基于AHP的发电企业信息安全风险评价及控制策略研究
发电企业的安全与社会发展和人们的日常生活密切相关,因此需要充分了解发电企业信息安全风险。综合分析发电企业系统中存在的威胁和不安全因素,从内部管理、人员组成、应用技术以及系统方面综合分析信息安全风险,根据发电企业信息安全风险要求建立风险评价指标,运用AHP法对建立的指标进行评价,确定最终的发电企业信息安全风险评估模型,并提出发电企业信息安全风险控制方法,以期对发电企业信息安全风险控制工作起到一定的帮助。
信息技术已经成为各个行业发展中的必要技术条件。互联网技术的进步为企业发展带来了便利的云存储平台、物联网技术和人工智能控制等技术,而发电企业在此过程中实现了巨大进步。
在信息技术应用的同时,不可避免出现了各类信息安全问题,直接影响发电企业的正常工作。严重的安全风险会直接影响电力系统的正常应用,因此研究发电企业信息安全风险具有现实意义。
根据存在的风险建立风险评估模型,提出相关控制措施,对发电企业乃至是电力行业的安全意义重大。
1 信息安全风险评价模型建立
1.1 评价指标体系建立发电企业信息安全风险评价指标体系是构建模型的关键内容。体系构建的科学合理可以保证模型的准确,从而准确评价发电企业信息安全风险水平,保证发电企业信息安全的完整性和适用性,促进发电企业信息安全工作的顺利进行。在发电企业信息安全评价指标体系构建中,主要以发电企业信息安全风险分类内容为依据。发电企业的信息安全风险可以分为管理风险、系统风险、人员风险和物理风险。风险分类结构如图1所示。
图1 发电企业信息安全风险类型结构
在指标体系建立中,需要对发电企业信息安全风险的各个类型进行综合分析,了解其中不同项目风险因素的影响情况和相关关系。根据发电企业信息安全风险因素类型及其组成部分,对其进行详细分析。在指标构建中选定风险类型为关键指标项目,并从企业员工、系统安全、物理方面以及管理方面进行综合分析。
发电企业员工是影响企业信息安全的重要因素之一,特别是发电企业的人员构成及相关工作内容。员工的影响因素确定为员工安全意识、工作操作规范、安全培训情况以及信息化技术水平,因为以上因素对发电企业的信息安全风险影响较为显著。员工方面中还会涉及到外部影响因素,其中主要包含外部委托维修和厂家因素,需要特别注意。
管理工作也是影响信息安全的重要内容。在分析管理风险的组成情况时,将发电企业信息安全的管理因素重点确定为管理制度、操作流程管理、企业职责划分以及发电企业组织结构情况。
系统安全因素会直接影响发电企业信息安全。分析系统风险组成情况,将其确定为系统防火墙技术、系统访问控制技术、病毒预防技术、系统身份是被、漏洞防护、系统加密、系统网络隔离以及风险备份几个关键因素。
为了更加有效地判断系统安全项目中的风险,本研究将其分为系统安全和运行安全。其中,系统安全主要包含局域网通信技术、身份识别、系统加密、产品部署以及系统日志检查工作等;运行安全主要为发电企业中的设备运行情况、数据库建设情况以及风险预案设置情况等相关运行信息。发电企业信息安全相关物理风险主要产生于企业信息化设备安全和机房安全。物理安全不仅与发电企业内部因素有关,还与企业的外部因素有着较为密切的联系。其中,电力行业整体的信息安全情况以及第三方维修人员的技术水平和第三方设备性能都会产生直接的影响。
上文对发电企业信息安全中可能产生风险隐患的主要因素进行综合分析,其中主要包含物理安全、系统安全、运行安全、管理安全、人员安全以及外部安全。本次研究根据上述内容建立指标。发电企业信息安全风险评价指标体系如表1所示。
表1 信息安全风险评价指标体系
1.2 风险评估模型建立
上文已经对发电企业信息安全风险的影响因素进行了集中分析,确定了风险评价指标,依据指标体系可以建立发电企业信息安全风险评价模型。企业通过风险模型可以明确企业发展中存在的风险等级情况。本文研究确定的发电企业信息安全风险评估模型,如图2所示。
图2 发电企业信息安全风险评估模型
1.3 基于AHP法的指标权重确定
在指标权重确定中需要根据层次分析法的相关步骤开展工作。本次研究邀请专业学者和发电公司工作管理人员共计20名。参与权重确定的学者和工作人员对本次确定的风险指标进行打分,以此确定不同指标的群众情况。
在指标打分过程中会对指标体系中的一二级指标分别打分,完成后通过计算确定指标体系中一级指标和二级指标的权重情况。根据计算结果进行最终排序,由此确定不同指标的综合权重值。在工作人员和学者打分后,对所有得分取平均值,最终得到了一级指标评价矩阵,如图3所示。
图3 一级指标评价矩阵
本次构建的信息安全风险评价模型的最终权重情况如表2所示。
表2 权重向量合成情况及威胁性
在完成权重打分工作后,确定发电企业信息安全风险指标中不同指标的权重情况。权重确定后,需要构建发电企业信息安全风险评价模型,根据权重标准对表2中指标进行打分,以此确定发电企业的信息安全情况,最终确定企业信息安全风险的综合评价结果。由此确定的发电企业信息安全风险调查表如表3所示。
表3 信息安全风险调查表
根据确定的Y值情况可以确定发电企业信息安全风险等级,详细等级划分如表4所示。
表4 发电企业风险等级
2 发电企业信息安全控制策略
2.1 企业人员方面控制策略针对发电企业信息安全风险中的员工因素,企业需要与员工签署协议合同,保证企业员工离职后企业的保密信息不外泄。根据不同工作任务的需要对企业员工进行全面考核,保证企业员工具备专业技术水平,可以顺利完成发电企业中的工作任务。根据岗位情况,发电企业需要制定专门的培训计划,重点对安全知识、设备操作等内容进行培训。对新员工进行岗前培训,保证全体员工具备较高的安全工作意识和一定的岗位知识。发电企业作为我国的重点行业,因此在日常工作中要特别注意到员工的操作规范问题,做好岗位操作规范管理工作,保证不同岗位的员工在工作中能够遵循相关工作制度,做好企业值班安排工作,对发电系统和设备进行全面监控,保证发电系统的正常运行。
2.2 企业管理方面控制策略发电企业在管理工作中做好制度完善工作,制定企业信息安全工作的工作方针对相关工作内容和目标方向、管理范围进行明确标注说明。明确不同岗位工作人员的岗位职责,保证企业内部分工明确,做好岗位分离和岗位监督工作。对于企业内部的关键性岗位工作应由多位工作人员共同任职。企业在日常运作中需要根据管理工作需求建立企业业务流程数据信息路,为工作人员提供工作专业指导。此外,需要成立专门的信息化小组,对不同工作岗位的工作情况进行调查监督,保证管理工作在发电企业内部产生实际效果。
2.3 企业外部方面控制策略发电企业在日常生产工作中必然会与外部环境进行沟通产生联系,此情况下发电企业需要及时关注外部环境的影响问题。在采购专业设备时通过招标方式选取最优供应商,提高企业设备系统的安全技术水平。此外,企业需要为系统设备建立专门的维护管理制度,以保证设备系统的正常使用,最大程度地减少外部维护工作次数。
2.4 企业系统方面控制策略发电企业发电系统发电企业的关键组成部分的实际情况将会对企业运营产生直接影响。因此,为了保障信息安全,发电企业需要做好网络隔离工作,为系统提供专业的隔离,综合使用正反结合的隔离装置提高隔离效果。使用系统时需要及时跟新应用软件,以保证应用软件可以满足发电企业的工作需求。此外,需要定期定时检查系统的防护情况,通过审查防护日志了解系统的安全情况,还需要在系统内部部署大量的安全防护系统。
2.5 企业运行方面控制策略发电企业信息系统在运行中可以会因为各类影响因素出现安全风险问题,因此企业需要提前做好应急预案,根据发电企业信息系统的实际情况和可能出现的各类问题提前做好准备工作。企业的管理工作部门需要及时监管控制系统中的各类设备,保证各类设备的安全稳定运行。系统用户登录中的身份识别工作是保证信息安全必不可少的关键工作,在用户登录时需要准确识别用户身份,确保每位工作登录人员具有唯一的识别标识。此外,系统运行中要定期对系统进行防护,开展系统漏洞扫描工作,及时发现系统存在的漏洞并及时进行修复,防止因为漏洞问题影响信息安全。
2.6 企业物理方面控制策略电力企业信息安全的物理控制方面应主要做好配套设施的完善工作和相关硬件设施的完善工作。企业需组织专人定期清扫系统设备机房,保证环境整洁,同时应定期检查专门的保障设备,如灭火器、空调设备等,有效保护企业中的关键硬件设备,为设备增加保护装置,同时及时更换到期设备。
3 结 语
发电企业信息安全直接影响企业的日常经营与发展,因此企业需要针对信息安全风险建立专门的风险评价模型。
本文从6个主要因素方面建立了企业信息安全风险评价模型,结合AHP对模型中的各项指标权重进行评价,最终提出了发电企业信息安全指标评价表。
实际中,发电企业在风险评价中需要根据自身的实际发展情况及时进行调整。此外,企业需要针对风险问题制定专门的控制措施,以保证发电企业信息的安全稳定。
作者简介 >>>
范海东(1979—),男,硕士,高级工程师,主要研究方向为智慧能源、网络信息安全。
选自《通信技术》2019年第十一期 (为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表万方安全立场,转载目的在于传递更多信息。如有侵权,请联系删除。
