立即注册
 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

CopyRight 2012-2014 DS文库版权所有
防患于未然-电力企业信息安全评估实践
(0 次评价)110 人阅读0 次下载
1 防患于未然—— 电力企业信息安全评估实践 芜湖供电公司, 杜炳、赵灿明 摘 要:从芜湖供电公司 2010 年信息安全评估项目实例出发,深入分析了电力企业对信息系统及网络的安全需求, 从评估目标、评估范围、评估方法、风险隐患等几方面探讨了信息安全评估在电力企业中的应用,找出芜湖公司目前的 安全防护策略和实际需求的差距,消除企业信息安全隐患,为公司信息系统及信息网络的规划、设计、建设、运行和优化 等提供理论依据。 关键词:信息安全;威胁;安全评估;漏洞扫描 2012 年 6 月,华纳兄弟和中国电信的网络遭遇国外“SwaggSec”黑客组织入侵,900 个网络管理员的用户 名和密码被泄露,所幸的是, “SwaggSec”没有破坏中国电信的基础架构,数百万电信用户无法使用通信服务 的悲剧并没有发生。试想类似的情景出现在供电企业中:外来的敌对势力或黑客组织通过互联网入侵了国家 电网公司网络,窃取了国网公司重要机密文件,又或者恶意破坏变电站内的设备造成相应地区大面积停电事 故,这些将对电力企业造成无法估计的损失。随着电力企业信息化建设的快速发展和创新,电力企业生产与 经营越来越依赖信息技术这个平台,缺少了这个平台,变电站内设备实现不了远程调度自动化,老百姓交不 了电费,公司员工收不到邮件,整个公司的经营管理将陷入瘫痪状态。因此,信息安全在电力企业中的地位 愈发显得重要起来了。 信息安全评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密 性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事 件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对企业造成的影响,以达到预防信 息安全风险的目的。 2010 年芜湖供电公司开展了信息安全评估,评估目的是为了发现芜湖供电公司管理信息系统当前存在的 安全风险,并在风险分析的基础上为提高芜湖供电公司网络与信息系统的安全水平提供基础数据依据和加固 实施指导。评估的范围包括:公司的信息网络、主机、应用系统、安全措施和安全管理等,下面针对评估的 内容依次展开介绍。 网络评估 对芜湖供电公司信息内网、广域网的网络结构、实际连线情况、网络设备的配置、边界防护情况、网络 管理情况进行了评估。共收集到 92 台网络设备(包括 2 台防火墙)的配置数据,对 22 台网络设备进行了漏 洞扫描。评估结果发现:92 台网络设备共收集到高风险漏洞 22 个、中等风险漏洞 17 个、低风险漏洞 46 个, 总计 85 个漏洞信息。

打分:

0 星

用户评论:

电力科技在线 (英文缩写etmtch) 在广大电力企事业单位的支持下,无疑更将电力科技的作用与价值推向更深、更高和更广。作为电力行业科技领域的专业媒体《电力科技在线》(www.etmtch.org.cn)更须肩负责任,进一步完成建设沟通和推广平台的同时,树立更有深意的目标,发挥推动电力科技在创新体制、制度、思维、技术以及成果应用的现实作用,为电力产业的智能化未来贡献更大的价值。

合作方式