评估电力信通机房安全风险

来源 :信息化建设 | 被引量 : 0次 | 上传用户:asdfghjkh
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  随着信息化进程的不断推进和深入,信息系统在电力系统应用的广度和深度不断拓展,电力企业信息系统应用逐渐集中部署,信通机房成为承载大量网络设备、安全设备、电力供应设备、信息线缆等通讯设施的基础单元。这些信息基础设施极具重要性,决定着电力信息系统的整体安全性和持续运行能力,以信通机房为单位,考察信息基础设施的外在威胁、自身弱点及潜在的影响,能够量化评估信息通讯基础设施整体安全性,是确定信息安全需求的一个重要途径,具有一定实用性和实践意义。
  目前,在国际国内流行着各种各样的评估体系标准,如《GB18336/ISO1540-信息技术安全性评估准则》、《GBT20274-信息系统安全保障评估框架》、《GBT 20984-2007 信息安全技术信息安全风险评估规范》,国网公司也发布了相应的规范、指南,如《国家电网公司信息安全风险评估实施细则》。显而易见,信息系统的风险“因环境而异”,并不存在一种放之四海而皆准的评估体系。就区县级电力企业的现状而言,大多数的故障并非突然产生,往往是线路、设备甚至是管理上的一些隐患没有被发现,久而久之便演化成了可见的故障。传统的信息安全评估(指标)体系大而全,缺乏针对性和可操作性,依据此类评估(指标)体系进行评估,往往费时费力,准确性和实用性较差。
  构建适宜评价体系
  为弥补传统风险评估方法的不足,真正做到及时有效的风险评估与控制,笔者以信通机房为单位,参考和裁剪安全评估国际标准和企业标准,并加入能反映信通机房信息基础设施特点的特色指标,构建适应县级电力企业信息化环境的评估指标体系,将其细化规整为七类评估指标,分别是信通机房安全管理制度、信通机房安全管理机构、人员安全管理、信通机房物理防护、信通光缆设备安全、信通网络安全、信通机房运行维护。每个指标根据其重要性赋予其一定的分数,将所有指标分数相加后,即得最终的评估得分,并由分数确定风险等级,等级越高,风险就越大。风险评估结果确定后,根据风险等级作出相应规模的应对措施,并由专业人员分析各项指标,提出风险控制的具体方式,及时控制风险,保障信息网络安全。
  明确风险管理目标
  建立风险评估指标体系的目的是依据该指标体系进行风险的量化分析和管理,因此在建立指标体系之前,首先应设立风险管理的目标:
  监控安全状况。识别信通机房的自身弱点、潜在威胁,使安全评估者能对整个系统状况有正确评估,尤其是在故障或安全事件的前期,能够预警可能带来严重后果的系统脆弱点,有效提高系统的安全防护能力和持续运行能力。
  预测风险趋势。当前的各种入侵检测和安全防御系统只能提供过去和当前的安全事件数据,而网络安全风险评估更注重在这些安全事件数据上进行相关风险的预测和实时计算,并依据计算结果评价系统风险,明确系统未来安全状态。
  指导安全防护。以适度安全为目标,根据安全风险评估结果制定最优的网络安全策略及安全解决方案,加强网络系统安全技术体系(如部署防火墙、审计心痛、运行监控心痛、数据备份系统等)的建设,从而达到网络系统的“适度安全”。
  分步骤实施评估过程
  资产评估。信息资产是指信通机房内有价值并需要保护的信息基础设施对象。结合信通机房的实际情况,主要包含:机房物理环境、网络线路、网络设备、安全设备等,通过调查和扫描,得到必要的资产信息。
  安全威胁评估。信息系统面临的威胁包括地震、火山爆发等非人为威胁,以及网络攻击、误操作、非授权访问等人为威胁。在信息安全风险评估中,威胁评估分为威胁识别和威胁赋值两部分内容,由于每一个信息系统运行环境都千差万别,因此无法对每一种具体威胁的可能性大小、影响大小进行定义。在此,可以利用企业已有的入侵防御系统,获取一定时间段内的入侵审计记录,进行潜在威胁定量分析,对潜在的威胁进行赋值。主要是通过对威胁发生的可能性和造成后果的严重性来对其进行高、中、低这三个等级的赋值。
  安全弱点评估。脆弱性评估主要包括管理、技术和运维三方面内容。脆弱性评估过程是对信息系统中存在的可被威胁利用的管理和运维缺陷、技术漏洞分析与发现,并确定脆弱性被利用威胁的难易程度(赋值)的过程。在本实践过程中,结合信通机房安全评估指标体系,脆弱性的获取方式包含以下几种:工具扫描、人工分析、渗透测试、安全审计、网络架构分析等。首先使用软件工具扫描评估范围内的网络设备和网络应用服务。其次由安全专家根据经验、对关键设备存在的安全性,合理性,使用效率等方面的问题进行分析而得出结论。主要评估信通机房内的网络设备、网络拓扑、安全设备、光缆线路等。
  现有安全措施分析。列出每项信息资产已经具有的安全措施、有效的安全服务和安全控制手段,分析其安全策略,考虑其计划实施的安全措施,对其现有的和计划实行的安全措施的强弱程度进行赋值。对资产安全措施进行赋值主要是根据对信息资产的机密性、完整性和可用性方面的综合因素,赋予等级。同时将对所评估得信息资产目前所采取的所有信息安全保护措施进行评估。对各个安全措施的针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等方面进行评价。
  风险综合分析。针对各信通机房,综合信息资产列表,弱点和威胁,已有的安全控制手段,对信息网络进行分析,从而得出每项信息资产的风险值,并结合本阶段中的资产评估、漏洞和脆弱性分析、威胁分析、当前安全措施分析等各个方面的评估情况,形成一个综合性的风险评估分析,并对所评估的信息资产的风险给出评价和评级,并给出解决措施建议。
  通过以上几个方面对信息网络进行分析,从影响信通机房安全的诸多因素中摒弃不必要的因素,笔者将一些真实影响网络信息安全的因素整合成一套评估指标体系,并给每个指标赋予一定的分值,对风险做了基本的量化。该评估指标体系分为七个板块,分别为信通机房安全管理制度(10分)、信通机房管理机构(10分)、人员安全管理(10分)、信通机房物理防护(24分)、通信光缆设备安全(18分)、信通网络安全(32分)、信通机房运行维护(26分),满分共计130分。按照评估所得分数,将风险分为三个等级,低于90分的作为紧急风险处理,介于90分至110分的为一般风险,110分至130之间为正常风险。根据所界定的风险等级,可以通过评估体系的具体打分情况定位到风险产生的具体位置,并采取相应的手段进行风险控制。
  信息系统安全风险评估对确保信息安全具有非常重要的意义。传统的信息安全评估(指标)体系大而全,其检查点是针对完整的信息系统环境而设置,数量庞大,缺乏可操作性,依据此类评估(指标)体系进行评估,往往费时费力,也很难反映特定的信息系统环境(例如信通机房)的实际安全状况。而本文提出的风险评估体系是符合公司实际情况的评估体系。实践表明,该指标体系具有较好的实用性。
  当然,本研究也存在一些不足之处:一是风险关联分析不足;二是风险量化评估不够全面;三是智能化的决策支持较弱。智能化的决策支持是未来风险评估发展的趋势和最终目标,针对这些不足,笔者希望能通过以后的研究加以改进。
  (作者单位:国网浙江杭州市萧山区供电公司)
其他文献
在移动接入已经成为我国公众上网主要渠道的大背景下,我国的移动电子政务建设才刚刚起步。因此,迫切需要结合我国电子政务及移动互联网的建设现状和发展趋势,对移动电子政务的建
随着社会的进步,医疗保健事业的发展和人们生活质量的不断提高,人民群众不仅满足于吃饱穿暖的初级生存需求,更重要的是使自己和家人拥有健康,当今世界对妇女儿童的健康尤为关注,我县在2000年实施了降低孕产妇死亡率和消除新生儿破伤风项目,2010年实施了公共卫生服务项目,对我院孕产妇系统管理工作的开展起到了很大的推动作用。
5G,即第五代移动通信技术(fifth-generation),是继4G之后的延伸。但与4G、3G和2G不同的是,5G并不是一个单一的无线接入技术,而是多种新型无线接入技术和现有无线接入技术演进集成后
中国,作为全球制造业第一大国,在过去的35年间取得了举世瞩目的成绩。工信部怀进鹏副部长认为,中国的工业门类已经形成世界最为完整的体系,工业门类在世界工业体系中占比超过22%,其中大型门类中有七大门类属于世界第一。而与此同时,中国的信息产业发展甚至超过了工业的发展速度,目前已形成强大的市场和应用规模。工业和信息产业的高速发展为我们带来期待,现在中国在互联网和工业发展中处于一个难得历史机遇期!  在互
近年来,党和国家高度重视政府网站建设,政府网站已经成为各级人民政府及其部门发布政府信息、提供在线服务、与公众互动交流的重要平台和窗口,在提高行政效能、提升政府公信力等
互联网+,瞄准的就是传统行业在互联网时代的信息化改造,是“新常态”下传统行业转型升级的必备要素、更是一次不可错失的机遇。尤其是对于传统工业企业来说,互联网+更是治愈转动不灵、调整缓慢、效率低下的一剂良药。  工程机械行业多年的龙头老大——徐州工程机械集团(以下简称“徐工集团”)早在上世纪90年代,就已经开始“智能化机器”的探索,承接国家863自动化领域项目“徐工机器人化工程机械现代集成制造应用示范
习近平总书记2013年10月在辽宁考察时指出:“新科技革命、产业变革与中国转变发展方式形成了历史性的交汇,抓住了就是机遇,抓不住就是挑战。”其中阐述的“科技革命”主要指以云
目的:对银杏达莫注射液治疗冠心病心绞痛(胸痹)的临床效果进行探讨。方法:将2009年3月至2012年3月期间我诊所收治的114冠心病心绞痛患者根据其治疗的顺序将其分为观察组以及对照
近年来,绍兴市通过积极推进“两化”深度融合,致力于打造成智能制造先行区,分别在企业,行业和区域三个层面加快推进“两化”深度融合。
大数据不仅是海量的数据集合、先进的信息技术,更是科学的观念和方法。政府部门的大数据思维,就是要打开政府各部门间、政府与市民间的边界,削减信息孤岛现象,打破信息垄断,促进数