电力企业信息安全管理体系分析研究

时间：2022-10-08 05:46:07 信息安全毕业论文我要投稿

相关推荐

电力企业信息安全管理体系分析研究

　　现在不少应届毕业生都在为毕业论文而烦恼，下面是YJBYS为大家提供的信息安全毕业论文，毕业的同学们赶紧看过来吧!

电力企业信息安全管理体系分析研究

　　【摘要】 电力企业里的人员众多，设备众多，为了保障企业的正常运转，就需要系统化的管理。而在整个企业的管理系统中非常重要的一环就是信息安全管理体系。论文主要对信息安全管理体系建设中的重要环节、重要技术等进行分析，并特别介绍了信息安全管理体系中防病毒软件的部署，来加深对信息安全管理体系的认识。

　　【关键词】 信息安全;电力企业;风险评估;管理模式

　　1 引言

　　在如今的信息化社会中，信息通过共享传递实现其价值。在信息交换的过程中，人们肯定会担心自己的信息泄露，所以信息安全备受关注，企业的信息安全就更为重要了。但是网络是一个开放互联的环境，接入网络的方式多样，再加上技术存在的漏洞或者人们可能的操作失误等，信息安全问题一刻不容忽视。尤其是电力，是国家规定的重要信息安全领域。所以电力企业要把信息安全管理体系的建设，作为重要的一环纳入到整个企业管理体系中去。

　　2 电力企业信息管理体系建设的依据

　　关于企业的安全管理体系方面的标准有很多。英国BSI/DISC的BDD信息管理委员会制定的安全管理体系主要包含两个部分内容：信息安全管理实施规则和信息安全管理体系规范。信息安全管理实施规则是一个基础性指导文件，里面有10大管理项、36个执行的目标和127种控制的方法，可以作为开发人员在信息安全管理体系开发过程中的一个参考文档。信息安全管理体系规范则详细描述了在建立、施工和维护信息安全管理体系过程的要求，并提出了一些具体操作的建议。

　　国际标准化组织也发布了很多关于信息安全技术的标准，如ISO x系列、ISO/IEC x系列等。我国也制定了一系列的信息安全标准，如GB 15851—1995。

　　关于企业信息安全管理体系方面的标准众多，如何针对企业自身实际情况选择合适的参考标准很重要，尤其是电力企业有着与其他企业不同的一些特殊性质，选择信息安全体系建设的参考标准更要谨慎。我国电力企业已经引入了一些国际化标准作为建立和维护企业运转的保证，关于信息安全体系的标准也应纳入到保证企业运转的一系列参考中去。电力企业总体应有一致的安全信息管理体系参考标准，但是具体地区的公司又有着本身自己的特殊环境，所以在总体一致的信息安全标准的情况下，也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息安全标准作为建立、实施和维护信息安全管理体系的依据。信息安全管理体系顾全大局又要有所侧重的体现电力企业安全标准的要求。

　　3 信息安全管理体系里的重要环节

　　3.1 硬件环境要求

　　信息安全管理体系并没有特别要求添加什么特别的设备，只是对企业用到的设备做一些要求。电力企业一般采用内外网结合的方式，内外网设备要尽量进行物理隔离。企业每个员工基本都有自己的移动设备，如手机等，为了增加信息安全的系数，企业可以限制公司设备的无线网络拓展。另外，实时监控系统也应该覆盖企业的重要设备，监控硬件设备的安全。

　　3.2 软件环境要求

　　在企业设备(主要是计算机)上部署相关软件环境是信息安全管理体系中最重要的部分。比如防病毒软件的部署、桌面系统弱口令监控软件的部署等，以此防止网络攻击或者提高安全系数。另外，企业设备所用系统的安全漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题，都在信息安全管理体系设计的考虑范畴。

　　3.3 企业员工管理

　　尽管现在一直倡导智能化，但是企业内进行设备等操作的主体还是员工。不管是对设备终端操作来进行信息的首发，还是对企业软硬件系统进行维护工作，都是有员工来进行的。所以，对企业内部员工进行信息安全培训，提高员工的信息安全防范意识，让员工掌握一定的信息安全防范与处理手段是非常重要的事情。针对不同的职位，在员工上岗前应该进行相关的信息安全方面的培训，然后对培训结果进行考核，不合格的人员不准上岗。在岗的人员也要定期进行培训与考核。另外，如果有条件的话，企业应该定期(例如每年)进行一次信息安全的相关演习。

　　另外，电力企业有些项目是外包给其他相应公司的，这时候会有施工人员和驻场人员在电力企业，对这些人员也应该进行电力企业信息安全的培训。

　　3.4 信息安全管理体系的风险系数评估

　　风险评估在信息安全管理体系中是确定企业信息安全需求的一个重要途径，它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用下所带来的风险可能性的评测。风险评估的主要任务是：检测评估对象所面临的各种风险，估计风险的概率和可能带来的负面影响的程度，确定信息安全管理体系承受风险的能力，确定不同风险发生后消减和控制的优先级，对消除风险提出建议。在信息安全管理体系的风险系数评估过程中，形成《风险系数评估报告》、《风险处理方案》等文档，作为对信息安全管理体系进行调整的参考。风险系数的评估要尽可能全面的反映企业的信息安全管理体系，除了常规手段，也可以使用一些相应的软件工具的结果作为参考。另外很值得注意的是企业的员工对风险的理解，企业员工对他们所操作的对象有比较深刻的理解，对其中可能存在的不足也有自己的见解，在风险系数评估的过程中，可以进行一些员工的问卷调查等，把员工对风险的认识纳入风险评估的考虑范畴。

　　企业的设备会老旧更换，员工也会更换，所以企业的信息安全是动态的，因此风险评估工作也要视具体情况定期进行，针对当前情况作评估报告，然后制定相应的风险处理方案。还有，之所以要建立信息安全管理体系，其中很重要的一点就是体系内各个模块的结合，信息安全管理体系的风险评估与关键内容的实时监控就应该结合起来。

　　为了降低信息安全管理体系的风险系数，提升信息安全等级，要做的工作很多。渗透测试就是其中很有必要的一项工作。渗透测试是测试人员通过模拟恶意攻击者的攻击方式，来评估企业计算机网络系统安全的一种评测方法。这个测试过程会对系统的可知的所有弱点、技术方面的缺陷或者漏洞等作主动的分析。渗透测试对于网络信息安全的组织具有实际应用价值。随着技术的不断进步，可能还会出现其他的更有价值的信息安全技术，作为信息安全备受瞩目的电力企业，应当时刻关注相关技术的进展，并及时将它们纳入企业信息安全管理体系中来。　3.5 信息安全管理体系的管理模式

　　文章前面提到企业信息安全是动态的，所以信息安全管理体系需要建立一个长效的机制，针对最新的情况及时对自身作出调整，使信息安全管理体系有效的运行。现在一般会采用PDCA循环过程模式：计划，依照体系整个的方针和目标，建立与控制风险系数、提高信息安全的有关的安全方针、过程、指标和程序等;执行：实施和运作计划中建立的方针、过程、程序等;评测：根据方针、目标等，评估业绩，并形成报告，也就是文章前面说到的风险系数评估;举措：采取主动纠正或预防措施对体系进行调整，进一步提高体系运作的有效性。这四个步骤循环运转，成为一个闭环，是信息安全管理体系得到持续的改进。

　　4 重要技术及展望

　　4.1 安全隔离技术

　　电力企业的信息网络是由内外网两部分组成，从被防御的角度来看的话，内网的主要安全防护技术为防火墙、桌面弱口令监控、入侵检测技术等;而主动防护则主要采用的是安全隔离技术等。安全隔离技术包括物理隔离、协议隔离技术和防火墙技术。一般电力企业采用了物理隔离与防火墙技术，在内网设立防火墙，在内外网之间进行物理隔离。

　　4.2 数据加密技术

　　企业的数据在传输过程中一般都要进行加密来降低信息泄露的风险。可以根据电力企业内部具体的安全要求，对规定的文档、视图等在传输前进行数据加密。尤其是电力企业通过外网传输的时候，除了对数据进行加密外，还应该在链路两端进行通道加密。

　　4.3 终端弱口令监控技术

　　终端设备众多，而且是业务应用的主要入口，所以终端口令关乎业务数据的安全以及整个系统的正常运转。如果终端口令过于简单薄弱，相当于没有设定而将设备暴露。终端的信息安全是电力企业信息安全的第一道防线，因此采用桌面系统弱口令监控技术来加强这第一道防线的稳固性对电力企业的信息安全非常重要。

　　电力企业信息安全管理体系是一个复杂的系统，包含众多的安全技术，如数据备份及灾难恢复技术、终端安全检查与用户身份认证技术、虚拟专用网技术、协议隔离技术等。凡是与信息安全相关的技术，电力企业都应当关注，并根据企业自身的情况决定是否将之纳入到信息安全管理体系中去。

　　智能化已成为不管是研究还是社会应用的热门词汇。电力企业的信息安全管理体系是否可以智能化呢?不妨做一个展望，电力企业的信息安全管理体系有了很强的自我学习与自我改进的能力，在信息安全环境越来越复杂，信息量越来越庞大的情况下是否会更能发挥信息安全管理体系的作用呢?这应该是值得期待的。

　　5 防病毒软件部署

　　电力企业信息安全管理体系有很多软件系统的部署，如防病毒软件部署、桌面弱口令监控系统部署、系统安全卫士部署等。但是它们的部署情况类似，这里用防病毒软件的部署来展示电力企业信息安全管理体系中软件系统的部署情况。如图1所示为防病毒软件的部署框架。

　　杀毒软件种类有很多，这里以赛门铁克杀毒软件为例。企业版的赛门铁克防病毒软件系统相比单机版增加了网络管理的功能，能够很大程度地减轻维护人员的工作量。为了确保防病毒软件系统的稳定运行，在电力企业内部正式使用时，尽量准备一台独立的服务器作为防病毒软件专用的服务器。

　　服务器安装配置好赛门铁克防病毒软件后，可以远程控制客户端与下级升级服务器的软件安装与升级。

　　电力企业内网可能是禁止接入外网的，这样的话，防病毒软件的更新可能无法自动完成。防病毒软件需要升级的时候，维护人员在通过外网在相应网址下载赛门铁克升级包，然后通过安全U盘拷贝到防病毒软件系统专用服务器进行升级操作。在图1中，省电力公司的防病毒管理控制台获得升级包可以下发给下级升级服务器和客户端进行防病毒软件系统的自动升级更新。图1是一个简单的框图，如果电力企业的内网规模很大的话，还可以更多级地分布部署。

　　6 结束语

　　电力企业的信息安全与企业的生产与经营管理密切相关，是企业整个管理系统的一部分。信息安全管理体系是一个整体性的管理工作，把体系中涉及的内容统一进行管理，让它们协调运作，实现信息安全管理体系的功能。电力企业信息安全的建立与体系不断的改进定能稳定、有效地维护企业的信息安全。

　　参考文献

　　[1] 王志强，李建刚.电网企业信息安全管理体系建设[J].浙江省电力公司，2008，6(3)：26-29.

　　[2] 陈贺，宫俊峰.浅析信息安全体系如何建立[J].中国管理信息化，2014，17(1)：74-76.

　　[3] 郭建，顾志强.电力企业信息安全现状分析及管理对策[J].信息技术，2013(1)：180-187.

　　[4] 沈X.火力发电厂信息你安全体系构建与应用[J].电力信息通信技术，2013，11(8)：103-108.

　　[5] 左锋.信息安全体系模型研究[J].信息安全与通信保密，2010，01(10)：68-71.

　　[6] 杨柳.构建供电企业信息安全体系[J].电脑知识与技术，2005(29).

　　[7] 曹鸣鹏，赵伟，许林英. J2EE技术及其实现[J]. 计算机应用，2001， 21(10)： 20-23.

　　[8] 江和平.浅谈网络信息安全技术[J].现代情报学，2004(14)：125-127.

【电力企业信息安全管理体系分析研究】相关文章：