發(fā)電企業(yè)的安全與社會發(fā)展和人們的日常生活密切相關(guān)��,因此需要充分了解發(fā)電企業(yè)信息安全風(fēng)險���。綜合分析發(fā)電企業(yè)系統(tǒng)中存在的威脅和不安全因素�,從內(nèi)部管理、人員組成���、應(yīng)用技術(shù)以及系統(tǒng)方面綜合分析信息安全風(fēng)險�����,根據(jù)發(fā)電企業(yè)信息安全風(fēng)險要求建立風(fēng)險評價指標(biāo)���,運用AHP法對建立的指標(biāo)進行評價�,確定最終的發(fā)電企業(yè)信息安全風(fēng)險評估模型��,并提出發(fā)電企業(yè)信息安全風(fēng)險控制方法���,以期對發(fā)電企業(yè)信息安全風(fēng)險控制工作起到一定的幫助���。
信息技術(shù)已經(jīng)成為各個行業(yè)發(fā)展中的必要技術(shù)條件?�;ヂ?lián)網(wǎng)技術(shù)的進步為企業(yè)發(fā)展帶來了便利的云存儲平臺��、物聯(lián)網(wǎng)技術(shù)和人工智能控制等技術(shù)�,而發(fā)電企業(yè)在此過程中實現(xiàn)了巨大進步。
在信息技術(shù)應(yīng)用的同時�����,不可避免出現(xiàn)了各類信息安全問題,直接影響發(fā)電企業(yè)的正常工作�����。嚴(yán)重的安全風(fēng)險會直接影響電力系統(tǒng)的正常應(yīng)用��,因此研究發(fā)電企業(yè)信息安全風(fēng)險具有現(xiàn)實意義����。
根據(jù)存在的風(fēng)險建立風(fēng)險評估模型����,提出相關(guān)控制措施,對發(fā)電企業(yè)乃至是電力行業(yè)的安全意義重大����。
1 信息安全風(fēng)險評價模型建立
1.1 評價指標(biāo)體系建立發(fā)電企業(yè)信息安全風(fēng)險評價指標(biāo)體系是構(gòu)建模型的關(guān)鍵內(nèi)容。體系構(gòu)建的科學(xué)合理可以保證模型的準(zhǔn)確��,從而準(zhǔn)確評價發(fā)電企業(yè)信息安全風(fēng)險水平��,保證發(fā)電企業(yè)信息安全的完整性和適用性�,促進發(fā)電企業(yè)信息安全工作的順利進行。在發(fā)電企業(yè)信息安全評價指標(biāo)體系構(gòu)建中�,主要以發(fā)電企業(yè)信息安全風(fēng)險分類內(nèi)容為依據(jù)�����。發(fā)電企業(yè)的信息安全風(fēng)險可以分為管理風(fēng)險���、系統(tǒng)風(fēng)險、人員風(fēng)險和物理風(fēng)險��。風(fēng)險分類結(jié)構(gòu)如圖1所示���。
圖1 發(fā)電企業(yè)信息安全風(fēng)險類型結(jié)構(gòu)
在指標(biāo)體系建立中��,需要對發(fā)電企業(yè)信息安全風(fēng)險的各個類型進行綜合分析��,了解其中不同項目風(fēng)險因素的影響情況和相關(guān)關(guān)系��。根據(jù)發(fā)電企業(yè)信息安全風(fēng)險因素類型及其組成部分�,對其進行詳細分析���。在指標(biāo)構(gòu)建中選定風(fēng)險類型為關(guān)鍵指標(biāo)項目�����,并從企業(yè)員工���、系統(tǒng)安全��、物理方面以及管理方面進行綜合分析�����。
發(fā)電企業(yè)員工是影響企業(yè)信息安全的重要因素之一�����,特別是發(fā)電企業(yè)的人員構(gòu)成及相關(guān)工作內(nèi)容。員工的影響因素確定為員工安全意識�����、工作操作規(guī)范���、安全培訓(xùn)情況以及信息化技術(shù)水平��,因為以上因素對發(fā)電企業(yè)的信息安全風(fēng)險影響較為顯著����。員工方面中還會涉及到外部影響因素��,其中主要包含外部委托維修和廠家因素,需要特別注意��。
管理工作也是影響信息安全的重要內(nèi)容����。在分析管理風(fēng)險的組成情況時,將發(fā)電企業(yè)信息安全的管理因素重點確定為管理制度�����、操作流程管理�����、企業(yè)職責(zé)劃分以及發(fā)電企業(yè)組織結(jié)構(gòu)情況���。
系統(tǒng)安全因素會直接影響發(fā)電企業(yè)信息安全���。分析系統(tǒng)風(fēng)險組成情況,將其確定為系統(tǒng)防火墻技術(shù)��、系統(tǒng)訪問控制技術(shù)�、病毒預(yù)防技術(shù)、系統(tǒng)身份是被���、漏洞防護����、系統(tǒng)加密、系統(tǒng)網(wǎng)絡(luò)隔離以及風(fēng)險備份幾個關(guān)鍵因素����。
為了更加有效地判斷系統(tǒng)安全項目中的風(fēng)險,本研究將其分為系統(tǒng)安全和運行安全��。其中����,系統(tǒng)安全主要包含局域網(wǎng)通信技術(shù)��、身份識別�����、系統(tǒng)加密�、產(chǎn)品部署以及系統(tǒng)日志檢查工作等;運行安全主要為發(fā)電企業(yè)中的設(shè)備運行情況、數(shù)據(jù)庫建設(shè)情況以及風(fēng)險預(yù)案設(shè)置情況等相關(guān)運行信息�����。發(fā)電企業(yè)信息安全相關(guān)物理風(fēng)險主要產(chǎn)生于企業(yè)信息化設(shè)備安全和機房安全。物理安全不僅與發(fā)電企業(yè)內(nèi)部因素有關(guān)���,還與企業(yè)的外部因素有著較為密切的聯(lián)系����。其中�����,電力行業(yè)整體的信息安全情況以及第三方維修人員的技術(shù)水平和第三方設(shè)備性能都會產(chǎn)生直接的影響���。
上文對發(fā)電企業(yè)信息安全中可能產(chǎn)生風(fēng)險隱患的主要因素進行綜合分析�,其中主要包含物理安全�����、系統(tǒng)安全�����、運行安全�、管理安全、人員安全以及外部安全。本次研究根據(jù)上述內(nèi)容建立指標(biāo)����。發(fā)電企業(yè)信息安全風(fēng)險評價指標(biāo)體系如表1所示。
表1 信息安全風(fēng)險評價指標(biāo)體系
1.2 風(fēng)險評估模型建立
上文已經(jīng)對發(fā)電企業(yè)信息安全風(fēng)險的影響因素進行了集中分析���,確定了風(fēng)險評價指標(biāo)��,依據(jù)指標(biāo)體系可以建立發(fā)電企業(yè)信息安全風(fēng)險評價模型��。企業(yè)通過風(fēng)險模型可以明確企業(yè)發(fā)展中存在的風(fēng)險等級情況�����。本文研究確定的發(fā)電企業(yè)信息安全風(fēng)險評估模型���,如圖2所示。
圖2 發(fā)電企業(yè)信息安全風(fēng)險評估模型
1.3 基于AHP法的指標(biāo)權(quán)重確定
在指標(biāo)權(quán)重確定中需要根據(jù)層次分析法的相關(guān)步驟開展工作��。本次研究邀請專業(yè)學(xué)者和發(fā)電公司工作管理人員共計20名����。參與權(quán)重確定的學(xué)者和工作人員對本次確定的風(fēng)險指標(biāo)進行打分���,以此確定不同指標(biāo)的群眾情況�。
在指標(biāo)打分過程中會對指標(biāo)體系中的一二級指標(biāo)分別打分,完成后通過計算確定指標(biāo)體系中一級指標(biāo)和二級指標(biāo)的權(quán)重情況�����。根據(jù)計算結(jié)果進行最終排序�����,由此確定不同指標(biāo)的綜合權(quán)重值���。在工作人員和學(xué)者打分后����,對所有得分取平均值���,最終得到了一級指標(biāo)評價矩陣��,如圖3所示����。
圖3 一級指標(biāo)評價矩陣
本次構(gòu)建的信息安全風(fēng)險評價模型的最終權(quán)重情況如表2所示����。
表2 權(quán)重向量合成情況及威脅性
在完成權(quán)重打分工作后�,確定發(fā)電企業(yè)信息安全風(fēng)險指標(biāo)中不同指標(biāo)的權(quán)重情況��。權(quán)重確定后��,需要構(gòu)建發(fā)電企業(yè)信息安全風(fēng)險評價模型����,根據(jù)權(quán)重標(biāo)準(zhǔn)對表2中指標(biāo)進行打分,以此確定發(fā)電企業(yè)的信息安全情況�,最終確定企業(yè)信息安全風(fēng)險的綜合評價結(jié)果。由此確定的發(fā)電企業(yè)信息安全風(fēng)險調(diào)查表如表3所示���。
表3 信息安全風(fēng)險調(diào)查表
根據(jù)確定的Y值情況可以確定發(fā)電企業(yè)信息安全風(fēng)險等級���,詳細等級劃分如表4所示。
表4 發(fā)電企業(yè)風(fēng)險等級
2 發(fā)電企業(yè)信息安全控制策略
2.1 企業(yè)人員方面控制策略針對發(fā)電企業(yè)信息安全風(fēng)險中的員工因素��,企業(yè)需要與員工簽署協(xié)議合同�����,保證企業(yè)員工離職后企業(yè)的保密信息不外泄�。根據(jù)不同工作任務(wù)的需要對企業(yè)員工進行全面考核,保證企業(yè)員工具備專業(yè)技術(shù)水平����,可以順利完成發(fā)電企業(yè)中的工作任務(wù)。根據(jù)崗位情況�����,發(fā)電企業(yè)需要制定專門的培訓(xùn)計劃��,重點對安全知識��、設(shè)備操作等內(nèi)容進行培訓(xùn)�����。對新員工進行崗前培訓(xùn)����,保證全體員工具備較高的安全工作意識和一定的崗位知識。發(fā)電企業(yè)作為我國的重點行業(yè)�,因此在日常工作中要特別注意到員工的操作規(guī)范問題,做好崗位操作規(guī)范管理工作����,保證不同崗位的員工在工作中能夠遵循相關(guān)工作制度�,做好企業(yè)值班安排工作���,對發(fā)電系統(tǒng)和設(shè)備進行全面監(jiān)控����,保證發(fā)電系統(tǒng)的正常運行���。
2.2 企業(yè)管理方面控制策略發(fā)電企業(yè)在管理工作中做好制度完善工作���,制定企業(yè)信息安全工作的工作方針對相關(guān)工作內(nèi)容和目標(biāo)方向、管理范圍進行明確標(biāo)注說明���。明確不同崗位工作人員的崗位職責(zé)�,保證企業(yè)內(nèi)部分工明確�����,做好崗位分離和崗位監(jiān)督工作����。對于企業(yè)內(nèi)部的關(guān)鍵性崗位工作應(yīng)由多位工作人員共同任職。企業(yè)在日常運作中需要根據(jù)管理工作需求建立企業(yè)業(yè)務(wù)流程數(shù)據(jù)信息路�����,為工作人員提供工作專業(yè)指導(dǎo)����。此外,需要成立專門的信息化小組����,對不同工作崗位的工作情況進行調(diào)查監(jiān)督,保證管理工作在發(fā)電企業(yè)內(nèi)部產(chǎn)生實際效果�����。
2.3 企業(yè)外部方面控制策略發(fā)電企業(yè)在日常生產(chǎn)工作中必然會與外部環(huán)境進行溝通產(chǎn)生聯(lián)系���,此情況下發(fā)電企業(yè)需要及時關(guān)注外部環(huán)境的影響問題��。在采購專業(yè)設(shè)備時通過招標(biāo)方式選取最優(yōu)供應(yīng)商���,提高企業(yè)設(shè)備系統(tǒng)的安全技術(shù)水平。此外����,企業(yè)需要為系統(tǒng)設(shè)備建立專門的維護管理制度���,以保證設(shè)備系統(tǒng)的正常使用,最大程度地減少外部維護工作次數(shù)��。
2.4 企業(yè)系統(tǒng)方面控制策略發(fā)電企業(yè)發(fā)電系統(tǒng)發(fā)電企業(yè)的關(guān)鍵組成部分的實際情況將會對企業(yè)運營產(chǎn)生直接影響�����。因此��,為了保障信息安全�,發(fā)電企業(yè)需要做好網(wǎng)絡(luò)隔離工作,為系統(tǒng)提供專業(yè)的隔離�,綜合使用正反結(jié)合的隔離裝置提高隔離效果。使用系統(tǒng)時需要及時跟新應(yīng)用軟件���,以保證應(yīng)用軟件可以滿足發(fā)電企業(yè)的工作需求�����。此外����,需要定期定時檢查系統(tǒng)的防護情況���,通過審查防護日志了解系統(tǒng)的安全情況�,還需要在系統(tǒng)內(nèi)部部署大量的安全防護系統(tǒng)。
2.5 企業(yè)運行方面控制策略發(fā)電企業(yè)信息系統(tǒng)在運行中可以會因為各類影響因素出現(xiàn)安全風(fēng)險問題�,因此企業(yè)需要提前做好應(yīng)急預(yù)案,根據(jù)發(fā)電企業(yè)信息系統(tǒng)的實際情況和可能出現(xiàn)的各類問題提前做好準(zhǔn)備工作���。企業(yè)的管理工作部門需要及時監(jiān)管控制系統(tǒng)中的各類設(shè)備,保證各類設(shè)備的安全穩(wěn)定運行���。系統(tǒng)用戶登錄中的身份識別工作是保證信息安全必不可少的關(guān)鍵工作�����,在用戶登錄時需要準(zhǔn)確識別用戶身份�����,確保每位工作登錄人員具有唯一的識別標(biāo)識�。此外�,系統(tǒng)運行中要定期對系統(tǒng)進行防護,開展系統(tǒng)漏洞掃描工作�,及時發(fā)現(xiàn)系統(tǒng)存在的漏洞并及時進行修復(fù),防止因為漏洞問題影響信息安全�����。
2.6 企業(yè)物理方面控制策略電力企業(yè)信息安全的物理控制方面應(yīng)主要做好配套設(shè)施的完善工作和相關(guān)硬件設(shè)施的完善工作。企業(yè)需組織專人定期清掃系統(tǒng)設(shè)備機房����,保證環(huán)境整潔,同時應(yīng)定期檢查專門的保障設(shè)備���,如滅火器��、空調(diào)設(shè)備等�����,有效保護企業(yè)中的關(guān)鍵硬件設(shè)備����,為設(shè)備增加保護裝置��,同時及時更換到期設(shè)備����。
3 結(jié) 語
發(fā)電企業(yè)信息安全直接影響企業(yè)的日常經(jīng)營與發(fā)展,因此企業(yè)需要針對信息安全風(fēng)險建立專門的風(fēng)險評價模型。
本文從6個主要因素方面建立了企業(yè)信息安全風(fēng)險評價模型��,結(jié)合AHP對模型中的各項指標(biāo)權(quán)重進行評價����,最終提出了發(fā)電企業(yè)信息安全指標(biāo)評價表。
實際中����,發(fā)電企業(yè)在風(fēng)險評價中需要根據(jù)自身的實際發(fā)展情況及時進行調(diào)整。此外�,企業(yè)需要針對風(fēng)險問題制定專門的控制措施�����,以保證發(fā)電企業(yè)信息的安全穩(wěn)定����。
作者簡介 >>>
范海東(1979—),男�,碩士,高級工程師��,主要研究方向為智慧能源��、網(wǎng)絡(luò)信息安全。
選自《通信技術(shù)》2019年第十一期 (為便于排版�,已省去原文參考文獻)
聲明:本文來自信息安全與通信保密雜志社,版權(quán)歸作者所有��。文章內(nèi)容僅代表作者獨立觀點��,不代表我們立場���,轉(zhuǎn)載目的在于傳遞更多信息�。如有侵權(quán)����,請聯(lián)系刪除。
等保測評咨詢
