淺談電網企業信息安全管理體系建設中的風險管理

黃杰 李娜

摘要：在時代飛速進步與社會經濟日益增長的背景下，電網事業發展更加迅猛，而隨著快速發展電網行業競爭越來越激烈。但是，電網企業在運用這些信息技術的過程中也會存在一定的安全風險，需要進行一定的管理和防范，這是企業穩定發展過程中必不可少的一項管理工作。文章主要以電網企業信息安全管理及風險防范策略為中心展開論述和分析。

關鍵詞：電網企業;信息安全管理;風險防范

引言

電網智能化的深化發展，使得結構化、非結構化數據量增加，各部分工作對電網的依賴程度增強。一旦電網出現信息泄露情況，會給電網運行造成嚴重影響。鑒于此，如何提高電網信息安全，降低信息泄露率，是電網企業亟待解決的問題。目前，電網信息安全存在掃描時間長、威脅識別準確率低等問題。

1風險管理體系內涵

風險管理是在固定的成本及時間當中可能無法完成計劃的度量指標，因此風險管理當中有三項重要因素，分別是不利事件、不利事件發生的概率及其可能產生的影響。在對其進行研究后能夠發現其風險包含的方面很多，首先是質量方面的風險，其次是項目管理當中的風險及組織方面產生的風險，最后還包含項目以外的風險。其中文章研究的重點為電網企業信息化中的項目風險，因此其研究內容更加貼近于SEI體系，其內容分別包含了管理成熟度及團隊風險管理、連續風險管理、風險識別方面的內容，由此完成了風險管理體系的動態可持續性描述。

2企業信息安全管理現狀

2.1信息安全技術問題

信息安全包括應用安全、數據安全、主機安全、網絡安全、安全審計和安全管理等六個方面。因技術發展和資金投入的局限性，在企業信息系統設計開發過程中難免存在缺陷與漏洞，從而造成企業的信息安全隱患。此外，企業未成立專業部門、團隊去開發、維護、更新企業信息系統，部分企業甚至無專業IT安全管理人員等，都會導致信息安全事件頻發問題。

2.2員工不了解網絡安全

通常，電網企業的員工對信息網絡的安全性并不了解。有些員工對的工作賬戶設置了簡單的密碼，甚至有些員工還告訴其他人賬戶和密碼。一些員工與其他員工共享關鍵的公司信息，這對電網企業產生了很大的負面影響。另外，一些員工使用網絡來查詢與電網企業無關的內容，從而占用了有限的網絡資源，這不僅在一定程度上影響了電網企業的網絡通信，而且還干擾了其正常運行。另外，電網企業員工會瀏覽不安全的網頁或隨意連接到不安全的設備，為病毒和特洛伊木馬的傳播創造了條件，甚至導致信息網絡的故障和癱瘓，影響電網信息網絡的正常運行和管理。

3電網企業做好信息安全管理與風險防范的策略

3.1加強統籌規劃，健全信息安全組織架構

為保障企業的信息安全目標能夠實現，信息資源能夠得到保障。企業領導應根據自身業務的發展需求，制定信息安全目標，搭建信息安全組織架構，明確相關職責和權限。決策層：由企業主抓信息安全工作的領導組成，負責企業信息安全規劃、策略以及重大安全事件的審批，并提供相應信息資源支持。管理層：由企業的信息安全主管部門或IT部門承擔，負責企業日常的信息安全管理、監督、考核與培訓。執行層：由IT部門的技術人員與其它部門的專、兼職信息安全人員構成。負責落實安全措施，消除安全風險，以及安全事件發生后的應急響應和處理。

3.2加強網絡安全教育

網絡安全培訓將有助于提高電網行業信息管理人員的信息安全意識。因此，必須注意組織人員參加培訓，在培訓過程中對網絡安全形成良好的理解和認識。在實際的工作開發過程中，要時刻注意網絡安全教育的加強。此外，在網絡安全教育工作時，應注意促進對網絡病毒的防護，即幫助相關人員進行自我管理，以防止發生不規則操作感染網絡病毒。

3.3優化傳統網絡安全技術

傳統網絡安全技術以加密技術、訪問控制技術、防火墻技術、入侵檢測技術、認證技術為主。大數據時代信息技術更新迭代速度加快，企業內網絡信息安全管理人員需要加強對傳統技術的創新，確保內部機房環境、視頻監控系統、防火墻、入侵防御系統、數據庫審計系統、應用交付系統的安全。充分發揮認證技術的優勢，設置安全認證系統，只有經過網絡安全授權的工作人員才有訪問企業內部數據的資格，以防止外部人員對企業內部系統進行攻擊。對傳統的訪問控制進行適當的技術創新，將其應用到企業內部網絡資源權限的管理系統當中。通過使用訪問控制技術防止外部人員非法獲取企業內部的網絡信息數據，從而保證企業內部的數據安全。重視傳統防火墻技術的應用，在企業內部構建個性化的網絡安全屏障，通過阻隔外部的惡意攻擊保證企業內網絡系統的安全。同時，加強對新型防火墻技術的推廣，將網絡地址翻譯、虛擬專用網、加密技術、身份認證技術等技術應用到企業內安全屏障的設置工作當中，實現對安全系統的優化。

3.4網企業信息化項目風險認證

在對電網企業信息化項目進行風險認證的過程當中需要認證的信息為開發商選擇風險，此風險首先是指在招標過程當中選擇具體開發商產生的風險，當開發商企業的規模較小且能力較低時自然會對項目產生一定的風險，其風險也可能是來自開發商的業績，如開發商對電網系統方面的業務不夠熟悉，可能導致項目沒有取得預期的效果。其次，其風險還包含規劃期需求風險，規劃期需求風險主要體現在認識風險方面，此方面的風險來自開發人員及用戶兩個方面。同時在規劃期的軟件硬件環境情況也會對其產生一定的影響，其風險的主要來源則是網絡環境風險、數據準備風險及用戶配置風險。最后，風險的來源還可能是企業管理及企業變革的風險，其首要來源自然是企業的自身重視程度及參與力度，除此之外，員工存在參與力度不足的情況，員工的不配合及不落實都會導致項目的工期順延甚至出現失敗的情況。

結語

電網企業在日常生產和經營過程中，需要對信息安全管理工作給予足夠的重視，積極地采取各種措施來提高管理工作的效率和質量，從而保障整個企業穩定運行，進而促進我國電網行業的發展。

參考文獻

[1]趙建輝.淺析電網企業信息網絡的安全及防范措施[J].通訊世界，2017（22）：172-173.

[2]郭建，顧志強.電網企業信息安全現狀分析及管理對策[J].信息技術，2013（1）：180-183，187.

[3]牛斐.電網企業網絡信息安全的防范措施[J].大眾用電，2017（S1）：166-167，178.