电力企业信息安全管理体系分析研究

电力企业信息平安管理体系分析研究电力企业信息平安管理体系分析研究1引言在如今的信息化社会中，信息通过共享传递实现其价值。在信息交换的过程中，人们肯定会担忧自己的信息泄露，所以信息平安备受关注，企业的信息平安就更为重要了。但是网络是一个开放互联的环境，接入网络的方式多样，再加上技术存在的破绽或者人们可能的操作失误等，信息平安问题一刻不容无视。尤其是电力，是国家规定的重要信息平安领域。所以电力企业要把信息平安管理体系的建立，作为重要的一环纳入到整个企业管理体系中去。2电力企业信息管理体系建立的根据关于企业的平安管理体系方面的标准有很多。英国BSI/DIS的BDD信息管理委员会制定的平安管理体系主要包含两个局部内容：信息平安管理施行规那么和信息平安管理体系标准。信息平安管理施行规那么是一个根底性指导文件，里面有10大管理项、36个执行的目的和127种控制的方法，可以作为开发人员在信息平安管理体系开发过程中的一个参考文档。信息平安管理体系标准那么详细描绘了在建立、施工和维护信息平安管理体系过程的要求，并提出了一些详细操作的建议。国际标准化组织也发布了很多关于信息平安技术的标准，如ISx系列、IS/IEx系列等。我国也制定了一系列的信息平安标准，如GB158511995。关于企业信息平安管理体系方面的标准众多，如何针对企业自身实际情况选择适宜的参考标准很重要，尤其是电本文由论文联盟.Ll.搜集整理力企业有着与其他企业不同的一些特殊性质，选择信息平安体系建立的参考标准更要慎重。我国电力企业已经引入了一些国际化标准作为建立和维护企业运转的保证，关于信息平安体系的标准也应纳入到保证企业运转的一系列参考中去。电力企业总体应有一致的平安信息管理体系参考标准，但是详细地区的公司又有着本身自己的特殊环境，所以在总体一致的信息平安标准的情况下，也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息平安标准作为建立、施行和维护信息平安管理体系的根据。信息平安管理体系顾全大局又要有所侧重的表达电力企业平安标准的要求。3信息平安管理体系里的重要环节3.1硬件环境要求信息平安管理体系并没有特别要求添加什么特别的设备，只是对企业用到的设备做一些要求。电力企业一般采用内外网结合的方式，内外网设备要尽量进展物理隔离。企业每个员工根本都有自己的挪动设备，如等，为了增加信息平安的系数，企业可以限制公司设备的无线网络拓展。另外，实时监控系统也应该覆盖企业的重要设备，监控硬件设备的平安。3.2软件环境要求在企业设备主要是计算机上部署相关软件环境是信息平安管理体系中最重要的局部。比方防病毒软件的部署、桌面系统弱口令监控软件的部署等，以此防止网络攻击或者进步平安系数。另外，企业设备所用系统的平安破绽修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题，都在信息平安管理体系设计的考虑范畴。3.3企业员工管理尽管如今一直倡导智能化，但是企业内进展设备等操作的主体还是员工。不管是对设备终端操作来进展信息的首发，还是对企业软硬件系统进展维护工作，都是有员工来进展的。所以，对企业内部员工进展信息平安培训，进步员工的信息平安防范意识，让员工掌握一定的信息平安防范与处理手段是非常重要的事情。针对不同的职位，在员工上岗前应该进展相关的信息平安方面的培训，然后对培训结果进展考核，不合格的人员不准上岗。在岗的人员也要定期进展培训与考核。另外，假如有条件的话，企业应该定期例如每年进展一次信息平安的相关演习。另外，电力企业有些工程是外包给其他相应公司的，这时候会有施工人员和驻场人员在电力企业，对这些人员也应该进展电力企业信息平安的培训。3.4信息平安管理体系的风险系数评估风险评估在信息平安管理体系中是确定企业信息平安需求的一个重要途径，它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用下所带来的风险可能性的评测。风险评估的主要任务是：检测评估对象所面临的各种风险，估计风险的概率和可能带来的负面影响的程度，确定信息平安管理体系承受风险的才能，确定不同风险发生后消减和控制的优先级，对消除风险提出建议。在信息平安管理体系的风险系数评估过程中，形成?风险系数评估报告?、?风险处理方案?等文档，作为对信息平安管理体系进展调整的参考。风险系数的评估要尽可能全面的反映企业的信息平安管理体系，除了常规手段，也可以使用一些相应的软件工具的结果作为参考。另外很值得注意的是企业的员工对风险的理解，企业员工对他们所操作的对象有比拟深入的理解，对其中可能存在的缺乏也有自己的见解，在风险系数评估的过程中，可以进展一些员工的问卷调查等，把员工对风险的认识纳入风险评估的考虑范畴。企业的设备会老旧更换，员工也会更换，所以企业的信息平安是动态的，因此风险评估工作也要视详细情况定期进展，针对当前情况作评估报告，然后制定相应的风险处理方案。还有，之所以要建立信息平安管理体系，其中很重要的一点就是体系内各个模块的结合，信息平安管理体系的风险评估与关键内容的实时监控就应该结合起来。为了降低信息平安管理体系的风险系数，提升信息平安等级，要做的工作很多。浸透测试就是其中很有必要的一项工作。浸透测试是测试人员通过模拟恶意攻击者的攻击方式，来评估企业计算机网络系统平安的一种评测方法。这个测试过程会对系统的可知的所有弱点、技术方面的缺陷或者破绽等作主动的分析。浸透测试对于网络信息平安的组织具有实际应用价值。随着技术的不断进步，可能还会出现其他的更有价值的信息平安技术，作为信息平安备受瞩目的电力企业，应当时刻关注相关技术的进展，并及时将它们纳入企业信息平安管理体系中来。3.5信息平安管理体系的管理形式文章前面提到企业信息平安是动态的，所以信息平安管理体系需要建立一个长效的机制，针对最新的情况及时对自身作出调整，使信息平安管理体系有效的运行。如今一般会采用PDA循环过程形式：方案，按照体系整个的方针和目的，建立与控制风险系数、进步信息平安的有关的平安方针、过程、指标和程序等；执行：施行和运作方案中建立的方针、过程、程序等；评测：根据方针、目的等，评估业绩，并形成报告，也就是文章前面说到的风险系数评估；举措：采取主动纠正或预防措施对体系进展调整，进一步进步体系运作的有效性。这四个步骤循环运转，成为一个闭环，是信息平安管理体系得到持续的改良。4重要技术及展望4.1平安隔离技术电力企业的信息网络是由内外网两局部组成，从被防御的角度来看的话，内网的主要平安防护技术为防火墙、桌面弱口令监控、入侵检测技术等；而主动防护那么主要采用的是平安隔离技术等。平安隔离技术包括物理隔离、协议隔离技术和防火墙技术。一般电力企业采用了物理隔离与防火墙技术，在内网设立防火墙，在内外网之间进展物理隔离。4.2数据加密技术企业的数据在传输过程中一般都要进展加密来降低信息泄露的风险。可以根据电力企业内部详细的平安要求，对规定的文档、视图等在传输前进展数据加密。尤其是电力企业通过外网传输的时候，除了对数据进展加密外，还应该在链路两端进展通道加密。4.3终端弱口令监控技术终端设备众多，而且是业务应用的主要入口，所以终端口令关乎业务数据的平安以及整个系统的正常运转。假如终端口令过于简薄弱弱，相当于没有设定而将设备暴露。终端的信息平安是电力企业信息平安的第一道防线，因此采用桌面系统弱口令监控技术来加强这第一道防线的稳固性对电力企业的信息平安非常重要。电力企业信息平安管理体系是一个复杂的系统，包含众多的平安技术，如数据备份及灾难恢复技术、终端平安检查与用户身份认证技术、虚拟专用网技术、协议隔离技术等。但凡与信息平安相关的技术，电力企业都应当关注，并根据企业自身的情况决定是否将之纳入到信息平安管理体系中去。智能化已成为不管是研究还是社会应用的热门词汇。电力企业的信息平安管理体系是否可以智能化呢？不妨做一个展望，电力企业的信息平安管理体系有了很强的自我学习与自我改良的才能，在信息平安环境越来越复杂，信息量越来越庞大的情况下是否会更能发挥信息平安管理体系的作用呢？这应该是值得期待的。5防病毒软件部署电力企业信息平安管理体系有很多软件系统的部署，如防病毒软件部署、桌面弱口令监控系统部署、系统平安卫士部署等。但是它们的部署情况类似，这里用防病毒软件的部署来展示电力企业信息平安管理体系中软件系统的部署情况。如图1所示为防病毒软件的部署框架。杀毒软件种类有很多，这里以赛门铁克杀毒软件为例。企业版的赛门铁克防病毒软件系统相比单机版增加了网络管理的功能，可以很大程度地减轻维护人员的工作量。为了确保防病毒软件系统的稳定运行，在电力企业内部正式使用时，尽量准备一台独立的效劳器作为防病毒软件专用的效劳器。效劳器安装配置好赛门铁克防病毒软件后，可以远程控制客户端与下级晋级效劳器的软件安装与晋级。电力企业内网可能是制止接入外网的，这样的话，防病毒软件的更新可能无法自动完成。防病毒软件需要晋级的时候，维护人员在通过外网在相应网址下载赛门铁克晋级包，然后通过平安U盘拷贝到防病毒软件系统专用效劳器进展晋级操作。在图1中，省电力公司的防病毒管理控制台获得晋级包可以下发给下级晋级效劳器和客户端进展防病毒软件系统的自动晋级更新。图1是一个简单的框图，假如电力企业的内网规模很大的话，还可以更多级地分布部署。6完毕语电力企业的信息平安与企业的消费与经营管理亲密相关，是企业整个管理系统的一局部。信息平安管理体系是一个整体性的管理工作，把体系中涉及的内容统一进展管理，让它们协调运作，实现信息平安管理体系的功能。电力企业信息平安的建立与体系不断的改良定能稳定、有效地维护企业的信息平安。