級，以下介紹一種新方法，實現(xiàn)根據(jù)信息系統(tǒng)事件的性質(zhì)對事故進行分類，根據(jù)事件所造成的影響進行分級定義。

1 信息系統(tǒng)事件分類定級

國家電網(wǎng)公司的安全事故體系由人身、電網(wǎng)、設備和信息系統(tǒng)四類事故組成，分為一至八級，對于信息系統(tǒng)事件給出了五至八級定義，由于信息系統(tǒng)的運行，傳統(tǒng)上是以專業(yè)進行分工劃分，可分為安全、網(wǎng)絡、應用、終端等專業(yè)，因此將信息系統(tǒng)事件定義按照事件的性質(zhì)及專業(yè)進行劃分就更為實用?；诖嗽O想，將信息系統(tǒng)事件分為涉密信息事件、數(shù)據(jù)信息事件、網(wǎng)絡信息事件、業(yè)務應用信息事件、縱向貫通信息事件、地市終端信息事件、縣級單位信息事件等七大類，見表1。

1.1 涉密信息系統(tǒng)事件

涉密信息事件是指由涉密信息外泄造成的信息系統(tǒng)事件。根據(jù)涉密信息的性質(zhì)，如國家秘密、公司秘密或公司敏感信息外泄定級為五至七級信息系統(tǒng)事件。

1.2 數(shù)據(jù)信息系統(tǒng)事件

數(shù)據(jù)信息事件包括數(shù)據(jù)遭惡意篡改、數(shù)據(jù)丟失造成的信息系統(tǒng)事件。數(shù)據(jù)遭惡意篡改以產(chǎn)生的重大、較大等影響定級為五至七級信息系統(tǒng)事件；數(shù)據(jù)丟失指重要業(yè)務應用系統(tǒng)(即指營銷、財務、電力市場交易、生產(chǎn)管理等信息系統(tǒng))數(shù)據(jù)丟失且不可恢復，并根據(jù)丟失的數(shù)據(jù)量定級為五至七級信息系統(tǒng)事件，其余業(yè)務應用系統(tǒng)數(shù)據(jù)丟失造成影響定級為八級信息系統(tǒng)事件。

1.3 網(wǎng)絡信息系統(tǒng)事件

網(wǎng)絡信息事件包括本地信息網(wǎng)絡癱瘓、核心網(wǎng)絡(廣域網(wǎng))故障造成的信息系統(tǒng)事件，本地網(wǎng)絡指公司總部、分部、省電力公司和國家電網(wǎng)公司直屬公司本部、以及地市供電公司級單位的局域網(wǎng)，根據(jù)局域網(wǎng)癱瘓的影響時間定級為五至七級信息系統(tǒng)事件；核心網(wǎng)絡(廣域網(wǎng))故障根據(jù)影響范圍(以考核單位信息網(wǎng)絡或業(yè)務應用覆蓋的所有下一級單位為總數(shù)，發(fā)生故障單位的數(shù)量與總數(shù)的比例)及影響時間定級為五至八級信息系統(tǒng)事件。

1.4 業(yè)務應用信息系統(tǒng)事件

業(yè)務應用信息事件是指對不同類別的業(yè)務應用服務完全中斷造成的信息系統(tǒng)事件。業(yè)務應用系統(tǒng)分為三類，一類業(yè)務應用包括營銷業(yè)務應用服務；二類業(yè)務應用包括電力市場交易、招投標管理、安全生產(chǎn)管理、企業(yè)門戶及網(wǎng)站等系統(tǒng)；三類業(yè)務應用包括人資、財務、物資、項目、協(xié)同辦公、綜合管理等系統(tǒng)；服務中斷指因網(wǎng)絡通信中斷、人為破壞、軟件故障、服務器宕機、硬件設備損壞、誤操作等造成該系統(tǒng)業(yè)務非計劃不可用。業(yè)務應用信息事件根據(jù)影響時間定級為五至八級信息系統(tǒng)事件。

1.5 縱向貫通信息系統(tǒng)事件

縱向貫通事件指全部信息系統(tǒng)與公司總部縱向

貫通中斷造成的信息系統(tǒng)事件，縱向貫通信息事件根據(jù)影響時間定級五至八級信息系統(tǒng)事件。

1.6 地市終端信息系統(tǒng)事件

地市終端信息事件指地市公司級以上單位本部用戶終端設備不能使用造成的信息系統(tǒng)事件，根據(jù)影響范圍及影響時間定級為七至八級。

1.7 縣級單位信息系統(tǒng)事件

縣級單位信息事件包括縣級單位用戶終端設備不能使用及縣級單位本地或廣域信息網(wǎng)絡完全癱瘓兩類信息事件，根據(jù)影響范圍及影響時間定級為八級信息系統(tǒng)事件。

表1 信息系統(tǒng)事件分級表

分類小類五級事件六級事件七級事件八級事件涉密信息系統(tǒng)事件涉密信息外泄因信息系統(tǒng)原因?qū)е律婕皣颐孛苄畔⑼庑挂蛐畔⑾到y(tǒng)原因?qū)е鹿久孛苄畔⑼庑?對公司生產(chǎn)經(jīng)營產(chǎn)生較大影響利用公司信息系統(tǒng)造成公司敏感信息外泄 -數(shù)據(jù)信息系統(tǒng)事件信息系統(tǒng)數(shù)據(jù)遭惡意篡改信息系統(tǒng)數(shù)據(jù)遭惡意篡改,對公司生產(chǎn)經(jīng)營產(chǎn)生重大影響信息系統(tǒng)數(shù)據(jù)遭惡意篡改,對公司生產(chǎn)經(jīng)營產(chǎn)生較大影響信息系統(tǒng)數(shù)據(jù)遭惡意篡改 -數(shù)據(jù)丟失重要業(yè)務應用3天以上數(shù)據(jù)完全丟失,且不可恢復重要業(yè)務應用1天以上數(shù)據(jù)完全丟失,且不可恢復重要業(yè)務應用數(shù)據(jù)丟失,且不可恢復其他業(yè)務應用數(shù)據(jù)完全丟失,對業(yè)務應用造成一定影響網(wǎng)絡信息系統(tǒng)事件本地信息網(wǎng)絡癱瘓本地信息網(wǎng)絡完全癱瘓且影響時間超過8 h(一個工作日)本地信息網(wǎng)絡完全癱瘓且影響時間超過4 h本地信息網(wǎng)絡完全癱瘓-核心網(wǎng)絡(廣域網(wǎng))故障影響范圍80%～100%且影響時間超過12 h;影響范圍40%～80%且影響時間超過24 h影響范圍80%～100%且影響時間超過4 h;影響范圍40%～80%且影響時間超過12 h;影響范圍20%～40% 且影響時間超過24 h影響范圍80%～100% 且影響時間超過2 h;影響范圍40%～80% 且影響時間超過6 h;影響范圍20%～40% 且影響時間超過12 h影響范圍大于10%或影響時間超過1 h業(yè)務應用信息系統(tǒng)事件一類業(yè)務應用服務完全中斷影響時間超過8 h影響時間超過4 h影響時間超過2 h影響時間超過30 min二類業(yè)務應用服務完全中斷影響時間超過24 h影響時間超過12 h影響時間超過4 h影響時間超過1 h三類業(yè)務應用服務完全中斷影響時間超過2個工作日影響時間超過1個工作日影響時間超過8 h影響時間超過1 h縱向貫通信息系統(tǒng)事件信息系統(tǒng)縱向貫通影響時間超過12 h影響時間超過4 h影響時間超過1 h縱向貫通發(fā)生中斷地市終端信息系統(tǒng)事件地市公司級以上單位終端設備不能使用--影響范圍達100%,影響時間超過2 h;影響范圍80%～100%,影響時間超過4 h影響范圍達100%,影響時間超過30 min;影響范圍80%～100%,影響時間超過1 h;影響范圍50%～80%, 影響時間超過2 h縣級單位信息系統(tǒng)事件縣級單位終端設備不能使用---影響范圍達100%,影響時間超過1 h;影響范圍80%～100%,影響時間超過2 h;影響范圍50%～80%, 影響時間超過4 h縣級單位本地或廣域信息網(wǎng)絡癱瘓---影響時間超過2 h

2 應用實例

根據(jù)表1，將信息系統(tǒng)事件按安全、網(wǎng)絡、應用、終端等4個專業(yè)口徑進行劃分，安全專業(yè)包括了涉密信息事件、數(shù)據(jù)信息事件，網(wǎng)絡專業(yè)包括了網(wǎng)絡信息事件、縱向貫通信息事件，應用專業(yè)為業(yè)務應用信息事件，終端專業(yè)包括了地市終端信息事件、縣級單位信息事件，針對不同事件的專業(yè)口徑可直接快速查表定級，但由于信息系統(tǒng)事件存在同一原因?qū)е露鄠€專業(yè)的不同影響，需按最高等級的影響進行定級。以下3個實例為近兩年系統(tǒng)內(nèi)的典型案例，全部可通過查表實現(xiàn)快速定級。

a. 電子商務平臺外網(wǎng)應用緩慢影響業(yè)務應用事件。2012年某月某日10:20，電子商務平臺外網(wǎng)廢舊物資拍賣模塊響應緩慢。11:45，清理共享存儲中部分臨時文件，重啟應用服務節(jié)點，12:00，系統(tǒng)恢復正常。事件持續(xù)1 h40 min，導致廢舊物資拍賣延期或流拍，影響發(fā)布招標公告。根據(jù)以上定級方法分析認為：電子商務平臺屬招投標管理系統(tǒng)，為二類業(yè)務應用信息事件，影響時間超過1 h，不足4 h，因此可以定為信息系統(tǒng)八級事件。

b. 某人資管控系統(tǒng)停運事件。2012年某月某日00:05，某辦公樓供電系統(tǒng)計劃檢修，造成人資管控系統(tǒng)供電中斷，服務器宕機，人資管控系統(tǒng)服務器停運。1:05供電恢復，由于系統(tǒng)配置不當，未能正常自動重啟。且因該系統(tǒng)由業(yè)務部門管理，沒有納入本單位運行監(jiān)管范圍，在服務器宕機后，無告警信息。上班后進行服務器重啟操作等相關處理，系統(tǒng)于9:00恢復正常運行。人資管控系統(tǒng)停運時長為8 h55 min。根據(jù)以上定級方法分析認為：人資管控為三類業(yè)務應用系統(tǒng)，影響時間超過8 h，不超過1個工作日，定為信息系統(tǒng)八級事件。

c. 某企業(yè)門戶等信息系統(tǒng)服務中斷事件。2011年某月某日，因某企業(yè)局域網(wǎng)故障，造成企業(yè)門戶、協(xié)同辦公、綜合查詢、電網(wǎng)規(guī)劃、投資計劃、統(tǒng)計管理、審計管理、經(jīng)濟法律、農(nóng)電應用、遠程培訓、信息運維綜合監(jiān)管系統(tǒng)(IMS)、內(nèi)部網(wǎng)站共12個信息系統(tǒng)無法正常訪問，服務中斷最長達12 h10 min。根據(jù)以上定級方法分析認為：局域網(wǎng)屬本地網(wǎng)絡，由于未造成完全癱瘓，因此不按網(wǎng)絡信息事件定級。受影響的12個系統(tǒng)中企業(yè)門戶網(wǎng)站為二類業(yè)務應用系統(tǒng)，影響時間超過12 h，不足24 h，定為六級信息系統(tǒng)事件，其它業(yè)務應用為三類業(yè)務應用系統(tǒng)，根據(jù)《國家電網(wǎng)公司安全事故調(diào)查規(guī)程》規(guī)定由于同一個原因?qū)е滦畔⑾到y(tǒng)不可用、應用系統(tǒng)數(shù)據(jù)丟失、網(wǎng)絡癱瘓等信息系統(tǒng)事件時，可按最高等級統(tǒng)計為一次事件，因此此事件定為信息系統(tǒng)六級事件。

3 結(jié)束語

將信息系統(tǒng)事件定級按照事件類別進行分類區(qū)分，從另一個角度將信息系統(tǒng)事件按其造成的影響及后果進行了分析和比對。以上對比分析非常適合于電力企業(yè)信息管理及信息運維人員對信息系統(tǒng)事件的快速的核查和記憶，并為根據(jù)不同類別、不同等級事件制定相應防范對策提供幫助，從而有效實施各類安全舉措，避免或減少信息系統(tǒng)事件的發(fā)生或擴大，提高企業(yè)信息系統(tǒng)安全運維水平。