电力企业网络信息安全防护体系的建立
电力信息网络安全防护及措施研究
电力信息网络 安全防护及措施研究
王 方 ( 青海省电力公司信息通信公司海东运维分部, 青海 海东 8 1 0 6 0 0 )
摘 要 : 由于当前 电力系统信息化 的不断深 入 , 电力信 息网络安 全 防护会更加严谨 。 电力信息网络是信息传 输的 载体 , 同国家推 进 的信息安
为信息进行确认 , 为网络提供 控制 技术, 目前 电力信息 网络安全都没有进行长 期的计划 , 还具有很多安全风 非常实用 的技术; 个较为成熟的信息确认技术 以及 网络安全控制 技术 需要 以计 险 和 问题 。
一
1 。 1计算机和信息网络的安全意识需要提升
步, 可是使 用在电力系统的安全技术 同实际的需求差别较大 , 并且对于新信息的安全意识不够。
3 加强各类安全防护及措施的管理
加强人 员方面的管理。 对相 关人员进 行安全教育培训, 保
1 . 3电力行业对计算机的信息安全体系投入较为缺乏
证 这些人员在调离岗位 时可 以做 到不让网络机密泄漏 ; 设备密
近几年来 , 电力体系 由于生产、 销售、 维护等 关系, 投 入使 码 的管理。 对密码要及时进行更新, 并且 , 绝不可以默 认密码或 用的概率越来越多, 可是针对 计算 机的安全措施 、 安全方 法、 安 者设置一些过于简单的密码 , 并且在人员离职后应当及时修改 全技术以及安全体系的维护方面投入的比较少。 密码, 以防因此造成信息遗失的现象 ; 技术方面的管理 。 对各种 网络设 施进行安全化管理 , 并且 同实际相结合 ; 数据 方面的管
2 电力信息网络安全的防护及措施
c ] . 2 0 1 0 . 因为电力信息网络安全 十分重 要, 因此 , 国家针对 电网企 键 技 术 与应 用 学术 会 议论 文 集 [
国家电网公司网络与信息系统安全管理办法
国家电网公司网络与信息系统安全管理办法第一章总则第一条为加强和规范国家电网公司(以下简称“公司”)网络与信息系统安全工作,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力,实现网络与信息系统安全的可控、能控、在控,依据国家有关法律、法规、规定及公司有关制度,制定本办法。
第二条本办法所称网络与信息系统是指公司电力通信网及其承载的管理信息系统和电力二次系统。
第三条本办法适用于公司总(分)部及所属各级单位的网络与信息系统安全管理工作。
第四条网络与信息系统安全防护目标是保障电力生产监控系统及电力调度数据网络的安全,保障管理信息系统及通信、网络的安全,落实信息系统生命周期全过程安全管理,实现信息安全可控、能控、在控.防范对电力二次系统、管理信息系统的恶意攻击及侵害,抵御内外部有组织的攻击,防止由于电力二次系统、管理信息系统的崩溃或瘫痪造成的电力系统事故。
第五条公司网络与信息系统安全工作坚持“三纳入一融合”原则,将等级保护纳入网络与信息系统安全工作中,将网络与信息系统安全纳入信息化日常工作中,将网络与信息系统安全纳入公司安全生产管理体系中,将网络与信息系统安全融入公司安全生产中。
在规划和建设网络与信息系统时,信息通信安全防护措施应按照“三同步"原则,与网络与信息系统建设同步规划、同步建设、同步投入运行.第六条管理信息系统安全防护坚持“双网双机、分区分域、安全接入、动态感知、全面防护、准入备案"的总体安全策略,执行信息安全等级保护制度。
其中“双网双机”指信息内外网间采用逻辑强隔离设备进行隔离,并分别采用独立的服务器及桌面主机;“分区分域”指依据等级保护定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;“安全接入”指通过采用终端加固、安全通道、认证等措施保障终端接入公司信息内外网安全;“动态感知”指对公司网络、信息系统、终端及设备等安全状态进行全面动态监测,实现事前预警、事中监测和事后审计;“全面防护”指对物理、网络边界、主机、应用和数据等进行深度防护,加强安全基础设施建设,覆盖防护各层次、各环节、各对象;“准入备案"指对所有接入公司网络的各类网络、应用、系统、终端、设备进行准入及备案管理.第七条电力二次系统安全防护按照“安全分区、网络专用、横向隔离、纵向认证”的防护原则,并遵照原国家电力监管委员会《电力二次系统安全防护规定》及《电力二次系统安全防护总体方案》等相关文件执行。
电力安全防护总体规定(3篇)
第1篇一、总则为了加强电力监控系统安全防护工作,防范黑客及恶意代码等对电力监控系统的攻击及侵害,保障电力系统的安全稳定运行,根据《电力监控系统安全防护规定》、《信息安全等级保护管理办法》及国家有关规定,制定本规定。
二、适用范围本规定适用于我国境内所有电力监控系统,包括但不限于以下领域:1. 发电企业、电网企业、供电企业等电力行业企业;2. 电力规划设计、施工建设、安装调试、研究开发等单位;3. 电力监控系统设计、建设、运营、维护等相关机构。
三、安全防护原则1. 安全分区:电力监控系统应按照安全分区原则,将系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度,将生产控制大区划分为控制区(安全区I)及非控制区(安全区II)。
2. 网络专用:电力调度数据网应与生产控制大区相连,承载电力实时控制、在线生产交易等业务。
发电厂端的电力调度数据网应当在物理层面上与电力企业数据网和外部公共新网进行安全隔离。
3. 横向隔离:横向隔离是电力监控安全防护体系的横向防线。
电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备设备,确保两者之间信息交换的安全。
4. 纵向认证:电力监控系统应实现纵向认证,确保信息在传输过程中的安全可靠。
5. 物理安全:加强电力监控系统物理安全防护,确保设备、设施和运行环境的安全。
6. 应用安全:加强电力监控系统应用安全防护,确保应用系统的稳定性和可靠性。
四、安全防护措施1. 设备安全:选用符合国家标准的电力监控系统设备,确保设备本身的安全可靠;对设备进行定期检查和维护,防止设备故障导致安全事故。
2. 网络安全:加强电力监控系统网络安全防护,包括:(1)网络隔离:实现生产控制大区与管理信息大区之间的物理隔离,确保信息传输安全;(2)访问控制:设置合理的访问控制策略,限制非法访问和恶意攻击;(3)入侵检测与防御:部署入侵检测和防御系统,及时发现和阻止攻击行为;(4)安全审计:对系统操作进行审计,确保操作符合安全要求。
电力企业信息网络安全有关的问题及解决措施
病毒管理 中心 , 按其信息网络管辖范围 , 分级进行防范计算机病毒的统
一
设计 院虽然对计算 机安全一直非常重视 , 但 由于各种原因 目前还 没 有一套统 一 、 完善的能够指导整个院计算机及信息网络系统安全运行 的
管 理规范。
管理 。 在计算机病毒预防 、 检测和病毒定义码的分发等 环节建立较完
建设工作 。
发 生问题 的条件 , 防止发生系统异常或 故障, 做到信息安全预防性控制。
同时 , 结 合信息系统当前运行状态和可能存在 的问题 . 编制各种 运行方 式下 . 可能发生异常或故障 的反事故措施 。一旦 出现威胁 系统安全的异 常或故 障 ,采取措施尽快处理, 减少异常或故 障对 系统造 成的影 响。为 了使计 算机及信 息网络系统操作人 员熟 练掌握各种异常或故 障处理措 施. 在 信息 中心应建 立离线 与在线相 结合 的信息安 全控制仿 真培训 中 心。一方 面可以使现有 人员 对各类设备与 系统, 如各. 种网络设备 、服务
的特点, 制定相 应的备份 策略。 ( 四 )建立 网络级计算机 病毒防范体 系
电力信息 的迅 猛发展使得 电力 系统及数据信 息网络迎来 了前所 未
有 的挑 战。 本文分析研究了网络系统信 息安全存 在的问题 , 全 面规划了
网络安全 系统 , 提 出了合理有效 的安全措施 、方法 ,大大提升了电力企
( 五 )建 立 网络 系统 信 息 安 全监 测 中 心
善的技术等级和管理制度。
( 三) 缺乏适应电力行业特点的计算机信 息安全体 系
计算机信息 系统 出现故 障或遭受外来攻击造成 的损失. 绝大多数是
由于系统运行管理 和维 护、系统配置等方面存在缺陷和漏洞, 使系统抗 干扰能力较差所致。 信息安全监测系统可模仿各种黑客的攻击方法不断
智能电网信息安全防护体系建设探讨
智能电网信息安全防护体系建设探讨
尹晓婧 郑 伟 战 捷 1 .国 网山东省电力公 司济南供 电公 司 山东 济南 2 5 0 0 1 2 ;2 . 3 . 山东电力集团公 司烟 台供 电公司 山东 烟台 2 6 4 0 0 1
【 摘 要 】随着智能 电网建设深入开展 ,智能电 网信息安全防护体 系建设显得越来越 重要 ,建设统一、安全 、可靠的信 息安全 防护体 系是智 能电网 建设 的重要保 障。本论针对智 能电网信息安全防护需求 , 提 出智能电网信 息安全防护体 系设计 ,以及信 息安全 防护技术部署 ,以此为依据建设信 息 系统 ,将有效提 高智 能电网建设 的安全性 。
具有信息化 、自动化 、互动化特征 ,从而面临新的信 息安全风险。智能 电网信息安全防护是智能电网发展 中不可忽视的一个重要环节 ,它需要 坚强 的信息骨干 网络 ,以及完善 的智能 电网信息安全 防护体系 , 从 而提 升信息安全防护水平。同时,需要不断完善信 息安全技术和措施 , 适 应 云计算和物联网等新技术发展需求 , 促进智能电网建设 的发展和延伸 。
企业机房网络安全防护方案
企业机房网络安全防护方案引言随着信息技术的飞速发展,企业数据资产已成为企业运营的核心资源之一。
企业机房作为数据存储、处理与交换的关键物理场所,其网络安全防护的重要性不言而喻。
一旦机房网络遭受攻击或数据泄露,将可能导致企业面临巨大的经济损失、法律风险和声誉损害。
因此,构建一套全面、高效的企业机房网络安全防护体系,对于保障企业信息安全具有重要意义。
一、机房物理安全1.1 访问控制●门禁系统:安装高安全性的门禁系统,如指纹识别、面部识别或智能卡验证,严格控制进出机房的人员。
●视频监控:全方位部署高清视频监控系统,确保机房内外无死角监控,并记录所有进出人员及活动情况。
1.2 环境监控●温湿度控制:保持机房适宜的温湿度条件,防止设备过热或受潮引发故障。
●火灾报警与灭火系统:安装烟雾探测器、自动灭火装置等,确保及时发现并处理火灾隐患。
●电力保障:采用双路供电、UPS不间断电源及发电机等措施,保障机房供电稳定。
二、网络架构安全2.1 边界防护●防火墙:部署高性能防火墙,对进出机房网络的数据包进行严格过滤,防止非法访问和攻击。
●入侵检测与防御系统(IDS/IPS):实时监测网络流量,及时发现并阻止潜在的安全威胁。
2.2 访问控制策略●VLAN划分:根据业务需求,合理划分VLAN,实现网络隔离,减少攻击面。
●ACL(访问控制列表):制定细粒度的访问控制策略,限制不同用户或设备之间的访问权限。
2.3 加密与认证●数据传输加密:采用SSL/TLS协议对敏感数据传输进行加密,确保数据在传输过程中的安全性。
●身份认证:实施多因素身份认证机制,提高用户登录的安全性。
三、系统与数据安全3.1 操作系统安全●安全补丁管理:定期安装系统安全补丁,修复已知漏洞。
●账户权限管理:遵循最小权限原则,合理分配用户和系统账户的权限。
3.2 应用安全●安全编码规范:制定并执行安全编码标准,减少软件漏洞。
●应用层防护:使用Web应用防火墙(WAF)等工具,防御SQL注入、跨站脚本等常见攻击。
电网与电厂计算机监控系统及调度数据网络安全防护规定中华人民
电网与电厂计算机监控系统及调度数据网络安全防护规定 中华人民共和国国家经济贸易委员会令第30号《电网与电厂计算机监控系统及调度数据网络安全防护规定》已经国家经济贸易委员会主任办公会议讨论通过,现予公布,自2002年6月8日起施行。
国家经济贸易委员会主任李荣融二OO二年五月八日电网和电厂计算机监控系统及调度数据网络安全防护规定第一条为防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的安全稳定运行,建立和完善电网和电厂计算机监控系统及调度数据网络的安全防护体系,依据全国人大常委会《关于维护网络安全和信息安全的决议》和《中华人民共和国计算机信息系统安全保护条例》及国家关于计算机信息与网络系统安全防护的有关规定,制定本规定。
第二条本规定适用于与电力生产和输配过程直接相关的计算机监控系统及调度数据网络。
本规定所称电力监控系统,包括各级电网调度自动化系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电网自动化系统、微机保护和安全自动装置、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等;调度数据网络包括各级电力调度专用广域数据网络、用于远程维护及电能量计费等的调度专用拨号网络、各计算机监控系统内部的本地局域网络等。
第三条电力系统安全防护的基本原则是:电力系统中,安全等级较高的系统不受安全等级较低系统的影响。
电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。
第四条电力监控系统可通过专用局域网实现与本地其他电力监控系统的互联,或通过电力调度数据网络实现上下级异地电力监控系统的互联。
各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施。
第五条建立和完善电力调度数据网络,应在专用通道上利用专用网络设备组网,采用专线、同步数字序列、准同步数字序列等方式,实现物理层面上与公用信息网络的安全隔离。
电力系统网络安全构建
浅析电力系统网络安全的构建摘要:伴随改革进程的推进,中国电力行业形成了厂、网分离和电网按区域划分的全新格局。
同时计算机网络技术的发展为电力的管理和调度提供了先进的服务和支持手段,为电力新业务(如电力市场应用、电力营销业务等)的开展提供了条件。
从国家电力公司到下属各电力子公司正在进行着信息网络化的推进工作,基于网络的各种业务应用(如电力调度、企业信息化管理erp、财务信息化管理等)正在逐渐开展。
关键词电力系统网络安全abstract:along with the advancement of reform, the chinese power industry formed the factory, nets separation and grid by region of the new pattern. and the development of the computer network technology for power management and scheduling of provide for the advanced service and support for the electric power means, new business (such as electric power market applications, electric power marketing business, etc.) that will provide the conditions. from the state power company to subordinate the power subsidiaries are information network in advance of work, based on the various business applications, such as electric power management, enterprise information management erp, financial information management, etc.) is gradually developed.加强电力系统网络安全的意义:电力行业是技术密集和装备密集型产业,其独特的生产与经营方式决定了其信息化发展的模式。
电力系统网络安全问题及解决措施
电力系统网络安全问题及解决措施电力系统是国家经济的重要支撑,是现代社会生产生活的基础设施。
电力系统网络安全问题关乎国家安全、经济稳定和人民生活。
随着信息化、智能化水平的不断提高,电力系统网络安全问题日益凸显。
本文将探讨电力系统网络安全问题,并提出相应的解决措施。
一、电力系统网络安全问题1. 攻击威胁随着互联网的普及和信息技术的发展,电力系统网络正面临着来自网络黑客、病毒、木马等的攻击威胁。
这些攻击威胁可能导致电力系统运行异常、数据丢失或泄露,甚至对系统稳定性造成严重影响。
2. 数据安全电力系统中存在大量的用户数据、运行数据等重要信息,一旦这些信息被非法获取或篡改,将会对电力系统的安全和运行造成严重影响。
3. 设备安全电力系统中的各类设备也容易受到网络攻击的影响,例如远程控制器、智能电表、智能变电站等,一旦这些设备受到攻击,可能导致电力设备损坏或者运行异常。
4. 灾难风险网络攻击不仅仅是来自外部的威胁,内部操作失误、系统故障等也可能对电力系统网络安全造成影响,甚至导致灾难性后果。
二、解决措施1. 加强技术保障加强电力系统网络安全技术保障,建立完善的安全防护体系,包括入侵检测系统、数据加密系统、防火墙、安全监控系统等。
通过技术手段提高网络安全性,及时发现并应对安全威胁。
2. 完善安全管理建立健全的安全管理体系,包括制定安全管理规范、加强人员培训、建立安全意识教育体系等,提高工作人员的安全意识和安全水平,有效降低内部操作失误和系统故障的风险。
3. 强化监控手段建立电力系统网络安全监控中心,实时监控系统运行状态和安全情况,及时发现和处理安全漏洞和风险行为,保障电力系统网络安全。
4. 提高信息共享加强与国家安全部门、安全厂商、相关行业组织等的信息共享,及时了解网络安全威胁和漏洞情况,分享安全防护经验,共同提升网络安全水平。
5. 强化风险评估建立电力系统网络安全风险评估体系,定期对系统进行全面的安全风险评估与测试,发现潜在的安全隐患,及时采取措施加以解决,提高系统的安全性和稳定性。
电力企业信息系统安全体系分析与对策
必须 对加 强 有效 的相 关 成 此 目的 , 首先 要强 化 企业 信 息 系统 中安 全 技术 的专 业应பைடு நூலகம் 力信 息 系统 安 全 问题 的人 为 因素 ,
用 , 次 要完 善企 业信 息 系统 的管理 制度 。 其 管理 制度 。通 过 建 立完整 的信 息安 全 管理体 系 、 运行 维护 明确 岗位职 责 , 并按 照规 范 的运 维流程 进 行操作 , 制 3 1 防范 措 施 的技 术 手段 技 术 手段 是 解决 一 切信 息 体 系 , . 定信 息 网络故 障抢修 以及 应 急预 案 并定 期进行 演练 。 过 通 系统 安 全 问题 的关 键 , 有在 技术 层 次达 到 了一定 安 全程 只 有 了强 大 的制 度 保证 , 可 以更好地 促 进 电力企 业信 息 网 才 度 , 能在 一定 程 度上 提高 企业 信息 系统 的安 全性 。 才 311 加 强基 础设 施建 设 , .. 改善 网络 运行环 境 网络运 络 的安全稳 定运 行 。 4 结论 行 环境 直 接 关 系着 网络 运行 的稳定 性 , 网络机 房要 配 有 门 电力 企业 网络 信息 安 全是 一个 复杂 的 系统工 程 , 不仅 禁、 监控 、 警 系 统 、 房 专 用 灭火 器 、 急 照 明 灯 以及 接 报 机 应
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅析电力企业网络信息安全防护体系的建立
摘要:企业网络信息的安全防护体系分为安全管理和安全技
术2条框架线,形成整体安全框架。安全管理框架包括安全策略、
安全组织管理和安全运作管理3个层面;安全技术框架覆盖鉴别
和认证、访问控制、内容安全、冗余和恢复以及审计响应等部分。
关键词:电力企业;网络信息;安全防护
1. 电力企业网络信息安全防护系统原则
(1)分级保护
根据信息网中资产的重要程度以及资产面临的风险大小等
因素决定各类资产的安全保护级别,制订各类信息网系统的安全
保护等级表明确资产类别,同时确定对何种类别的资产应达到何
种级别的安全。
(2)适度安全
安全没有绝对性,增加安全性往往意味着更大的成本投入和
操作的复杂化。因此,在进行信息网安全规划、建设和管理时,应
在投资、安全回报和可用技术之间找到最佳的平衡点。
(3)管理与技术并重
在采用安全技术和产品的同时应重视管理,不断积累完善针
对网络实际情况的各类安全管理章程或规定,全面提高网络的安
全管理水平。
(4)全过程
信息网安全应落实在信息网建设、运行、维护、管理的全过
程中,任何一个环节的疏忽都可能给信息系统带来危害。安全不
仅仅是增加部分防火墙等软硬件,同样是为了降低风险和减少成
本。根据信息安全的生命周期特征,信息安全的生命周期可分为:
策略制订、评估分析、方案设计、工程实施、运行管理、安全教
育培训等阶段。
(5)动态调整
及时检测环境或系统中的变化,分析这些变化可能带来的风
险,并在必要时调整修改原有安全保护及管理措施或增加新的措
施,以控制或防范风险。
2. 电力企业信息安全防护系统安全管理框架
安全问题的特点为“三分技术、七分管理”。除了各种技术
手段外,安全管理的落实是解决安全问题、提高安全水平的基石。
面对网络与信息安全的脆弱性,除了完善系统的安全防御措施外,
还须加强网络与信息安全的日常工作管理。
(1)信息网安全策略为信息网安全提供管理指导和支持
制定指导方针并通过在组织内对网络安全策略的发布和保
持来证明对信息网安全的支持与承诺。信息网安全管理策略是指
一个信息网中关于安全问题采取的原则,对安全使用的要求,以及
如何保护信息网的安全运行。
根据管理职责确定使用对象,明确确定某一设备配置、使用、
授权信息的划分,定制网络信息资源的互访;确定每个管理者对用
户授予的权限。说明网络使用的类型限制,定义可否接受网络应
用,对信息网管理人员作级别上的限制。所有违反安全策略、破
环系统安全的行为都是禁止的;
增加管理员的用户口令、密码的强度,管理授权范围尽可能
小;信息网安全管理数据信息的保密性必须以制度的形式明确规
定;在信息网管理中实行责权利的界定,实现专人专管;制定安全
策略被破坏时的策略,首先保障对安全问题的隔离和限制,防止破
坏的蔓延与扩展,其次对安全问题跟踪的书面文档纪录;
信息网安全策略作为向使用者发放的手册,应注明解释权归
属何方,以免出现不必要的争端。
综上所述,安全策略的制定是一般性指导原则,关系到一个安
全网络的最终功能的实现。必须建立安全体系,编写安全策略手
册,并不断更新。
(2)建立信息网安全管理组织框架,开展和控制信息网安全的
实施建立具有管理权的信息网安全小组以批准信息网安全方针,
分配安全职责并协调组织内部网络安全的实施,提供信息网安全
建议的专家小组并使其有效。多与安全专家联系,以跟踪行业趋
势,监督安全标准和评估方法,并在处理安全事故时提供联络渠
道。安全管理部门应根据原则和处理数据的保密性,制订相应的
管理制度或规范。
根据工作的重要程度,确定该系统的安全等级;根据安全等级,
确定安全管理的范围;制订机房出入管理制度,对于安全等级要求
较高的系统实行分区控制,限制工作人员出入与己无关的区域。
出入可采用证件识别或安装自动识别登记系统,采用磁卡、身份
卡等手段对人员进行识别和登记管理;
制订操作规程要根据职责分离和多人负责的原则各负其责,
不能超越自己的管辖范围;制订系统维护制度进行维护时,应采取
数据保护如数据备份等措施。维护时要经主管部门批准,并有安
全管理人员在场,故障的原因、维护内容和维护前后的情况要详
细记录;制订系统在紧急情况下尽快恢复的应急措施,使损失减少
至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及
时调整相应的授理。同时需要对工作人员、系统管理员、下载软
件、程序开发人员、密码内容、登录策略等进行管理。
(3)信息网安全运作管理是整个信息网安全框架的驱动和执
行环节
一个有效的网络安全组织应在网络安全策略指导、网络安全
技术的保障下,实施网络安全运作。
1)多人负责制度 每一项与安全有关的活动,都必须有2人
以上在场。这些人应是系统主管指派、忠诚可靠、能胜任此项工
作;签署工作情况记录以证明安全工作已得到保障。
2)任期有限制度 重要岗位采用定期轮换制度,在工作交接
期间必须更换口令,重要技术文件或数据必须移交清楚,同时明确
泄密责任。对任用人员必须全部与建设方签订保密协议,一旦泄
密后必须追究责任人的法律责任。
3)职责分离制度 信息处理系统的工作人员不能打听、了解
或参与职责以外的任何与安全有关的事情,除非系统主管领导批
准。
4)管理目标 针对安全管理类问题,制定安全策略及管理办
法解决相关组织、人员问题,同时建立相关指标体系,对骨干网以
及各种应用系统安全工作进行考核与评定。管理工作由安全管理
人员完成,审计、评估、规划、加固等管理工作初期可以采用外
包方式进行,建议建立一支安全技术队伍。
3. 电力企业信息安全防护系统安全技术框架
在资产分类和安全风险评估的基础上,根据不同情况提出各
自的安全需求。在考虑安全技术措施时,可借鉴ISO7498-2的安
全框架,从安全服务在不同协议层次中的实现出发,采用安全技术
机制,构建安全技术体系,为系统的可靠性、保密性、完整性、可
用性、真实性、可确认性提供技术保障。
(1)采取的技术措施
1)鉴别和认证 通过对网络系统中的主客体进行鉴别,赋予
恰当的标志、标签、证书等,针对实体进行处理。具体技术包括:
口令; Token、SmartCard等鉴别机制;PKI公开密钥基础设施。
2)访问控制 以ReferenceMonitor形式或类似网关、接口和
边界的形式工作。主业务必须通过AccessControl这个关口才能
进行正常访问。具体技术包括:访问控制列表;防火墙(网络隔离和
网络访问控制);VPN;操作系统访问控制;应用系统访问控制。
3)内容安全 直接保护在系统中传输和存储的信息。具体技
术包括:加密(保密性、完整性、抗抵赖等);内容过滤;防病毒; VPN
加密信道。
4)冗余和恢复 通过设备或线路的冗余保障业务的连续性,
通过备份恢复业务。具体技术包括:设备冗余;网络迂回;数据备
份。
5)审计和响应 审计实现机制是通过Standby/Sniffer类型的
工作方式实现,一般情况下并不干涉和直接影响主业务流程,而是
对主业务进行记录、检查、监控等。响应主要是对安全事件作出
告警、阻断等反应。具体技术包括:漏洞扫描和评估;日志;入侵检
测。
(2)实现的安全功能
1)通信平台安全 广域网传输时数据的可靠性、完整性和保
密性;
2)网络平台安全 网络出入和网络服务的访问控制、网络层
数据的保密性和完整性、网络和网络服务的可用性、可靠性、防
范黑客入侵和有害数据的渗入;
3)系统平台安全 保证操作系统、数据库系统安全,及时修补
系统漏洞、病毒防范;
4)应用平台安全 身份认证、访问控制、数据完整性、保密
性、不可否认性、安全审计。
(3)构建动态可适应性的安全系统
定期对全网进行安全检测,发现系统可能的脆弱性并进行修
正;定期检查防护系统的运行日志,发现潜在的问题,并通过策略
调整、配置可更改的手段及时防患于未然;对系统的告警信息充
分重视,找到原因,并修正防护系统的配置;定期对全网进行安全
风险评估,调整安全策略、修补安全漏洞、修正安全防护体系。