谈谈电网电网企业信息安全风险管理研究
更新时间:2024-03-01
点赞:4556
浏览:11615
作者:用户投稿
本站原创
摘要:随着互联网络、信息技术等的飞速发展,电网企业的网络与信息系统存在着来自内外部的不同的安全风险,有必要对电网企业的信息安全进行风险管理研究。在综合阐述信息安全风险相关理论的基础上,对电网企业信息安全的内容进行了分类说明。深入分析了当前电网企业信息安全面临的各类风险因素及其影响。从多个层面提出了控制电网企业信息安全风险的应对措施,在此基础上构建了一套综合、全面的信息安全风险管理体系,从风险事前预防、事前转移、过程控制、事后处理等多个环节进行信息安全风险的管理与防范。
关键词:电网企业;信息安全;风险;应对措施;管理体系
作者简介:王旭(1964-),男,浙江宁波人,新疆电力公司电力科学研究院,高级工程师。(新疆 乌鲁木齐 830011)张建业(1972-),男,浙江浦江人,新疆电力公司科技信通部,高级工程师,华北电力大学经济与管理学院博士研究生。(新疆 乌鲁木齐 830002)
基金项目:本文系国家自然科学基金资助项目(基金号:71271084)的研究成果。
1007-0079(2013)26-0163-03
信息安全风险是信息化时代企业发展和内部管理所面临的一个迫切问题,网络化、信息化的飞速发展能够给企业带来无限的发展机遇,同时也让应用信息化技术的企业面临着各种不同的风险威胁,这些风险因素一旦发生,将对企业的日常运营、战略目标的实现甚至长远发展产生无法估计的影响。有效的信息安全风险管理体系对于企业规避信息安全风险、减少不必要的损失具有重要作用。
对于电网企业来说,信息化建设是推动电网企业智能化、现代化等长远发展的核心推动力,但网络病毒、入侵等一系列风险因素,使得电网企业信息安全同样面临着巨大的挑战,必须对电网企业面临的各类信息安全风险进行有效控制,以保证电网企业的信息化内容正常运行。
电网企业的信息安全面临着来自不同层次、多个方面的风险因素,有来自外部环境的风险威胁,也有企业内部的风险影响;有技术方面的安全风险,也有人员操作方面的安全风险等。具体的信息安全风险因素主要包括以下几个方面:
作用力的影响而出现瘫痪、停止工作等突发状况时,会带来重要信息内容的泄露、丢失等安全风险隐患。
关键词:电网企业;信息安全;风险;应对措施;管理体系
作者简介:王旭(1964-),男,浙江宁波人,新疆电力公司电力科学研究院,高级工程师。(新疆 乌鲁木齐 830011)张建业(1972-),男,浙江浦江人,新疆电力公司科技信通部,高级工程师,华北电力大学经济与管理学院博士研究生。(新疆 乌鲁木齐 830002)
基金项目:本文系国家自然科学基金资助项目(基金号:71271084)的研究成果。
1007-0079(2013)26-0163-03
信息安全风险是信息化时代企业发展和内部管理所面临的一个迫切问题,网络化、信息化的飞速发展能够给企业带来无限的发展机遇,同时也让应用信息化技术的企业面临着各种不同的风险威胁,这些风险因素一旦发生,将对企业的日常运营、战略目标的实现甚至长远发展产生无法估计的影响。有效的信息安全风险管理体系对于企业规避信息安全风险、减少不必要的损失具有重要作用。
对于电网企业来说,信息化建设是推动电网企业智能化、现代化等长远发展的核心推动力,但网络病毒、入侵等一系列风险因素,使得电网企业信息安全同样面临着巨大的挑战,必须对电网企业面临的各类信息安全风险进行有效控制,以保证电网企业的信息化内容正常运行。
一、电网企业信息安全风险分析
电网企业的信息安全风险就是企业的信息系统和网络等面临的来自各方面的风险威胁,各种内外部的、潜在的和可知的危险可能会带来的风险威胁等。随着网络环境的复杂性不断增加,新的信息技术的不断应用发展,电网企业的信息安全面临的风险因素也更为繁多复杂,同时由于其注重信息安全的行业特点,电网企业的信息安全风险管理面临的压力更大。为此需要对这些风险因素进行规范、合理的识别分析,进而建立综合的风险管理体系。电网企业的信息安全面临着来自不同层次、多个方面的风险因素,有来自外部环境的风险威胁,也有企业内部的风险影响;有技术方面的安全风险,也有人员操作方面的安全风险等。具体的信息安全风险因素主要包括以下几个方面:
1.入侵的安全风险
随着网络技术的不断发展、电网企业内外部网络环境的日益成熟和网络应用的不断增多,各种病毒也更为复杂、难解。木马等病毒的传染、渗透、传播的能力变得异常强大,其入侵方式也由以前的单一、简单变得隐蔽、复杂,尤其是Internet网络和企业网络环境为木马等病毒的传播和生存提供了可靠的环境。2.非法攻击的安全风险
近年来各种各样的非法攻击异常频繁,成为困扰世界范围内众多企业的问题。由于具有非常高超的计算机技术能力,他们经常利用计算机设备、信息系统、网络协议和数据库等方面的缺陷与漏洞,通过运用网络监听、、程序渗透、信息炸弹等手段侵入企业的计算机系统,盗窃企业的保密信息、重要数据、业务资料等,从而进行信息数据破坏或者占用系统的资源等。3.信息传递过程的安全风险
由于电网企业与很多的外部企业、研究机构等有着广泛的工作联系与业务合作,因此很多日常信息、数据资料等都需要通过互联网进行传输沟通,在这个传输过程中的各类信息都会面临各种不同的安全风险。4.权限设置的安全风险
信息系统根据不同的业务内容对不同的部门、员工开放不同的系统模块,用户根据其登陆的权限设置访问其范围内的系统内容。每个信息系统都有用户管理功能,对用户权限进行管理和控制,能够在一定程度上增加安全性,但仍然存在一定的问题。很多电网企业内都存在不同的信息系统,各系统之间都是独立存在,没有统一的用户管理,使用起来极不方便,难以保证用户的有效管理和使用安全。另外,电网企业的信息系统的用户权限管理功能设置过于简单,不能够灵活实现更为详细的权限控制等。5.信息设备损坏产生的安全风险
电网企业内的各类业务信息、数据资料、工作内容等信息都是依托于相应的软硬件设备而存储、传递、应用的,当这些计算机硬件设备、信息系统、数据存储设备、用电支撑设备等由于企业内外部不同源于:论文www.618jyw.com作用力的影响而出现瘫痪、停止工作等突发状况时,会带来重要信息内容的泄露、丢失等安全风险隐患。
6.人员操作失误形成的安全风险
电网企业内的专业信息技术人员、业务人员、管理人员对信息系统的操作能力存在一定的差异,一些人员的意识较为陈旧、操作能力较差,在对信息系统、网络连接、数据库等的应用过程中,由于对这些技术内容不熟悉从而产生了一些错误操作,为此产生了许多意想不到的安全风险。同时,在运用过程中存在的思想偏差、理解偏误、粗心大意等导致的误操作也会产生相应的安全风险。7.技术更新变化带来的安全风险
当前的信息技术、系统开发、网络应用、数据库存储等都在日新月异地飞速变化,几乎每天都会发生更新换代的升级变化,没有任何的信息技术能够长时间使用。电网企业原有信息系统等设备进行升级换代或者与新的数据库内容进行新旧结合以及转换时,会因为兼容性差、不能匹配等原因造成一定的信息安全风险。二、信息安全风险应对机制
电网企业的信息安全承担着极为重要的作用,而其面临的安全风险也是多方面的,仅从信息系统、技术设备的单一角度进行信息安全风险管理远远不够,对于其他很多潜在的风险因素难以有效应对。因此需要从信息技术技术、企业管理、风险控制等多个维度来建立相应的措施,以应对可能出现的各类风险,从而从硬性技术层面到柔性管理层次形成多维度的风险管理手段。电网企业信息安全风险应对机制框架结构如图1所示。 源于:论文资料网www.618jyw.com发表评论
共有3000条评论 快来参与吧~