根据《网络安全法》中对关键信息基础设施的定义,电力系统是重要行业之一。国家电网在推动智能电网建设上,落实安全管理要求,积极构建保障防御体系,多举措做好智能电网关键信息基础设施安全保障工作。
就此,国家电网公司信息通信部陈春霖主任发表《面向智能电网的信息安全 主动防御保障体系建设》一文。文章从智能电网内涵及安全挑战、电网安全防护的发展历程、智能电网信息安全风险及应对三个方面进行了详细阐述,也为国家电网"十三五"期间的信息安全建设指明了方向。文章节选如下:
文章目录
安全风险分析
智能电网建设使得电网发电、输电、变电、配电、用电、调度各环节更为开放,带来大量业务结构的变化,基于互联网的社会服务和公众参与度更高,多种基于互联网的互动化业务应用发展迫切,电网侧、用户侧交互与应用更为频繁,同时,新技术的应用引入新的风险,对传统防护结构带来冲击。
国家电网智能电网信息安全主动防御保障体系建设
总体防护策略
国家电网公司贯彻落实国家和行业网络安全要求,主动适应"互联网+"、新电改等新形势业务发展以及信息化应用需求,推进电力关键信息基础实施安全防护提升,基于"可管、可控、可知、可信"的总体防护策略,打造下一代智能电网安全主动防御保障体系,全面提升信息安全监测预警、边界防护、系统保障和数据保护能力。
健全管理机制,加强内控治理
深入学习网络安全法,健全公司网络安全管理机制。进一步加强组织领导,公司舒印彪董事长担任网络安全和信息化领导小组组长。强化信息安全"三同步",以业务全生命周期安全保障为目标,健全覆盖规划、可研、设计、开发、测试、实施、运行、下线等各个阶段的网络安全管控工作机制。建立风险报告和情报共享、研判处置和通报应急、网络安全运行、安全稽查、评价考核等网络安全工作机制。完善内控监督评价,常态开展内控达标治理工作。强化网络安全专业队伍建设,健全网络安全人才培训体系建设,完善网络安全职业认证,持续开展网络安全意识与能力建设。
全面加强网络边界安全防控
实施"安全分区、网络专用、横向隔离、纵向认证"的防护策略,分区部署、运行和管理各类电力监控系统,建设专用的电力调度数据网,生产控制大区与管理信息大区采用物理级别的横向隔离措施,同一级别的安全区纵向上落实加密认证措施。管理信息大区内网和外网通过自主研发的信息网络隔离装置进行隔离。深化互联网出口统一归集管理,提升互联网边界防护水平。按照等保要求区分系统安全域,各安全域的网络设备按该域所确定的安全域的保护要求,采用访问控制、安全加固、监控审计、身份鉴别、备份恢复、资源控制等措施。
构建全方位安全态势感知体系
开展基于大数据的信息安全事件深度分析、安全态势感知、智能预警分析、在线实时分析响应等信息安全监控预警技术研究与应用。重点从点(安全基线维度)、线(合规、预警、审计维度)、面(态势分析维度)三个功能层次,构建公司统一的网络与信息安全监控预警体系,并充分利用云计算和大数据分析技术,统筹开展信息安全情报收集、巡检、监测、预警、分析、研判与处置等工作,增强公司资产感知、脆弱性感知、安全事件感知和异常行为感知等网络与信息安全全景可视能力。
借鉴可信思想,提升应用保障能力
基于可信计算思想,加强智能电网主机、终端、应用和数据安全防护。按照国家信息安全等级保护的要求,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、数据库审计、可信服务等技术确保主机系统的安全。根据具体电力业务终端的类型、应用环境以及通信方式等选择适宜的防护措施,主要采取接入认证、病毒防护、安全桌面、可信芯片等防护措施保障终端安全。部署应用加密和校验、应用安全加固、应用安全审计、剩余信息保护、抗抵赖、资源控制、应用数据备份与恢复、代码安全管控等应用层安全防护措施,保障业务应用系统安全。按照涉密数据、商密数据、敏感数据、一般数据对公司数据进行分级防护。根据不同的级别,在数据的生成、传输和存储过程中做好数据加密和校验、备份与恢复等方面的数据安全控制措施。(本文刊登于《中国信息安全》)
安全管理与技术在中石化的应用
随着信息化进程加快,信息安全的重要性越来越凸显,我国已把信息安全纳入了国家安全体系,习总书记做出了"没有网络安全就没有国家安全"的重要论断,信息安全的重要性已经提升到国家战略层面。2014年以来,中共中央网络安全和信息化领导小组的成立、首届世界互联网大会的召开、国家网络安全宣传周的开幕、网络安全法的正式颁布,一系列信息安全举措密集出台,让大家深切感到了信息安全的重要性,安全意识得到极大的提升,信息安全已经深入到国家治理、企业经营和百姓的日常生活中,并且与国家安全息息相关。
就此中国石油化工集团公司信息化管理部 /刘远、石化盈科信息技术有限责任公司/吕浩、中国信息安全测评中心/张毅 任望,发标了《安全管理与技术在中石化的应用》一文。文章节选如下:
中国石化信息安全工作经验
经过"十一五"、"十二五"期间不懈的努力,中国石化网络和信息安全保障能力有了切实地提高,信息安全管理与信息安全防护技术并重,两手抓两手硬,信息安全管理和信息安全防护技术相辅相成,共同编织起了中国石化信息安全防护的大网。
信息安全管理以ISO27001、ITIL 和 COBIT等国际标准最佳实践为蓝本,借鉴企业HSE管理经验,结合企业实际,构筑了企业信息安全管理体系,形成了总部和企业两级信息安全组织管理构架,信息安全管理力度逐步加大,风险评估、安全测评和通报预警机制常态化运行。信息安全技术防护手段日益丰富,网络安全管控能力不断强化,形成了以应用系统为核心的纵深防御、多技术并举的防护体系。体现在一下几个方面:
- 推动信息安全责任制,做实安全责任
- 严格信息安全过程管理,强化落实信息安全"三同步"要求
- 强化监督检查,全面开展信息安全风险评估工作
- 【资讯】1月9日 - 每日安全资讯播报 阅读原文»
【资讯】1月9日 - 每日安全资讯播报
今日要闻推荐:黑客干预美国大选 国际网络安全冲突升级;写入"十三五"规划的态势感知,你真正了解它吗?FBI、CIA、NSA联合发布俄罗斯干涉美国选举评估报告中文解密版;云安全公司Bitglass获得4500万美元C轮融资。
[每日要闻]
黑客干预美国大选 国际网络安全冲突升级
写入"十三五"规划的态势感知,你真正了解它吗?
FBI、CIA、NSA联合发布俄罗斯干涉美国选举评估报告中文解密版
云安全公司Bitglass获得4500万美元C轮融资
[攻防前沿]
针对linux的勒索软件KillDisk,交了赎金缺不解密文件
自助终端机的常见入侵方式
[安全事件]
Iran-Linked间谍集团利用伪装牛津大学网站传播恶意软件
FBI网站被黑致数据泄露?官方称这根本是个骗局
[往日回顾]
本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:[sourcelinkurl]
黑客技术官网地址:http://www.hackdig.com/
没有评论:
发表评论