信息安全应开展风险管理
信息安全应开展风险管理
The information security should develop risk management
作者叶代亮
浙江电力金华电业局
摘要
本文从风险管理出发,结合金华电网信息工作的情况,分析了当前电力信息安全的主要风险,阐述了信息安全应用风险管理的重要性,提出了电力信息安全工作的主要对策。
关键词风险管理信息安全对策
风险管理是一门新兴科学,包括管理方面,又包括决策方面,她是研究风险发生规律和风险控制技术的一门管理科学。信息系统是企业安全生产、科学经营、现代化管理的重要工具,随着信息安全的重要性越来越突出,信息安全问题被人们日益重视。当前,电力企业的安全性评估工作正蓬勃开展,在信息安全工作中,存在的风险因素很多,电力调度,电力市场等系统安全运行,对于电力“三公调度”,甚至对于构建和谐社会都具有十分重要的意义!信息系统安全运行,在“一强三优”的公司战略中也占据十分重要的位置,是坚强电网的保障!是优质服务的重要工具!如何积极有效保证信息安全,降低安全风险度本文从风险管理的角度出发,对信息安全工作做了一些探讨,供大家在今后的工作中参考。
一.金华电网信息发展概况
金华电网已经建成以千兆网为骨干、百兆到桌面的信息网络,网络已经深入到各级管理班组,投运的重要系统有:生产调度系统,输、配电GIS系
统,OA系统,IP视频会议系统,图档管理系统,营销系统,客户服务系统,SCADA系统,EMS系统,基建管理系统,现场管理系统等及省公司的ERP系统。在信息安全方面,已经建立了以SYMANTEC为核心的防病毒体系,配置了东软、网核等防火墙,建立了数据备份中心,部署了SUSS系统等;此外,在基础建设方面,加强机房电源、空调、防尘、消防等管理。
二.信息安全和信息风险的基本概念
信息安全涉及到信息的保密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。风险一般指某种事情发生的不确定性,只要某一事件的发生存在着两种以上的可能性,那么该事件即存在着风险。在ISO/IEC TR 13335-1;2001,信息技术-安全技术-IT安全管理指南 IT安全的概念和模型中,风险定义为:特定威胁利用某易资产或一组资产的脆弱性,从而对组织产生损害的可能性。
三.当前信息安全面临的主要风险
信息网络安全日益突出。随着网络技术的飞速发展和因特网的应用普及,网络互连度越来越高,大量的数据和信息在网上传输,其中含大量的病毒和木马等危害数据,病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务,甚至破坏后无法恢复。木马或者蓄意破坏的动机,对电力公司网络上的连接的计算机系统和设备进行入侵、攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业商业秘密和机密信息,非法使用网络资源等。
设备可靠性风险大。信息化建设初期,由于资金等方方面面的原因,很多系统的设备都是单模式的,没有采用冗余设备,其次,部分关键设备运行
图 1 时间比较长,如小型机等,价格比较昂贵,使用周期比较长;再次没有设备运行在线监控手段,不能及时掌握设备的运行状况,不能及时发现问题。
人员因素严峻。信息专业是个新兴专业,处于起步阶段,专业技术人才缺乏,部分应用系统的用户权限管理功能过于简单,系统使用人员的水平参差不齐,误操作等情况时有发生,应用系统没有加强用户身份认证和信息系统的访问控制。专业知识更新快,新技术发展迅速,新技术应用面广,管理人员专业素质跟不上要求,不能及时发现问题。
管理制度不全。信息安全“三分靠技术,七分靠管理”。信息化属于新兴专业,工作规范和相关的管理制度十分欠缺,制度的科学性、合理性、严密性等方面存在不足。
此外,还有电力一、二次系统的信息采集和数据传输问题,以及随着电子商务应用的推广,带来的交易安全等问题。
四.开展风险管理的重要性
企业的风险管理如图1所示。她包括了风险意识、
风险识别、风险分析、风险处理和风险管理5个部分。
其中风险意识是风险管理的关键。风险识别的目的是在
风险意识的基础上系统地辨别危险,以及起因和后果。
根据风险的不确定性特征,以及风险的客观性和可测定性特点,在企业信息安全中,实施风险管理具有十分重要的意义:
实施风险管理有助于企业维持生产经营的安定,减少风险所致的费用开支。信息安全评估是信息安全建设的起点和基础,实施风险管理后,能够提高企业对信息安全决策的正确性,提高工作效率。
实施风险管理有助于减少企业对于风险的恐惧,有助于调动企业职工的积极性和创造性。实施风险管理,企业对危险点做到心中有数,能够更好地控制风险,并且根据危险等级,建立不同的应急预案,可以解除或减少员工的后
顾之忧,能够充分发挥人员的积极性。
实施风险管理有助于降低安全总体成本。不计成本,片面追求安全,想消灭风险或完全避免风险是不现实的。实施风险管理,通过科学方法分析风险及损失后果,采取有效的控制损失措施,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施,确定合适的安全措施。
实施风险管理有助于在出现风险时更快、更好解决风险。风险管理需要一个强有力的组织做保障,当出现问题时不至于出现不该有的混乱,能够比较有效、有序地开展各项应对措施,尽快恢复工作,减小损失。
五.信息安全的主要对策
电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化,继电保护及安全装置,厂、站自动化,配电自动化,电力负荷控制,电力市场交易,电力营销,信息网络等有关生产、经营、管理等多方面的复杂工程。
根据风险度和风险损失的危害性,从以最小的风险管理成本获得最大的安全保障目标出发,信息安全的主要对策:
开展信息安全风险评估
图2
信息安全的风险管理中的主要工作内容如图
2。其中,风险评估可以作为开展其它安全工作的
基础。风险评估是对信息系统的维护、管理、操
作过程等方面进行分析,鉴别存在的脆弱性及可
能利用脆弱性的威胁,评价是否实施和维护了适当的安全措施,鉴别存在的
风险及风险发生的可能性和影响,从而鉴别可将风险降低到可接受级别的安全措施。
2004年,浙江电网开展了信息和二次系统安全大检查,并在以后的春、秋季安全大检查中增加了信息安全内容。金华电网从2003年开始,在对县局的安全性评价工作中,增加了信息安全内容,起到了比较好的效果。2004年4月,义乌供电局开始信息安全风险评估,2004年10月,金华电业局开展了信息安全评估。在安全风险评估的基础上,对企业信息资产进行确定和分类,企业资产分为有形的和无形的。有形资产包数据中心、服务器和财产等物质基础设施。无形资产包括对组织有价值的数据或其他数字信息。确定资产时,也确定或确认资产的所有者。根据资产情况,借鉴MICROSOFT的安全风险管理流程定义三个定性资产类别:高度业务影响 (HBI)、中度业务影响 (MBI) 和低度业务影响 (LBI)。根据资产类别,划分信息安全风险等级,确立信息风险优先级,根据信息安全风险等级情况,建立风险影响等级,用
图3
图2为各个影响陈述选择影响
程度。然后,有重点、分步骤开
展信息安全保护等级措施,提高
各级安全应急处理能力。
购买质保服务
设备有其生命周期,过了生命周期,必然会出现问题,必然增大安全风险,如何适度控制风险,是企业决策者应该考虑的重要问题,购买质保就是控制风险的手段之一。在信息安全纳入安全生产体系后,及时提出增加信息运行维护服务费用,做好设备和系统的质保工作,提高信息安全运行能力,
做好信息安全运行的保障工作。
在质保服务中应做好以下三方面的工作:
(1)质保服务商的选择
当前,在质保服务商的选择上,我们遵循下面两个原则。1.系统设备服务,只要服务商提供的设备是得到原厂商认可的,价格低的应该优先考虑;
2. 应用系统的服务,在一定的价格范围内,必须选择技术力量高的公司做,知识创造价值,技术量高的公司才能解决应用中的实际问题。
(2)质保服务合同
在签定合同时,商务等方面的条款是比较规范的,应该在服务的质量方面着重要求,如何提高服务质量是签定质保服务合同的关键。
(3)合同的执行
在质保服务工作中,必须学习电网一次管理方式,开展两票制度,要服务厂商详细写操作票,由管理人员亲自操作,服务厂商做监督,服务商必须遵照有关管理制度和规范开展工作。
开展安全管理中心建设
信息系统大量投运,信息设备急剧增加,可管理人员却比较少,建设信息安全管理中心势在必行。安全管理中心首先实现的是安全防范和监控的集中式管理。不仅是安全设备管理的集中,也是运行日志、实时状态、突发事件等安全设备运行信息的集中收集和分析。通过集中式的安全管理,为安全保障体系的便捷、高效和全面运行提供技术和管理上的基础。安全管理中心可以实现安全防范和监控的动态反应能力,减少劳动力。
然后,开发一个安全策略,全体人员都必须按照这个策略来执行。基本的规则包括建立可靠的密码到业务连续计划以及灾难恢复计划,减少对安全策略的破坏,减少点对点的传输程序以及即时消息软件的使用等,禁止潜在的可被黑客利用的对象,留意最新的威胁,尽快弥补已知的漏洞。
同时,建立安全管理制度,进一步规范管理行为。进一步改善网络拓扑结构,提高网络安全性,增加关键设备冗余度,提高网络的可靠性。投运入侵检测系统,提高监控能力,规范网络资源管理和使用规范。加强对用户身份认证和信息系统的访问控制,加强数据备份工作,做好信息安全最后一道屏障的安全工作。开通审计功能,做好日志存档工作。
加强组织和人才队伍建设
风险的成功管理必须具备三方面的关键因素:制度化、系统化的危机管理组织和业务流程,高层领导的重视和直接领导,良好的信息系统支持。风险管理需要有效的组织保障,即确保组织内信息通道畅通、信息能得到及时反馈、各部门及人员责权清晰、有专门的危机反应机构和专门授权,一旦发生任何危机先兆均能得到及时的关注和妥善的处理。
二十一世纪的竞争,核心是人才的竞争,管理工作的执行者是人,技术的使用者也是人,所以,应当重视信息安全人才的培养。培训是一种投资,应该把培训当成一项提升公司素质的战略来考虑,要使培训起到防火的作用,而不仅仅是救火!
结束语
风险管理不仅是认识风险、分析风险和处理风险,还应该是一套完整的制度,是一个系统,风险管理的本质是事先的预测而非事后的反应。信息安全具有动态性、整体性和持续性三大特点,从最大程度上提高提高信息系统整体安全的水平和预防安全事件的角度来考虑,信息系统安全建设不能仅仅局限于若干安全产品的简单意义上的集成,至少应该包括三个主要的阶段:安全系统建设,安全管理建设,安全策略建设。信息安全决策支持应包括成
本效益分析,成本效益分析为识别缓解方案、确定缓解方案范围和选择最有效且最经济的缓解方案,以将风险降低到可接受的水平。
主要参考文献
《保险原理与实务》作者吴小平 ISBN7-5049-2711-2 北京中国金融出版社2002
《危机管理》作者平川 ISBN 7-80115-877-6 北京当代世界出版社2005 NIST SP 800-26 美国国家标准和技术学会的信息技术系统安全自我评估指南
ISO 13335 国际标准化组织的信息技术安全管理指南
作者简介
叶代亮,金华局科信处主管,工程师,大学毕业,江苏大学计算机专业在职研究生,多次获得省科技进步奖,主要从事信息建设和信息系统的运行管理工作。
Email:ye_dailiang
联系地址:浙江省金华市双溪西路420号金华电业局科技信息处
邮政编码:321017