摘 要:電力企業資訊保安的風險分析 基礎設施風險分析 基礎設施安全是資訊系統安全的必要前提。目前電力系統在機房基礎設施建設的訪問管理存在缺陷,亟待解決。比如樓層交換機的機櫃位置及其不安全,非運維管理人員可以隨時接觸,給內部攻擊和竊密提供方便。
關鍵詞:電力企業論文
基礎設施風險分析
基礎設施安全是資訊系統安全的必要前提。目前電力系統在機房基礎設施建設的訪問管理存在缺陷,亟待解決。比如樓層交換機的機櫃位置及其不安全,非運維管理人員可以隨時接觸,給內部攻擊和竊密提供方便。
資訊網路安全風險分析
部分電力企業使用者由於工作需要涉及網際網路,這給資訊內網帶來安全隱患;區域網及廣域網內部使用者有意或者無意地對資訊系統發起攻擊和洩密行為。此外企業內部人員技術水平,資訊裝置效能等各方面的制約,使得整個電力資訊網路的外部邊界保護能力存在一定差異,均降低整個資訊系統安全防護能力。其他裝置的安全風險分析沒有完整的備份策略,備份不及時或者沒有應急預案;移動介質管理不規範,對備份介質沒有做領取、使用等方面的記錄。災難恢復水平低,沒有有關災難恢復的管理制度等。管理風險分析隨著資訊科技日新月異的發展,近些年來,電力企業在資訊化應用方面的要求也在逐步提高,但其中安全意識薄弱,管理制度不健全以及缺乏可操作性等都可能引起安全管理的風險。
電力企業資訊保安的風險計算
結合電力企業實際情況,從風險管理的角度,運用科學的手段,對資訊資產存在的脆弱性、面臨的威脅以及脆弱性被威脅利用會產生的負面影響和危害事件發生的可能性,進行科學評價的過程。力圖通過最優的風險管理策略,把資訊系統上客觀存在的風險,逐步降低到一個可以接受的程度。由於電力企業目前受到的威脅涉及環境威脅、內部人員威脅、外部人員威脅以及環境威脅四個方面,脆弱性涵蓋管理脆弱性、運維脆弱性以及技術脆弱性三個環節。根據風險評估的.關鍵要素:資產、威脅和脆弱性,風險計算流程如圖1所示:採用Z=f(x,y)=x*y公式計算風險值,函式f可以採用矩陣法。矩陣法的原理是:x={x1,x2,…,xi,…,xm},1≦i≦m,xi為正整數,y={y1,y2,…,yi,…,yn},1≦y≦n,yj為正整數,以要素x和要素y的取值構建一個二維矩陣,矩陣行值為要素y的所有取值,矩陣列值為要素x的所有取值。矩陣內m×n個值即為要素z的取值,z={z11,z12,…,zij,…,zmn},1≤i≤m,1≤j≤n,zij為正整數。資訊保安風險值=安全事件發生可能性*安全事件損失其中,安全事件發生可能性=威脅發生頻率*脆弱性嚴重程度;安全事件損失=資產價值*脆弱性嚴重程度;通過防範措施實施後如圖2所示,資訊系統威脅等級如圖1所示。通過技術手段加管理手段等有效的防範措施,同時藉助資訊保安常態防護機制和不定期督查機制,使得資訊保安風險得到大幅度的降低。
總結
隨著資訊科技的廣泛應用和國際網際網路的不斷髮展,資訊保安問題也越來越複雜和多樣化,資訊系統安全風險評估也日益得到人們的重視,在電力企業內部建立健全資訊保安體系的同時,制定相應的安全管理措施,定期對資訊系統進行風險評估以及審計,確保資訊系統安全穩定執行,為電力企業創造更加美好的未來。