- 相關(guān)推薦
電力企業(yè)信息安全風(fēng)險評估的方法論文
摘 要:電力企業(yè)信息安全的風(fēng)險分析 基礎(chǔ)設(shè)施風(fēng)險分析 基礎(chǔ)設(shè)施安全是信息系統(tǒng)安全的必要前提。目前電力系統(tǒng)在機房基礎(chǔ)設(shè)施建設(shè)的訪問管理存在缺陷,亟待解決。比如樓層交換機的機柜位置及其不安全,非運維管理人員可以隨時接觸,給內(nèi)部攻擊和竊密提供方便。
關(guān)鍵詞:電力企業(yè)論文
基礎(chǔ)設(shè)施風(fēng)險分析
基礎(chǔ)設(shè)施安全是信息系統(tǒng)安全的必要前提。目前電力系統(tǒng)在機房基礎(chǔ)設(shè)施建設(shè)的訪問管理存在缺陷,亟待解決。比如樓層交換機的機柜位置及其不安全,非運維管理人員可以隨時接觸,給內(nèi)部攻擊和竊密提供方便。
信息網(wǎng)絡(luò)安全風(fēng)險分析
部分電力企業(yè)用戶由于工作需要涉及互聯(lián)網(wǎng),這給信息內(nèi)網(wǎng)帶來安全隱患;局域網(wǎng)及廣域網(wǎng)內(nèi)部用戶有意或者無意地對信息系統(tǒng)發(fā)起攻擊和泄密行為。此外企業(yè)內(nèi)部人員技術(shù)水平,信息設(shè)備性能等各方面的制約,使得整個電力信息網(wǎng)絡(luò)的外部邊界保護能力存在一定差異,均降低整個信息系統(tǒng)安全防護能力。其他設(shè)備的安全風(fēng)險分析沒有完整的備份策略,備份不及時或者沒有應(yīng)急預(yù)案;移動介質(zhì)管理不規(guī)范,對備份介質(zhì)沒有做領(lǐng)取、使用等方面的記錄。災(zāi)難恢復(fù)水平低,沒有有關(guān)災(zāi)難恢復(fù)的管理制度等。管理風(fēng)險分析隨著信息技術(shù)日新月異的發(fā)展,近些年來,電力企業(yè)在信息化應(yīng)用方面的要求也在逐步提高,但其中安全意識薄弱,管理制度不健全以及缺乏可操作性等都可能引起安全管理的風(fēng)險。
電力企業(yè)信息安全的風(fēng)險計算
結(jié)合電力企業(yè)實際情況,從風(fēng)險管理的角度,運用科學(xué)的手段,對信息資產(chǎn)存在的脆弱性、面臨的威脅以及脆弱性被威脅利用會產(chǎn)生的負(fù)面影響和危害事件發(fā)生的可能性,進行科學(xué)評價的過程。力圖通過最優(yōu)的風(fēng)險管理策略,把信息系統(tǒng)上客觀存在的風(fēng)險,逐步降低到一個可以接受的程度。由于電力企業(yè)目前受到的威脅涉及環(huán)境威脅、內(nèi)部人員威脅、外部人員威脅以及環(huán)境威脅四個方面,脆弱性涵蓋管理脆弱性、運維脆弱性以及技術(shù)脆弱性三個環(huán)節(jié)。根據(jù)風(fēng)險評估的關(guān)鍵要素:資產(chǎn)、威脅和脆弱性,風(fēng)險計算流程如圖1所示:采用Z=f(x,y)=x*y公式計算風(fēng)險值,函數(shù)f可以采用矩陣法。矩陣法的原理是:x={x1,x2,…,xi,…,xm},1≦i≦m,xi為正整數(shù),y={y1,y2,…,yi,…,yn},1≦y≦n,yj為正整數(shù),以要素x和要素y的取值構(gòu)建一個二維矩陣,矩陣行值為要素y的所有取值,矩陣列值為要素x的所有取值。矩陣內(nèi)m×n個值即為要素z的取值,z={z11,z12,…,zij,…,zmn},1≤i≤m,1≤j≤n,zij為正整數(shù)。信息安全風(fēng)險值=安全事件發(fā)生可能性*安全事件損失其中,安全事件發(fā)生可能性=威脅發(fā)生頻率*脆弱性嚴(yán)重程度;安全事件損失=資產(chǎn)價值*脆弱性嚴(yán)重程度;通過防范措施實施后如圖2所示,信息系統(tǒng)威脅等級如圖1所示。通過技術(shù)手段加管理手段等有效的防范措施,同時借助信息安全常態(tài)防護機制和不定期督查機制,使得信息安全風(fēng)險得到大幅度的降低。
總結(jié)
隨著信息技術(shù)的廣泛應(yīng)用和國際互聯(lián)網(wǎng)的不斷發(fā)展,信息安全問題也越來越復(fù)雜和多樣化,信息系統(tǒng)安全風(fēng)險評估也日益得到人們的重視,在電力企業(yè)內(nèi)部建立健全信息安全體系的同時,制定相應(yīng)的安全管理措施,定期對信息系統(tǒng)進行風(fēng)險評估以及審計,確保信息系統(tǒng)安全穩(wěn)定運行,為電力企業(yè)創(chuàng)造更加美好的未來。
【電力企業(yè)信息安全風(fēng)險評估的方法論文】相關(guān)文章:
相似云下的網(wǎng)絡(luò)安全風(fēng)險評估論文11-27
安全風(fēng)險中電力技術(shù)措施與管理思考論文11-30
企業(yè)信息數(shù)據(jù)安全的研究論文11-16
關(guān)于模糊綜合的信息安全風(fēng)險評估03-02
電力項目投資風(fēng)險防范的措施經(jīng)濟論文11-19
電力安全管理論文11-07
電力企業(yè)信息安全管理體系分析研究12-01
研討壽險公司的風(fēng)險評估03-26
對企業(yè)信息安全困境的探微管理論文11-16