電力企業(yè)信息安全管理體系分析研究

時間：2022-12-01 23:02:09 信息安全畢業(yè)論文我要投稿

相關推薦

　　風險評估在信息安全管理體系中是確定企業(yè)信息安全需求的一個重要途徑，下面是小編搜集整理的一篇探究電力企業(yè)信息管理體系的論文范文，歡迎閱讀參考。

電力企業(yè)信息安全管理體系分析研究

　　摘要：電力企業(yè)里的人員眾多，設備眾多，為了保障企業(yè)的正常運轉，就需要系統(tǒng)化的管理。而在整個企業(yè)的管理系統(tǒng)中非常重要的一環(huán)就是信息安全管理體系。論文主要對信息安全管理體系建設中的重要環(huán)節(jié)、重要技術等進行分析，并特別介紹了信息安全管理體系中防病毒軟件的部署，來加深對信息安全管理體系的認識。

　　關鍵詞：信息安全;電力企業(yè);風險評估;管理模式

　　1 引言

　　在如今的信息化社會中，信息通過共享傳遞實現(xiàn)其價值。在信息交換的過程中，人們肯定會擔心自己的信息泄露，所以信息安全備受關注，企業(yè)的信息安全就更為重要了。但是網(wǎng)絡是一個開放互聯(lián)的環(huán)境，接入網(wǎng)絡的方式多樣，再加上技術存在的漏洞或者人們可能的操作失誤等，信息安全問題一刻不容忽視。尤其是電力，是國家規(guī)定的重要信息安全領域。所以電力企業(yè)要把信息安全管理體系的建設，作為重要的一環(huán)納入到整個企業(yè)管理體系中去。

　　2 電力企業(yè)信息管理體系建設的依據(jù)

　　關于企業(yè)的安全管理體系方面的標準有很多。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內(nèi)容：信息安全管理實施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實施規(guī)則是一個基礎性指導文件，里面有10大管理項、36個執(zhí)行的目標和127種控制的方法，可以作為開發(fā)人員在信息安全管理體系開發(fā)過程中的一個參考文檔。信息安全管理體系規(guī)范則詳細描述了在建立、施工和維護信息安全管理體系過程的要求，并提出了一些具體操作的建議。

　　國際標準化組織也發(fā)布了很多關于信息安全技術的標準，如ISO x系列、ISO/IEC x系列等。我國也制定了一系列的信息安全標準，如GB 15851―1995。

　　關于企業(yè)信息安全管理體系方面的標準眾多，如何針對企業(yè)自身實際情況選擇合適的參考標準很重要，尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì)，選擇信息安全體系建設的參考標準更要謹慎。我國電力企業(yè)已經(jīng)引入了一些國際化標準作為建立和維護企業(yè)運轉的保證，關于信息安全體系的標準也應納入到保證企業(yè)運轉的一系列參考中去。電力企業(yè)總體應有一致的安全信息管理體系參考標準，但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境，所以在總體一致的信息安全標準的情況下，也應該根據(jù)企業(yè)自身地區(qū)、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標準作為建立、實施和維護信息安全管理體系的依據(jù)。信息安全管理體系顧全大局又要有所側重的體現(xiàn)電力企業(yè)安全標準的要求。

　　3 信息安全管理體系里的重要環(huán)節(jié)

　　3.1 硬件環(huán)境要求

　　信息安全管理體系并沒有特別要求添加什么特別的設備，只是對企業(yè)用到的設備做一些要求。電力企業(yè)一般采用內(nèi)外網(wǎng)結合的方式，內(nèi)外網(wǎng)設備要盡量進行物理隔離。企業(yè)每個員工基本都有自己的移動設備，如手機等，為了增加信息安全的系數(shù)，企業(yè)可以限制公司設備的無線網(wǎng)絡拓展。另外，實時監(jiān)控系統(tǒng)也應該覆蓋企業(yè)的重要設備，監(jiān)控硬件設備的安全。

　　3.2 軟件環(huán)境要求

　　在企業(yè)設備(主要是計算機)上部署相關軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等，以此防止網(wǎng)絡攻擊或者提高安全系數(shù)。另外，企業(yè)設備所用系統(tǒng)的安全漏洞修復、數(shù)據(jù)的加密解密、數(shù)據(jù)的備份恢復及數(shù)據(jù)傳輸通道的加密解密等問題，都在信息安全管理體系設計的考慮范疇。

　　3.3 企業(yè)員工管理

　　盡管現(xiàn)在一直倡導智能化，但是企業(yè)內(nèi)進行設備等操作的主體還是員工。不管是對設備終端操作來進行信息的首發(fā)，還是對企業(yè)軟硬件系統(tǒng)進行維護工作，都是有員工來進行的。所以，對企業(yè)內(nèi)部員工進行信息安全培訓，提高員工的信息安全防范意識，讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位，在員工上崗前應該進行相關的信息安全方面的培訓，然后對培訓結果進行考核，不合格的人員不準上崗。在崗的人員也要定期進行培訓與考核。另外，如果有條件的話，企業(yè)應該定期(例如每年)進行一次信息安全的相關演習。

　　另外，電力企業(yè)有些項目是外包給其他相應公司的，這時候會有施工人員和駐場人員在電力企業(yè)，對這些人員也應該進行電力企業(yè)信息安全的培訓。

　　3.4 信息安全管理體系的風險系數(shù)評估

　　風險評估在信息安全管理體系中是確定企業(yè)信息安全需求的一個重要途徑，它是對企業(yè)的信息資產(chǎn)所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用下所帶來的風險可能性的評測。風險評估的主要任務是：檢測評估對象所面臨的各種風險，估計風險的概率和可能帶來的負面影響的程度，確定信息安全管理體系承受風險的能力，確定不同風險發(fā)生后消減和控制的優(yōu)先級，對消除風險提出建議。在信息安全管理體系的風險系數(shù)評估過程中，形成《風險系數(shù)評估報告》、《風險處理方案》等文檔，作為對信息安全管理體系進行調(diào)整的參考。風險系數(shù)的評估要盡可能全面的反映企業(yè)的信息安全管理體系，除了常規(guī)手段，也可以使用一些相應的軟件工具的結果作為參考。另外很值得注意的是企業(yè)的員工對風險的理解，企業(yè)員工對他們所操作的對象有比較深刻的理解，對其中可能存在的不足也有自己的見解，在風險系數(shù)評估的過程中，可以進行一些員工的問卷調(diào)查等，把員工對風險的認識納入風險評估的考慮范疇。

　　企業(yè)的設備會老舊更換，員工也會更換，所以企業(yè)的信息安全是動態(tài)的，因此風險評估工作也要視具體情況定期進行，針對當前情況作評估報告，然后制定相應的風險處理方案。還有，之所以要建立信息安全管理體系，其中很重要的一點就是體系內(nèi)各個模塊的結合，信息安全管理體系的風險評估與關鍵內(nèi)容的實時監(jiān)控就應該結合起來。

　　為了降低信息安全管理體系的風險系數(shù)，提升信息安全等級，要做的工作很多。滲透測試就是其中很有必要的一項工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式，來評估企業(yè)計算機網(wǎng)絡系統(tǒng)安全的一種評測方法。這個測試過程會對系統(tǒng)的可知的所有弱點、技術方面的缺陷或者漏洞等作主動的分析。滲透測試對于網(wǎng)絡信息安全的組織具有實際應用價值。隨著技術的不斷進步，可能還會出現(xiàn)其他的更有價值的信息安全技術，作為信息安全備受矚目的電力企業(yè)，應當時刻關注相關技術的進展，并及時將它們納入企業(yè)信息安全管理體系中來。 3.5 信息安全管理體系的管理模式

　　文章前面提到企業(yè)信息安全是動態(tài)的，所以信息安全管理體系需要建立一個長效的機制，針對最新的情況及時對自身作出調(diào)整，使信息安全管理體系有效的運行�，F(xiàn)在一般會采用PDCA循環(huán)過程模式：計劃，依照體系整個的方針和目標，建立與控制風險系數(shù)、提高信息安全的有關的安全方針、過程、指標和程序等;執(zhí)行：實施和運作計劃中建立的方針、過程、程序等;評測：根據(jù)方針、目標等，評估業(yè)績，并形成報告，也就是文章前面說到的風險系數(shù)評估;舉措：采取主動糾正或預防措施對體系進行調(diào)整，進一步提高體系運作的有效性。這四個步驟循環(huán)運轉，成為一個閉環(huán)，是信息安全管理體系得到持續(xù)的改進。

　　4 重要技術及展望

　　4.1 安全隔離技術

　　電力企業(yè)的信息網(wǎng)絡是由內(nèi)外網(wǎng)兩部分組成，從被防御的角度來看的話，內(nèi)網(wǎng)的主要安全防護技術為防火墻、桌面弱口令監(jiān)控、入侵檢測技術等;而主動防護則主要采用的是安全隔離技術等。安全隔離技術包括物理隔離、協(xié)議隔離技術和防火墻技術。一般電力企業(yè)采用了物理隔離與防火墻技術，在內(nèi)網(wǎng)設立防火墻，在內(nèi)外網(wǎng)之間進行物理隔離。

　　4.2 數(shù)據(jù)加密技術

　　企業(yè)的數(shù)據(jù)在傳輸過程中一般都要進行加密來降低信息泄露的風險�？梢愿鶕�(jù)電力企業(yè)內(nèi)部具體的安全要求，對規(guī)定的文檔、視圖等在傳輸前進行數(shù)據(jù)加密。尤其是電力企業(yè)通過外網(wǎng)傳輸?shù)臅r候，除了對數(shù)據(jù)進行加密外，還應該在鏈路兩端進行通道加密。

　　4.3 終端弱口令監(jiān)控技術

　　終端設備眾多，而且是業(yè)務應用的主要入口，所以終端口令關乎業(yè)務數(shù)據(jù)的安全以及整個系統(tǒng)的正常運轉。如果終端口令過于簡單薄弱，相當于沒有設定而將設備暴露。終端的信息安全是電力企業(yè)信息安全的第一道防線，因此采用桌面系統(tǒng)弱口令監(jiān)控技術來加強這第一道防線的穩(wěn)固性對電力企業(yè)的信息安全非常重要。

　　電力企業(yè)信息安全管理體系是一個復雜的系統(tǒng)，包含眾多的安全技術，如數(shù)據(jù)備份及災難恢復技術、終端安全檢查與用戶身份認證技術、虛擬專用網(wǎng)技術、協(xié)議隔離技術等。凡是與信息安全相關的技術，電力企業(yè)都應當關注，并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去。

　　智能化已成為不管是研究還是社會應用的熱門詞匯。電力企業(yè)的信息安全管理體系是否可以智能化呢?不妨做一個展望，電力企業(yè)的信息安全管理體系有了很強的自我學習與自我改進的能力，在信息安全環(huán)境越來越復雜，信息量越來越龐大的情況下是否會更能發(fā)揮信息安全管理體系的作用呢?這應該是值得期待的。

　　5 防病毒軟件部署

　　電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署，如防病毒軟件部署、桌面弱口令監(jiān)控系統(tǒng)部署、系統(tǒng)安全衛(wèi)士部署等。但是它們的部署情況類似，這里用防病毒軟件的部署來展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況。如圖1所示為防病毒軟件的部署框架。

　　殺毒軟件種類有很多，這里以賽門鐵克殺毒軟件為例。企業(yè)版的賽門鐵克防病毒軟件系統(tǒng)相比單機版增加了網(wǎng)絡管理的功能，能夠很大程度地減輕維護人員的工作量。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運行，在電力企業(yè)內(nèi)部正式使用時，盡量準備一tai獨立的服務器作為防病毒軟件專用的服務器。

　　服務器安裝配置好賽門鐵克防病毒軟件后，可以遠程控制客戶端與下級升級服務器的軟件安裝與升級。

　　電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的，這樣的話，防病毒軟件的更新可能無法自動完成。防病毒軟件需要升級的時候，維護人員在通過外網(wǎng)在相應網(wǎng)址下載賽門鐵克升級包，然后通過安全U盤拷貝到防病毒軟件系統(tǒng)專用服務器進行升級操作。在圖1中，省電力公司的防病毒管理控制臺獲得升級包可以下發(fā)給下級升級服務器和客戶端進行防病毒軟件系統(tǒng)的自動升級更新。圖1是一個簡單的框圖，如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話，還可以更多級地分布部署。

　　6 結束語

　　電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營管理密切相關，是企業(yè)整個管理系統(tǒng)的一部分。信息安全管理體系是一個整體性的管理工作，把體系中涉及的內(nèi)容統(tǒng)一進行管理，讓它們協(xié)調(diào)運作，實現(xiàn)信息安全管理體系的功能。電力企業(yè)信息安全的建立與體系不斷的改進定能穩(wěn)定、有效地維護企業(yè)的信息安全。

　　參考文獻

　　[1] 王志強，李建剛.電網(wǎng)企業(yè)信息安全管理體系建設[J].浙江省電力公司，2008，6(3)：26-29.

　　[2] 陳賀，宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化，2014，17(1)：74-76.

　　[3] 郭建，顧志強.電力企業(yè)信息安全現(xiàn)狀分析及管理對策[J].信息技術，2013(1)：180-187.

　　[4] 沈x.火力發(fā)電廠信息你安全體系構建與應用[J].電力信息通信技術，2013，11(8)：103-108.

　　[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密，2010，01(10)：68-71.

　　[6] 楊柳.構建供電企業(yè)信息安全體系[J].電腦知識與技術，2005(29).

　　[7] 曹鳴鵬，趙偉，許林英. J2EE技術及其實現(xiàn)[J]. 計算機應用，2001， 21(10)： 20-23.

　　[8] 江和平.淺談網(wǎng)絡信息安全技術[J].現(xiàn)代情報學，2004(14)：125-127.

【電力企業(yè)信息安全管理體系分析研究】相關文章：

電力企業(yè)信息管理軟件的規(guī)劃08-09

企業(yè)信息化安全技術研究01-08