信息安全应开展风险管理.docVIP

信息安全应开展风险管理 The information security should develop risk management 作者 叶代亮 浙江电力金华电业局 摘要 本文从风险管理出发，结合金华电网信息工作的情况，分析了当前电力信息安全的主要风险，阐述了信息安全应用风险管理的重要性，提出了电力信息安全工作的主要对策。 关键词 风险管理 信息安全 对策 风险管理是一门新兴科学，包括管理方面，又包括决策方面，她是研究风险发生规律和风险控制技术的一门管理科学。信息系统是企业安全生产、科学经营、现代化管理的重要工具，随着信息安全的重要性越来越突出，信息安全问题被人们日益重视。当前，电力企业的安全性评估工作正蓬勃开展，在信息安全工作中，存在的风险因素很多，电力调度，电力市场等系统安全运行，对于电力“三公调度”，甚至对于构建和谐社会都具有十分重要的意义！信息系统安全运行，在“一强三优”的公司战略中也占据十分重要的位置，是坚强电网的保障！是优质服务的重要工具！如何积极有效保证信息安全，降低安全风险度？本文从风险管理的角度出发，对信息安全工作做了一些探讨，供大家在今后的工作中参考。 一．金华电网信息发展概况 金华电网已经建成以千兆网为骨干、百兆到桌面的信息网络，网络已经深入到各级管理班组，投运的重要系统有：生产调度系统，输、配电GIS系统，OA系统，IP视频会议系统，图档管理系统，营销系统，客户服务系统，SCADA系统,EMS系统,基建管理系统，现场管理系统等及省公司的ERP系统。在信息安全方面，已经建立了以SYMANTEC为核心的防病毒体系，配置了东软、网核等防火墙，建立了数据备份中心，部署了SUSS系统等；此外，在基础建设方面，加强机房电源、空调、防尘、消防等管理。 二．信息安全和信息风险的基本概念 信息安全涉及到信息的保密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。风险一般指某种事情发生的不确定性，只要某一事件的发生存在着两种以上的可能性，那么该事件即存在着风险。在ISO/IEC TR 13335-1;2001,信息技术－安全技术－IT安全管理指南 IT安全的概念和模型中，风险定义为：特定威胁利用某易资产或一组资产的脆弱性，从而对组织产生损害的可能性。 三．当前信息安全面临的主要风险 3.1信息网络安全日益突出。随着网络技术的飞速发展和因特网的应用普及，网络互连度越来越高，大量的数据和信息在网上传输，其中含大量的病毒和木马等危害数据，病毒感染造成网络通信阻塞，系统数据和文件系统破坏，系统无法提供服务，甚至破坏后无法恢复。木马或者蓄意破坏的动机，对电力公司网络上的连接的计算机系统和设备进行入侵、攻击等，影响网络上信息的传输，破坏软件系统和数据，盗取企业商业秘密和机密信息，非法使用网络资源等。 3.2设备可靠性风险大。信息化建设初期，由于资金等方方面面的原因，很多系统的设备都是单模式的，没有采用冗余设备，其次，部分关键设备运行时间比较长，如小型机等，价格比较昂贵，使用周期比较长；再次没有设备运行在线监控手段，不能及时掌握设备的运行状况，不能及时发现问题。 3.3人员因素严峻。信息专业是个新兴专业，处于起步阶段，专业技术人才缺乏，部分应用系统的用户权限管理功能过于简单，系统使用人员的水平参差不齐，误操作等情况时有发生，应用系统没有加强用户身份认证和信息系统的访问控制。专业知识更新快，新技术发展迅速，新技术应用面广，管理人员专业素质跟不上要求，不能及时发现问题。 3.4管理制度不全。信息安全“三分靠技术，七分靠管理”。信息化属于新兴专业，工作规范和相关的管理制度十分欠缺，制度的科学性、合理性、严密性等方面存在不足。 此外，还有电力一、二次系统的信息采集和数据传输问题，以及随着电子商务应用的推广，带来的交易安全等问题。 四．开展风险管理的重要性 企业的风险管理如图1所示。她包括了风险意识、风险识别、风险分析、风险处理和风险管理5个部分。其中风险意识是风险管理的关键。风险识别的目的是在风险意识的基础上系统地辨别危险，以及起因和后果。根据风险的不确定性特征，以及风险的客观性和可测定性特点，在企业信息安全中，实施风险管理具有十分重要的意义： 4.1 实施风险管理有助于企业维持生产经营的安定，减少风险所致的费用开支。信息安全评估是信息安全建设的起点和基础，实施风险管理后，能够提高企业对信息安全决策的正确性，提高工作效率。 4.2实施风险管理有助于减少企业对于风险的恐惧，有助于调动企业职工的积极性和创造性。实施风险管理，企业对危险点做到心中有数，能够更好地控制风险，并且根据危险等级，建立不同的应急预案，可以解除或减少员工的后顾之忧，能够充分发挥人员的积极