李红宇，刘 欣，帅兴洲

(1.邯郸供电公司，河北 邯郸 056035；2.河北省电力公司，石家庄 050021)

随着国家电网公司信息化建设工作的不断深入，在生产、经营、管理等方面对信息系统的依赖性越来越高，对信息系统的安全要求也越来越高，信息系统事件已等同于生产安全进行考核及管理。为此，在新版的《国家电网公司安全事故调查规程》(2012年1月1日起施行)中，除原有的人身、电网、设备三类事故外，增加了信息系统事故，并按严重程度从高到低对五至八级信息系统事件进行了定义。为进一步实现信息系统事件的快速定级，以下介绍一种新方法，实现根据信息系统事件的性质对事故进行分类，根据事件所造成的影响进行分级定义。

1 信息系统事件分类定级

国家电网公司的安全事故体系由人身、电网、设备和信息系统四类事故组成，分为一至八级，对于信息系统事件给出了五至八级定义，由于信息系统的运行，传统上是以专业进行分工划分，可分为安全、网络、应用、终端等专业，因此将信息系统事件定义按照事件的性质及专业进行划分就更为实用。基于此设想，将信息系统事件分为涉密信息事件、数据信息事件、网络信息事件、业务应用信息事件、纵向贯通信息事件、地市终端信息事件、县级单位信息事件等七大类，见表1。

1.1 涉密信息系统事件

涉密信息事件是指由涉密信息外泄造成的信息系统事件。根据涉密信息的性质，如国家秘密、公司秘密或公司敏感信息外泄定级为五至七级信息系统事件。

1.2 数据信息系统事件

数据信息事件包括数据遭恶意篡改、数据丢失造成的信息系统事件。数据遭恶意篡改以产生的重大、较大等影响定级为五至七级信息系统事件；数据丢失指重要业务应用系统(即指营销、财务、电力市场交易、生产管理等信息系统)数据丢失且不可恢复，并根据丢失的数据量定级为五至七级信息系统事件，其余业务应用系统数据丢失造成影响定级为八级信息系统事件。

1.3 网络信息系统事件

网络信息事件包括本地信息网络瘫痪、核心网络(广域网)故障造成的信息系统事件，本地网络指公司总部、分部、省电力公司和国家电网公司直属公司本部、以及地市供电公司级单位的局域网，根据局域网瘫痪的影响时间定级为五至七级信息系统事件；核心网络(广域网)故障根据影响范围(以考核单位信息网络或业务应用覆盖的所有下一级单位为总数，发生故障单位的数量与总数的比例)及影响时间定级为五至八级信息系统事件。

1.4 业务应用信息系统事件

业务应用信息事件是指对不同类别的业务应用服务完全中断造成的信息系统事件。业务应用系统分为三类，一类业务应用包括营销业务应用服务；二类业务应用包括电力市场交易、招投标管理、安全生产管理、企业门户及网站等系统；三类业务应用包括人资、财务、物资、项目、协同办公、综合管理等系统；服务中断指因网络通信中断、人为破坏、软件故障、服务器宕机、硬件设备损坏、误操作等造成该系统业务非计划不可用。业务应用信息事件根据影响时间定级为五至八级信息系统事件。

1.5 纵向贯通信息系统事件

纵向贯通事件指全部信息系统与公司总部纵向

贯通中断造成的信息系统事件，纵向贯通信息事件根据影响时间定级五至八级信息系统事件。

1.6 地市终端信息系统事件

地市终端信息事件指地市公司级以上单位本部用户终端设备不能使用造成的信息系统事件，根据影响范围及影响时间定级为七至八级。

1.7 县级单位信息系统事件

县级单位信息事件包括县级单位用户终端设备不能使用及县级单位本地或广域信息网络完全瘫痪两类信息事件，根据影响范围及影响时间定级为八级信息系统事件。

表1 信息系统事件分级表

分类小类五级事件六级事件七级事件八级事件涉密信息系统事件涉密信息外泄因信息系统原因导致涉及国家秘密信息外泄因信息系统原因导致公司秘密信息外泄,对公司生产经营产生较大影响利用公司信息系统造成公司敏感信息外泄 -数据信息系统事件信息系统数据遭恶意篡改信息系统数据遭恶意篡改,对公司生产经营产生重大影响信息系统数据遭恶意篡改,对公司生产经营产生较大影响信息系统数据遭恶意篡改 -数据丢失重要业务应用3天以上数据完全丢失,且不可恢复重要业务应用1天以上数据完全丢失,且不可恢复重要业务应用数据丢失,且不可恢复其他业务应用数据完全丢失,对业务应用造成一定影响网络信息系统事件本地信息网络瘫痪本地信息网络完全瘫痪且影响时间超过8 h(一个工作日)本地信息网络完全瘫痪且影响时间超过4 h本地信息网络完全瘫痪-核心网络(广域网)故障影响范围80%～100%且影响时间超过12 h;影响范围40%～80%且影响时间超过24 h影响范围80%～100%且影响时间超过4 h;影响范围40%～80%且影响时间超过12 h;影响范围20%～40% 且影响时间超过24 h影响范围80%～100% 且影响时间超过2 h;影响范围40%～80% 且影响时间超过6 h;影响范围20%～40% 且影响时间超过12 h影响范围大于10%或影响时间超过1 h业务应用信息系统事件一类业务应用服务完全中断影响时间超过8 h影响时间超过4 h影响时间超过2 h影响时间超过30 min二类业务应用服务完全中断影响时间超过24 h影响时间超过12 h影响时间超过4 h影响时间超过1 h三类业务应用服务完全中断影响时间超过2个工作日影响时间超过1个工作日影响时间超过8 h影响时间超过1 h纵向贯通信息系统事件信息系统纵向贯通影响时间超过12 h影响时间超过4 h影响时间超过1 h纵向贯通发生中断地市终端信息系统事件地市公司级以上单位终端设备不能使用--影响范围达100%,影响时间超过2 h;影响范围80%～100%,影响时间超过4 h影响范围达100%,影响时间超过30 min;影响范围80%～100%,影响时间超过1 h;影响范围50%～80%, 影响时间超过2 h县级单位信息系统事件县级单位终端设备不能使用---影响范围达100%,影响时间超过1 h;影响范围80%～100%,影响时间超过2 h;影响范围50%～80%, 影响时间超过4 h县级单位本地或广域信息网络瘫痪---影响时间超过2 h

2 应用实例

根据表1，将信息系统事件按安全、网络、应用、终端等4个专业口径进行划分，安全专业包括了涉密信息事件、数据信息事件，网络专业包括了网络信息事件、纵向贯通信息事件，应用专业为业务应用信息事件，终端专业包括了地市终端信息事件、县级单位信息事件，针对不同事件的专业口径可直接快速查表定级，但由于信息系统事件存在同一原因导致多个专业的不同影响，需按最高等级的影响进行定级。以下3个实例为近两年系统内的典型案例，全部可通过查表实现快速定级。

a. 电子商务平台外网应用缓慢影响业务应用事件。2012年某月某日10:20，电子商务平台外网废旧物资拍卖模块响应缓慢。11:45，清理共享存储中部分临时文件，重启应用服务节点，12:00，系统恢复正常。事件持续1 h40 min，导致废旧物资拍卖延期或流拍，影响发布招标公告。根据以上定级方法分析认为：电子商务平台属招投标管理系统，为二类业务应用信息事件，影响时间超过1 h，不足4 h，因此可以定为信息系统八级事件。

b. 某人资管控系统停运事件。2012年某月某日00:05，某办公楼供电系统计划检修，造成人资管控系统供电中断，服务器宕机，人资管控系统服务器停运。1:05供电恢复，由于系统配置不当，未能正常自动重启。且因该系统由业务部门管理，没有纳入本单位运行监管范围，在服务器宕机后，无告警信息。上班后进行服务器重启操作等相关处理，系统于9:00恢复正常运行。人资管控系统停运时长为8 h55 min。根据以上定级方法分析认为：人资管控为三类业务应用系统，影响时间超过8 h，不超过1个工作日，定为信息系统八级事件。

c. 某企业门户等信息系统服务中断事件。2011年某月某日，因某企业局域网故障，造成企业门户、协同办公、综合查询、电网规划、投资计划、统计管理、审计管理、经济法律、农电应用、远程培训、信息运维综合监管系统(IMS)、内部网站共12个信息系统无法正常访问，服务中断最长达12 h10 min。根据以上定级方法分析认为：局域网属本地网络，由于未造成完全瘫痪，因此不按网络信息事件定级。受影响的12个系统中企业门户网站为二类业务应用系统，影响时间超过12 h，不足24 h，定为六级信息系统事件，其它业务应用为三类业务应用系统，根据《国家电网公司安全事故调查规程》规定由于同一个原因导致信息系统不可用、应用系统数据丢失、网络瘫痪等信息系统事件时，可按最高等级统计为一次事件，因此此事件定为信息系统六级事件。

3 结束语

将信息系统事件定级按照事件类别进行分类区分，从另一个角度将信息系统事件按其造成的影响及后果进行了分析和比对。以上对比分析非常适合于电力企业信息管理及信息运维人员对信息系统事件的快速的核查和记忆，并为根据不同类别、不同等级事件制定相应防范对策提供帮助，从而有效实施各类安全举措，避免或减少信息系统事件的发生或扩大，提高企业信息系统安全运维水平。