安全管理 129 电力企业 IT 资产信息安全管理 的研究与应用 贵阳供电局，周洋 摘 要：为加强信息设备资产管理能够保证信息设备实物完整和完好,确保账卡物一致,同时对现有信息安全管理体 系和信息安全技术体系进行梳理分析，结合体系化的思路将企业信息安全各局部技术措施充分融合，从 IT 集中运行监控 信息安全管理实际需求出发，贵阳供电局依托 ISO55000 管理标准（资产管理系列标准） ，利用动态建模建设了基于 IT 信 息资源分级结构和 IT 信息资源与资产映射框架的 IT 集中运行监控信息安全管理平台，巧妙实现了 IT 信息资源、资产的 智能化管理。构建了能为企业提供全覆盖无死角的基础网络管理、IT 资产管理、安全运维管理、入侵检测防御、主机漏 洞扫描、域管理及实名制准入管控、网页防篡改管控、集中防病毒管理、信息化运维审计管理、信息安全基线核查管理、 上网行为管控的信息安全关键技术体系。 关键词：IT 信息资源与资产映射框架、ISO55000 管理标准、IT 集中运行监控信息安全管理平台、DotNET 平台 一、背景 在电力企业管理信息系统信息安全管理中，企 业往往着力构建局部安全措施，这样仅仅能消除某 方面有限的信息安全威胁，在企业信息安全管理中 容易形成若干信息安全孤岛。 业务运营与 IT 系统的关系日趋紧密，业务要求 IT 支持业务的不断创新和成长的要求，并不断优化 业务流程，降低经营风险；IT 设施和服务的质量又 影响着业务战略的方向和部署。 70%～80%的 IT 相关问题与环境的变更有着直接 的关系。实施变更管理的难点和重点并不是工具， 而是流程。即通过一个自动化的、可重复的流程管 理变更，使得当变更发生的时候，有一个标准化的 流程去执行，能够预测到这个变更对整个系统管理 产生的影响，并对这些影响进行评估和控制。而变 更 管 理 流 程 自 动 化 的 实 现 关 键 就 是 CMDB （ConfigurationManagementDatabase 配置管理数 据库） 。 二、关键技术体系设计 本项目通过对现有信息安全管理体系和信息安 全技术体系进行梳理分析，结合体系化的思路将企 业信息安全各局部技术措施充分融合，从 IT 集中运 行监控信息安全管理实际需求出发，构建了能为企 业提供全覆盖无死角的基础网络管理、 IT 资产管理、 安全运维管理、入侵检测防御、主机漏洞扫描、域 管理及实名制准入管控、网页防篡改管控、集中防 病毒管理、信息化运维审计管理、信息安全基线核 查管理、上网行为管控的信息安全关键技术体系。 管理信息系统信息安全关键技术架构体系分为 三层（见图 1 管理信息系统信息安全关键技术架构 体系） ： 第一层：基础环境安全防护层。 即现有管理信息系统及网络基础环境防护，是 信息、网络的基础防护措施。包括核心业务网络访 问控制策略、 边界防火墙设备、 入侵检测系统 （IDS） 、 域管理及实名制准入、边界安全防护网关、网页防 篡改系统等。 第二层：信息安全过程管控层。 即管理信息系统及网络基础环境外围防护，是 在基础环境安全防护层之上的外围安全防护措施。 包括一体化信息安全风险评估、安全运维管理、漏 洞扫描、集中防病毒管控系统、上网行为管控、运