论文部分内容阅读
【摘要】 本文应用SSE-CMM理论,结合公司信息通信系统的实际情况,构建了信息通信风险评估模型,并针对模型在实际中的具体应用,采取推动信息通信业务安全协调、强化市县信息通信一体化安全管理等一系列措施,对电力系统信息通信安全风险评估有一定的指导意义和工程实用价值。
【关键词】 SSE-CMM 电力信息通信 安全评估
随着国家电网公司“三集五大”等管理体系的建立,云计算、大数据、物联网等信息通信技术的发展,信息通信涵盖于各个分支的数据网建设中,在各级电力信息通信人员紧缺的情况下,需要考虑电力企业的通信信息系统建设和运维工作中,采用怎样的管理模式、怎样配置资源、如何建立有效的管理流程,才能更好地适应智能电网及电力自动化发展,如何使公司的信息通信安全管理逐步从对电网和企业经营管理单一的技术服务支撑,向更深层次的融合发展与智能引领转变,如何才能满足新形势下信息通信专业支撑保障安全需求,也是信息通信专业安全发展必须面对的问题。
一、基于SSE-CMM构建信息通信风险评估模型
1、SSE-CMM的概念。SSE-CMM是系统安全工程能力成熟模型的缩写,它起源于1993年4月美国国家安全局(NSA)。它描述了一个组织的安全工程过程必须包含的本质特征,这些特征是完善的安全工程保证,它的设计是可在整个安全工程范围内决定安全工程组织的成熟性。这个体系结构的目标是清晰地从管理和制度化特征中分离出安全工程的基本特征,为了保证这种分离,这个模型是两维的,分别称为“域”和“能力”,域维是所有定义安全工程的实施构成,这些实施称为“工程域”,能力维代表过程管理和制度化能力的实施[1]。
2、信息通信风险信息识别。结合SSE-CMM“风险过程”部分和电力信息信息网络的实际情况,对电力信息通信系统暴露的威胁、脆弱性及对系统安全的影响进行风险识别。风险一般是某种未预见的事情发生并对系统造成威胁的可能性。根据SSE-CMM模型,这些足以成为风险的事件有三个部分组成:包括威胁、系统脆弱性和事件的影响[2]。
3、风险评估模型构建过程。对照SSE-CMM模型的过程域,安全能力评估模型建立过程如下:(1)结合电力信息通信系统暴露的威胁、脆弱性及对系统安全的影响,为工程域建立一个基本实施表,并将其映射到淮南信息通信系统基本实施中。(2)对公司信息通信系统及资源进行统计。识别并评估信息通信资源,针对每一项的资源潜在的威胁进行评估分析,并对确定为风险信息的进行逐项确认。(3)对风险信息进行分解评价,并根据工程域对应建立积分评价积分表,计算每一个工程域最终积分。(4)数据整理与计算。根据安全能力级别与积分对应表,进行数据定量分析与计算,确定过程域对应安全能力成熟度等级。
二、风险评估模型的具体应用
2.1淮南电力信息通信系统安全能力评估
应用评估模型,对淮南电力信息通信系统的工程过程域进行安全能力评估,生成淮南电力信息通信安全能力级别表,从中我们知道PA07协调安全、PA08检测安全状态、PA09提供安全解决方案三个过程域能力级别均较低,安全能力级别评估表为信息通信系统安全的优化整改工作的给出了指引,让系统管理者可以在后续工作中,更有针对性地开展信息通信系统安全管理工作。
2.2针对安全能力评估开展安全治理与管控
(1)结合安全评估模型中反映的PA07协调安全、PA09提供安全解决方案的不足,采取系列措施,建立信息通信安全联络员机制,梳理信息通信安全管理流程,建立安全指标管控实施对策表,并结合公司信息通信安全考核指标体系,建立淮南公司管控实施对策表。(2)结合安全评估模型中反映的PA08检测安全状态评价不足,和对信息通信系统的安全监控与数据挖掘需求,采取对公司外部和内部两方面都进行监控措施,利用信息通信网管系统市县共同部署的方式,将县公司信息通信系统及网络设备纳入统一监控,实现对市县信息通信网络、设备、业务系统、终端、安全、机房环境和动力等环节的全过程运行监控。
通过针对评估报告表的不足开展相应整改与管控措施后,淮南电力信息通信安全达到新的级别,其中PA07:协调安全过程域,PA08:监视安全态势,PA09提供安全解决方案三个过程域均达到最高能力级别5,取得良好效果。
三、结论
本文分析了当前电力信息通信面临的挑战与问题,基于SSE-CMM的理论,结合淮南供电公司信息通信系统实际情况,构建了信息通信安全评估模型,并针对模型在实际中应用反映出的问题,采取一系列措施,建立高效的安全管理模式。本文提出的信息通信风险评估模型,对电力系统信息通信安全风险评估有一定的指导意义和工程实用价值。
参 考 文 献
[1]李伟英;基于SSE-CMM的安全评估工程过程的研究[J];电力系统通信;2005年
[2]陈建明.基于SSE-CMM的信息系统安全工程模型.计算机工程,2003
【关键词】 SSE-CMM 电力信息通信 安全评估
随着国家电网公司“三集五大”等管理体系的建立,云计算、大数据、物联网等信息通信技术的发展,信息通信涵盖于各个分支的数据网建设中,在各级电力信息通信人员紧缺的情况下,需要考虑电力企业的通信信息系统建设和运维工作中,采用怎样的管理模式、怎样配置资源、如何建立有效的管理流程,才能更好地适应智能电网及电力自动化发展,如何使公司的信息通信安全管理逐步从对电网和企业经营管理单一的技术服务支撑,向更深层次的融合发展与智能引领转变,如何才能满足新形势下信息通信专业支撑保障安全需求,也是信息通信专业安全发展必须面对的问题。
一、基于SSE-CMM构建信息通信风险评估模型
1、SSE-CMM的概念。SSE-CMM是系统安全工程能力成熟模型的缩写,它起源于1993年4月美国国家安全局(NSA)。它描述了一个组织的安全工程过程必须包含的本质特征,这些特征是完善的安全工程保证,它的设计是可在整个安全工程范围内决定安全工程组织的成熟性。这个体系结构的目标是清晰地从管理和制度化特征中分离出安全工程的基本特征,为了保证这种分离,这个模型是两维的,分别称为“域”和“能力”,域维是所有定义安全工程的实施构成,这些实施称为“工程域”,能力维代表过程管理和制度化能力的实施[1]。
2、信息通信风险信息识别。结合SSE-CMM“风险过程”部分和电力信息信息网络的实际情况,对电力信息通信系统暴露的威胁、脆弱性及对系统安全的影响进行风险识别。风险一般是某种未预见的事情发生并对系统造成威胁的可能性。根据SSE-CMM模型,这些足以成为风险的事件有三个部分组成:包括威胁、系统脆弱性和事件的影响[2]。
3、风险评估模型构建过程。对照SSE-CMM模型的过程域,安全能力评估模型建立过程如下:(1)结合电力信息通信系统暴露的威胁、脆弱性及对系统安全的影响,为工程域建立一个基本实施表,并将其映射到淮南信息通信系统基本实施中。(2)对公司信息通信系统及资源进行统计。识别并评估信息通信资源,针对每一项的资源潜在的威胁进行评估分析,并对确定为风险信息的进行逐项确认。(3)对风险信息进行分解评价,并根据工程域对应建立积分评价积分表,计算每一个工程域最终积分。(4)数据整理与计算。根据安全能力级别与积分对应表,进行数据定量分析与计算,确定过程域对应安全能力成熟度等级。
二、风险评估模型的具体应用
2.1淮南电力信息通信系统安全能力评估
应用评估模型,对淮南电力信息通信系统的工程过程域进行安全能力评估,生成淮南电力信息通信安全能力级别表,从中我们知道PA07协调安全、PA08检测安全状态、PA09提供安全解决方案三个过程域能力级别均较低,安全能力级别评估表为信息通信系统安全的优化整改工作的给出了指引,让系统管理者可以在后续工作中,更有针对性地开展信息通信系统安全管理工作。
2.2针对安全能力评估开展安全治理与管控
(1)结合安全评估模型中反映的PA07协调安全、PA09提供安全解决方案的不足,采取系列措施,建立信息通信安全联络员机制,梳理信息通信安全管理流程,建立安全指标管控实施对策表,并结合公司信息通信安全考核指标体系,建立淮南公司管控实施对策表。(2)结合安全评估模型中反映的PA08检测安全状态评价不足,和对信息通信系统的安全监控与数据挖掘需求,采取对公司外部和内部两方面都进行监控措施,利用信息通信网管系统市县共同部署的方式,将县公司信息通信系统及网络设备纳入统一监控,实现对市县信息通信网络、设备、业务系统、终端、安全、机房环境和动力等环节的全过程运行监控。
通过针对评估报告表的不足开展相应整改与管控措施后,淮南电力信息通信安全达到新的级别,其中PA07:协调安全过程域,PA08:监视安全态势,PA09提供安全解决方案三个过程域均达到最高能力级别5,取得良好效果。
三、结论
本文分析了当前电力信息通信面临的挑战与问题,基于SSE-CMM的理论,结合淮南供电公司信息通信系统实际情况,构建了信息通信安全评估模型,并针对模型在实际中应用反映出的问题,采取一系列措施,建立高效的安全管理模式。本文提出的信息通信风险评估模型,对电力系统信息通信安全风险评估有一定的指导意义和工程实用价值。
参 考 文 献
[1]李伟英;基于SSE-CMM的安全评估工程过程的研究[J];电力系统通信;2005年
[2]陈建明.基于SSE-CMM的信息系统安全工程模型.计算机工程,2003