电力系统信息安全风险评估工作探讨

信息安全风险评估是信息安全管理的基础性工作。是实现信息系统安全水平持续改进的重要手段。主要介绍信息安全风险评估的目的与意义、评估原则、评估策略。评估流祖，可指导、规范和促进各单位开展信息安全风险评估工作，加强信息安全的全过程动态管理，进一步提高信息安全保障水平。     

电力系统信息安全研究综述

为提高电力信息系统防范攻击能力,实现安全运行,对电力系统信息安全研究进行综述.分析了生产控制系统、行政管理系统和市场营销系统三类电力信息系统以及开放互联电力信息系统的特点及面临的安全威胁,总结并评述了国内外对电力信息系统安全技术和安全管理的研究现状.根据电力信息系统的特点及安全要求,指出未来应重点对生产控制系统信息安全、互联电力信息系统信息安全和安全管理开展研究,并指出了具体研究方向.     

电力系统信息安全研究综述

为提高电力信息系统防范攻击能力,实现安全运行,对电力系统信息安全研究进行综述。分析了生产控制系统、行政管理系统和市场营销系统三类电力信息系统以及开放互联电力信息系统的特点及面临的安全威胁,总结并评述了国内外对电力信息系统安全技术和安全管理的研究现状。根据电力信息系统的特点及安全要求,指出未来应重点对生产控制系统信息安全、互联电力信息系统信息安全和安全管理开展研究,并指出了具体研究方向。     

火力发电厂信息安全体系构建与应用

文章探讨了火力发电厂信息安全体系构建与应用,通过对北疆发电厂网络信息安全威胁与信息系统现状的分析,就当前发电厂中的信息系统应用和管理过程中出现的信息安全问题和隐患进行研究,提出要从信息安全组织、信息安全技术、信息安全管理3个方面共同构建信息安全体系。     

电力信息系统安全基线测试方法研究

在综合考察了电力信息系统网络布局和安全现状的基础上结合ISO27001国际标准提出了基于安全基线的电力企业信息系统安全框架。该框架将电力信息系统面临的复杂环境分成网络设备、主机、数据库、中间件和应用系统几个关键部分,着眼于关键部分分别设定了安全基线从而消除大部分安全隐患。整个框架强调了系统上线后的日常维护和人员活动在整个安全体系中的重要性,将原来仅从单一的计算机网络角度出发的安全措施拓展成为技术加管理的安全框架使安全措施更加全面。     

构筑信息安全保护的闸门——专访公安部信息安全网络监察局郭启全处长

2007年被业界称为信息安全等级保护元年，随着《信息安全等级保护管理办法》（公通字[2007]43号）和《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）两个指导性纲领文件相继出台，信息安全等级保护工作在全国范围内紧锣密鼓、如火如荼地开展起来…为此国家电力监管委员会于2007年11月23日颁发了《电力行业信息系统等级保护定级工作指导意见》，     

电力系统信息安全等级保护研究

随着《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）和“关于信息安全等级保护工作的实旋意见》（公通字[2004]66号）的发布,明确了信息安全等级保护已作为国家信息安全保障的一项基本制度。《信息安全等级保护管理办法》（公通字[2007]43号）的出台标志着等级保护各项准备工作已经就绪,等级保护已进入实旋阶段。探讨等级保护的基本原理以及如何在电力系统中构建等级化的安全体系。     

自动化系统信息安全体系的建设

针对电力企业自动化系统的信息安全问题,依据国家经济贸易委员会发布的30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》提出的“两个隔离”的基本原则,从物理安全、网络安全、系统安全、应用安全、管理制度等5个方面介绍了自动化系统信息安全体系的设计及建设。     

电力生产控制系统信息安全等级保护研究

电力系统是国家重要基础设施和国民经济的重要命脉,在电力行业中实施等级保护将对电力信息系统的安全、稳定和可靠运行,乃至国民经济的平稳运行有着重大意义。文章结合电力行业的特点和电力生产控制系统的实际情况,简要探讨了等级保护在电力生产控制系统建设、运行和维护中的具体应用,初步形成了符合电力生产控制系统实际特点的等级保护建设规范。实践表明,实行信息安全等级保护可以大大提高电力生产控制系统的安全性。     

构筑电力行业的信息安全体系

通过具体事例，介绍了电力行业现有的信息系统中存在的安全漏洞和威胁，提出了电力系统的安全策略，安全服务机制及使用的安全技术，最后，论述了电力系统实施安全所要达到的目标。     

电力信息安全体系结构研究及安全策略

介绍了电力信息安全体系结构的基本概念,研究了当前应用较广泛的几种信息网络动态安全体系模型,并提出了信息安全领域未来的发展以及保障电力信息系统安全的基本策略。     

电力调度管理信息系统安全风险评估研究

提出了一种基于漏洞关联网络(Vulnerability Connection Network,VCN)的电力调度管理信息系统安全风险评估模型.首先研究了基于插件和端口扫描的电力DMIS漏洞检测技术;然后针对当前漏洞风险的评估现状,提出了一种基于VCN和markov的漏洞风险评估模型,该模型充分考虑了漏洞间关联性对于安全风险评估的影响,引入了转移风险与总体风险的概念,并给出了具体的量化公式;最后给出一个风险评估实例,通过对比传统风险评估模型的结果,证明了基于VCN的漏洞风险评估模型的先进性.     

基于SCAP框架的信息系统安全基线技术研究与应用

为使内蒙古电力公司信息系统达到预定的安全防护水平,在借鉴参考国际上主流的安全检查策略即SCAP框架基础上,结合企业信息安全实际情况,对适用于国内的强制性系统安全差距与策略标准进行探讨,建成了自动化的信息安全基线检查系统,实现了对信息设备安全配置的自动检查,并根据检查结果给出安全状况评估值,改进了企业信息安全检查的工作方式,提高了信息安全检查结果的准确性,完成了自动检测技术、信息智能重整技术和安全评估方法等关键技术的研究和应用,从而提升了企业的信息安全水平。     

电力系统继电保护系统信息安全研究

信息化技术的进步促进了电力系统自动化的飞速发展,同时也带来了电力系统信息安全问题。通过阐述网络环境下电力系统的数据和通讯安全特点,结合国际上相关的标准,对继电保护系统的相关安全问题和防护进行了分析。     

内蒙古电力信息网络用户安全管理体系建设

随着内蒙古电力各业务部门对信息系统需求的不断增加,信息应用系统不断建设,越来越多的用户信息安全管理问题亟需解决。企业繁多的业务信息系统中,很多都是专有的、独立的,由各个职能部门根据各自的业务需求建立的,缺乏统一的信息安全管理标准,虽然独立的信息系统也可以发挥作用,但对于整个企业来说,信息安全管理的目标重心应该从简单的架设防御型产品,延伸到以信息安全总控管理和以企业用户为核心的访问控制管理。内蒙古电力通过信息网络用户安全管理体系的建设,实现了安全认证的整合、安全信息的整合、安全策略的整合,为业务系统的稳定运行奠定了坚实的基础。     

台二电厂工控系统信息安全防护体系的建设

首先研究了电力行业工业控制系统的特点和需求,分析了浙江浙能台州第二发电有限责任公司（以下简称“台二电厂”）工控系统面临信息安全的问题,在深入解析有关电力行业信息安全防护规章之后,提出了适用于台二电厂工控系统信息安全的防护方案,从网络防护、协议安全性、设备防护等角度出发,进行针对电厂的工控系统信息安全防护体系的研发和建设实践,提高了台二电厂工控系统信息安全防护能力,对中国发电厂在工控系统信息安全建设方面具有借鉴意义。     

一种定量化的电力信息系统安全体系设计方法

目前电力信息系统尚缺乏定量化的安全体系设计方法和辅助工具。文章提出了一种基于模式的定量化安全体系设计方法,分别采用攻击模式和保护模式对攻击行为和安全措施建模,并基于集合论严格定义了几种安全措施选择的量化指标。文章从安全策略、系统建模、攻击建模、安全措施建模、风险度量、风险分析、安全措施选择等方面详细论证了新方法相对于传统风险管理方法的优势,并进一步将安全体系设计问题抽象为0-1整数规划的数学模型,以降低安全体系设计的代价,实现安全体系设计的计算机辅助工具。     

电力工业控制系统信息安全测评体系研究

工业控制系统广泛应用于社会生产活动中,其安全性直接关系到国家安全和社会稳定。文章分析了电力工业控制系统面临的安全威胁和安全防护现状,提出了一个由实验验证环境、产品检测能力和安全服务能力等3部分组成的电力工控系统信息安全测评体系框架,并探讨了体系的建设方案。通过测评体系的建设可进行测评标准规范的研究和工具研发,为工控产品生产商提供产品安全检测服务,为电力企业在运工控系统提供常态化信息安全服务。