第1页共5页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共5页信息安全应开展风险管理Theinformationsecurityshoulddevelopriskmanagement作者叶代亮浙江电力金华电业局摘要本文从风险管理出发,结合金华电网信息工作的情况,分析了当前电力信息安全的主要风险,阐述了信息安全应用风险管理的重要性,提出了电力信息安全工作的主要对策。关键词风险管理信息安全对策风险管理是一门新兴科学,包括管理方面,又包括决策方面,她是研究风险发生规律和风险控制技术的一门管理科学。信息系统是企业安全生产、科学经营、现代化管理的重要工具,随着信息安全的重要性越来越突出,信息安全问题被人们日益重视。当前,电力企业的安全性评估工作正蓬勃开展,在信息安全工作中,存在的风险因素很多,电力调度电力市场等系统安全运行,对于电力“三公调度”,甚至对于构建和谐社会都具有十分重第2页共5页第1页共5页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共5页要的意义!信息系统安全运行,在“一强三优”的公司战略中也占据十分重要的位置,是坚强电网的保障!是优质服务的重要工具!如何积极有效保证信息安全,降低安全风险度本文从风险管理的角度出发,对信息安全工作做了一些探讨,供大家在今后的工作中参考。一.金华电网信息发展概况金华电网已经建成以千兆网为骨干、百兆到桌面的信息网络,网络已经深入到各级管理班组,投运的重要系统有:生产调度系统,输、配电GIS系统,OA系统,IP视频会议系统,图档管理系统,营销系统,客户服务系统,SCADA系统,EMS系统,基建管理系统,现场管理系统等及省公司的ERP系统。在信息安全方面,已经建立了以SYMANTEC为核心的防病毒体系,配置了东软、网核等防火墙,建立了数据备份中心,部署了SUSS系统等;此外,在基础建设方面,加强机房电源、空调、防尘、消防等管理。二.信息安全和信息风险的基本概念信息安全涉及到信息的保密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。风险一般指某种事情发生的不确定性,只要某一事件的发生存在着两种以上的可能性,那么该事件即存在着风险。在ISO/IECTR13335-1;2001,信息技术-安全技术-IT安全管理指南IT安全的概念和模型中,风险定义为:特定威胁利用某易资产或一组资产的脆弱性,从而对组织产生损害的可能性。三.当前信息安全面临的主要风险3.1信息网络安全日益突出。随着网络技术的飞速发展和因特网的应用普及,网络互连度越来越高,大量的数据和信息在网上传输,其中含大量的病毒和木马等危害数据,病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务,甚至破坏后无法恢复。木马或者蓄意破坏的动机,对电力公司网络上的连接的计算机系统和设备进行入侵、攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业商业秘密和机密信息,非法使用网络资源等。3.2设备可靠性风险大。信息化建设初期,由于资金等方方面面的原因,很多系统的设备都是单模式的,没有采用冗余设备,其次,部分关键设备运行时间比较长,如小型机等价格比较昂贵,使用周期比较长;再次没有设备运行在线监控手段,不能及时掌握设备的运行状况,不能及时发现问题。3.3人员因素严峻。信息专业是个新兴专业,处于起步阶段,专业技术人才缺乏,部分应用系统的用户权限管理功能过于简单,系统使用人员的水平参差不齐,误操作等情况时有发生,应用系统没有加强用户身份认证和信息系统的访问控制。专业知识更新快,新技术发展迅速,新技术应用面广,管理人员专业素质跟不上要求,不能及时发现问题。3.4管理制度不全。信息安全“三分靠技术,七分靠管理”。信息化属于新兴专业,工作规范和相关的管理制度十分欠缺,制度的科学性、合理性、严密性等方面存在不足。此外,还有电力一、二次系统的信息采集和数据传输问题,以及随着电子商务应用的推广,带来的交易安全等问题。四.开展风险管理的重要性企业的风险管理如图1所示。她包括了风险意识、风险识别、风险分析、风险处理和风险管理5个部分。其中风险意识是风险管理的关键。风险识别的...
