電力信息化是指信息技術(shù)在電力行業(yè)中的應(yīng)用，是電力行業(yè)在信息技術(shù)的驅(qū)動(dòng)下由傳統(tǒng)行業(yè)向高度集約化、高度知識(shí)化、高度技術(shù)化行業(yè)轉(zhuǎn)變的過程。電力行業(yè)信息化的核心是電力行業(yè)管理信息系統(tǒng)的建設(shè)，主要內(nèi)容是各級(jí)電力單位信息化的實(shí)現(xiàn)，包括生產(chǎn)過程自動(dòng)化和管理信息化。只有通過信息化的手段，提高用電營銷的管理水平，才能電力行業(yè)更有效地為客戶提供服務(wù)。

        通過行業(yè)調(diào)研和行業(yè)經(jīng)驗(yàn)，我們對(duì)電力單位局域網(wǎng)結(jié)構(gòu)、業(yè)務(wù)系統(tǒng)及安全威脅進(jìn)行分析，總結(jié)電力單位信息安全問題主要集中在信息安全建設(shè)、對(duì)服務(wù)器的安全保護(hù)、防黑客和病毒、重要網(wǎng)段的保護(hù)以及管理安全上。針對(duì)電力行業(yè)信息安全的現(xiàn)狀，我公司提出以下相應(yīng)的解決方案：

         1、綜合信息安全服務(wù) 2、信息安全風(fēng)險(xiǎn)評(píng)估(ISO17799/ISO27002

         3、等級(jí)保護(hù)測評(píng) 4、ISMS體系建設(shè)(ISO27001)

         5、ISMM體系建設(shè)(ISO27004) 6、ITIL體系建設(shè)(ISO20000)

         7、重特大風(fēng)險(xiǎn)管理機(jī)制建設(shè) 8、信息安全應(yīng)急響應(yīng)服務(wù)

         9、藍(lán)盾相關(guān)安全產(chǎn)品一覽

          2 總體設(shè)計(jì)

         電力行業(yè)信息系統(tǒng)經(jīng)過長時(shí)間建設(shè)已經(jīng)基本形成完整的網(wǎng)絡(luò)構(gòu)建、主機(jī)系統(tǒng)構(gòu)架和管理組織機(jī)構(gòu)現(xiàn)狀。但在網(wǎng)絡(luò)安全、主機(jī)安全和管理體系上還存在很多風(fēng)險(xiǎn)。

         通過等級(jí)保護(hù)測評(píng)和風(fēng)險(xiǎn)評(píng)估，對(duì)電力行業(yè)總體安全體系設(shè)計(jì)包括網(wǎng)絡(luò)安全、主機(jī)安全和管理安全三大體系。針對(duì)網(wǎng)絡(luò)架構(gòu)安全性不足的問題，最有效的方式就是在原有的網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上添加相關(guān)的安全設(shè)備。

          信息安全管理解決方案分為四個(gè)階段：售前階段、引入階段、深入階段、持續(xù)階段。

           3 綜合信息安全服務(wù)

         藍(lán)盾信息安全技術(shù)股份有限公司作為專業(yè)從事信息安全產(chǎn)品研發(fā)廠家、信息安全整體解決方案和信息安全服務(wù)的提供商，提出了一系列的信息安全解決方案，構(gòu)成完整的信息安全防御體系，不但可以防御外界網(wǎng)絡(luò)的入侵，同時(shí)阻止內(nèi)部人為的網(wǎng)絡(luò)破壞行為。目前為止，中國南方電網(wǎng)有限責(zé)任公司和國家電網(wǎng)公司及其附屬電力機(jī)構(gòu)經(jīng)過多年發(fā)展，已經(jīng)形成一套完整的信息業(yè)務(wù)體系，力求電網(wǎng)規(guī)劃科學(xué)，技術(shù)先進(jìn)，結(jié)構(gòu)合理，安全可靠，服務(wù)高效，現(xiàn)信息系統(tǒng)正處于需要加強(qiáng)信息安全管理階段。在此情況下，我司提出了一系列的藍(lán)盾信息安全解決方案，以豐富的信息安全經(jīng)驗(yàn)和強(qiáng)硬的技術(shù)研發(fā)服務(wù)隊(duì)伍，為電力用戶提供更科學(xué)，更安全，更有效的信息安全服務(wù)。

         藍(lán)盾發(fā)展成為了一家信息安全服務(wù)、信息安全產(chǎn)品生產(chǎn)廠家、系統(tǒng)集成等綜合解決方案提供商，用專業(yè)的技術(shù)服務(wù)水平專注于電力行業(yè)信息安全綜合服務(wù)。在結(jié)合電力業(yè)務(wù)情況與安全需求的前提下，藍(lán)盾為電力用戶行業(yè)提供了一套完善的信息安全綜合服務(wù)體系：

         1.通過對(duì)信息系統(tǒng)現(xiàn)狀進(jìn)行深入的調(diào)研與評(píng)估，找出最適合的、可行的安全策略;

         2.提出對(duì)應(yīng)安全計(jì)劃、設(shè)計(jì)、優(yōu)化自身網(wǎng)絡(luò)的安全體系，達(dá)到保護(hù)電力單位網(wǎng)絡(luò)、防止系統(tǒng)被入侵和破壞的目的;

        3.為電力單位提供網(wǎng)絡(luò)安全評(píng)估服務(wù)、安全加固服務(wù)、緊急響應(yīng)服務(wù)、安全巡檢服務(wù)等信息安全專業(yè)服務(wù)。

         4 信息安全風(fēng)險(xiǎn)評(píng)估(ISO17799/ISO27002)

         風(fēng)險(xiǎn)評(píng)估是組織對(duì)電力行業(yè)存在的威脅進(jìn)行評(píng)估、對(duì)安全措施有效性進(jìn)行評(píng)估、以及對(duì)系統(tǒng)弱點(diǎn)被利用的可能性進(jìn)行評(píng)估后的綜合結(jié)果，是風(fēng)險(xiǎn)管理的重要組成部分，是信息安全工作中的重要一環(huán)。

        我司將通過對(duì)資產(chǎn)、脆弱性和威脅來綜合評(píng)估分析系統(tǒng)面臨的安全風(fēng)險(xiǎn)，并對(duì)所發(fā)現(xiàn)風(fēng)險(xiǎn)提供相關(guān)的處理建議。組織可以通過實(shí)施安全控制防范威脅，降低安全風(fēng)險(xiǎn)。

        5 等級(jí)保護(hù)測評(píng)

        我司對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行全面的測試評(píng)估。確定了信息系統(tǒng)的安全保護(hù)等級(jí)后，需要相應(yīng)等級(jí)的測評(píng)及相應(yīng)安全保護(hù)手段：

       1.目標(biāo)：確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)等級(jí)的安全要求。

       2.輸入：描述文件，保護(hù)等級(jí)定級(jí)報(bào)告，測評(píng)計(jì)劃，測評(píng)方案。

       3.描述：參見有關(guān)信息系統(tǒng)安全保護(hù)等級(jí)測評(píng)的規(guī)范或標(biāo)準(zhǔn)。

       4.輸出：安全等級(jí)測評(píng)評(píng)估報(bào)告。

         6 ISMS體系建設(shè)(ISO27001)

        結(jié)合組織現(xiàn)有的信息安全體系管理架構(gòu)，對(duì)組織采用以過程為基礎(chǔ)的信息安全管理體系模式，并從以下幾個(gè)方面維護(hù)體系的正常運(yùn)行：1.明確公司的信息安全需求、理解建立信息安全方針和目標(biāo)的需求;2.在管理組織的整體業(yè)務(wù)風(fēng)險(xiǎn)中實(shí)施并運(yùn)作控制;3.監(jiān)控并評(píng)審信息安全管理的績效及有效性;4.在客觀測量基礎(chǔ)上持續(xù)改進(jìn)。信息安全管理體系模式如下圖：

          7 ISMM體系建設(shè)(ISO27004)

        通過提供一種方法，來定義ISMS的執(zhí)行目標(biāo)、有效性和效果標(biāo)準(zhǔn)，以促進(jìn)對(duì)信息安全管理系統(tǒng)的管理，并追蹤和測量隨時(shí)間變化的系統(tǒng)進(jìn)展情況，同時(shí)提供一種定義工具，用來定義與其它公司、同一組織的其它部門或同一工業(yè)標(biāo)準(zhǔn)和信息技術(shù)安全的最佳實(shí)例之間相互比較的基準(zhǔn)。

         8 ITIL體系建設(shè)(ISO20000)

         提供了覆蓋“端到端”服務(wù)管理全面的“最佳實(shí)踐”指南，并且覆蓋了人、過程、產(chǎn)品和合作伙伴的全部范疇：

         1.建立管理IT基礎(chǔ)設(shè)施的流程;

         2.以流程為導(dǎo)向、以客戶為中心，通過整合IT服務(wù)與業(yè)務(wù)，提高電力單位的IT服務(wù)及服務(wù)支持的能力和水平;

         3.引導(dǎo)組織高效和有效地使用技術(shù)，讓信息化資源發(fā)揮更大的效能。

          9 重特大風(fēng)險(xiǎn)管理機(jī)制建設(shè)

         根據(jù)各種風(fēng)險(xiǎn)管理措施屬性，可以分為：1.風(fēng)險(xiǎn)識(shí)別措施 2.風(fēng)險(xiǎn)防范措施 3.風(fēng)險(xiǎn)控制措施。共同構(gòu)成整體信息安全風(fēng)險(xiǎn)管理機(jī)制體系。對(duì)風(fēng)險(xiǎn)的處理有回避風(fēng)險(xiǎn)、預(yù)防風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)和轉(zhuǎn)移風(fēng)險(xiǎn)等四種方法。風(fēng)險(xiǎn)管理的基本目標(biāo)是以最小的經(jīng)濟(jì)成本獲得最大的安全保障效益，即風(fēng)險(xiǎn)管理就是以最少的費(fèi)用支出達(dá)到最大限度地分散、轉(zhuǎn)移、消除風(fēng)險(xiǎn)，以實(shí)現(xiàn)保障人們經(jīng)濟(jì)利益和社會(huì)穩(wěn)定的基本目的。

         10 藍(lán)盾信息安全應(yīng)急響應(yīng)服務(wù)

        我司為電力單位在突然或偶然發(fā)生信息安全事件時(shí)提供專業(yè)的、快速的應(yīng)急響應(yīng)服務(wù)，保障用戶設(shè)備、數(shù)據(jù)等信息安全，使信息系統(tǒng)更好地服務(wù)于民。