电力行业信息安全实施方法
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、前言
电力行业是国家的基础和支柱行业,随着现代化建设的迅速发展,各行各业对电力能源需求日益强劲,对电力行业的依赖也越来越强,电力行业的发展和建设关系到国计民生,是整个国家安全保障体系的重要一环。
电力行业经过体制改革之后拆分为国家电网公司、南方电网公司以及五个发电集团公司,构成了厂网分家的市场竞争格局。随着计算机技术、通信技术和网络技术的发展,电力系统网上开展的业务及应用系统越来越多,要求在业务系统之间进行的数据交换也越来越多,对电力网络的机密性、完整性、可用性、可靠性等等都提出了严峻挑战。如何保障电力网络的安全可靠运行已成为一个非常紧迫的问题。2002年5月中华人民共和国国家经贸委出台了《电网和电厂计算机监控系统及调度数据网络安全防护的规定》,电监会也出台了《电力二次系统安全防护规定》,重点防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害,及由此引起的电力系统事故,以保障我国电力系统的安全、稳定、经济运行,保护国家重要基础设施的安全,这些规定对指导和规划我国电力行业信息安全建设都有着重要的意义。
二、电力行业信息安全面临的威胁
2.1缺乏统一的安全管理体系和安全规划,缺乏统一的规章制度和安全策略。由于安全威胁日益严重,
要求企业必须根据安全状况制定适合自己的安全管理框架,具体安全管理框架的内容可以包括:
安全策略:包括企业安全白皮书、安全相关的各种规章制度、安全相关流程(如事故紧急响应流程)、各种设备采购安全标准等等;
安全组织:包括有企业决策人参与的安全领导小组,专门的安全部门和安全人员,培养内部信息安全专家,将企业内部所有IT系统使用和维护人员纳入专业的安全论坛;
安全培训体系:建立外部和内部的培训机制,增强企业内部员工安全意识培训和安全技能培训;企业IT资产管理:对企业的信息资产和安全需求有明确的了解和定义,做到“知己知彼”。
2.2缺乏完整的技术防护体系。目前各电力信息系统已经采用了一些安全防护措施,但是相对于日
益复杂多变的信息安全形势,安全措施的采用还是不足的,存在严重的风险和安全隐患,表现如下:
■简单防御,已部署的产品功能单一,可能仅为对抗某一类威胁而设计,难以对抗日益复杂的、混合式的攻击;
■被动防御,仅靠定期更新特征库签名的方式,无法对最新的,以及未知的攻击做出有效的防御,在与黑客的对抗中永远处于下风;
■防御区域有限,或定位于网络边界,或定位于内部终端,没有形成统一的、立体的、深度耦合的防御体系,难免顾此失彼,疲于应对;
■同时采用不同厂商的多种设备,导致部署复杂,资源浪费,功能重复,管理成本高,无法从海量的报警和日志中发现真正的威胁,同时分散的产品也难以制定整体安全策略,难以协同工作,无
法真正达到保护网络安全的目的;
三、电力行业信息安全解决方案:
华菱咨询基于对信息安全的深刻理解,参考国内外先进标准理念,根据多年的安全领域建设经验,总结提炼出能够充分满足电力行业当前及未来发展需求的电力行业信息安全保障体系,以“信息保障(IA)”为中心,以“深度防御”和“综合防范”为指导,以“信息安全风险分析”为手段,以“信息安全管理”为重点,从人员、技术、管理等方面提供安全保障能力,将电力行业网络划分成网络边界、网络基础设施、终端计算环境、以及支持性基础设施等多个安全防御领域,保护电力信息及信息系统,满足其保密性、完整性、可用性、可认证性、不可否认性等安全需求。具体电力行业安全保障体系为:
2.1通过ISO27001的信息安全管理体系建立,确保在管理制度有一套规范的制度作为电力运营的有效运行
体系。如建立访问控制、·入侵检测/入侵防御、·通信加密(VPN)、·网关防病毒等制度。
2.2通过ISO20000-1的IT服务管理体系建立,确保在管理制度有一套规范的制度作为电力运营的有效运
行体系。如建立·安全状态完整性检查和强制认证、·网络准入控制、·外设使用控制、·终端用户行为监控及审计制度等。
2.3通过对风险评估和相关对策的制订,降低风险,如建立风险管理、资产管理、脆弱性管理、安全事件
管理、安全任务单管理、安全预警管理、安全设备管理、安全评价管理、报表管理等制度。
2.4通过建立完整的业务连续性计划,包括灾难恢复,来降低经营风险,提供企业的形象。