信息安全应开展风险管理

信息安全应开展风险管理Theinformationsecurityshoulddevelopriskmanagement作者叶代亮浙江电力金华电业局摘要本文从风险管理出发，结合金华电网信息工作的情况，分析了当前电力信息安全的主要风险，阐述了信息安全应用风险管理的重要性，提出了电力信息安全工作的主要对策。久关键词风孝险管理信榴息安全对艇策电风险管理是调一门新兴科康学，包括管趟理方面，又穿包括决策方以面，她是研骨究风险发生沉规律和风险寿控制技术的瓶一门管理科果学。信息系矩统是企业安遭全生产、科师学经营、现召代化管理的斗重要工具，挠随着信息安颗全的重要性售越来越突出靠，信息安全她问题被人们糖日益重视。金当前，电力虽企业的安全乓性评估工作屑正蓬勃开展动，在信息安弯全工作中，真存在的风险瓣因素很多，尘电力调度，畏电力市场等罗系统安全运贸行，对于电意力蹈“感三公调度两”颠，甚至对于滴构建和谐社票会都具有十禁分重要的意讲义！信息系驼统安全运行偿，在磨“士一强三优雷”宁的公司战略献中也占据十径分重要的位嗽置，是坚强元电网的保障嘉！是优质服述务的重要工邀具！如何积浪极有效保证晃信息安全，闯降低安全风将险度？本文霸从风险管理灯的角度出发岂，对信息安剂全工作做了且一些探讨，布供大家在今览后的工作中愿参考。诱一．金华电诵网信息发展然概况遍金华电网已渗经建成以千翁兆网为骨干耀、百兆到桌逐面的信息网对络，网络已冤经深入到各速级管理班组饱，投运的重差要系统有：斯生产调度系户统，输、配师电GIS系旨统，OA系泼统，IP视侨频会议系统满，图档管理铲系统，营销混系统，客户抚服务系统，机SCADA孔系统,EM尤S系统,基灾建管理系统雁，现场管理贷系统等及省扣公司的ER睡P系统。在轿信息安全方窑面，已经建暖立了以SY稍MANTE最C为核心的匀防病毒体系抢，配置了东望软、网核等宵防火墙，建运立了数据备文份中心，部歼署了SUS舒S系统等；取此外，在基情础建设方面配，加强机房应电源、空调贫、防尘、消葱防等管理。暑二．信息安赚全和信息风刚险的基本概适念幕信息安全涉淡及到信息的鹿保密性、完光整性、可用载性、可控性遭。综合起来循说，就是要孔保障电子信准息的有效性折。风险一般这指某种事情诸发生的不确辉定性，只要塞某一事件的与发生存在着买两种以上的小可能性，那鸣么该事件即到存在着风险内。在ISO率/IEC缠TR13父335-1幸;2001汪,信息技术纸－安全技术丧－IT安全秋管理指南乘IT安全的她概念和模型勒中，风险定骄义为：特定瞧威胁利用某致易资产或一忘组资产的脆降弱性，从而能对组织产生杠损害的可能择性。躺三．当前信确息安全面临树的主要风险墓3.1信息拆网络安全日礼益突出。随浙着网络技术受的飞速发展吓和因特网的倒应用普及，涨网络互连度肺越来越高，男大量的数据库和信息在网勿上传输，其君中含大量的夏病毒和木马尘等危害数据断，病毒感染肃造成网络通弱信阻塞，系孩统数据和文耗件系统破坏盼，系统无法应提供服务，顶甚至破坏后赔无法恢复。欣木马或者蓄建意破坏的动眨机，对电力报公司网络上遵的连接的计指算机系统和像设备进行入治侵、攻击等档，影响网络遇上信息的传肃输，破坏软雨件系统和数教据，盗取企财业商业秘密健和机密信息引，非法使用朋网络资源等匙。纷3.2设备孔可靠性风险唐大。信息化百建设初期，洗由于资金等保方方面面的粪原因，很多妇系统的设备凳都是单模式曾的，没有采鞋用冗余设备叙，其次，部禽分关键设备杆运行时间比推较长，如小残型机等，价浪格比较昂贵哗，使用周期拦比较长；再住次没有设备遭运行在线监蚊控手段，不眨能及时掌握膏设备的运行料状况，不能方及时发现问该题。怕3.3人员牢因素严峻。急信息专业是疯个新兴专业颗，处于起步历阶段，专业托技术人才缺伙乏，部分应街用系统的用驼户权限管理疲功能过于简喷单，系统使陕用人员的水雀平参差不齐葵，误操作等射情况时有发匪生，应用系融统择没有加强用块户身份认证邪和信息系统增的访问控制粘。福专业知识更独新快，新技勾术发展迅速详，新技术应露用面广，管梳理人员专业脚素质跟不上手要求，不能坡及时发现问贿题。熟3.4管理叛制度不全。鬼信息安全镜“黑三分靠技术键，七分靠管远理晃”纹。信息化属齐于新兴专业位，工作规范殃和相关的管镇理制度十分谎欠缺，制度泛的科学性、端合理性、严纸密性等方面完存在不足。备此外，还有跟电力一、二洞次系统的信嫌息采集和数啊据传输问题据，以及随着稍电子商务应筹用的推广，畅带来的交易幕安全等问题狮。狗四．开展风鞭险管理的重臣要性栗企业的风险限管理如图1絮所示。她包推括了风险意邮识、风险识信别、风险分法析、风险处心理和风险管驶理5个部分土。其中风险院意识是风险府管理的关键类。风险识别曲的目的是在忠风险意识的熄基础上系统把地辨别危险气，以及起因咳和后果。根足据风险的不项确定性特征武，以及风险宰的客观性和等可测定性特掏点，在企业饱信息安全中誓，实施风险登管理具有十洽分重要的意挥义：旨4.1慰爬实施风险管烧理有助于企招业维持生产疾经营的安定榨，减少风险扁所致的费用隙开支。信息朱安全评估是寒信息安全建议设的起点和刊基础，实施影风险管理后转，能够提高续企业对信息远安全决策的拐正确性，提氏高工作效率督。贺4.2实施衬风险管理有号助于减少企炕业对于风险栗的恐惧，有厚助于调动企普业职工的积伙极性和创造收性。实施风栽险管理，企欲业对危险点两做到心中有艘数，能够更士好地控制风曲险，并且根泼据危险等级挺，建立不同界的应急预案己，可以解除胁或减少员工挂的后顾之忧痒，能够充分感发挥人员的馆积极性。蔑4.3实施储风险管理有仿助于降低安城全总体成本轮。不计成本奥，片面追求乘安全，想消兴灭风险或完惰全避免风险篇是不现实的酒。实施风险怨管理，通过输科学方法分渔析风险及损街失后果，采锤取有效的控责制损失措施与，摊平衡成本与财效益，合理遣部署和利用陈信息安全的紧信任体系、各监控体系和趁应急处理等划重要的基础鼠设施，确定迁合适的安全育措施。勺4.4实施辛风险管理有锦助于在出现统风险时更快雷、懒更好解决风四险。风险管副理需要一个诱强有力的组辰织做保障，通当出现问题杰时不至于出朴现不该有的李混乱，能够毛比较有效、冰有序地开展挥各项应对措烛施，尽快恢揭复工作，减舍小损失。腥五．信息安偿全的主要对袋策怜电力系统信愤息安全是电洒力系统安全债运行和对社核会可靠供电谢的保障，是夹一项涉及电勇网调度自动形化，继电保咳护及安全装俩置，厂、站肥自动化，配敬电自动化，凡电力负荷控幸制，电力市暂场交易，电功力营销，信客息网络等有坏关生产、经袋营、管理等南多方面的复艰杂工程。收根据风险度智和风险损失锣的危害性，柔从以最小的棚风险管理成槽本获得最大脆的安全保障市目标出发，毕信息安全的学主要对策：均5.1开展嗓信息安全风窄险评估讲信息安全的慰风险管理中机的主要工作超内容如图2万。其中，风台险评估可以暮作为开展其尼它安全工作挨的基础。风仁险评估是对己信息系统的方维护、管理池、操作过程市等方面进行屈分析，鉴别型存在的脆弱渠性及可能利小用脆弱性的宵威胁，评价促是否实施和辱维护了适当纳的安全措施提，鉴别存在芽的风险及软风险发生的诱可能性和影予响，从而鉴勒别可将风险装降低到可接柱受级别的安镰全措施。治2004途年，浙江电现网开展了信式息和二次系辫统安全大检台查，并在以而后的春、秋结季安全大检侨查中增加了伸信息安全内狂容。金华电屋网从200蒜3年开始，元在对县局的悼安全性评价松工作中，增倾加了信息安束全内容，起祸到了比较好铜的效果。2嫂004年4代月，义乌供嫌电局开始信赴息安全风险造评估，20托04年10局月，金华电跌业局开展了敌信息安全评棉估。在安全敬风险评估的忠基础上，对用企业信息资桃产进行确定掏和分类，企瞒业资产分为芽有形的和无然形的。有形棕资产包数据眠中心、服务淡器和财产等饱物质基础设痛施。无形资班产包括对组欢织有价值的祖数据或其他首数字信息。该确定资产时末，也确定或赴确认资产的屑所有者。根廉据资产情况谜，借鉴MI丝CROSO践FT的安全犯风险管理流获程定义三个宪定性资产类缩别：高度业握务影响(笼HBI)、错中度业务影醉响(MB买I)和低猴度业务影响星(LBI乐)。根据资贫产类别，划拴分信息安全筛风险等级，敬确立信息风快险优先级，过根据信息安独全风险等级道情况，建立料风险影响等汤级，用图2钢为各个影响缴陈述选择影怒响程度。然数后，有重点也、分步骤开理展信息安全艳保护等级措繁施，提高各罢级安全应急滑处理能力。元5.2购买找质保服务适设备有其生有命周期，过灯了生命周期诸，必然会出凤现问题，必注然增大安全疯风险，如何生适度控制风语险，是企业脸决策者应该宾考虑的重要级问题，购买微质保就是控形制风险的手屋段之一。在谣信息安全纳日入安全生产语体系后，及旋时提出增加悄信息运行维续护服务费用竭，做好设备法和系统的质刑保工作，提役高信息安全粪运行能力，催做好信息安发全运行的保庙障工作。衰在质保服务绢中应做好以这下三方面的场工作：忠质保服务商著的选择辣当前，在质晌保服务商的董选择上，我虹们遵循下面顿两个原则。纯1.系统设蚁备服务，只贱要服务商提惕供的设备是录得到原厂商限认可的，价撇格低的应该封优先考虑；狂2.应用务系统的服务弓，在一定的脊价格范围内晕，必须选择独技术力量高笔的公司做，茧知识创造价誉值，技术量咳高的公司才食能解决应用猫中的实际问寺题。赵质保服务合犹同系在签定合同随时，商务等售方面的条款斧是比较规范贵的，应该在参服务的质量峡方面着重要奋求，如何提碧高服务质量以是签定质保质服务合同的衰关键。挽（3）合同膊的执行象在质保服务岗工作中，必姜须学习电网丹一次管理方抚式，开展两屿票制度，要管服务厂商详鹊细写操作票爽，由管理人晋员亲自操作梦，服务厂商境做监督，服艳务商必须遵见照有关管理煮制度和规范遭开展工作。齐5.3开展额安全管理中键心建设迅信息系统大械量投运，信雪息设备急剧敢增加，可管匆理人员却比厦较少，建设慌信息安全管海理中心势在把必行。安全塞管理中心首经先实现的是页安全防范和颈监控的集中百式管理。不疮仅是安全设歉备管理的集蒙中，也是运挨行日志、实井时状态、突见发事件等安剪全设备运行野信息的集中绢收集和分析减。通过集中退式的安全管运理，为安全镰保障体系的辆便捷、高效反和全面运行驼提供技术和亿管理上的基逼础。安全管谎理中心可以穴实现安全防恐范和监控的扭动态反应能跨力，减少劳旬动力。剩然后，狡开发一个安壁全策略屯，敞全体人员都奴必须按照这约个策略来执楼行。基本的兔规则包括建戒立可靠的密汉码到业务连虏续计划以及候灾难恢复计奋划括，睁减少对安全演策略的破坏纹，减少晌点对点的传增输程序以及粥即时消息软瞧件神的使用絮等拣，宴禁止潜在的漏可被黑客利瘦用的对象传，浴留意最新的吃威胁掏，尽快耳弥补已知的毯漏洞馒。概同时，建立汽安全管理制雷度，进一步蛮规范管理行够为。进一步穷改善网络拓伴扑结构，提滴高网络安全获性，增加关搂键设备冗余守度，提高网核络的可靠性惊。投运入侵糟检测系统，续提高监控能拾力，规范网段络资源管理慨和使用规范鞭。被加强对用户继身份认证和认信息系统的对访问控制，哄加强数据备御份工作，做如好信息安全岩最后一道屏弃障的安全工银作。开通审触计功能，做意好日志存档花工作。倘5.4加强冲组织和人才中队伍建设惠风险的例成功管理必看须具备三方旅面的关键因农素：制度化羡、系统化的罢危机管理组翻织和业务流省程世，飞高层领导的握重视和直接纹领导考，牛良好的信息声系统支持。颈风险翻管理需要有肚效的组织保斩障，即确保债组织内信息图通道畅通、睡信息能得到斜及时反馈、烂各部门及人仓员责权清晰两、有专门的吊危机反应机美构和专门授里权，一旦发雨生任何危机涌先兆均能得党到及时的关略注和妥善的方处理。鲁二十一世纪底的竞争，核裹心是人才的恶竞争，管理飘工作的执行迎者是人，技龄术的使用者子也是人，所疫以，应当重扶视信息安全罗人才的培养详。恨培训是一种泡投资，应该洞把培训当成浓一项提升公仇司素质的战予略来考虑，盆要使培训起兼到防火的作汇用，而不仅强仅是救火!厨结束语核风险管理不雁仅是认识风开险、分析风姜险和处理风编险，还应该也是一套完整舍的制度，是椅一个系统，裳风险管理的妨本质是事先施的预测而非桑事后的反应臣。信息安全俗具有动态性炮、整体性和痕持续性三大侧特点，从最砍大程度上提王高提高信息兔系统整体安鼓全的水平和辈预防安全事恒件的角度来刮考虑，信息拍系统安全建等设不能仅仅兄局限于若干椅安全产品的训简单意义上烦的集成，至虾少应该包括贩三个主要的葡阶段：安全株系统建设，瓣安全管理建仿设，安全策帐略建设。信欧息安全行决策支持应追包括成本效善益分析，成莲本效益分析俭为识别缓解极方案、确定毁缓解方案范摇围和选择最沾有效且最经宪济的缓解方洒案，以将风搁险降低到可角接受的水平疲。倚主要参考文顷献梢《保险原理亮与实务》派作者吴小殊平ISB相N7-50情49-27扇11-2徐北京中国伤金融出版社柿2002荣《危机管理竿》作者饿平川IS疮BN7-薯80115雀-877-哗6北京封当代世界出悉版社200跃5喷N