电厂二次系统安全审核报告模板

《电厂二次系统安全审核报告模板》由会员分享，可在线阅读，更多相关《电厂二次系统安全审核报告模板（28页珍藏版）》请在金锄头文库上搜索。

1、 密级：内部XXXX单位XXXX项目XXXX文档XXXX信息技术有限公司2005年10月目 录一.引言11.1.目的11.2.背景11.3.术语和定义11.4.参照标准和规范2二.XX电厂安全审核概述32.1.安全审核范围32.1.1.安全审核业务32.1.2.业务网络拓扑结构32.2.审核流程3三.资产识别和估价63.1.概述63.2.资产识别63.2.1.评估资产编号规则63.2.2.服务器63.2.3.网络设备73.2.4.终端设备73.3.资产估价方法73.4.资产估价结果8四.威胁评估84.1.概述84.2.威胁的类别94.3.威胁评估方法104.4.威胁评估结果114.4.1.威胁

2、严重性评估结果114.4.2.威胁可能性评估结果12五.脆弱性评估125.1.概述125.2.脆弱性的类别125.3.脆弱性评估方法155.4.脆弱性评估结果15六.风险分析166.1.概述166.2.风险计算方法166.3.风险评估结果176.4.风险分析176.4.1.业务风险综合分析176.4.2.资产风险分析18七.风险管理建议24一. 引言1.1. 目的本安全审核报告是针对XX电厂二次系统进行安全评估过程的总结。通过对XX电厂二次系统的调查、审核及评估，为XX电厂二次系统提供符合电力二次系统安全防护规定（电监会5号令）的初步审查和安全现状了解，为下一步的系统安全分析、安全保护方案制定

3、、安全风险管理等提供可靠的依据。1.2. 背景随着现代通讯技术和信息技术的发展，为了保障大电网的安全和经济运行，各种信息系统， 如调度自动化（SCADA/EMS）、配电网自动化系统（DA）和变电站综合自动化系统（SA），电力市场技术支持系统等在电力系统领域里得到了广泛应用。电力系统与信息系统、通信系统已经融合成为高度集成的混杂系统，电力系统的监测和控制越来越依赖于信息系统和通信系统的可靠运行。为保障电网系统的安全可靠运行，国家电力监管委员会发布了电力二次系统安全防护规定（电监会5号令），在5号令中明确了电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则，并且要求建立电

4、力二次系统安全评估制度。在电力二次系统中电厂二次系统是其中的重要环节，对电厂二次系统的安全审核和评估是目前电力二次系统安全审核和评估中较大的空白。XX公司根据自身贴近和熟悉行业的特点，结合自身的技术力量，开展对电厂二次系统的审核和评估。1.3. 术语和定义添加其它条目电力二次系统：包括电力监控系统、电力通信及数据网络等。电力监控系统：是指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控

5、制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等。电力调度数据网络：是指各级电力调度专用广域数据网络、电力生产专用拨号网络等。控制区：是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安全区域。非控制区：是指在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域。1.4. 参照标准和规范中华人民共和国计算机信息系统安全保护条例计算机信息系统安全保护等级划分准则电力二次系统安全防护规定（电监会5号令）信息技术 安全技术 信息技术安全

6、性评估准则，第一部分 简介和一般模型(ISO15408 / GB/T 18336)信息技术 安全技术 信息技术安全性评估准则，第二部分 安全功能要求(ISO15408 / GB/T 18336)信息技术 安全技术 信息技术安全性评估准则，第三部分 安全保证要求(ISO15408 / GB/T 18336)ISO 17799 Part I, Code of Practice for Information Security ManagementISO 17799 Part II, Specification for Information Security Management二. XX电厂安全

7、审核概述2.1. 安全审核范围2.1.1. 安全审核业务本次评估业务系统为XX电厂二次系统，包括电厂电力监控系统、电厂电力通信及数据网络等。XX电厂二次系统提供xxxx业务，具体二次系统参见业务网络拓扑图。具体评估范围涵盖关键服务器、网络设备、终端，包括：（列出审核及评估的所有节点）l 邮件服务器、邮件网关服务器、邮件过滤服务器l 数据库服务器、经营数据服务器、经营分析服务器l IIS服务器、FTP服务器、DNS服务器2.1.2. 业务网络拓扑结构XX电厂网络拓扑图图示如下：图2-1 网络拓扑结构图简述网络连接方式和结构。2.2. 审核流程本次评估过程主要分为以下几个阶段（参见图2-2）：l

8、第一阶段确定评估范围阶段，调查并了解XX电厂二次系统的业务流程和运行环境，确定评估范围的边界以及范围内的所有网络系统。l 第二阶段是资产的识别和估价阶段，对评估范围内的所有资产进行识别，并调查资产破坏后可能造成的影响大小，根据影响的大小为资产进行相对赋值。l 第三阶段是安全威胁评估阶段，即评估资产所面临的每种威胁发生的可能性和严重性。l 第四阶段是脆弱性评估阶段，包括从技术和管理等方面进行的脆弱程度检查，技术方面是以本地方式进行手工检查的评估。l 第五阶段是风险分析阶段，即通过分析上面所评估的数据，进行风险值计算、区分和确认高风险因素。l 第六阶段是风险管理阶段，这一阶段主要是总结整个风险评估

9、过程，制定相关风险控制策略，建立安全审核报告，实施某些紧急风险控制措施。图2-2 风险评估流程图三. 资产识别和估价3.1. 概述资产是风险评估的最终评估对象。在一个全面的风险评估中，风险的所有重要因素都紧紧围绕着资产为中心，威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能，从而形成了风险。这些安全事件一旦发生，将对资产甚至是整个系统都将造成一定的影响。因此资产的评估是风险评估的一个重要的步骤，它被确定和估价的准确性将影响着下一步所有因素的评估。本项目中资产评估的主要工作就是对XX电厂二次系统风险评估范围内的资产进行识别，确定所有的评估对象，然后

10、根据评估的资产在业务和应用流程中的重要程度为资产进行估价。3.2. 资产识别3.2.1. 评估资产编号规则编号规则为：设备位置 + 设备类型 + 序号。其中：l 设备位置：A代表物理位置一；B代表物理位置二；依此类推。l 设备类型：H代表服务器；N代表网络设备；T代表终端设备；S代表存储设备；O代表其它设备。l 设备序号：以三位数字XXX表示，从001开始累加。3.2.2. 服务器提供服务器资产数据清单。编号IP地址操作系统应用软件存储业务数据应用说明AH00110.87.13.66HP-UX 11.0DOMINO 5.08邮件邮件服务器3.2.3. 网络设备提供网络设备资产数据清单。编号IP

11、地址设备型号版本应用说明AN00110.87.13.120华为NE16vrp2.0中心接入AN00210.87.13.111华为3680vrp1.3.01拨号，ddn3.2.4. 终端设备提供终端设备资产数据清单。编号IP地址物理位置AT00110.87.11.5业务支援中心3.3. 资产估价方法在识别出所有信息资产后，接着是为每项资产赋予价值。我们将资产的权值分为04五个级别，由低到高代表资产的重要等级。资产估价是一个主观的过程，资产估价不是以资产的账面价格来衡量的，而是指其相对价值。在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织的商务的重要性，即根据资产损失所引发

12、的潜在的商务影响来决定。为确保资产估价时的一致性和准确性，XX公司按照上述原则，建立了一套资产价值尺度，即资产评估准则，以明确如何对资产进行赋值。资产估价的过程也就是资产影响分析的过程。影响就是由人为或突发性引起的安全事件对资产破坏的后果。这一后果可能毁灭某些资产，危及信息系统并使其丧失机密性、完整性、可用性，最终还会造成经济损失、市场份额或公司形象的破坏。特别重要的是，即使每一次影响引起的损失并不大，但长期积累的众多意外事件的影响总和亦可造成严重损失。一般情况下，影响主要从以下几方面来考虑（具体请参见附录A 资产评估准则）：l 经济损失l 业务影响l 系统破坏l 信誉影响l 商机泄露l 法律

13、责任l 人身安全l 公共秩序l 商业利益3.4. 资产估价结果根据XX电厂二次系统评估信息资产及其影响调查结果，结合关键服务器、网络设备和终端设备的重要程度，确定不同类别的资产评估结果如下：所有评估资产估价表物理资产编号资产名称IP地址应用说明破坏后可能造成的影响权值四. 威胁评估4.1. 概述威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素，威胁是一个客观存在的事物，无论对于多么安全的信息系统而言，它总一定存在。威胁可能源于对系统直接或间接的攻击，例如信息泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁可能源于意外的、或有预谋的事件。一般来说，威胁总是要

14、利用系统、应用服务的弱点才可能成功地对资产造成损害。从宏观上讲，威胁按照安全事件的性质可以分为人为错误、非授权蓄意行为、不可抗力、以及设施/设备错误等；按照威胁的主体可以分为系统合法用户、系统非法用户、系统组件和物理环境四种类型。首先识别出对XX电厂二次系统需要保护的每一项关键资产的主要威胁，即根据资产所处的环境条件和资产以前遭受威胁损害的情况进行判断。一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产有不同的表现形式，也就可能造成不同程度的影响。识别主要是找出威胁由谁或什么事物引发以及威胁影响的资产是什么，即确定威胁的主体和客体。其次对每种威胁的属性（即威胁的严重程度和威胁发生的可能性）进行调查和分析，最终通过为各属性赋相对值的方式为其估价。在本项目中，确定威胁的属性是威胁评估的重要环节，XX公司根据行业经验的基础上对搜集的XX电厂二次系统历史安全事件的统计数据进行了判断，并通过问卷调查的方式对XX电厂二次系统的相关网络系统管理员、安全管理员进行了调查，最终获取了大量的威胁发生的频率或概率的第一手数据。4.2. 威胁的类别根据XX电厂二次系统的具体情况，结合XX电厂二次系统历年来在信息安全方面发生过的事件记