(国网晋城供电公司山西晋城048000)
摘要:新形势下,随着新技术的快速发展及电力业务的广泛互联,网络及信息安全直接影响电力系统的安全、稳定、高效运行。目前电网企业对网络和信息安全采取了严格的技术管控和管理考核措施,但仍然存在员工信息安全意识淡薄、违规事件处理零散、安全事件整改被动等问题。该项目将“征信”概念引入信息安全管理中,构建涵盖全员违规行为、全网设备违规事件的采集、建档、预判、评估、改进全过程管控模式,作为对现有管理模式的有益补充。
关键词:电网企业;信息安全;征信体系
引言
移动互联网和物联网的迅速发展,极大地促进了社会发展、经济繁荣、人民生活进步,信息网络的社会性、全局性地位日益突出。随着国家、社会、人民对信息网络的依赖性越来越强,对网络与信息安全提出了更高的要求。信息安全已成为全面推进国民经济和社会信息化进程的重要基础。
一、构建信息安全征信体系的背景
电网是关系国计民生和国家能源安全的重要基础设施,随着网络信息化的不断发展,信息技术已经渗透到电力企业的各个环节。其生产运行高度依赖网络的信息化。能否保障网络安全以及网络中信息的安全,直接影响到电力企业的发展和效益,直接关系到电力系统的安全、稳定、高效运行,尤其是网络安全边界持续扩大,网络接入用户不断增加,原来用户主要是内部用户,随着社会发展和交互方式的变更,特别是智能电表和自动缴费系统的应用,用户大量接入会出现权限、内容、数据和操作等各种风险,安全责任更加复杂。
二、构建信息安全征信体系的方法
信息安全征信体系是引入“征信”理念,构建适用于电网企业的信息安全管理体系,以《信息安全征信管理办法》为依据,以国网公司、省公司通报、计算机病毒爆发次数、桌面终端监控数据等为采集来源,以每个终端用户的注册信息为采集点,对各级各类违规行为进行征信积分。一是通过积分落脚点明确为每个员工个人,加强对员工的信息安全行为约束,提高全员安全意识。二是根据征信积分对个人和单位信息安全违规行为进行科学的分析,及时对各单位的安全风险进行评估预判,对其薄弱环节采取有效的防护措施,降低安全隐患。三是信息安全征信体系做为信息专业考核依据,将考核结果反馈到同业对标及业绩考核中,形成闭环考核机制,提升公司整体信息安全管理成效。
三、实施信息安全征信体系的过程
建立资源库。通过门户目录获取员工信息、I6000系统获取设备信息、管理办法获取制度信息等基础数据元素;通过专业通报、预警通知、系统监控等获取违规事件数据,整合多种数据元素,通过桌面终端管理系统、北塔网管系统等注册信息建立员工、单位与设备之间的联系,完成信息联动;通过严格的痕迹管理建立终身制的个人和单位信息安全征信积分档案,对单位、个人的信息安全违规行为进行分级分类积分
建立分析模型。采用基于历史的MBR分析方法对征信动态数据资源进行科学分析,通过数据解构、特征分析、评估预测、实施跟踪四个步骤形成闭环分析模型。
(1)多维度数据抽取。从单位维度进行数据抽取、分析,可以看出企业整体的安全形势,各单位的安全工作的情况,对信息安全工作薄弱的单位,着力提高单位负责人对信息安全工作的重视程度,对专业运维人员进行轮岗教育等针对性措施,规范其专业工作流程,重点关注,多措并举协助其提升整体信息安全工作。
(2)分析预判违规行为。将采集、整理的个人和单位积分数据纳入征信积分库并实时更新,为公司信息安全管理提供基础资料,提供信息安全风险分析。通过分析个人和单位的征信数据,对信息安全违规行为进行预判,根据预判结果采取相关防护措施,变事后处理为事前防护,有效降低了安全风险。
(3)优化系统业务流程。规范办公计算机入网、移动存储介质申请、信息系统业务变更、IP地址使用等业务流程等;整理规范办公计算机终端台帐。通过完善日常维护工作,保障信息安全征信体系的全面实施。建立征信管理平台。以征信数据资源库为基础,采用征信分析模型,建立集信息采集自动化、数据分析智能化、评估整改规范化于一体的信息安全征信管理平台。形成可视化的征信排名、态势评估、典型经验系列数据,以柱状图、曲线图、帕累托图等直观展现形式面向用户。用户可以查询征信历史积分、当期积分和排名,查询历次违规行为的发生痕迹、整改处理等具体情况,提升个人信息安全防护能力;信息运维人员可以通过查询历次违规行为的处理过程,提升故障处理能力;信息安全管理部门可以将当期积分、排名列入同业对标和业绩考核,提升单位和员工对信息安全工作的重视程度。
四、信息安全征信体系的成效及应用前景
信息安全征信体系构建和实施过程中,通过信息安全征信积分档案的建立和征信积分终身制的约束极大提高了员工的责任感,推动安全行为的主动性,使公司全员信息安全意识不断提升,从而使公司信息安全工作提本增效。项目以“征信”管理为依托,对提升员工信息意识、违规事件防控等问题进行了深入研究,针对征信体系后续发展趋势,管理过程的新问题还需进一步分析。信息安全征信体系结构清晰、简单适用,在《网络安全法》施行的背景下具有很强的推广性。各行各业都可以引进这种模式,既可以提升组织的信息安全管控能力,又可以提升个人的信息安全意识和防护能力。
参考文献:
[1]政府电子信息安全问题刍议[J].刘妍宏.行政与法.2016(10)
[2]信息安全风险管理的基本理论研究[J].杨姗姗.企业改革与管理.2015(06)
[3]信息系统风险评估方法综述[J].顾华杰.无线互联科技.2014(09)
客服QQ:30444492琼网文【2021】1550-113号
增值电信业务经营许可证:琼B2-20210322
出版物经营许可证:新出发龙华出字第(2021)009号
广播电视节目制作经营许可证:(琼)字第00779号
版权所有 ©2002-2024 期刊网(www.qikanchina.com) 琼ICP备2021005105号
