电力企业信息安全征信管理体系构建的探讨

(整期优先)网络出版时间:2017-12-22
/ 2

电力企业信息安全征信管理体系构建的探讨

谭丽娟申文栋张丽敏张艳菲

(国网晋城供电公司山西晋城048000)

摘要:随着行业内外信息化、自动化的快速发展,电力企业信息安全已突显其重要性。本文主要介绍了电力企业网络与信息安全形势,并对信息安全征信体系的构建做出了初步探讨。

关键词:征信;信息安全;管理体系;构建

引言

随着网络信息化的不断发展,信息技术已经渗透到电力企业的各个环节。其生产运行高度依赖网络的信息化。能否保障网络安全以及网络中信息的安全,直接影响到电力企业的发展和效益,直接关系到电力系统的安全、稳定、高效运行,一旦安全的防线被外部攻击突破并渗透,将直接威胁电力系统的生产、运行安全,进而对国家和社会造成重大损失。

一电力企业信息网络安全形势

电网是关系国计民生和国家能源安全的重要基础设施,随着网络信息化的不断发展,信息技术已经渗透到电力企业的各个环节。其生产运行高度依赖网络的信息化。能否保障网络安全以及网络中信息的安全,直接影响到电力企业的发展和效益,直接关系到电力系统的安全、稳定、高效运行,一旦安全的防线被外部攻击突破并渗透,将直接威胁电力系统的生产、运行安全,进而对国家和社会造成重大损失。

目前,国家电网公司信息安全存在较大的安全风险:一是网络攻击威胁日益增加,特别是2015年乌克兰因网络攻击造成的停电事件,利用互联网络渗透、攻击电力系统造成的破坏和损失已经成为事实。2016年,国家电网安全系统监测并拦截的互联网出口高风险攻击数量达到240万余次,比前一年增加60%,网络黑客没有一分钟放弃对国家电网信息网络重要设施的攻击,对外网网站攻击达到140万余次,比2014年增加一倍;二是网络安全边界持续扩大,信息化建设进程由电力系统、运行控制系统发展到经营管理系统,接着又发展到运行检修和营销,现在发展到有线变无线,其大量接入靠移动终端,业务拓展到电商,如电费管理系统,各种衍生网络(电动汽车、充电桩等),网络安全边界越来越广;三是网络接入用户不断增加,原来用户主要是内部用户,随着社会发展和交互方式的变更,特别是智能电表和自动缴费系统的应用,用户大量接入会出现权限、内容、数据和操作等各种风险,安全责任更加复杂。四是网络安全管理存在薄弱环节,和当前形势要求相比,公司整体的安全意识还有待大幅度提高,要统一到国家有关法律上来。

二构建信息安全征信体系的思路

针对公司目前面临的安全形势及存在的安全风险,通过对公司信息安全工作中出现的各类问题进行科学的分析,主要存在以下几个问题:一是员工信息安全意识淡薄。安全意识淡薄一直是信息安全管理的瓶颈,现在公司各单位(部门)员工使用计算机的比率已超150%,然而信息安全的防护主要手段仍是依赖于防火墙、防病毒软件等技术手段,员工没有形成主动防范意识,违规事件频繁发生,以国网晋城公司为例,2014年发生未注册、未正确安装趋势杀毒软件、弱口令等违规事件共42起,2015年发生未注册、未正确安装趋势杀毒软件、弱口令等违规事件共36起,违规事件频率较高。二是信息安全管理存在薄弱环节。目前的信息安全管理已明确各级相关管理部门及人员的职责范围,但相关的信息安全管理措施不易落实,信息安全监督考核实施不到位。三是信息安全违规事件处理零散。信息安全管理仍停留在发现一起处理一起的的被动整改状态,缺乏系统地跟踪、科学地分析、行之有效的预先防护措施,至使安全管理一直处于被动状态。

针对公司目前面临的安全形势及存在的安全风险,通过对公司信息安全工作中出现的各类问题进行科学的分析,国网晋城供电公司引入“征信”管理理念,纳入信息安全管理,形成一套科学规范的信息安全管理模式。建立“征集信用体系库”以各级信息安全通报、计算机病毒爆发次数、桌面终端等监控数据为采集依据,以每个人注册信息为采集点,对个人计算机违规行为的类型和次数实行征信积分。累计个人计算机违规行为并定期对其进行通报,形成以点带面模式。并对信息安全征信积分档案进行科学有效的分析,从而可以对公司的各类信息违规事件进行预判,及时地对公司各类安全风险进行评估,对各薄弱环节采取有效的防护措施。通过信息安全征信管理体系的构建与实施降低安全隐患,从而提升信息安全管理水平。

三构建信息安全征信体系的方法

信息安全征信体系是引入“征信”理念,构建适用于电网企业的信息安全管理体系,以《信息安全征信管理办法》为依据,以各级信息安全通报、计算机病毒爆发次数、桌面终端监控情况、系统漏洞扫描结果等为采集来源,以每个终端用户的注册信息为采集点,对各级各类违规行为进行征信积分。一是通过积分落脚点明确为每个员工个人,加强对员工的信息安全行为约束,提高全员安全意识。二是根据征信积分对个人和单位信息安全违规行为进行科学的分析,及时对各单位的安全风险进行评估预判,对其薄弱环节采取有效的防护措施,降低安全隐患。三是信息安全征信体系做为信息专业考核依据,将考核结果反馈到同业对标及业绩考核中,形成闭环考核机制,提升公司整体信息安全管理成效。

征信体系统分析模型通过采用基于历史的MBR分析方法对征信动态数据资源进行科学分析,通过数据解构、特征分析、评估预测、实施跟踪四个步骤形成闭环分析模型。数据抽取。从数据资源库中对单位、人员、类型、设备等四个维度进行数据抽取。特征分析。从四个维度分析哪些单位、哪类人员、哪台设备发生违规事件的几率较高,哪种类型的违规事件发生频率较高。评估预测。根据违规事件行为,发现信息安全管理的薄弱环节、事件触发和成因分析。例如县公司供电所发生违规行为较多、客户服务终端发生违规频次较高等。实施跟踪。依据评估预测结果,采取针对性的管理和技术措施进行完善整改,并对薄弱环节持续跟踪整改归档。例如对供电所存在的网络设备故障多发问题考虑项目储备进行更换,对违规行为多发人员加强培训等。

随着《中华人民共和国网络安全法》的正式施行,将已有的网络安全实践上升为法律制度,通过立法织牢网络安全网,为网络强国战略提供制度保障。网络和信息安全工作已经上升到国家战略的高度。作为关键信息基础设施的电力企业,其关于网络及信息安全防护问题的研究任重而道远。

参考文献:

[1]政府电子信息安全问题刍议[J].刘妍宏.行政与法.2016(10)

[2]信息安全风险管理的基本理论研究[J].杨姗姗.企业改革与管理.2015(06)

[3]信息系统风险评估方法综述[J].顾华杰.无线互联科技.2014(09)

作者简介:

谭丽娟(1975-),女,国网晋城供电公司,高级工程师,从事于信息系统管理工作.

申文栋(1978-),男,国网晋城供电公司,高级工程师,从事于信息系统管理工作.

张丽敏(1980-),女,国网晋城供电公司,高级工程师,从事于信息系统管理工作.

张艳菲(1987-),女,国网晋城供电公司,工程师,从事于信息系统管理工作.