淺談電網(wǎng)企業(yè)信息安全管理體系建設(shè)中的風(fēng)險(xiǎn)管理

黃杰 李娜

摘要：在時(shí)代飛速進(jìn)步與社會(huì)經(jīng)濟(jì)日益增長的背景下，電網(wǎng)事業(yè)發(fā)展更加迅猛，而隨著快速發(fā)展電網(wǎng)行業(yè)競爭越來越激烈。但是，電網(wǎng)企業(yè)在運(yùn)用這些信息技術(shù)的過程中也會(huì)存在一定的安全風(fēng)險(xiǎn)，需要進(jìn)行一定的管理和防范，這是企業(yè)穩(wěn)定發(fā)展過程中必不可少的一項(xiàng)管理工作。文章主要以電網(wǎng)企業(yè)信息安全管理及風(fēng)險(xiǎn)防范策略為中心展開論述和分析。

關(guān)鍵詞：電網(wǎng)企業(yè);信息安全管理;風(fēng)險(xiǎn)防范

引言

電網(wǎng)智能化的深化發(fā)展，使得結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)量增加，各部分工作對電網(wǎng)的依賴程度增強(qiáng)。一旦電網(wǎng)出現(xiàn)信息泄露情況，會(huì)給電網(wǎng)運(yùn)行造成嚴(yán)重影響。鑒于此，如何提高電網(wǎng)信息安全，降低信息泄露率，是電網(wǎng)企業(yè)亟待解決的問題。目前，電網(wǎng)信息安全存在掃描時(shí)間長、威脅識別準(zhǔn)確率低等問題。

1風(fēng)險(xiǎn)管理體系內(nèi)涵

風(fēng)險(xiǎn)管理是在固定的成本及時(shí)間當(dāng)中可能無法完成計(jì)劃的度量指標(biāo)，因此風(fēng)險(xiǎn)管理當(dāng)中有三項(xiàng)重要因素，分別是不利事件、不利事件發(fā)生的概率及其可能產(chǎn)生的影響。在對其進(jìn)行研究后能夠發(fā)現(xiàn)其風(fēng)險(xiǎn)包含的方面很多，首先是質(zhì)量方面的風(fēng)險(xiǎn)，其次是項(xiàng)目管理當(dāng)中的風(fēng)險(xiǎn)及組織方面產(chǎn)生的風(fēng)險(xiǎn)，最后還包含項(xiàng)目以外的風(fēng)險(xiǎn)。其中文章研究的重點(diǎn)為電網(wǎng)企業(yè)信息化中的項(xiàng)目風(fēng)險(xiǎn)，因此其研究內(nèi)容更加貼近于SEI體系，其內(nèi)容分別包含了管理成熟度及團(tuán)隊(duì)風(fēng)險(xiǎn)管理、連續(xù)風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)識別方面的內(nèi)容，由此完成了風(fēng)險(xiǎn)管理體系的動(dòng)態(tài)可持續(xù)性描述。

2企業(yè)信息安全管理現(xiàn)狀

2.1信息安全技術(shù)問題

信息安全包括應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)安全、安全審計(jì)和安全管理等六個(gè)方面。因技術(shù)發(fā)展和資金投入的局限性，在企業(yè)信息系統(tǒng)設(shè)計(jì)開發(fā)過程中難免存在缺陷與漏洞，從而造成企業(yè)的信息安全隱患。此外，企業(yè)未成立專業(yè)部門、團(tuán)隊(duì)去開發(fā)、維護(hù)、更新企業(yè)信息系統(tǒng)，部分企業(yè)甚至無專業(yè)IT安全管理人員等，都會(huì)導(dǎo)致信息安全事件頻發(fā)問題。

2.2員工不了解網(wǎng)絡(luò)安全

通常，電網(wǎng)企業(yè)的員工對信息網(wǎng)絡(luò)的安全性并不了解。有些員工對的工作賬戶設(shè)置了簡單的密碼，甚至有些員工還告訴其他人賬戶和密碼。一些員工與其他員工共享關(guān)鍵的公司信息，這對電網(wǎng)企業(yè)產(chǎn)生了很大的負(fù)面影響。另外，一些員工使用網(wǎng)絡(luò)來查詢與電網(wǎng)企業(yè)無關(guān)的內(nèi)容，從而占用了有限的網(wǎng)絡(luò)資源，這不僅在一定程度上影響了電網(wǎng)企業(yè)的網(wǎng)絡(luò)通信，而且還干擾了其正常運(yùn)行。另外，電網(wǎng)企業(yè)員工會(huì)瀏覽不安全的網(wǎng)頁或隨意連接到不安全的設(shè)備，為病毒和特洛伊木馬的傳播創(chuàng)造了條件，甚至導(dǎo)致信息網(wǎng)絡(luò)的故障和癱瘓，影響電網(wǎng)信息網(wǎng)絡(luò)的正常運(yùn)行和管理。

3電網(wǎng)企業(yè)做好信息安全管理與風(fēng)險(xiǎn)防范的策略

3.1加強(qiáng)統(tǒng)籌規(guī)劃，健全信息安全組織架構(gòu)

為保障企業(yè)的信息安全目標(biāo)能夠?qū)崿F(xiàn)，信息資源能夠得到保障。企業(yè)領(lǐng)導(dǎo)應(yīng)根據(jù)自身業(yè)務(wù)的發(fā)展需求，制定信息安全目標(biāo)，搭建信息安全組織架構(gòu)，明確相關(guān)職責(zé)和權(quán)限。決策層：由企業(yè)主抓信息安全工作的領(lǐng)導(dǎo)組成，負(fù)責(zé)企業(yè)信息安全規(guī)劃、策略以及重大安全事件的審批，并提供相應(yīng)信息資源支持。管理層：由企業(yè)的信息安全主管部門或IT部門承擔(dān)，負(fù)責(zé)企業(yè)日常的信息安全管理、監(jiān)督、考核與培訓(xùn)。執(zhí)行層：由IT部門的技術(shù)人員與其它部門的專、兼職信息安全人員構(gòu)成。負(fù)責(zé)落實(shí)安全措施，消除安全風(fēng)險(xiǎn)，以及安全事件發(fā)生后的應(yīng)急響應(yīng)和處理。

3.2加強(qiáng)網(wǎng)絡(luò)安全教育

網(wǎng)絡(luò)安全培訓(xùn)將有助于提高電網(wǎng)行業(yè)信息管理人員的信息安全意識。因此，必須注意組織人員參加培訓(xùn)，在培訓(xùn)過程中對網(wǎng)絡(luò)安全形成良好的理解和認(rèn)識。在實(shí)際的工作開發(fā)過程中，要時(shí)刻注意網(wǎng)絡(luò)安全教育的加強(qiáng)。此外，在網(wǎng)絡(luò)安全教育工作時(shí)，應(yīng)注意促進(jìn)對網(wǎng)絡(luò)病毒的防護(hù)，即幫助相關(guān)人員進(jìn)行自我管理，以防止發(fā)生不規(guī)則操作感染網(wǎng)絡(luò)病毒。

3.3優(yōu)化傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)

傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)以加密技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、認(rèn)證技術(shù)為主。大數(shù)據(jù)時(shí)代信息技術(shù)更新迭代速度加快，企業(yè)內(nèi)網(wǎng)絡(luò)信息安全管理人員需要加強(qiáng)對傳統(tǒng)技術(shù)的創(chuàng)新，確保內(nèi)部機(jī)房環(huán)境、視頻監(jiān)控系統(tǒng)、防火墻、入侵防御系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)、應(yīng)用交付系統(tǒng)的安全。充分發(fā)揮認(rèn)證技術(shù)的優(yōu)勢，設(shè)置安全認(rèn)證系統(tǒng)，只有經(jīng)過網(wǎng)絡(luò)安全授權(quán)的工作人員才有訪問企業(yè)內(nèi)部數(shù)據(jù)的資格，以防止外部人員對企業(yè)內(nèi)部系統(tǒng)進(jìn)行攻擊。對傳統(tǒng)的訪問控制進(jìn)行適當(dāng)?shù)募夹g(shù)創(chuàng)新，將其應(yīng)用到企業(yè)內(nèi)部網(wǎng)絡(luò)資源權(quán)限的管理系統(tǒng)當(dāng)中。通過使用訪問控制技術(shù)防止外部人員非法獲取企業(yè)內(nèi)部的網(wǎng)絡(luò)信息數(shù)據(jù)，從而保證企業(yè)內(nèi)部的數(shù)據(jù)安全。重視傳統(tǒng)防火墻技術(shù)的應(yīng)用，在企業(yè)內(nèi)部構(gòu)建個(gè)性化的網(wǎng)絡(luò)安全屏障，通過阻隔外部的惡意攻擊保證企業(yè)內(nèi)網(wǎng)絡(luò)系統(tǒng)的安全。同時(shí)，加強(qiáng)對新型防火墻技術(shù)的推廣，將網(wǎng)絡(luò)地址翻譯、虛擬專用網(wǎng)、加密技術(shù)、身份認(rèn)證技術(shù)等技術(shù)應(yīng)用到企業(yè)內(nèi)安全屏障的設(shè)置工作當(dāng)中，實(shí)現(xiàn)對安全系統(tǒng)的優(yōu)化。

3.4網(wǎng)企業(yè)信息化項(xiàng)目風(fēng)險(xiǎn)認(rèn)證

在對電網(wǎng)企業(yè)信息化項(xiàng)目進(jìn)行風(fēng)險(xiǎn)認(rèn)證的過程當(dāng)中需要認(rèn)證的信息為開發(fā)商選擇風(fēng)險(xiǎn)，此風(fēng)險(xiǎn)首先是指在招標(biāo)過程當(dāng)中選擇具體開發(fā)商產(chǎn)生的風(fēng)險(xiǎn)，當(dāng)開發(fā)商企業(yè)的規(guī)模較小且能力較低時(shí)自然會(huì)對項(xiàng)目產(chǎn)生一定的風(fēng)險(xiǎn)，其風(fēng)險(xiǎn)也可能是來自開發(fā)商的業(yè)績，如開發(fā)商對電網(wǎng)系統(tǒng)方面的業(yè)務(wù)不夠熟悉，可能導(dǎo)致項(xiàng)目沒有取得預(yù)期的效果。其次，其風(fēng)險(xiǎn)還包含規(guī)劃期需求風(fēng)險(xiǎn)，規(guī)劃期需求風(fēng)險(xiǎn)主要體現(xiàn)在認(rèn)識風(fēng)險(xiǎn)方面，此方面的風(fēng)險(xiǎn)來自開發(fā)人員及用戶兩個(gè)方面。同時(shí)在規(guī)劃期的軟件硬件環(huán)境情況也會(huì)對其產(chǎn)生一定的影響，其風(fēng)險(xiǎn)的主要來源則是網(wǎng)絡(luò)環(huán)境風(fēng)險(xiǎn)、數(shù)據(jù)準(zhǔn)備風(fēng)險(xiǎn)及用戶配置風(fēng)險(xiǎn)。最后，風(fēng)險(xiǎn)的來源還可能是企業(yè)管理及企業(yè)變革的風(fēng)險(xiǎn)，其首要來源自然是企業(yè)的自身重視程度及參與力度，除此之外，員工存在參與力度不足的情況，員工的不配合及不落實(shí)都會(huì)導(dǎo)致項(xiàng)目的工期順延甚至出現(xiàn)失敗的情況。

結(jié)語

電網(wǎng)企業(yè)在日常生產(chǎn)和經(jīng)營過程中，需要對信息安全管理工作給予足夠的重視，積極地采取各種措施來提高管理工作的效率和質(zhì)量，從而保障整個(gè)企業(yè)穩(wěn)定運(yùn)行，進(jìn)而促進(jìn)我國電網(wǎng)行業(yè)的發(fā)展。

參考文獻(xiàn)

[1]趙建輝.淺析電網(wǎng)企業(yè)信息網(wǎng)絡(luò)的安全及防范措施[J].通訊世界，2017（22）：172-173.

[2]郭建，顧志強(qiáng).電網(wǎng)企業(yè)信息安全現(xiàn)狀分析及管理對策[J].信息技術(shù)，2013（1）：180-183，187.

[3]牛斐.電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全的防范措施[J].大眾用電，2017（S1）：166-167，178.