返回
信息安全风险评估在电力设计的作用.doc

信息安全风险评估在电力设计的作用.doc

ID:61782638

大小:29.00 KB

页数:5页

时间:2021-03-20

信息安全风险评估在电力设计的作用.doc_第1页
信息安全风险评估在电力设计的作用.doc_第2页
信息安全风险评估在电力设计的作用.doc_第3页
信息安全风险评估在电力设计的作用.doc_第4页
信息安全风险评估在电力设计的作用.doc_第5页
资源描述:

《信息安全风险评估在电力设计的作用.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、信息安全风险评估在电力设计的作用1.概述随着企业信息化的深入,信息安全问题日益严峻,虽然入侵检测、防火墙、杀毒软件等安全技术手段能不同程度起到防御作用,但信息安全事件时有发生。为保证信息安全,尽可能消除安全隐患,就要定期的开展信息安全风险评估工作,通过分析评估网络与信息系统安全潜在威胁、薄弱环节、防护措施等,根据评估结果,采取适当安全措施,达到安全建设和管理的目的。本文介绍了一种适合电力设计企业的信息安全风险评估的方法,该方法参照国内外一些信息安全标准,如ISO15408、ISO27001等,结合电力设计企业信息系

2、统及应用的实际情况,制定了一套风险评估的方法和流程,为电力设计企业的信息安全评估工作提供参考。2.电力设计企业信息化特点电力设计企业的信息化是以设计工作流程为核心,通过对图档信息统计分析的自动化、设计工作流程的标准化,采用高效的协同设计管理思想,实现电子设、校、审,对设计输入、校对过程、成图发布、设计变更、资料互提、版本控制、项目图档、进行标准化管理。因此,对电力设计企业最重要的就是保证设计流程的顺畅和资料完整,相对应的系统有生产设计流程系统,企业档案系统、数据备份系统等。3.安全评估相关标准5学海无涯对于电力设计

3、企业的信息安全要求,必须站在全球信息化的背景下,以国际标准的角度去重新审视现状和分析存在的差距,针对电力设计企业信息安全体系的具体内容,需要去选择合适的标准,我们参考了ISO15408、ISO27001等信息安全的相关标准。ISO27001和ISO15408所涉及范围都是信息安全领域;ISO27001侧重安全管理方面的要求,即对IT系统中非技术内容的检查。这些内容与人员、流程、物理安全以及一般意义上的安全管理有关。ISO15408则侧重于对系统和产品的技术指标,旨在支持设备中IT安全特征的技术性评估,它可以用于描述

4、用户对安全性的技术需求。ISO15408中虽然对信息安全管理方面提出了一定的要求,但这些管理要求是孤立、相对静止、不成体系的。同样,ISO27001也涉及极小部分的技术指标,但仅限于管理上必须的技术指标。电力设计信息安全体系是一个整体,没有全盘的考虑,没有高度的重视,任何一个环节出现明显的短板都将功亏一篑。4.评估对象和流程评估的对象为电力设计企业的信息系统、主机、网络、数据库系统等。对电力设计企业的安全评估,包括四个大的方面:资产评估、威评估、脆弱性评估、现有安全措施评估,并在此基础上进行风险计算和分析,从而提出

5、安全处置方案和建议。具体的评估流程如图1。4.1资料准备和启动会在该阶段,评估方必须事先对企业提供的资料进行研究分析,通常有领导会议报告、ISO9000文件,业务流程文档等。这些资料对了解企业的战略意图和业务流程具有非常重要的作用,可以在安全评估初期通过研读这些材料了解企业的业务重点,对后续的资产评估和风险分析具有事半功倍的效果。除此之外,由评估方和被评估方共同召开启动会,确定评估目标和范围,制定评估计划。主要工作内容如下:1启动会需要有被评估方高层领导人出席并动员本单位人员做好配合工作。2明确被评估方各部门需要准

6、备的相关资料:如部门业务流程图、部门工作计划、资产清单、网络拓扑图、信息系统和安全防护措施等。3被评估方项目负责人和各部门协调人确认。4双方共同确认评估目标和范围。4.2资产评估资产评估是对信息资产分类、标记、赋值的过程。资产评估主要包括两个过程:资产识别和资产赋值。4.2.1资产识别在确定评估抽样范围后,需要对抽样资产进行识别。资产识别是为了了解资产状况、确定资产价值而进行的风险管理的准备工作。主要针对对象为:网络设备、应用系统服务器、机房基础设施(包括物理环境,备份等、系统软件与应用软件。由被评估方填写主机资产

7、统计表、网络设备统计表、应用系统统计表。评估人员抽样选取一定数量的资产信息填入到资产汇总表格中。信息包括:参考号、资产、说明、类型、所有者、位置等。4.2.2资产赋值5学海无涯资产赋值需要有评估双方共同确定,根据资产的重要程度,同时参考资产的机密性、完整性、可用性三个安全属性,对资产进行赋值,分为1-5等级,等级越大,资产越重要。表1是三性赋值中机密性赋值标准。资产的赋值可以根据电力设计企业的应用特点,比如:与设计流程相关的系统,其可用性的取值要高些;与数据资源相关的应用系统和备份系统,其机密性、完整性、可用性的赋

8、值也会高些。企业信息系统的业务特点决定了业务系统的重要性程度。资产最终价值的等级评估是依据资产保密性、完整性、可用性的赋值级别,经过综合评定得出的。因为不同组织对于安全三性的要求和重视程度有所不同,所以评定的标准也不尽相,最后加权得到资产的等级和赋值。资产赋值的计算公式:。公式中:C、I、A分别为某个资产的三性赋值,wC、wI、wA分别为CIA三性的权重,可

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。