“大可爱不可爱”通过精心收集,向本站投稿了2篇电网企业基于PDCA的信息安全治理提升方法研究与应用论文,这里小编给大家分享一些电网企业基于PDCA的信息安全治理提升方法研究与应用论文,方便大家学习。
篇1:电网企业基于PDCA的信息安全治理提升方法研究与应用论文
电网企业基于PDCA的信息安全治理提升方法研究与应用论文
1 引言
“十一五”期间,国网公司按照“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略,完成了等级保护纵深防御体系建设,信息安全整体防护能力显著增强。但是,深入分析信息安全现状,部分单位还存在人员意识不强、自建系统防护能力不高、管理技术措施落实不严格等问题;另外,传统分专业条块式的信息安全管理模式制约整体安全管理水平提升。更重要的是,随着智能电网和“三集五大”的快速推进,对现有信息安全工作提出了更高的要求。
2 治理提升的目标
通过对全部在运的电力二次系统、管理信息系统、电力通信网络、统推系统及自建系统存在的信息安全风险隐患进行治理提升,最终实现如图1所示的信息安全治理提升目标全景视图。
(1)解决长期以来信息安全分专业条块式管理被遗漏的问题,实现统一管理、多方联动,从查漏补缺、被动防御向整体掌控、主动防御转变。
(2)解决各级单位、各专业存在的问题和薄弱环节,避免信息安全“碎片化”和“木桶效应”,有效降低县供电企业信息化延伸覆盖建设带来的信息安全风险。
(3)实现信息安全责任全面覆盖、措施全面落实、对象全面管控、风险全面监控,消除思想认识的误区、管理与技术的.盲区、执行规定的死区。
(4)深入落实12项安全管理手段和8项技术措施,实现生产控制大区和管理信息大区的物理安全、设备安全和数据安全等覆盖所有对象和环节的全方位安全。
3 基于PDCA的三段式治理提升方法
3.1 PDCA循环
PDCA循环又名戴明环,包括Plan(计划)、Do(执行)、Check(检查)和Act(修正)四个环节,是全面质量管理所应遵循的科学程序,具体含义:(1)P (P lan) 计划,包括方针和目标的确定,以及活动规划的制定;(2)D (Do) 执行,根据已知信息设计具体方法、方案和计划,再具体运作,实现计划;(3)C (Check) 检查,总结执行计划的结果,明确效果,找出问题;(4)A (Act)修正,对检查结果进行处理,对成功经验加以肯定并标准化,对失败教训进行总结,引起重视。对于没有解决的问题,提交下一个PDCA循环解决。以上四个过程周而复始进行,一次循环结束,解决一些问题,未解决的问题进入下一次循环,如此阶梯式上升。
3.2 治理提升理念
基于业界关于信息安全治理提升方法的研究成果并结合实践经验,提出了一个实效性更强的模式,如图2所示。通过清查摸底、达标治理、长效提升三个主要阶段开展工作,将PDCA 方法融入治理提升各个阶段,坚持“严清查、抓治理、促提升”的三段式理念,站在覆盖“全业务、全单位、全系统、全过程”的高度,按照“横向到边、纵向到底”的原则,有效解决当前信息安全工作的缺陷和不足,从根本上降低信息安全风险,加快信息安全主动防御体系建设。
3.3 治理提升的流程
如图3所示,治理提升工作主要分三个阶段开展:第一阶段是清查摸底,完成宣贯培训、问题自查和安全备案等工作;第二阶段是达标治理,依据顶层优化设计开展问题隐患整改实施;第三阶段是长效提升,制定持续整改方案,巩固治理成效,推进长效提升。专项活动由省、市、县三级工作组整体管控,各单位具体开展各项工作,最终实现信息安全长效提升。
3.3.1 严格清查摸底
该阶段工作应抓好几个关键方面。
(1)重视方案编制、创新培训宣贯。通过编制总体工作方案等指导性文件,明确做什么、谁来做、怎么做,分解工作任务,列出工作重点,通过任务表明确具体内容、责任单位和时间节点。编制人员应涉及各部门,以及省、市、县各层面的代表单位。
为规范工作方法,统一工作标准,采取现场集中、电视电话、网络视频等多种形式,省市县三级联动,三级联训,三级释疑,演示讲解工作方法,答疑解惑,提炼方法。通过网站、海报、滚动屏等多种途径,大力宣传治理提升工作。编制专项工作简报,建立各单位学习交流平台,共享典型经验和创新做法。
(2)注重工作方法、严抓工作落实。问题自查方面,检查对象要涵盖系统、终端、网络、通信、责任、机房等六个方面,检查内容包括管理责任、运维责任、督查责任、安 监责任、安全准入、建设安全、运行安全、数据安全、安全审计及监测九大项涉及的所有检查点。通过设计科学合理的考核指标(自查阶段发现上报问题隐患但数量越多、质量越高予以加分)来激励各单位充分发现暴露问题隐患。安全备案方面,对在用信息资产全部进行备案,生成唯一备案编号;根据备案信息逐个核查安全现状,以及参数配置、防护拓扑等关键信息与实际现状的符合情况。
实行省市县三级专人包干负责制,省级工作组每人负责2家地市公司(直属单位),地市级工作组每人负责1家县公司。包干负责人要既管进度、又控质量,每日跟踪进度、汇总问题、督促指导。
3.3.2 狠抓达标治理
组织开展现场检查督导,彻底摸清信息通信安全方面存在的风险和隐患,确保治理提升各项工作扎实开展、取得实效。事前制定标准化检查大纲,确定检查详细内容,为量化评价提供依据。检查大纲应包括责任落实、机房基础环境、网络边界、业务系统、终端、通信安全、安全备案等工作,涵盖管理制度、反措、机房供电、机房环境、通信网络、信息网络、信息系统、信息安全、通信光缆、通信设备、备品备件、应急管理十二个方面的所有检查内容。
通过汇报座谈,资料查阅、现场查看等方式,对照大纲逐项逐条检查,主要采取现场测试查验的方式。检查完毕即刻组织召开反馈会议,指出存在的问题隐患,分析具体原因,深入讨论整改措施和意见,形成整改指导意见和手册,督促各单位实施整改。
3.3.3 督促长效提升
(1)树典型、立标杆。根据阶段工作审查结果和现场检查督导情况,综合分析各单位的优势和劣势,树立机房基础环境、设备线缆标签、日常运行维护、办公终端安全和通信网络安全等单项工作典型示范单位,由典型示范单位编制单项工作优化提升经验方案,促动各单位向典型示范单位学习。建立对口帮扶关系,典型示范单位联系对应帮扶单位,指导问题整改,实现工作提升。将帮扶成效纳入年度同业对标,形成典型示范单位深入帮扶、扎实帮扶的良好氛围,确保被帮扶单位问题隐患得到整改。
(2)强化管控、落实整改。将各单位还未完成整改的问题列入管控表,同时纳入信息安全督查管理。强化安全督查工作,严格执行“红黄牌”制度和整改督办机制,指定专人负责并明确职责,对限期内未整改的发放黄牌督办警告,对督办期内未整改的发放红牌通报处理,并对其进行约谈,采用“说清楚”方式,晓以利害,让其分析原因,陈述理由,签订军令状,做出承诺保证。
4 治理提升经验与主要做法
4.1 重点工作目录机制
为做到既突出重点,又弥补短板,建立了重点工作目录机制,将信息安全重中之重和日常关注较少的内容进行重点治理,针对每一项重点工作设立专门的管控组跟踪负责,管控组成员涵盖主专业和相关专业,实行一人多责制。重点治理内容包括生产控制大区系统设备、配网自动化建设等多个方面,可根据自身实际情况确定。如图4所示。
4.2 反常规检查机制
长期以来,电网企业缺乏对信息安全和保密工作负责部门相应工作进行有效监督的机制。信息安全工作方面,安全督查由信通部门组织,督查队伍具体执行,督查工作中信通部门和督查队伍所在单位的问题隐患发现处理的真实性和有效性不能得到有效保证。保密管理工作方面,保密委员会下设保密办,挂靠在办公室,保密检查工作开展过程中对办公室问题隐患发现处理的真实性和有效性也不能得到严格保证。深入分析这一现实问题,首次将回避原则引入监督检查,建立反常规检查机制,如图5所示,将信息安全督查和保密管理检查有机结合,保密部门参与信息安全督查,对信息安全工作部门和单位督查时承担牵头负责职能;信息安全部门和督查队伍参与保密检查,对保密工作部门检查时承担牵头负责职能。
4.3 人力资源保证和绩效考核
成立以主管领导为组长,治理提升主要部门负责人为副组长的领导小组,领导小组下设工作组和检查组。工作组组长设置打破惯例,由信通、调控、运检、营销部门主要负责人共同担任,向领导小组汇报工作。工作组下设联络小组和重点工作管控小组,联络小组负责日常工作的通知传达,管控小组对重点治理工作专门负责。检查组人员覆盖省、市、县三个层面,信息安全、保密管理、调控、运检、营销五个专业。实现多专业协同工作,各层面顺畅沟通,如图6所示。
制定绩效考核办法,将治理提升工作开展情况纳入同业对标考核范围,一是自查阶段发现上报问题隐患分数量和质量两个维度进行考核,数量超过平均数、发现重大问题予以加分;创新点二是现场检查督导发现非常规问题和较难发现的隐患不考核,但对自查阶段发现问题隐患的整改和计划制定情况进行考核。
5 结束语
本文提出的基于PDCA的三段式信息安全治理提升方法通过在国网甘肃省电力公司进行实践应用,取得了较好的成效,问题隐患得到有效治理,信息安全总体水平有了一定提升,补丁安装率提升8%,漏洞整改率提升12.7%,疑似敏感邮件数降低9.6%,月度内网扫描发现中高危漏洞数降低17%,月度互联网途径扫描发现中高危漏洞数降低至0个。该方法的成功实践是电网企业的典型案例,并入选国网公司同业对标信息通信管理专业典型经验,对于各级电网企业开展信息安全治理提升工作具有一定借鉴价值。
篇2:基线配置核查与电网信息安全研究论文
基线配置核查与电网信息安全研究论文
摘要:电力信息安全基线,主要包括有相关操作系统、应用程序和网络设备的安全基准配置,为进一步提高基线配置核查平台的安全系数,需要深入健全基线体系,并基于电网信息安全合规库来优化配置平台。本文通过对贵州电网基线配置核查工具为例,结合基线配置核查平台与信息安全合规库的联合应用研究,以期推动电网信息安全防护水平的持续提升。
关键词:基线;核查平台;合规库
伴随现代科技实力的飞速提升,电力信息系统建设质量得以飞速提升,针对流程、业务逻辑的标准也不断优化,基于计算机、网络控制技术为主体的信息技术,已逐渐融入到电力生产、运作阶段的每一细节中,为提高信息安全系数,电力行业在优化相关设备的同时,不断探索更加高效、稳定、可扩展的基线配置核查方法。
1基线配置核查平台建设
基线配置核查平台要整体核查所有业务内容,以保持业务逻辑的严谨性。在核查阶段,要构建安全规范统一的设备安全规范,并保证定期检查,考虑到电力系统内的信息数量和设备种类庞大、复杂,核查工具要保证高效性、稳定性以及良好的可定制性。核查阶段需针对设备展开迅速安全配置和检测。此外,还要明确基线配置核查的安全结果,以良好的可视化效果对使用者进行展现,方便安全管理人员和业务系统管理人员的整改工作。
1.1基线配置核查策略研究
制定安全基线之后,要做到定期核查业务系统安全质量,通过梳理业务系统与业务逻辑,进一步细分基线配置核查平台框架以及平台实现层。其中,平台实现层内的安全基线标准包括安全漏洞、安全配置两大核查项。第一,安全漏洞。一般由于系统本身出现问题,而引发信息安全隐患。主要体现在登录漏洞和缓冲区溢出,可看出系统本身存在的安全弊端。第二,安全配置。一般体现在人为配置缺陷,即口令、账户、授权等,同样可反应出系统本身存在的安全弊端。
1.2基线配置核查策略库
通过建设基线配置核查策略,结合中国南方电网信息安全合规库的业务需求,和国内系统、设施、应用环境的独特性,参考相关标准制定相对应的.Checklist表格与操作坐标,即基线核查策略库,重点应用在检查新业务系统的上线安全系数以及第三方入网安全系数。基线配置核查策略库的研究界限大致分为操作系统、网络设施、数据库和安全设施。
1.3开发基线配置核查工具
基线配置核查工具检查工作的开展,要以智能化配置安全核查系统为前提,能够借助于远程读取、设备系统内参数信息的下载,和电力行业合规库配置标准中的相关规范展开对比分析。为提高基线配置核查工具的便捷性,便于多元化需求的满足。并侧重于和相关系统的有机组合和后续的再次开发工作。可选取模块化设计,平台工作框架具体包括有:
(1)专用平台。该平台已得到改善,安全系数相对高。
(2)调度核心板块。重点用于评估、检查已实现目标,如对主机存活状态的判断、识别操作系统、剖析并匹配模板。
(3)Checklist知识库。即对安全配置参数、数据的核查,核心调度模块以及数据解析等模块的运行基础。
(4)扫描结果库。是扫描结果文件得以生成的关键,同样是检索、解析结果的数据参考。
(5)数据解析模块。该模块的工作内容在于对报表数据、发展趋势的整体分析,属于任务合并、分布型数据整合归纳后的内容。
(6)配置模板库。管理方可借助该模块在任务评估前,针对所核查设备配置相对应的安全配置核查点,和各项核查点权重。
(7)WEB页面版块。使用者使用浏览器并借助SSL加密通道与系统WEB页面板块展开交互,便于使用者展开管理。
(8)系统升级板块。借助该板块能够不断更新、丰富Checklist知识库,并借助该板块实现相关模块的更新升级。
(9)分布型模块。考虑到基线配置核查工具后续会展开相应的部署工作,这一模块可将核查信息提交至管理系统。
(10)拓展模块。伴随业务系统的逐渐增加与繁琐化,可借助该模块逐步更新基线配置核查平台可检测到的系统,以保障基线核查质量。
1.4贵州电网基线配置核查建设成果
目前贵州电网已经实现省地两级基线配置平台部署,完成基线配置核查脚本定制开发656项,实现中国南方电网公司基线合规库自动化脚本转发率94%。实现了贵州电网有限责任公司配置核查工作的自动化工作。加大的加强了公司对信息系统、网络设备、安全设备的配置核查水平,有效的增强了公司网络安全防护能力。
2电力行业合规库的联合应用效益
目前,基线配置核查平台在通用设备安全配置方面的应用,已在入网安评、运作维护环节得到运用,切实提供了安全核查质量,以保证业务系统和合规标准的契合,同时,同南网合规库高度契合。基线配置核查工具安全检查系数和质量,都远远高于人工检查,实现减小成本、高效运营的目标。
2.1经济效益
精确部署“安全基线自动核查工具系统”,将信息系统中暗藏的风险隐患控制在一定范畴下,切实提高设备自身的安全防护水平。该方式所形成的经济效益具体反映在:将业务系统出现弊端所产生的系列经济、形象损失控制在合理范畴内,是提高经济效益的主要手段。第一,减少信息安全隐患,提高经济效益。在信息安全范畴内,ALE(年损益预算)占关键位置,指的是一年周期内由于某风险而出现的可预期资产亏损,即:ALE=SLE×AROSLE:单一损益预算;ARO即年度发生率。以贵州电网为例,借助于IT设备基线将156个应用系统加固,20000套PC终端,1546套主机、中间件、网络和相关数据库系统,假设参考某主机系统、应用系统信息风险事件比例是1%,信息风险事件亏损为50000元/起,PC终端信息风险事件比例为2%/年,且数据丢失亏损为10000元/次,则直观经济亏损为:ALE=(SLE×ARO)=(156+1546)*1%*50000+20000*2%*10000=485.1万元Σ核算2015—2016年的经济亏损,为485.1*2=970.2万。同时,营销与生产系统、协调办公系统等由于数据丢失而出现的亏损无法用实际资金亏损来估算。一旦上述系统由于风险事件而出现的金额损失长数以万计,所以,具体节省的直观经济成本已高出上述经济数额。第二,优化运维效率,节省人力资源。基线配置核查平台实现了相关信息、参数的自动化核查,取代了之前的人力核查手段,系统智能核查效率远高出人力核查的300倍,可自动生成相应的文件,为运维方提供了相对精细的优化策略,降低了人力劳动强度。其覆盖范畴包括公司本部、信息中心和地市供电单位,参考各单位2人/月,以5000元/人次来核算,贵州电网公司在该两年间的人力成本大致节省了2*5*12*2*5000元=120万。第三,借助统两级级联的架构策略,硬、软件投资以基线配置核查平台选取中心部署(省公司本部)分级级联、分散式收集(省公司本部、信息中心和地区供电局)的全面性构架措施,整体归纳由相关信息设施的基线配置核查参数,可及时发现信息设施基线配置核查平台中存在的弊端,引导平台进行加固。将各地区供电单位节省软件经费45万、硬件经费25万,将电网公司整体成本节省4*700000=280万。
2.2社会效益
首先,可科学部署基线配置核查平台的内部架构,全面提高平台的风险防护水平,通过提供高质量的供电服务,有利于推动当地民生经济的可持续发展。其次,借助于基线配置核查平台的安全运作,对信息系统的科学构建与运作维护发挥引导作用,尽可能降低电网公司信息风险事件的发生概率,防止因信息风险事件对电网公司的健康运营造成负面影响。
3结语
基于对基线配置核查平台的构建研究,全面打造了整体统一的基线配置核查安全标准,有效发现信息系统内的漏洞,提高了运行维护的工作质量,进而实现信息系统安全系数的整体上升,避免了出现因信息安全事件造成的经济、社会形象损失,尤其是和信息安全合规库联合应用后,成效较为显著,切实强化了电网信息系统的安全防护水平。同时,基线配置核查平台的优化需要循序渐进,要科学结合信息系统安全防护标准的变化,来优化核查规范,使其可适用于动态发展的信息安全态势。
参考文献
[1]邹玉林.面向信息安全等级测评的安全配置核查系统[D].中国海洋大学,2013.
[2]尚杰.基于业务的安全基线检查平台的设计和实现[D].北京邮电大学,2011.
[3]张辰冬,杨闯.增值业务平台安全基线体系建设方案解析[C].//辽宁省通信学会2015年信息网络与信息技术年会论文集.2015:446-451.
[4]南方电网科学研究院有限责任公司,电子科技大学.基于SCAP的安全基线评估方法:中国,CN201410180456.0[P].2014-7-16.
[5]张震,冯伟,颜金韬等.一种基于云扫描技术的系统安全配置基线核查机制及方法[J].电信工程技术与标准化,2012,25(4):31-34.
[6]马文,江翰,彭秋霞等.电力信息安全基线自动化核查[J].云南电力技术,2013,41(1):89-90.
[7]杨庆明.信息安全基线管理在企业信息化中的应用与研究[J].信息系统工程,2013,(7):71-72,50.
[8]左晓军,陈亮,陈泽等.信息安全基线技术在电网企业中的研究与应用[J].科技视界,2015,(3):287-288.
[9]崔高智,张跃斌,李斌等.关于电力信息安全基线自动化核查的探讨[J].科技创新与应用,2013,(33):163-163.
[10]陈军,饶婕,陈虹等.基于SCAP的自动化安全基线核查研究[J].计算机时代,2016,(4):28-31.
[11]邢静宇.电力信息网络节点安全检测和评估技术研究[D].北京邮电大学,2015.
[12]中国联合网络通信集团有限公司.一种安全基线核查方法和设备:中国,CN201410563532.6[P].2015-2-18.
★ 信息安全论文
★ 网络信息安全论文
★ 论文课题研究方法
电网企业基于PDCA的信息安全治理提升方法研究与应用论文(共2篇)
