信息安全风险综合评估系统研究和设计

传统的信息安全风险评估项目主要依赖实施人员自我管理,进行流程控制和质量保证,具有较强的主观性。其过程的实施需要依赖具有相关专向能力的实施人员,故很难被一般运维单位所管理和控制,无法进行信息安全金生命周期的管控。从信息安全风险评估和安全督查的工作内容出发,研究和设计信息安全风险综合评估系统。提比系统的功链设计,阐述其总体结构、评估流程和现实应用,最终简化信息安全风险评储的过程并降低信息安全风险评估的实施门槛。     

《国家电网公司网络与信息安全风险评估规范(试行)》颁布实施

为了指导、规范和促进国家电网公司系统各单位开展网络与信息安全风险评估工作，加强网络与信息安全的全过程动态管理，进一步提高信息安全保障水平，公司组织制定了《国家电网公司网络与信息安全风险评估规范（试行）》，于2004年6月15日颁布实施。网络与信息安全风险评估是网络与信息安全管理的基础性工作，是     

基于ISO 7001的电力信息安全风险评估模型

目前,电力信息安全风险评估逐步受到重视。文章结合广东电网公司实施信息安全风险评估的经验,提出基于ISO27001的信息安全风险评估模型。该模型依据国际通用的信息安全管理体系ISO27001,引入信息安全三元理论,能够从管理、运行、技术3个层面全面评估信息安全风险。     

风险评估在IT系统生命周期中的作用和实践

近年来,信息安全风险评估越来越多的应用于政府、机关、企事业单位的信息安全保障工作中。在简要介绍信息安全风险评估概念的基础上,论述了风险评估与IT系统生命周期的关系,重点研究了在信息系统规划设计阶段、建设验收阶段、运行维护阶段、废弃阶段的风险评估工作方法和工作重点。最后介绍了全过程评估方法在浙江省电力公司"全省大集中的营销管理及决策系统"(简称营销系统)建设过程中的实践。     

基于模糊层次分析法的电动汽车充电桩信息安全风险评估方法

为定量评估电动汽车充电桩系统信息安全水平,发现其脆弱之处和安全隐患,基于模糊层次分析法设计电动汽车充电桩系统信息安全风险评估方案与流程;建立电动汽车充电桩系统资产安全价值层次分析模型、安全威胁层次分析模型及其评价指标体系;将电动汽车充电桩系统分为电动汽车充电桩、运营管理平台、用户资产及其之间的通信链路与通信数据,通过调研以及问卷调查的方式获得专家意见并进行量化。基于模糊层次分析法计算资产价值权重与安全威胁权重,在此基础上,计算得到各资产的风险值大小,有效识别出充电桩系统的脆弱点与安全风险,并给出安全防护措施及建议。     

电力系统信息安全风险诊断平台研究与建设

针对电力系统信息安全管理传统的风险评估方式容易造成宕机,存在系统事故的潜在威胁,耗费较多人力资源无法给出有权威性的评估报告的现状,进行了电力系统信息安全风险诊断平台研究与开发。新平台采用被动式的漏洞分析技术,智能化的安全辅助决策技术以及十字链表的规则匹配技术,提供了一种切实可行的信息资产安全风险管控方法,提升了信息安全风险评估工作智能化水平。     

基于防控措施的信息安全风险评估模型研究

传统信息安全风险评估模型只考虑资产、威胁及脆弱性要素已不再适用,为准确对信息安全风险进行评估,提出基于安全防控措施的信息安全风险评估模型,并运用相乘法原理计算综合风险值判定安全等级,与传统评估模型进行对比,得出评估模型具有直观、准确性高等特点。     

浅谈信息安全风险评估及在电力系统的应用

信息安全风险评估是建立信息安全管理体系的基础和前提。介绍和分析了信息安全风险评估的原理、方法、相关标准,并结合在电力系统的风险评估工作实践,探讨了风险评估过程中经常遇到的问题。     

电力通信网安全风险评估系统设计与实现

电力通信网是电力系统重要组成部分,其安全性对整个电力系统安全稳定运行具有重要意义。目前,在电力通信网安全风险评估研究中,大部分都集中在评估模型、评估指标体系、评估算法等理论研究方面,在有关评估系统及其应用研究方面鲜有报道。文章在分析电力通信网安全风险评估现状的基础上,结合脆弱性及重要度评估,对电力通信网骨干电路的风险评估流程、评估指标的构建及风险计算方法进行了研究。最后结合风险评估流程及方法。设计开发了一套具有实际工程应用价值的电力通信网安全风险评估系统。     

加强教育培训 完善信息安全防护工作

供电企业近年来加强了信息安全风险评估工作常态化、制度化、规范化,完善和改进信息安全工作,在管理上构建了较为全面的信息安全管理体系,但还需要加强信息安全教育培训,加强对信息防护人员技术培训,加强对全员的信息风险防范、网络保密意识教育,完善信息安全防护工作。     

风险评估及其在安全管理工作中的作用(待续)

简要分析了我国电力企业安全管理的现状,阐述了建立风险评估体系时加强安全管理的作用,介绍了风险评估的步骤,特点及现场风险辨识的重要作用,针对解决生产管理的实效问题,提出了利用风险评估对管理工作进行评估监督的方法,最后指出了建立责任制是建设风险评估体系的关键环节。     

智能电网信息安全风险评估

智能电网信息安全风险评估是智能电网信息安全建设的起点和基础,文章结合智能电网信息化、自动化、互动化的技术特点与发展情况,分析在智能终端、无线通信信道、密码技术、应用代码、嵌入式系统等方面具有智能电网特色的信息安全风险评估需求,有针对性地提出常规评估、渗透测试、针对性评估等风险评估方法。按此方法得出的评估结论,可作为智能电网信息安全优化及整改的依据。     

新型配电网安全评估指标体系研究

安全稳定运行是高渗透率新能源电网规划的关键问题，为此，建立了新型配电网安全评估指标体系，首次提出安全评估由可靠性评估和风险评估构成。其中，可靠性评估指标是在现有国内外配电网可靠性标准中提炼出电力设备级、负荷点级、系统级、孤岛级四类指标，风险评估指标考虑了分布式电源的波动性，选用节点电压越限和支路潮流越限两个风险指标进行评估。IEEE34节点配电网的算例证明了提出的指标体系可有效评估新型配电网的安全性，为后续高比例新能源电接入电网的安全评估奠定基础。     

面向多层资产架构的信息安全风险评估方法研究

传统的信息风险评估仅限于设备和系统层级,无法实现风险信息向业务、组织层传递的功能,使组织的管理决策层难以充分利用风险评估工作的成果。针对传统方法存在的缺点,提出一种面向多层资产架构的信息安全风险评估方法,为开发相应的评估工具提供指导。     

BS7799信息安全认证的实施

ISO17799（BS 7799）信息安全管理标准是一套在国际上得到广泛重视的标准，可以指导企业进行信息安全的建设，作为全面衡量企业信息安全水平的指南和参考。通过实施这套标准，将改变企业信息安全管理工作的随意性，让一切信息管理工作可控、再控、协助企业评估可能面临的风险和威胁，提高企业信息安全的整体水平。山东十里泉发电厂信息工程公司已经通过了BS7799的认证，这里着重从用户的角度，介绍如何使BS7799的实施更加注重实际，发挥效果，避免形成贯标与实际工作两张皮。     

甘肃省供电企业安全风险评估开展情况综述

目前,国内的安全管理理念距离国际先进水平还有一定差距。国家电网公司在借鉴和吸收现代风险管理理论并结合本企业实际情况下,编制了《供电企业安全风险评估规范》(简称《评估规范》)和《供电企业作业安全风险辨识防范手册》(简称《辨识手册》)。《评估规范》和《辨识手册》以防止人身     

信息安全风险评估在核电企业的有效应用

文章结合国家政策、行业规范以及核电企业对信息安全的特殊要求,论述了核电企业开展风险评估的必要性及迫切性;以特定的安全模型为参考基础,通过一定的防护手段,协调平衡威胁、脆弱性及风险三者之间的关系;重点分析了核电企业开展信息安全风险评估的具体实施方法与流程.通过论述得出风险评估是提高企业信息安全保障水平的重要手段之一.     

信息安全态势分析

信息安全风险管理是信息化建设安全保障的基础工作。对目前企业信息安全管理风险评估方法进行了分析,并结合信息资产、信息安全环境、社会环境、法律环境等态势分析和网络感知,从宏观和微观两个层面探讨了信息安全管理中态势分析的应用。     

基于多要素分析的信息安全风险评估策略研究

正1引言随着信息化技术在电力企业的深化应用,其网络和信息系统的重要性日益增强,信息安全已经成为电网安全的重要组成部分,也逐渐成为电力企业所关注的热点问题。若要构建坚固的信息安全保障防御体系,首先要进行科学、全面的电力信息安全风险评估,它既是信息安全建设的起点和基础,又是信息安全建设和管理的重要保证。电力信息安全风险评估就是运用科学的方法和工具,     

信息系统等级保护自动化评估方法实践

信息安全等级保护制度是国家重要信息系统信息安全保护的主要标准之一,标准执行的符合度是以安全技术、管理技术的落实情况为依据,主要通过人工检查与问询的方式进行评估[1]。为提高评估效率、降低人力成本,本文提出一种信息系统等级保护自动化评估方法,并应用于信息安全等级保护检查工作中,实现对重要信息系统安全策略的持续监测、分析与评价,根据评价结果分析等级保护标准落实情况,发现安全技术与管理技术的不足,提高信息系统安全保障能力。