電力信息化是指信息技術(shù)在電力行業(yè)中的應(yīng)用，是電力行業(yè)在信息技術(shù)的驅(qū)動下由傳統(tǒng)行業(yè)向高度集約化、高度知識化、高度技術(shù)化行業(yè)轉(zhuǎn)變的過程。電力行業(yè)信息化的核心是電力行業(yè)管理信息系統(tǒng)的建設(shè)，主要內(nèi)容是各級電力單位信息化的實現(xiàn)，包括生產(chǎn)過程自動化和管理信息化。只有通過信息化的手段，提高用電營銷的管理水平，才能電力行業(yè)更有效地為客戶提供服務(wù)。

        通過行業(yè)調(diào)研和行業(yè)經(jīng)驗，我們對電力單位局域網(wǎng)結(jié)構(gòu)、業(yè)務(wù)系統(tǒng)及安全威脅進行分析，總結(jié)電力單位信息安全問題主要集中在信息安全建設(shè)、對服務(wù)器的安全保護、防黑客和病毒、重要網(wǎng)段的保護以及管理安全上。針對電力行業(yè)信息安全的現(xiàn)狀，我公司提出以下相應(yīng)的解決方案：

         1、綜合信息安全服務(wù) 2、信息安全風險評估(ISO17799/ISO27002

         3、等級保護測評 4、ISMS體系建設(shè)(ISO27001)

         5、ISMM體系建設(shè)(ISO27004) 6、ITIL體系建設(shè)(ISO20000)

         7、重特大風險管理機制建設(shè) 8、信息安全應(yīng)急響應(yīng)服務(wù)

         9、藍盾相關(guān)安全產(chǎn)品一覽

          2 總體設(shè)計

         電力行業(yè)信息系統(tǒng)經(jīng)過長時間建設(shè)已經(jīng)基本形成完整的網(wǎng)絡(luò)構(gòu)建、主機系統(tǒng)構(gòu)架和管理組織機構(gòu)現(xiàn)狀。但在網(wǎng)絡(luò)安全、主機安全和管理體系上還存在很多風險。

         通過等級保護測評和風險評估，對電力行業(yè)總體安全體系設(shè)計包括網(wǎng)絡(luò)安全、主機安全和管理安全三大體系。針對網(wǎng)絡(luò)架構(gòu)安全性不足的問題，最有效的方式就是在原有的網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上添加相關(guān)的安全設(shè)備。

          信息安全管理解決方案分為四個階段：售前階段、引入階段、深入階段、持續(xù)階段。

           3 綜合信息安全服務(wù)

         藍盾信息安全技術(shù)股份有限公司作為專業(yè)從事信息安全產(chǎn)品研發(fā)廠家、信息安全整體解決方案和信息安全服務(wù)的提供商，提出了一系列的信息安全解決方案，構(gòu)成完整的信息安全防御體系，不但可以防御外界網(wǎng)絡(luò)的入侵，同時阻止內(nèi)部人為的網(wǎng)絡(luò)破壞行為。目前為止，中國南方電網(wǎng)有限責任公司和國家電網(wǎng)公司及其附屬電力機構(gòu)經(jīng)過多年發(fā)展，已經(jīng)形成一套完整的信息業(yè)務(wù)體系，力求電網(wǎng)規(guī)劃科學，技術(shù)先進，結(jié)構(gòu)合理，安全可靠，服務(wù)高效，現(xiàn)信息系統(tǒng)正處于需要加強信息安全管理階段。在此情況下，我司提出了一系列的藍盾信息安全解決方案，以豐富的信息安全經(jīng)驗和強硬的技術(shù)研發(fā)服務(wù)隊伍，為電力用戶提供更科學，更安全，更有效的信息安全服務(wù)。

         藍盾發(fā)展成為了一家信息安全服務(wù)、信息安全產(chǎn)品生產(chǎn)廠家、系統(tǒng)集成等綜合解決方案提供商，用專業(yè)的技術(shù)服務(wù)水平專注于電力行業(yè)信息安全綜合服務(wù)。在結(jié)合電力業(yè)務(wù)情況與安全需求的前提下，藍盾為電力用戶行業(yè)提供了一套完善的信息安全綜合服務(wù)體系：

         1.通過對信息系統(tǒng)現(xiàn)狀進行深入的調(diào)研與評估，找出最適合的、可行的安全策略;

         2.提出對應(yīng)安全計劃、設(shè)計、優(yōu)化自身網(wǎng)絡(luò)的安全體系，達到保護電力單位網(wǎng)絡(luò)、防止系統(tǒng)被入侵和破壞的目的;

        3.為電力單位提供網(wǎng)絡(luò)安全評估服務(wù)、安全加固服務(wù)、緊急響應(yīng)服務(wù)、安全巡檢服務(wù)等信息安全專業(yè)服務(wù)。

         4 信息安全風險評估(ISO17799/ISO27002)

         風險評估是組織對電力行業(yè)存在的威脅進行評估、對安全措施有效性進行評估、以及對系統(tǒng)弱點被利用的可能性進行評估后的綜合結(jié)果，是風險管理的重要組成部分，是信息安全工作中的重要一環(huán)。

        我司將通過對資產(chǎn)、脆弱性和威脅來綜合評估分析系統(tǒng)面臨的安全風險，并對所發(fā)現(xiàn)風險提供相關(guān)的處理建議。組織可以通過實施安全控制防范威脅，降低安全風險。

        5 等級保護測評

        我司對信息系統(tǒng)安全等級保護狀況進行全面的測試評估。確定了信息系統(tǒng)的安全保護等級后，需要相應(yīng)等級的測評及相應(yīng)安全保護手段：

       1.目標：確保信息系統(tǒng)的安全保護措施符合相應(yīng)等級的安全要求。

       2.輸入：描述文件，保護等級定級報告，測評計劃，測評方案。

       3.描述：參見有關(guān)信息系統(tǒng)安全保護等級測評的規(guī)范或標準。

       4.輸出：安全等級測評評估報告。

         6 ISMS體系建設(shè)(ISO27001)

        結(jié)合組織現(xiàn)有的信息安全體系管理架構(gòu)，對組織采用以過程為基礎(chǔ)的信息安全管理體系模式，并從以下幾個方面維護體系的正常運行：1.明確公司的信息安全需求、理解建立信息安全方針和目標的需求;2.在管理組織的整體業(yè)務(wù)風險中實施并運作控制;3.監(jiān)控并評審信息安全管理的績效及有效性;4.在客觀測量基礎(chǔ)上持續(xù)改進。信息安全管理體系模式如下圖：

          7 ISMM體系建設(shè)(ISO27004)

        通過提供一種方法，來定義ISMS的執(zhí)行目標、有效性和效果標準，以促進對信息安全管理系統(tǒng)的管理，并追蹤和測量隨時間變化的系統(tǒng)進展情況，同時提供一種定義工具，用來定義與其它公司、同一組織的其它部門或同一工業(yè)標準和信息技術(shù)安全的最佳實例之間相互比較的基準。

         8 ITIL體系建設(shè)(ISO20000)

         提供了覆蓋“端到端”服務(wù)管理全面的“最佳實踐”指南，并且覆蓋了人、過程、產(chǎn)品和合作伙伴的全部范疇：

         1.建立管理IT基礎(chǔ)設(shè)施的流程;

         2.以流程為導向、以客戶為中心，通過整合IT服務(wù)與業(yè)務(wù)，提高電力單位的IT服務(wù)及服務(wù)支持的能力和水平;

         3.引導組織高效和有效地使用技術(shù)，讓信息化資源發(fā)揮更大的效能。

          9 重特大風險管理機制建設(shè)

         根據(jù)各種風險管理措施屬性，可以分為：1.風險識別措施 2.風險防范措施 3.風險控制措施。共同構(gòu)成整體信息安全風險管理機制體系。對風險的處理有回避風險、預防風險、接受風險和轉(zhuǎn)移風險等四種方法。風險管理的基本目標是以最小的經(jīng)濟成本獲得最大的安全保障效益，即風險管理就是以最少的費用支出達到最大限度地分散、轉(zhuǎn)移、消除風險，以實現(xiàn)保障人們經(jīng)濟利益和社會穩(wěn)定的基本目的。

         10 藍盾信息安全應(yīng)急響應(yīng)服務(wù)

        我司為電力單位在突然或偶然發(fā)生信息安全事件時提供專業(yè)的、快速的應(yīng)急響應(yīng)服務(wù)，保障用戶設(shè)備、數(shù)據(jù)等信息安全，使信息系統(tǒng)更好地服務(wù)于民。