电力信息系统安全应用示范工程的经验研究.pdf

电力可持续发展与信息化建设 电力信息系统安坌应用 示范工程呐经验 周光浩，祁建 (江苏省电力公司，南京210002) 摘要：电力信息系统安全应用示范工程建设的成功经验 2．1需要重视的风险 有：重视风险管理；制定适合的安全策略；加强安全教育； 电力企业中潜在的风险有多种形式。当考虑 强化PKI的应用；统筹规划、分步实施；技术先进与经济 信息安全的时候，以下几种风险必须重视，包括 实用并重；保证安全与高效便捷并重。这些经验可在全国 (但不局限于)： 电力行业及其它行业内推广。 物理破坏一火灾、水灾、电源损坏等 关键词：风险管理；安全策略；安全教育； PKI 人为错误一偶然的或不经意的行为造成破坏 1引言 设备故障一系统及外围设备的故障 电力信息系统安全应用示范工程是国家“十 内、外部攻击一内部人员、外部黑客的有无 五”重大科技专项“国家信息安全应用示范工程” 目的的攻击 的3个子项之一，另两个子项为“中办／国办信 数据误用一共享机密数据，数据被窃 息安全应用示范工程”和“上海信息安全应用示 数据丢失一故意或非故意的以破坏方式丢失 21 数据 范工程(s 9二期)”。在电力信息系统安全应用 示范工程的建设中，我们对电力信息网络现状的 程序错误一计算错误、输入错误、缓冲区溢 进行了研究，提出了电力信息系统安全应用示范 出等 工程总体框架，该总体框架包括电力信息系统安 风险应当被识别、分类。真实的风险是很难 全目标、电力信息系统安全策略、电力信息系统 估量的，但是对潜在风险进行估量是可取的。 2．2风险分析 安全技术体系、电力信息系统安全管理体系、电 力信息系统安全评估体系。技术体系包括：防火 对一个电力企业而言，必须搞清楚信息系统 墙、入侵检测、漏洞扫描、系统审计、病毒防治、 现有以及潜在的风险，充分评估这些风险可能带 K 来的威胁和影响，将是企业实施安全工程建设必 系统备份技术、公钥基础设施P I等；管理体系 包括组织保证、信息安全管理规范及管理制度、 须首先解决的问题，也是制定安全策略的基础与 安全培训机制等；评估体系包括：安全评估目标、 依据。在风险分析过程中，最开始考虑的有两方 评估范围、评估原则、评估要求、评估流程、评 面的内容：一是对电力企业资产的识别，二是对 估报告等。 威胁的识别。对于每一个明确要保护的资产，都 总结电力信息系统安全应用示范工程建设历 应该考虑到可能面临的威胁，以及威胁可能造成 程，我们可以得出以下经验：重视风险管理；制 的影响。还要考虑的因素是在风险影响和防护措 定适合的安全策略；加强安全教育；强化PKI的 施花费之间的经济权衡。 应用；统筹规划、分步实施；技术先进与经济实 要保护电力企业的信息系统安全，首先要知 用并重；保证安全与高效便捷并重。 道企业中有哪些可识别