地区级供电企业言息安全风险评估研究

论述了建立地区级供电企业信息安全风险评估模型的必要性,并通过研究国内外风险评估及信息安全理论,提出了一种以业务系统为核心,结构ISO27001信息安全管理体系,国家等级保护制度,国家电网公司SG186总体防护方案,适用于供电企业的信息安全风险评估模型。通过浙江省某地区电力局进行的风险评估,详细阐述了该模型的具体实施过程。     

基于ISO／IEC27001的信息安全体系与国家电网公司现有体系的比较研究

介绍了ISO／IEC27001标准的内容和体系建立的过程方法,比较了基于ISO／IEC27001标准的信息安全体系与当前国家电网公司信息安全管理体系的差异,以地市级电网企业信息安全管理体系建设作为案例,对在国家电网公司系统建立信息安全管理体系提出建议.     

IBM携手贵州电网筑造信息化安全长城

2010年3月23日,贵州电网公司(以下简称贵州电网)与IBM公司共同宣布,双方通力合作、联手打造的基于ISO27001国际标准的南方电网信息安全管理体系应用研究项目顺利通过包括全国信息安全标准化技术委员会信息安     

ISO/IEC信息安全管理标准在电网企业中的应用

随着信息技术被广泛地应用于电力行业,信息已经成为现代供电企业的一种重要资产,网络与信息安全问题越来越引起人们的关注.解决网络与信息安全问题不仅要从技术方面着手,同时更应加强其管理工作.嘉兴电力引入ISO/IEC 17799和ISO/IEC 27001这2个信息安全管理标准,对网络与信息安全进行全面规划,建立信息安全管理体系,通过系统的信息安全管理方法来实现信息安全的可控、能控、在控,成效显著.     

浙能集团信息安全管理体系建设初探

全面分析了浙能集团信息化现状特别是信息安全管理现状,深入研究了信息安全管理体系标准--ISO17799和ISO27001,探讨了引入信息安全管理体系标准的有利条件和所带来的收益,从而得出该标准体系可以为浙能集团信息安全管理体系的建立提供标准化、个性化的理论基础和规范.     

浙江省电力公司以体系建设入手全面推进信息安全工作

截至2007年10月10日，浙江嘉兴、金华、湖州、衢州、绍兴5个地区供电企业顺利通过了国际权威认证机构-挪威船级社（DNV）信息安全管理体系ISO／IEC27001标准的认证，它标志着国家电网公司“SG186”工程信息安全防护体系在浙江的成功应用，也说明了浙江省电力公司信息安全工作已步入新的历史起点。     

基于模糊综合评判的电力风险评估方法的研究

风险评估技术能够检测信息系统面临的风险,是实现信息系统等级保护的重要基础和依据.文中以信息安全管理标准ISO/IEC 27000系列为基础构建电力系统信息安全风险评估指标体系,建立电力系统风险评估模型,并且采用多层次模糊综合评判算法计算风险值.首先确定信息系统的保护级别,然后利用ISO/IEC 27005划分信息安全风险因素指标,构建多层次风险因素,设定不同权重和评判集,计算出风险值,并且给出了应用实例验证算法.     

构筑电力企业ISO信息安全防护体系

信息通信作为电网的中枢神经系统,是电网安全生产和企业经营管理的重要保障和技术支撑,构筑信息通信安全防护体系是建设坚强智能电网,保证电力安全生产运行的不可或缺的强大技术保障。随着信息通信地市县一体化体系建设的不断向纵深推进,信息通信专业迎来了新的发展机遇,依照国家电网公司提出"信息应用以通信为平台,通信管理以信息为支撑"的务实路线,依据ISO 27001国际信息安全管理体系标准,通过部署技术措施、健全管理制度、开展风险评估和系统加固、加强系统运行维护、开展安全教育和培训等方面的工作,从而加固信息安全边界管理,构筑信息安全屏障,确保电力企业信息系统网络安全。     

省级电网公司信息安全管理体系参考架构设计

在信息安全新形势和新技术的日益发展下,电力企业急需融合信息安全需求、法律法规符合性需求和应用需求,解决管理与技术建设不同步造成的安全短板等问题。通过将国际安全管理标准ISO27001与电力企业信息安全建设相融合,探索如何在安全技术架构逐渐部署的前提下,设计出一套适用于电力企业信息安全管理和技术体系的建设方法,实现企业信息安全"管理与技术并重、循序渐进、持续优化"的科学发展观。     

国网信通公司通过ISO 20000和ISO 27001双项国际体系认证

在经过认证预审核和正式审核后,新春伊始,信通公司再传喜讯,国际权威认证机构DNV正式向国网信息通信有限公司颁发了ISO 20000（信息技术服务管理体系）和ISO 27001（信息安全管理体系）认证证书,国网信通公司成为国家电网公司系统内首个获得双项国际认证的单位,这标志着国网信通公司信息技术服务和信息安全两项管理体系的运行质量得到了国际权威认证机构和itSMF,UKAS组织的认可,达到了国际标准水平。     

建立可控的信息网络安全准入管理机制

信息网络安全准入的可控管理是沈阳供电公司信息专业的重点工作,是公司信息网络安全的第一道入口,主要分析了沈阳供电公司应如何通过不断完善网络管理手段和技术水平,逐步提升信息网络安全准入的可控性。通过强化信息网络安全准入的标准化管理,提升IP地址管理的可控率;完善接入设备与专线的标准化系统配置,消除网络接入安全薄弱环节;转变信息网络接入管理工作的理念,丰富运维技术手段,规范公司信息网络设备的接入管理、使用管理、安全管理,使其在省公司范围内信息安全准入管控水平保持了领先水平,有效提升了公司信息系统各项运行考核指标。     

基于实用动态安全域的电力系统安全成本优化

基于实用动态安全域(PDSR)提出一种电力市场环境下的电力系统安全成本优化(最优安全控制)模型及算法。该模型计及了暂态稳定性约束、事故发生概率及系统失稳损失。独立系统运行员(ISO)依该模型能确定安全成本最低的系统安全水平，即确定系统安全性和经济性的平衡点。安全成本由备用成本、再调度成本和期望失稳损失组成。而且所提算法计算速度快、易于实现。另外，该文提出的模型及算法也可方便的应用于传统垂直统一管理模式下的电力系统，只要分别用发电机备用成本曲线和边际成本曲线替换发电商向ISO呈报的备用容量价格曲线和再调度功率价格曲线即可。最后以新英格兰10机39节点系统为例，检验了所提模型的合理性及算法的可行性。     

安全审计在电力信息化中的应用

根据贵州电网在基于ISO27001的安全审计试点项目中的实践、成果和经验,对安全审计在电力信息化中的应用作了详细的论述。     

基于SSE-CMM的电力信息安全工程评估

研究了利用系统安全工程能力成熟度模型(SSE—CMM)进行电力信息系统安全工程过程能力评估的方法和步骤,提出了结合BS7799(ISO／IEC 17799)指导安全工程过程评估内容的新思路,讨论了一种通过问卷答案来生成量化评估结果的评分体系。在该评分体系中,通过定义“完成指数”这一概念使得评估流程易于实现,增强了SSE—CMM应用于电力信息安全评估的可操作性。     

WAMS信息安全风险评估

建立了WAMS通信系统的信息安全评估框架。通过功能域和ISO/IEC 27002标准将WAMS分为若干子功能域并确定待评估的信息资产,再由功能树模型将功能与资产关联,确立系统信息安全评价的层次结构,并分配各子功能及下属资产的关键度。最后利用证据推理算法融合各子资产的判定数据,减少不同专家评判产生的信息模糊性。算例表明,建立的框架和评估方法对提高WAMS系统的信息安全有一定意义,该框架也可应用在电力安全评估的其他方面。     

电力通信网的安全体系架构

大电网安全稳定控制与运行、坚强智能电网全面建设、企业管理和IP化技术渗透等,都需要构建电力通信网安全体系架构,将电力通信网的风险控制在可接受的范围内,保障电力通信网的安全.在对比信息安全与通信安全的基础上,建立电力通信网络功能模型,分析了电力通信网的安全威胁.通过总结安全体系模型、ISO与ITU安全体系结构,提出了针对攻击的电力通信网的攻防矩阵关系与攻防层次结构,建立包括安全层面、通信网络安全工程和通信网络安全管理等3个维度的电力通信网络的安全体系架构,给出了电力通信网安全在功能层次、安全机制与安全服务等方面需要关注的重点.     

电力调度管理信息系统安全风险评估研究

提出了一种基于漏洞关联网络(Vulnerability Connection Network,VCN)的电力调度管理信息系统安全风险评估模型.首先研究了基于插件和端口扫描的电力DMIS漏洞检测技术;然后针对当前漏洞风险的评估现状,提出了一种基于VCN和markov的漏洞风险评估模型,该模型充分考虑了漏洞间关联性对于安全风险评估的影响,引入了转移风险与总体风险的概念,并给出了具体的量化公式;最后给出一个风险评估实例,通过对比传统风险评估模型的结果,证明了基于VCN的漏洞风险评估模型的先进性.     

电力信息系统现有安全设计方法分析比较

电力信息系统是典型的分布式互连系统,需要采用系统化的方法进行安全设计。文章分析了风险管理方法、遵循安全设计指南方法、形式化验证方法、“发现修改”方法、预防性安全设计方法等现有安全设计方法的特点和不足,总结了信息系统安全工程过程、安全需求分析方法、可生存系统分析设计等方面研究的可借鉴之处。文章采用的分析不同安全设计方法的角度可用于安全设计方法的分类和比较,有利于对安全设计过程的进一步深入研究。