術測試和安全管理核查的基礎上，根據系統(tǒng)的特點，發(fā)現(xiàn)和分析安全控制間、層面間以及區(qū)域間的相互關聯(lián)關系，以及安全控制間、層面間和區(qū)域間是否存在安全功能上的增強、補充和削弱作用以及系統(tǒng)整體結構安全性、不同系統(tǒng)之間整體安全性等，最終給出改進建議。

總體要求測評時，可分別從技術和管理的角度進行測評。進行整體技術要求測評工作時，通過查看和核實網絡拓撲圖、人員訪談等方法，了解到電力公司信息網絡分為管理信息大區(qū)和生產管理大區(qū)，兩大區(qū)之間有信息通信交換的需求，因此采用了正/反向隔離裝置，以滿足管理信息大區(qū)至生產管理大區(qū)、生產管理大區(qū)至管理信息大區(qū)之間的數據交換需求。根據公司信息系統(tǒng)安全防護總體方案要求，公司管理信息大區(qū)又分為信息內網和信息外網，兩網之間采用強邏輯隔離裝置，且雙網隔離方案已實施。電力企業(yè)財務管理信息系統(tǒng)重要應用部署在內網，有外網交互功能的應用將前端署在外網，關鍵數據處理部分部署在內網。電力公司信息內網采用冗余技術設計網絡結構，并且單個系統(tǒng)由獨立子網承載，單獨劃分安全域，每個域的網絡出口唯一。系統(tǒng)與系統(tǒng)之間、二級單位與本部之間均部署了防火墻，啟用了訪問控制功能。進行通用管理要求測評工作時，由于電力公司管理信息大區(qū)含三級及以下等級信息系統(tǒng)，所以確定通用管理要求等同采用三級。

應用基本指標和特殊指標進行測評時，一般是按照測評項一條一條分別進行測評的。具體可采取的測評方式有：使用問卷調查表，對通信系統(tǒng)進行初步的系統(tǒng)調研，掌握系統(tǒng)的主要功能和業(yè)務流程。調閱定級報告，詳細了解評估范圍內的二次系統(tǒng)及其包含的信息資產，為下一步測評指標的選取做好準備;在用戶許可的情況下，對通信系統(tǒng)的關鍵設備和關鍵系統(tǒng)進行安全漏洞掃描、手工配置檢查等安全技術測試，對網絡拓撲結構進行合理性分析，對應用系統(tǒng)進行安全性分析，發(fā)現(xiàn)和分析系統(tǒng)安全技術方面所面臨的風險;采用安全核查表的形式從管理層面和技術規(guī)范執(zhí)行角度，對通信系統(tǒng)進行現(xiàn)場的安全管理核查，了解到包括人的因素在內的系統(tǒng)運行狀況。通過對核查結果的分析，發(fā)現(xiàn)和分析系統(tǒng)安全管理方面所面臨的風險。根據不同的測評方式、測評內容等，執(zhí)行現(xiàn)場測評后，會得到多個測評證據。對多個測評證據需進行單項結果判定、單元測評結果判定，最終進行整體測評。

4 結論

本文介紹了電力行業(yè)信息安全工作和信息安全等級保護工作的開展情況，對國家信息安全等級保護基本要求和電力行業(yè)信息安全等級保護基本要求進行了差異比較。在電力行業(yè)開展信息安全等級保護試點測評工作的背景下，本文描述了協(xié)調應用等級保護要求基本指標和行業(yè)特殊指標的測評方法以及具有電力系統(tǒng)特色的總體要求的測評方法。電力行業(yè)信息安全等級保護試點測評工作范圍逐漸擴大，各電力企業(yè)之間存在一定的差異和差距，等級保護試點工作的開展較大程度上的推動了電力行業(yè)信息安全工作的進展，同時由于智能電網等新技術的應用，電力信息系統(tǒng)的自動化、互動化、信息化特征越來越明顯，這些都將對電力行業(yè)等級保護測評工作的測評方法提出更大的挑戰(zhàn)。