全国电力技术协作网首页
CopyRight 2012-2014 DS文库版权所有
浅谈电力信息系统安全提升实践
(0 次评价)663 人阅读0 次下载
2016 年(第五届)电力安全与信息技术研讨会 234 浅谈电力信息系统安全提升实践 南京化学工业园热电有限公司,芮红平 摘 要:电力是国民经济重要的基础设施,电力安全直接关系到国计民生。随着通信及网络技术的不断发展及广泛 应用,病毒和黑客也日益猖獗。因此,制定和实施电力信息系统安全战略、全方位动态、纵深防御的电力系统安全保障 体系显得日益重要和紧迫。根据国家能源局《关于组织开展电力二次系统安全防护评估工作的通知》 (国能综安全【2014】 366 号) 和江苏能监办 《关于开展电力二次系统安全防护评估和信息安全等级保护测评工作的通知》(苏监能安全[2014]116 号)的文件要求,为提高电力二次系统安全防护水平,落实信息安全等级保护工作,防止因电力二次系统安全事件引发电 力安全事故,在华润电力控股公司信息管理部统一安排下,组织开展我公司电力二次系统安全防护评估及信息安全等级 保护测评、整改工作,使公司信息系统安全得到全面的提升。 关键词:电力;信息系统;等级保护;安全;整改 1 概述 根据国家能源局《关于组织开展电力二次系统 安全防护评估工作的通知》 (国能综安全【2014】366 号)和江苏能监办《关于开展电力二次系统安全防 护评估和信息安全等级保护测评工作的通知》 (苏监 能安全[2014]116 号)的文件要求,在华润电力控股 公司信息管理部的统一安排下,2014 年 7 月,公司 组织开展了电力二次系统的安全防护评估及信息安 全等级保护的测评工作,根据测评的结果进行相应 薄弱环节的整改,使系统的安全状况提升到一个较 高的水平,尽可能地消除或降低系统的安全风险。 2 电力二次系统安全防护评估和信息安全等级保护 测评工作 本次进行电力二次系统安全评估及信息系统安 全等级保护测评的单位是国家能源局江苏监管办公 室网站上公布的《江苏省电力二次系统安全防护评 估和信息系统安全等级保护测评机构名单》上的机 构。 测评(评估)方法包括访谈、检查和测试三种 方法,细化为:文档审查、配置检查、工具测试和 实地察看等多种方法。技术要求包括:物理安全、 网络安全、主机系统安全、应用安全和数据安全, 管理要求包括:安全管理机构、管理制度、人员安 全、系统建设管理和系统运维管理。通过测评(评 估) ,掌握公司网络与信息系统的安全现状,发现主 要安全风险,为积极的采取风险控制措施提供依据。 等保测评(评估)实施过程中的注意事项: 等保测评(评估)实施前,应根据确定的测评 (评估)范围,对实施过程中可能引入的风险进行 分析,并制定应对措施。安全测评实施过程的风险 控制手段主要包括: (1)操作的申请和监护、 (2)操作时间控制、 (3)人员与数据管理、 (4)制定应急预案、 (5)运 行系统模拟环境、 (6)关键业务系统风险控制同时, 还要采取以下辅助手段控制和规避风险: (1)扫描预测试、 (2)减缓扫描速度、 (3)优 化扫描策略、 (4)数据备份与恢复、 (5)厂商协作 系统厂商或系统集成厂商需要提供各应用系统 的名称、版本、协议、开发语言、进程名和相应的 端口号等信息,在测评之前,由三方共同分析测评 对业务可能造成的风险,分析可能存在的问题。 信息系统安全等级保护测评流程如下图所示: :

打分:

0 星

用户评论:

全国电力技术协作网是电力企事业单位、员工的技术交流协作平台。协作网致力于为行业内企业间技术创新、协作搭建渠道,为技术专家沟通交流提供平台,为企业职工发展提供服务。协作网通过“信息互通、技术交流、标准宣贯、技术创新、成果转化、技能培训、咨询服务”等形式与业者共同发展进步。
京ICP备13025456号-1
客服电话:010-66186680
反馈建议:13701278405@163.com