電力企業信息安全管理(共3篇)范文
本站小編為你精心準備了電力企業信息安全管理(共3篇)參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
第一篇
目前,影響縣級電力企業信息安全的因素主要有以下幾點:
(1)網絡安全因素。縣級電力企業構建現代信息網絡的目的,是為了建立一種高效的信息傳輸平臺,從而方便信息存儲、傳輸與共享。當前,除電力企業外,其他企業也大多構建有自身的信息化平臺,并將信息平臺應用到了自身的生產和運營中。而在信息化平臺的運作過程中,要實現信息的傳輸與共享,就必定要接入互聯網,并通過互聯網來實現信息的利用。但互聯網具有較高的開放程度,這使得電力企業信息在實現高效傳輸與共享的同時,也面臨著來自互聯網的威脅,存在信息被竊聽、篡改等安全問題。
(2)物理安全因素。縣級電力企業信息的物理安全因素,包括實現信息化平臺的各種硬件設備,比如交換機、服務器、路由器等。而信息安全風險的來源主要包括火災、水災、雷擊、地震等不可抗拒的自然災害,來自人為的電磁干擾以及配置、操作不正確等。在信息平臺中,一旦出現物理安全威脅,便可能造成巨大損失,這種損失甚至無可挽回,比如數據存儲媒介遭到物理破壞等。
(3)應用安全因素。縣級電力企業信息平臺中的應用安全因素來自應用軟件層面。基于計算機和互聯網的硬件平臺之上,要使信息系統能夠實現與普通人群的對接與運作,就必須有軟件作為操作接口,這能夠帶給人機操作最為簡便的體驗,但與此同時它也帶來了其他方面的安全威脅:一方面軟件自身的漏洞可能造成信息數據遭到破壞或泄露;另一方面它也可能會引起系統崩潰,使信息系統停止運作。
(4)管理安全因素。要確保縣級電力企業的信息系統安全,一方面需要依靠技術,另一方面要依靠管理,并且主要是依靠管理。因為就算技術再先進,如果管理策略出現漏洞,同樣可能會使信息系統受到安全威脅。
二、縣級電力企業信息安全管理策略
(1)完善電力企業信息安全工作機制。確保企業信息的安全是現代電力企業信息化工作的重中之重。首先,要從領導層開始,加大對信息安全的重視力度,加強領導與管理力度,建立、完善縣級電力企業信息安全工作機制,將保障電力企業信息安全工作納入到電力安全生產總體方案中。在實現企業信息化建設的同時,確保信息安全同步前行。
(2)完善電力企業信息安全管理制度。為了確保我國信息化建設穩步發展,國家出臺了相應的技術標準及法律法規,對信息安全的相關內容做出了明文規定。所以電力企業應當深入了解并執行這些規定,在自身信息安全管理制度的建立、完善與實踐過程中,以國家所提出的整體性政策與技術標準為指導,確保信息安全工作長期、有效開展。
(3)建立信息平臺防病毒系統。在全球信息化構建的過程中,基于計算機的防病毒系統作為一種信息安全技術手段,經過了較長時間的發展。目前,廣為運用的防病毒系統有硬件版的,也有軟件版的;有針對個人用戶的,也有針對整個互聯網的。當然,對于縣級電力企業而言,最適合選用的還是企業版的防病毒系統軟件。客觀地說,當前的防病毒系統已經發展到了一定程度,有能力對電力企業的信息安全起到保護作用。就防病毒系統的發展現狀而言,它能夠做到服務器自動升級、集中管理、自動更新病毒定義碼等。在縣級電力企業中,應當根據自身生產、運營特征,擇優選用防病毒系統。
(4)搞好信息系統安全防護工作。在縣級電力企業的信息安全中,一個重要的內容就是企業的信息資源共享及訪問。在縣級電力企業信息化構建之初,就應當進行嚴密、科學的論證與分析,在最合理的條件下設計出用戶權限機制,以確保企業自身的信息安全為原則,制定、部署信息訪問安全策略,明確共享信息的受訪屬性及范圍。當然,目前很多縣級電力企業的信息化系統都早已構建完成,或許在早期的構建過程中,或多或少存在有一些信息安全防護漏洞。在這種情況下,就應當采用安全訪問網關,在以往信息化平臺的基礎上,加大對信息共享及訪問的控制力度,增強系統用戶管理的有效性。采用這種方式,不需要對縣級電力企業已有的信息平臺做出較大的改動,在實施上不論是難度還是成本都較低。電力企業的信息化平臺構建應當將穩定和安全作為重點的、最首要和最基礎的考慮對象,所以在信息安全管理工作中,應當盡可能選用成熟、安全性高的產品和技術作為管理方式與途徑,不能一味地追求新技術、新產品。另外,企業自身也應加大對專業化信息安全人才的培養力度,確保自身信息化構建與信息安全構建并步前行,這樣才能保證縣級電力企業中的所有信息安全軟硬件投入發揮出應有的作用和效果。最后,要根據電力企業的自身生產及運營特征,構建起一個應急的技術處理平臺與信息處理平臺,用于相關信息安全公告、安全法規和技術標準。
(5)搞好信息安全風險評估工作。縣級電力企業的信息安全風險評估指的是對其自身信息系統中所有的軟硬件設備、操作規程、安全管理策略等進行全方位、科學化的分析,并有針對性地提出合理的安全建議,保證系統資產的機密性、完整性和可用性等基本安全屬性。根據評估的結果采取相應的安全控制措施,并適時調整企業的安全策略。在縣級電力企業的信息安全管理工作中,應加大安全系統構建力度,搞好企業自身的信息安全風險評估。專業性的信息安全風險評估工作應當交由專門的技術人員或公司來做,企業內的所有人員都應全力配合,爭取能夠有效地進行評估工作,最后找出風險問題并有針對性地制定好整改措施。要求企業內相關人員在日常工作中遵照新的整改措施進行操作,并在整改后期定時、不定時地進行再次評估與改進。
(6)提高工作人員信息安全素質。在縣級企業信息系統中,對信息安全威脅最大、最廣的莫過于人為因素。首先系統的弱點是由人和技術造成的,其次系統風險的影響也是由人和技術決定的。所以,應重視開展不同層面的安全教育和培訓工作,樹立信息安全風險意識,進一步提高技術水平和管理水平,不斷積累信息安全管理經驗,以適應信息技術不斷發展的要求。
三、結語
當前,為提高自身的生產運營效率,很多企業都開始了信息化構建工作,而我國的電力企業一直走在前列。可以說,信息技術在電力企業的應用很大程度上降低了生產運營成本,提高了工作效率,對我國電力企業的生產與發展起到了推動作用。但客觀來說,由于各種因素的影響,電力企業的信息安全受到了威脅。所以,要加大電力企業信息安全的管理力度,確保信息化構建與信息安全構建并步前進,這是確保我國電力企業甚至是整個社會穩步發展的一項重要工作。
作者:張麗單位:山東省聊城市東阿縣供電公司
第二篇
一、供電企業信息安全的總體要求
1.1信息安全
信息安全就是要保證信息的連續性,而且不可以因為外來的各種因素而遭到破壞和丟失,特別是具有保密性質的信息,更不可以被竊取。因此,從廣義的層面理解“信息安全”的概念,就是指在計算機信息網絡中所公布或者是存儲的信息,無論是計算機硬件、軟件,還是系統數據,都不可以因為各種因素的干擾而丟失,同時,計算機信息網絡不可以因受到不良攻擊而導致信息服務出現中斷。現在計算機信息網絡已經普及,也正是因為如此,給網絡信息帶來的來自各方面的威脅。信息被竊取,關于提高供電企業信息安全防護水平的探討題文/劉申系統遭到病毒的攻擊而導致網絡癱瘓,這些都會為網絡用戶帶來不同程度的損失。為了提高計算機信息網絡的安全,就需要建立起網絡信息安全保護機制,以確保信息網絡的正常運行。
1.1.1設置系統口令,以防止非法用戶進入信息網絡
這主要是針對外網用戶的訪問,要通過申請并被準許之后,才能夠進入到網站。一般是通過設置系統口令的方式。惡意攻擊的人員如果沒有通過口令或者是獲得申請,就無法進入。具體的操作步驟上,可以先對用戶進行身份的識別,并根據計算機系統中對于用戶驗證的設置進行用戶身份的驗證;當用戶輸入口令后,計算機可以自動地識別和驗證;通過控制和限制用戶賬號,對于信息網絡進行有效管理。普通用戶的賬號,計算機網站的管理員有權進行控制,對于不符合要求的用戶,管理員就會在登錄權限上加以限制,以避免不良用戶獲取資源。另外,網絡管理員還可以對于用戶的入網時間和訪問的網站加以控制,同時做好審計工作。如果訪問用戶連續三次輸入不正確的口令,就會被限制訪問,并顯示出警告。
1.1.2要設置訪問權限,以提高信息網絡資源的安全性
對于信息訪問,還可以設置訪問權限。對于沒有資格瀏覽信息的用戶,就要將其設置為低權限用戶,從而使其無法訪問高權限用戶可以獲取的資料。對于網絡中的資源,包括目錄和文件,都可以將訪問群體控制在局部的用戶,這部分用戶有權享受網絡中的信息資源。比如,信息管理員可以訪問計算機網絡資源,并有權管理各種信息,進行完善和修改。一般用戶要訪問網站,就需要根據自己的訪問權限訪問被允許登錄的網站,也可以向計算機網絡信息管理員申請,以獲得操作權限。審計人員有權登錄網站,其目的是控制網站,以確保網站資源不受破壞。對于不允許被訪問的信息,要進行加密處理,以保護信息不會向非法用戶泄露。為了防止信息被隨意更改,還要對信息設置只讀功能,除了信息網站管理員,或者是有權更改信息的用戶可以對信息數據進行處理之外,其他人無權修改信息。
1.1.3做好目錄和屬性的安全控制工作,以保護網絡信息不被隨意更改
對于信息網絡訪問用戶,網站管理員有權利控制其對于網絡信息的目錄和文件的訪問權限,一方面要使用戶有效地訪問自己所需要的信息,另一方面要控制好用戶對于網絡服務器的更改,以提高計算機網絡和服務器的安全性能。用戶對于目錄和文件的訪問權限一般包括以下幾種,用戶不可以超越系統管理員的權限來完成不被允許的各項內容;對于網絡的信息不可以隨意更改,即具有讀寫權限;網絡上的信息一般都會被設置為制度,用戶沒有插入的權力和刪除的權力,更不可以對于網絡信息進行擅自修改。對于網絡中的重要文件,設定網絡屬性可以對于目錄和文件進行有效保護。
1.1.4對于信息網絡要做好審計工作,以對信息網絡實時監控
制定必要的監控管理制度,使用審計的手段,對于惡意攻擊的人進行嚴厲地懲治。網絡服務器可以根據用戶訪問申請資料記錄下對于網絡資源訪問的用戶,并對于其所訪問的信息內容進行監控。如果出現非法的訪問,服務器就應該進行報警,一般是出現光標閃動,并發出報警的聲音,以提示管理員立即采取措施。對于非法用戶訪問網絡,網絡服務器應該對于其試圖闖入的方式和次數進行記錄,當其訪問的次數達到服務器所限定的數值的時候,就要自動對其賬戶進行鎖定,禁止其訪問網站的權力。
1.2供電企業對于信息安全的要求
供電企業的信息安全是否有所保證,關乎到電力系統的正常運行。一旦供電企業信息網絡遭到破壞,就會對電力企業造成巨大的經濟損失,對于電能用戶的影響也是非常大的。要保證供電企業的信息安全,就要堅持信息安全總體防護策略,即要堅持雙網雙機,進行分區分域管理,以避免信息網絡受到攻擊之后,導致整個信息網絡的癱瘓,影響供電信息網絡的運營。另外,要安全接入,尤其是外網的接入,要對端口進行安全技術處理,做好病毒防御工作。對于所建立的動態感知的電力信息網絡系統,要進行精益管理,以保供電信息網絡得到全面的防護。防護策略的主要目的,就是確保供電信息網絡不會因為故障而中斷服務,更不可以因為受到黑客的攻擊,或者是病毒的感染而導致信息系統無法正常使用,尤其是供電信息網絡上面的信息數據和內容,如果被更改或者是丟失,就會為電力系統造成極大的損失,甚至于導致運行事故的發生。
二、提高信息安全水平,要做好計算機硬件方面的工作
2.1防火墻
目前普遍使用的網絡安全屏障就是防火墻,其作為計算機網絡外界安全系統,可以對于進入網絡中訪問的客戶進行強制控制。作為一種維護計算機網絡安全的硬件技術性措施,其可以組織黑客以及各種病毒的入侵,已經成為了控制進/出兩個方向通信的門檻。網絡防火墻的作用主要是用來阻擋外部網絡的侵入,所以,相應的架空系統的主要功能是對于內部網絡和外部網絡有效隔離。在防火墻的應用上,當我們發現一些不良信息遭到了攔截,就是防火墻在發揮其功能性的作用。防護墻除了防止黑客或者是病毒的侵入之外,會能夠將一些垃圾信息阻攔在網絡之外,以凈化網絡信息,防止干擾必要的信息,以保證信息安全。為了保證供電信息網絡的安全,防火墻可以安裝在信息網絡和Internet之間,當網絡信息在進行頻繁傳遞的時候,防火墻就會將不可信任的信息阻止在供電信息網絡之外,以防止重要的信息資源被非法存取和訪問,保護信息系統安全。
2.2入侵檢測系統
如果說防火墻可以防止來自于Internet網絡的非法訪問侵入到供電信息網絡當中,那么對于成功入侵的非法訪問,防火墻則無能為力了。入侵檢測系統,則成為了保護供電信息網絡的又一道門檻。與防火墻相比,入侵檢測系統是一種動態安全技術,當計算機網絡對于信息進行收集整理之后,通過入侵檢測系統,可以對于這些信息進行篩選、分析和檢測,以對于違反安全策略的行為進行判斷,并將檢測的結果記錄下來。使用入侵檢測系統,降低了網絡干擾信息量,網絡搜索引擎或者瀏覽信息的效率被大大地提高了。并且一旦入侵檢測系統發現有非法入侵,卻沒有有效組織,就會啟動自動報警系統,以通知有關人員采取必要的措施對于非法信息進行處理。在供電信息網絡安裝入侵檢測系統是非常適合的,其不僅可以檢測來自外部的入侵行為,而且還能夠對于供電信息網絡的瀏覽用戶進行實時監督。
2.3提高電力信息系統的配置
為了防止供電企業的信息網絡遭到破壞而導致整個的電力系統癱瘓,可以采取必要的預防措施,即采用雙線路和雙電源的方式以防后患。目前一些供電企業在交換機的配置上,還采用單個核心機交換機,采用冗余核心交換機則可以在原有的基礎之上提高安全系數。一旦供電信息網絡出現故障,可以為維修人員爭取時間搶修,以避免更大的事故發生。對于重要的信息系統配置,諸如核心交換機、服務器等等,其供電方式可以采用雙電源,如果有突然出現電源中斷,可以通過自動切換系統將電源切換到安全的線路當中,以大大地提高了供電信息系統的安全性,保證電力系統可靠運行。
三、提高信息安全水平,要做好計算機軟件方面的工作
3.1安裝統一的防病毒軟件
現在網絡病毒不斷地升級,單純地采取硬件措施已經無法達到要求。鑒于病毒傳播之外,一旦進入到網絡系統中之后,就會迅速蔓延,可以在計算機系統中安裝防病毒軟件,并且實時升級,以有效地阻止由于病毒而造成的文件破壞、信息泄露,甚至于計算機死機的現象發生。病毒本身是一種計算機程序,能夠對于系統文件或者是計算機系統造成破壞,一般傳播的方式是通過移動存儲介質作為主要的傳播方式。安裝計算機軟件,可以對于對于計算機系統進行自控掃描,并對于各種信息進行實時監控,以保證網絡中斷設備的信息安全。
3.2安裝桌面終端管理系統
為了保證計算機系統在可控制下運行,安裝桌面終端管理系統以及提高操作系統的安全性,從而對于威脅信息系統的各種行為具有抑制的作用。病毒往往會通過系統的漏洞進行入侵,終端管理系統中的補丁管理可以對于電腦系統中所出現的漏洞進行及時地修補。對于安全威脅,計算機可以自動檢測并分析,尤其是信息網絡的共享平臺、瀏覽器等等,都可以通過自動檢測的方式發現安全問題,并自動修補。
3.3建立供電信息網絡的安全審計系統
計算機的審計產品是一種較為特殊的安全設備,其可以對于維護計算機的正常業務操作行為。在供電信息系統中,所建立的數據可承載了大量的數據信息,尤其是一些關乎企業效益和電能用戶的各種關鍵數據,諸如用電數量等信息,如果被不良用戶所訪問后進行篡改,就會造成嚴重的經濟后果。采用業務審計產品,則可以對于系統進行有針對性地監督。
3.3.1數據庫審計
主要的職能是對于數據庫的操作行為進行智能化監督。諸如數據庫的登錄,內容的刪改以及數據庫表格的更新等等,都在監控之下,除了實施操作的用戶名以及登錄時間和IP地址之外,還要將各種操作記錄下來進行分析。除此之外,對于數據庫,諸如SQLServer、Informi中所出現的的錯誤代碼進行審計,可以使得計算機信息網絡管理員對于數據庫的狀態進行全面了解,并且及時地采取必要措施處理故障信息。
3.3.2網絡運維審計
在供電系統的信息網絡中,通過對于Telnet、X11、FTP等等運維協議的審計,能夠將用戶訪問和操作的全過程都記錄下來,并進行自動分析。與此同時,還可以通過錄像回放的形式,對類似的窗口進行還原。
四、總結
綜上所述,電力是國家基礎能源產業,其發展狀況直接關乎到我國的國民經濟發展水平。進入到新的歷史時期,電力系統應社會經濟發展的需要呈現出迅猛發展的勢頭。供電信息網絡的建立,為電力企業的發展帶來了新的發展機遇。然而一些電力信息網絡上面的信息面臨著因受到攻擊而被盜取、破壞或者丟失的可能,提高供電企業信息安全防護水平勢在必行。
作者:劉申單位:江蘇省電力公司宿遷供電公司
第三篇
一、電網企業信息安全風險分析
1.木馬病毒入侵的安全風險
隨著網絡技術的不斷發展、電網企業內外部網絡環境的日益成熟和網絡應用的不斷增多,各種病毒也更為復雜、難解。木馬等病毒的傳染、滲透、傳播的能力變得異常強大,其入侵方式也由以前的單一、簡單變得隱蔽、復雜,尤其是Internet網絡和企業網絡環境為木馬等病毒的傳播和生存提供了可靠的環境。
2.黑客非法攻擊的安全風險
近年來各種各樣的黑客非法攻擊異常頻繁,成為困擾世界范圍內眾多企業的問題。由于黑客具有非常高超的計算機技術能力,他們經常利用計算機設備、信息系統、網絡協議和數據庫等方面的缺陷與漏洞,通過運用網絡監聽、密碼破解、程序滲透、信息炸彈等手段侵入企業的計算機系統,盜竊企業的保密信息、重要數據、業務資料等,從而進行信息數據破壞或者占用系統的資源等。
3.信息傳遞過程的安全風險
由于電網企業與很多的外部企業、研究機構等有著廣泛的工作聯系與業務合作,因此很多日常信息、數據資料等都需要通過互聯網進行傳輸溝通,在這個傳輸過程中的各類信息都會面臨各種不同的安全風險。
4.權限設置的安全風險
信息系統根據不同的業務內容對不同的部門、員工開放不同的系統模塊,用戶根據其登陸的權限設置訪問其范圍內的系統內容。每個信息系統都有用戶管理功能,對用戶權限進行管理和控制,能夠在一定程度上增加安全性,但仍然存在一定的問題。很多電網企業內都存在不同的信息系統,各系統之間都是獨立存在,沒有統一的用戶管理,使用起來極不方便,難以保證用戶賬號的有效管理和使用安全。另外,電網企業的信息系統的用戶權限管理功能設置過于簡單,不能夠靈活實現更為詳細的權限控制等。
5.信息設備損壞產生的安全風險
電網企業內的各類業務信息、數據資料、工作內容等信息都是依托于相應的軟硬件設備而存儲、傳遞、應用的,當這些計算機硬件設備、信息系統、數據存儲設備、用電支撐設備等由于企業內外部不同作用力的影響而出現癱瘓、停止工作等突發狀況時,會帶來重要信息內容的泄露、丟失等安全風險隱患。
6.人員操作失誤形成的安全風險
電網企業內的專業信息技術人員、業務人員、管理人員對信息系統的操作能力存在一定的差異,一些人員的意識較為陳舊、操作能力較差,在對信息系統、網絡連接、數據庫等的應用過程中,由于對這些技術內容不熟悉從而產生了一些錯誤操作,為此產生了許多意想不到的安全風險。同時,在運用過程中存在的思想偏差、理解偏誤、粗心大意等導致的誤操作也會產生相應的安全風險。
7.技術更新變化帶來的安全風險
當前的信息技術、系統開發、網絡應用、數據庫存儲等都在日新月異地飛速變化,幾乎每天都會發生更新換代的升級變化,沒有任何的信息技術能夠長時間使用。電網企業原有信息系統等設備進行升級換代或者與新的數據庫內容進行新舊結合以及轉換時,會因為兼容性差、不能匹配等原因造成一定的信息安全風險。
二、信息安全風險應對機制
電網企業的信息安全承擔著極為重要的作用,而其面臨的安全風險也是多方面的,僅從信息系統、技術設備的單一角度進行信息安全風險管理遠遠不夠,對于其他很多潛在的風險因素難以有效應對。因此需要從信息技術技術、企業管理、風險控制等多個維度來建立相應的措施,以應對可能出現的各類風險,從而從硬性技術層面到柔性管理層次形成多維度的風險管理手段。
三、信息安全風險管理體系
電網企業信息安全風險管理體系是進行信息安全風險管理的核心內容,其他的制度建設等方面的應對機制都是為了更好地使風險管理體系發揮有效的作用,能夠在不同的情況下進行信息安全風險威脅的提前預防、風險發生時的控制、事后風險影響的結果處理等。電網企業信息安全風險管理體系框架結構
1.信息安全風險評估
電網企業信息安全風險評估是風險管理體系的第一部分,風險評估效果的好壞直接影響著后面風險管理環節的執行情況。通過風險評估的準確執行,能夠有效識別、分析各種不同風險的種類、來源、影響程度等內容,為后續的風險預防、控制等奠定良好的基礎。信息安全風險評估主要由風險案例庫、風險因素分析系統、風險定量定性轉化系統、數據統計歸納庫、風險分析結果傳輸體系等構成,通過幾個模塊的有機結合來科學分析評估電網企業遇到的各類信息安全風險因素。
2.風險事前預防
電網企業信息安全風險事前預防就是在風險沒有發生時對各種風險進行提前預防,通過建立的預防計劃方案來提前避免風險的發生,從而保證信息的安全性。這是風險管理體系希望達到的最佳效果,因此該環節非常重要。通過對風險案例庫的經常性學習,使相關部門和人員對各類風險有了總體的認識和了解;通過建立相應的風險預警裝置來提前警告風險的發生,使電網企業能夠提前采取措施來避免風險發生;運用信息安全風險管理制度加強員工的行為能力,避免風險產生;通過信息技術的相關配置,從信息系統、網絡、數據等方面提前對一些病毒風險等進行處理。出色地執行電網企業的信息安全風險預防工作,能夠避免很多不必要的麻煩,從而有效減少后面風險控制工作內容。
3.風險威脅轉移
將可能發生或者即將到來的信息安全風險有效轉移到其他的地方,可使得安全風險沒有在電網企業的信息系統中發生,避免了風險帶來的威脅損害。風險轉移同風險的事前預防一樣,能夠在很大程度上將信息安全風險帶來的威脅降低到最小,避免其帶來的各類損失。
4.風險過程控制
在對信息安全造成威脅的風險發生時,采取各種方法、手段進行風險的最小化控制,使風險本身隨著控制的進行而逐漸變小甚至消失,將風險發生后造成的影響降低到最小或者控制在能夠承受的合理范圍內。主要從信息系統、數據庫、網絡系統、計算機基礎設備等技術方面進行控制;從制度、標準、規范等管理層面進行控制;從人員培訓、部門協調等組織結構層面進行控制;從風險發生時制定的風險控制措施、計劃進行控制;形成動態反饋的風險發生、控制效果的反饋機制,以便及時對控制方案進行調整完善。
5.風險事后處理
信息安全風險發生后,對電網企業的信息系統、網絡、數據庫等造成一定的影響,已經沒有時間進行及時有效的風險控制,此時的工作重點在于如何采取挽救措施對風險造成的信息安全損失進行彌補,將其影響程度降低到最低。
6.非常態風險應急處理
在電網企業對信息安全進行風險管理的過程中,有時會出現一些案例庫、控制計劃之外的非常態風險,這些風險沒有以往成功的風險管理經驗可以借鑒,這時就需要在電網企業信息安全風險管理體系中建立相應的非常態風險應急處理模塊。電網企業信息安全非常態風險應急處理主要是當意外的緊急風險發生時,能夠迅速啟動應急預案組織相關人員進行風險應對控制、風險預防和控制等;若風險已經發生,此時能夠及時還原數據、隔離外部風險入侵,使信息系統、網絡、數據庫在最快的時間內恢復正常運作。
四、總結
本文通過對電網企業信息安全重要性進行分析,提出了建立信息安全風險管理體系應對各種內外部風險威脅的必要性。在對電網企業信息安全的概念、特點等分析說明的基礎上,深入研究了電網企業的信息安全所面臨的各種不同的風險因素,建立了包括信息技術、企業管理、風險控制三個方面在內的電網企業信息安全風險應對機制。結合所建立的電網企業信息安全風險應對機制,本文構建了一套綜合、全面的電網企業信息安全風險管理體系。該體系的構建能夠從事前風險預防、事中風險控制、事后風險影響后果處理等三個環節進行全面的風險管理。
作者:王旭張建業馬鵬程單位:新疆電力公司電力科學研究院新疆電力公司科技信通部北電力大學經濟與管理學院
