摘要:电力行业是国民经济发展的支柱产业,是支撑现代化建设的重要公共事业,,伴着社会的全面进步,无论是工业还是人民日常生活都离不开电力支持,全新的时代背景下,生产生活对电力行业的依赖性与日俱增。文章以电力大数据为视角,针对征信管理在提升信息安全管理中的应用展开分析研究。将“征信”概念引入信息安全管理中,构建涵盖全员违规行为、全网设备违规事件的采集、建档、预判、评估、改进全过程管控模式,作为对现有管理模式的有益补充,旨在为电力行业稳固发展贡献力量。
关键词:电力大数据;信息安全;征信体系
引言
近年来,随着科技的发展,电力行业大数据日益剧增,在给人民生产生活带来便利的同时也存在很大的隐患。国网公司作为大数据应用中重要的企业,一直注重加强网络信息安全工作,制定了各项网络信息安全管理办法、工作标准,建立了网络与信息安全相关制度。然而随着大云物移技术的快速发展和电力业务的广泛互联,黑客攻击技术的不断发展,使得电网企业面临的信息安全威胁和挑战也越来越大。目前电网企业虽然采取了严格管控措施,但仍存在员工网络安全意识较为淡薄、违规事件处理零散和整改被动等问题。
一、引入征信管理模式提升信息安全的意义
信息安全征信体系是引入“征信”理念,构建全新的信息安全管理模式,以《信息安全征信管理办法》为依据,整合人员、设备、制度、通报、预警、监控等多元信息,采用基于历史的MBR分析方法,建立数据抽取、特征分析、评估预测、实时跟踪四步分析模型,从五个维度进行数据分析、风险预测,并采取积极有效的预防措施,提升信息安全风险管控能力。以国网公司、省公司通报、计算机病毒爆发次数、桌面终端监控数据等为采集来源,以每个终端用户的注册信息为采集点,对各级各类违规行为进行征信积分。为电网企业提供全面、系统、准确、及时的信息安全事件资源,进一步为信息安全管理提供全面的决策支撑。
二、研讨征信管理模式提升信息安全的实施方法
1、通过征信积分与档案 提高全员安全意识
通过严格的痕迹管理建立终身制的个人和单位信息安全征信积分档案,对单位、个人的信息安全违规行为进行分级分类积分。构建涵盖信息安全事件全过程跟踪的时间档案,对信息安全事件进行事件触发、成因分析、整改归档的全过程管理,并将事件处理过程总结、凝练,形成典型经验库。征信数据资源库在建立信息安全薄弱环节进行分析和预判、应急处置能力的提升科学的数据资源。
2、采用征信分析模型 评估预测安全风险
采用基于历史的MBR分析方法对征信动态数据资源进行科学分析,通过数据抽取、特征分析、评估预测、实施跟踪四个步骤形成闭环分析模型。从征信信息资源库中对单位、个人、事件、设备、时间五个维度进行数据抽取;对抽取的数据从五个维度对其违规事件进行特征分析;结合分析结果,对五维度信息安全违规事件发生的机率进行评估预测,例如某单位、个人、某类事件、某种设备发生违规行为较多、违规频次较高等。依据评估预测结果,采取有针对性的管理和技术措施进行完善整改实施跟踪,例如更换故障多发的网络设备,培训违规行为多发人员等,并对薄弱环节持续跟踪。
数据抽取。从数据资源库中对单位、人员、类型、设备、时间五个维度进行数据抽取。特征分析。从四个维度分析哪些单位、哪类人员、哪台设备发生违规事件的几率较高,哪种类型的违规事件发生频率较高。评估预测。根据违规事件行为,发现信息安全管理的薄弱环节、事件触发和成因分析。例如县公司供电所发生违规行为较多、客户服务终端发生违规频次较高等。实施跟踪。依据评估预测结果,采取针对性的管理和技术措施进行完善整改,并对薄弱环节持续跟踪整改归档。例如对供电所存在的网络设备故障多发问题考虑项目储备进行更换,对违规行为多发人员加强培训等。
三、研讨征信管理模式提升信息安全的价值
1.提升信息安全管理水平
安全意识增强。通过终身制的信息安全征信积分制度对个人和单位进行积分并纳入考核,增强单位个个人信息安全意识及安全防护的主观能动性。安全风险降低。通过安全风险分析,对高危用户、单位、设备及高危事件采取针对性防护措施,变事后整改为事前防范。专业管理决策。通过征信积分制度提升人员安全意识,通过分析预判制度事后整改变为事前防范,为电网企业信息安全管理提供专业的技术解决方案和科学的管理决策支撑。典型案例总结。提供信息安全事件处理经验总结及典型案例分析,指导信息安全管理工作,防患于未然。
2.提升企业核心价值力
降低了安全风险。对信息安全征信积分进行及时更新维护,保证数据的准确性和有效性,对各单位和个人的信息安全征信积分进行分析,及时准确地了解各单位的安全管理盲区及存在的薄弱环节,对其违规行为的发生进行预判,从而采取针对性的管理及技术措施,变事后整改为事前防控,使信息安全违规形为防患于未然。提升了信息安全管理水平。构建信息安全征信平台,专业管理更加规范。自上而下全面梳理规章制度,构建了覆盖公司信息专业全范围的体系架构。规范入网审批流程、存储介质管理等从根本上减少了出错的可能性和信息泄露的可能性;通过组织到基层开展信息安全宣传培训、短信平台、微信平台的大力宣传信息安全知识,员工对信息安全的认识大大提高。
四、征信管理模式提升信息安全的应用前景
信息安全征信体系运用简单有效的分析方法提升了对各类违规事件的管控提升了安全防护能力。将信息安全征信体系引入国网晋城供电公司的信息安全管理一年来,安全违规行为减少了80%,没有发生一起内网计算机违规外联事件,取得了显著的效果。该项目在省公司系统首创,填补了信息专业在征信管理方面的空白。
项目以“征信”管理为依托,对提升员工信息意识、违规事件防控等问题进行了深入研究,针对征信体系后续发展趋势,管理过程的新问题还需进一步分析。下一步我们将在大量实践的基础上,建立征信管理平台同门户目录、I6000系统、桌面终端管理系统、网管系统、漏洞扫描系统等之间的接口,实现违规行为的自动记录和征信积分的自动计算,打造数据采集接口的全智能模式,最终实现一键式征信管理体系。
信息安全征信体系结构清晰、简单适用,在《网络安全法》施行的背景下具有很强的推广性。各行各业都可以引进这种模式,既可以提升组织的信息安全管控能力,又可以提升个人的信息安全意识和防护能力。
参考文献:
[1]计算机网络信息安全[M].清华大学出版社,刘永华,2014
[2]信息安全风险评估[M].清华大学出版社,吴亚非,2007
[3]大数据环境下企业信息网络安全研究[J].孙红梅. 软件导刊.2015(11)
论文作者:冯波波,张艳菲,申文栋,吴均匀,张跃斌,崔高智
论文发表刊物:《电力设备》2018年第26期
论文发表时间:2019/1/16
标签:信息安全论文; 征信论文; 事件论文; 数据论文; 违规行为论文; 积分论文; 维度论文; 《电力设备》2018年第26期论文;