基于PDCA的电力企业网络安全风险管理平台的制作方法

基于pdca的电力企业网络安全风险管理平台
技术领域
1.本发明涉及的是电力企业网络安全风险管理技术领域，具体涉及基于pdca的电力企业网络安全风险管理平台。


背景技术：

2.电力作为关系国家经济和人民生活的基础产业、也作为关系全国千家万户公用的事业，经过几十年的发展，现代的电力生产与实际的经营管理方面都达到了高度网络化、高度自动化和高度系统化的要求。在电力生产以及企业经营管理的各个方面都采用了较高的信息处理技术，主要代表性的有企业网络、企业数据库和计算机自动的控制技术。总的来说，电力行业的信息化情况如下：
3.(1)电力信息基础的设施已经基本建成。在高速的电力通信网络的基础上，电力信息的基础设施得到了快速的发展，并形成了覆盖了所有电网企业国家级的电力调度的数据和信息网络。在发电、输配电等各个环节基本都采用了光纤、卫星和数字微波等多种传输手段共用的干线通信的电力通信网络。发电集团为了使通信网络、信息网络的基础建设达到一定的规模，不断加大在网络信息化的基础设施上的投资建设。发电集团建立了2个核心网络，主节点分别是以集团公司和区域的分公司，这两个核心网络能够延伸到位于二级网络的各家基层电厂，主要利用了电信公众网和电力通信网的传输通道，采用了网络安全的接入技术。发电集团内部各家公司能够通过现有的网络进行信息共享和资料传输。
4.(2)技术创新达到更高高度。通过国外先进技术的引进、学习消化、最终能够自主研发，中国电网的自动化水平总体和国际先进的水平持平，部分产品能够领先国际水平，并且我国电网现在使用的调度系统已经应用了自主开发的能量管理系统等关键的控制系统。已经投入并使用了sg186等多个应用的系统平台和电力信息安全的专用设备。总的来说电力行业的信息产业化已经取得了重大的突破。
5.(3)网络和信息化安全方面取得重要的进展。在国家电力监管委员会的带领下，通过几年的努力，电力行业的网络和信息化安全主要在四个方面取得了较大的进展。一是为了更好的落实网络和信息化安全的责任，建立了电力行业的网络和信息化安全的管理体制；二是为了让网络和信息化安全的工作逐渐走上法制化和规范化的道路，初步完成了电力行业信息的安全法规的建设；三是行业的网络和信息化安全的基础设施的建设工作中增加了主要内容是关键的网络安全防护的工作；四是系统化地评估了一批电力企业使用的信息系统的安全等级保护的定级。
6.即使电力行业的网络和信息化安全管理已经有了很大的发展和进步，但依旧存在以下不足之处：
7.(1)电力行业所使用的计算机网络的设备没有统一标准。虽然现代计算机的控制技术在电力系统的自动化上已经得到了应用，但这一时代的自动化仍然存在不少的问题，比如计算机网络设备的系统结构、主要功能和通信协议等等各方面都缺乏统一的工业使用标准，不同厂家设备因为接口不同不能互连；计算机和其他设备通信的方式一般都为点对
点的连结，一般采用低速率串行、并行的通信方式，系统的实时性无法保证，而设备配置无法根据实际情况灵活改变。
8.(2)缺少统一的管理规范。到现在为止，还未根据电力行业的特点建立统一权威的电力网络和信息化安全的管理规范。
9.(3)各企业办公计算机的操作系统漏洞。计算机的操作系统定期都会更新一批新的漏洞，如果这些漏洞没有及时修复，就有可能遭到网络攻击，使入侵者获得管理员的权限，有可能会被用来实施对整个企业网络的信息系统进行攻击。
10.(4)没有建立网络和信息化安全管理的体系。电力行业总体来说缺乏网络和信息化安全意识，对于计算机系统数据的备份也没有完善的机制，身份认证的防护能力比较差以及过去使用的局域网直接连接成广域网，这些行为都可导致整体的网络安全问题极大提高。
11.为了解决上述问题，开发一种基于pdca的电力企业网络安全风险管理平台尤为必要。


技术实现要素：

12.针对现有技术上存在的不足，本发明目的是在于提供一种基于pdca的电力企业网络安全风险管理平台，统一标准，统一管理规范，结果清晰，系统性强，降低安全风险隐患，提升安全风险控制能力，易于推广使用。
13.为了实现上述目的，本发明是通过如下的技术方案来实现：基于pdca的电力企业网络安全风险管理平台，包括网络和信息安全风险管理的计划阶段plan、网络和信息安全风险管理的实施阶段do、网络和信息安全风险管理的检查阶段check、网络和信息安全风险管理的改进阶段action，电力企业的网络和信息安全风险管理根据pdca模型的管理原理可分为上述四个阶段，具体地：
14.(1)网络和信息安全风险管理的计划阶段plan：分析电力企业网络和信息安全风险管理各项工作流程中存在的问题，不合理的管理流程，列出问题清单和对应不同的严重程度；
15.(2)网络和信息安全风险管理的实施阶段do：根据计划阶段列出的问题清单和对应严重程度所需要付出的成本，制定网络和信息安全风险管理的改进流程和制度，并实施到实际工作中去；
16.(3)网络和信息安全风险管理的检查阶段check：对新制定的安全风险管理的流程和制度的执行情况进行详细的检查评估，与需要改进的预定目标进行对比和评估，检查是否还有还没解决的网络和信息安全风险管理不足之处和仍然需改进的地方；
17.(4)网络和信息安全风险管理的改进阶段action：对上一个阶段存在的没有解决的网络和信息安全管理的不足之处和仍然需改进的地方进行整理，并归纳到下一个的pdca循环管理的过程中，并把适合电力企业网络和信息安全风险管理的工作流程及制度进行总结和归纳，加以更好的运用和推广。
18.作为优选，所述的网络和信息安全风险管理的计划阶段plan首先对电力企业网络和信息安全风险管理过程按照工作性质不同进行划分，将总的电力企业的安全风险管理划分为网络安全、信息安全、业务持续性三个方面，再针对这三个方面进行详细的分析说明，
找出具体的影响电力企业网络和信息安全的具体风险因素。
19.作为优选，所述的网络和信息安全风险管理的实施阶段do对计划阶段plan识别出的具体影响网络和信息安全的风险因素制定措施，危害等级越高的安全风险事件，引起的重视程度越高，责任人为更高级别的管理人员，随着危害级别的降低，责任人的级别随之降低。
20.作为优选，所述的网络和信息安全风险管理的检查阶段check从实施阶段do措施的执行情况入手，根据措施完成情况反映措施的执行情况，最终检查结果反映出新的安全风险因素，为下一轮pdca提供参考信息。
21.作为优选，所述的网络和信息安全风险管理的改进阶段action根据检查阶段check的评估结果，对控制安全风险因素的措施进行调整，并且对尚未完全解决的安全风险因素进行总结，作为下一次pdca计划阶段的安全风险因素进行风险识别和评估。
22.本发明的有益效果：本发明将pdca管理模式应用在电力企业的网络和信息安全风险管理中，主动预防和保护，将以前零散的网络和信息安全风险管理模式提升成系统的体系，并具有针对性规划的管理的体系，统一标准，统一管理规范，系统性强，降低安全风险隐患，提升安全风险控制能力，应用前景广阔。
附图说明
23.下面结合附图和具体实施方式来详细说明本发明；
24.图1为本发明pdca模式在电力企业网络和信息安全风险管理能力提升的原理图；
25.图2为本发明基于pdca的网络和信息安全管理模型示意图。
具体实施方式
26.为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。
27.参照图1
‑
2，本具体实施方式采用以下技术方案：基于pdca的电力企业网络安全风险管理平台，包括网络和信息安全风险管理的计划阶段plan、网络和信息安全风险管理的实施阶段do、网络和信息安全风险管理的检查阶段check、网络和信息安全风险管理的改进阶段action，电力企业的网络和信息安全风险管理根据pdca模型的管理原理可分为上述四个阶段，具体地：
28.(1)网络和信息安全风险管理的计划阶段plan：分析电力企业网络和信息安全风险管理各项工作流程中存在的问题，不合理的管理流程，列出问题清单和对应不同的严重程度；
29.(2)网络和信息安全风险管理的实施阶段do：根据计划阶段列出的问题清单和对应严重程度所需要付出的成本，制定网络和信息安全风险管理的改进流程和制度，并实施到实际工作中去；
30.(3)网络和信息安全风险管理的检查阶段check：对新制定的安全风险管理的流程和制度的执行情况进行详细的检查评估，与需要改进的预定目标进行对比和评估，检查是否还有还没解决的网络和信息安全风险管理不足之处和仍然需改进的地方；
31.(4)网络和信息安全风险管理的改进阶段action：对上一个阶段存在的没有解决
的网络和信息安全管理的不足之处和仍然需改进的地方进行整理，并归纳到下一个的pdca循环管理的过程中，并把适合电力企业网络和信息安全风险管理的工作流程及制度进行总结和归纳，加以更好的运用和推广。
32.本具体实施方式针对网络和信息安全风险管理的原则是“谁主管谁负责，谁使用谁负责”，所以，电力企业的网络和信息安全风险管理的首要原则是对不同的工作主体以及不同的工作流程的责任划分。从电力企业所处的环境、企业运行自身的特点、员工结构和网络和信息化特点等方面进行，从而总结了可以从网络安全、信息安全、业务持续性这三个方面来考虑电力企业网络和信息安全风险管理问题。根据这三个方面的问题研究pdca循环为指导的电力企业网络和信息安全风险管理的建立与应用的原则。
33.①
网络和信息安全风险管理的计划阶段plan：首先对电力企业网络和信息安全风险管理过程按照工作性质不同进行划分，将总的电力企业的安全风险管理划分为网络安全、信息安全、业务持续性三个方面，再针对这三个方面进行详细的分析说明，找出具体的影响电力企业网络和信息安全的具体风险因素。找到可能造成风险的源头，为之后将要进行的安全风险评估和风险规避的措施的选择奠定良好的基础。
34.对可能发生不安全事件的网络和信息化行为进行风险的评估，针对这个阶段识别出的安全风险因素从各个方面进行综合评估，并分别建立评估的表格，可能对电力企业的主营业务造成危害较大的需要定为较高的危害等级，物的危害等级应比人为的危害等级低。然后明确各个不同的危害程度所占用的理想区间，根据评估结果建立等级制度，不同等级制度用来明确程度不同的不安全事件对电力企业网络和信息安全风险管理所造成危害的损失程度，这样的结果为管理者提供非常明确的具有参考价值的信息。
35.②
网络和信息安全风险管理的实施阶段do：该阶段对计划阶段plan识别出的具体影响网络和信息安全的风险因素制定措施，危害等级越高的安全风险事件，引起的重视程度越高，责任人为更高级别的管理人员，随着危害级别的降低，责任人的级别随之降低，这样利于集中更多更好的管理资源去处理高危害的安全风险因素。处理后，使得电力企业网络和信息安全管理等级从高到低与员工在集团内的岗位级别从高到低一一对应，使得电力企业全体员工都有对应责任的安全风险因素和安全管理事件，切实将网络和信息安全责任落实到每位员工的身上，极大有利于降低电力企业网络和信息安全风险管理的不安全隐患。
36.③
网络和信息安全风险管理的检查阶段check：在实施阶段do的各项措施制定之后，需要检查各项措施的落实情况，只有在措施落实到位的情况下，才能够达到网络和信息安全风险控制的良好效果。检查阶段check从实施阶段do措施的执行情况入手，根据措施完成情况反映措施的执行情况，最终检查结果反映出新的安全风险因素，为下一轮pdca提供参考信息。
37.④
网络和信息安全风险管理的改进阶段action：根据检查阶段check的评估结果，对控制安全风险因素的措施进行调整，并且对尚未完全解决的安全风险因素进行总结，作为下一次pdca计划阶段的安全风险因素进行风险识别和评估。
38.本具体实施方式电力企业网络安全风险管理风险控制效果综合评价可采用模糊综合评价方法。该综合评价法根据模糊数学的隶属度理论把定性评价转化为定量评价，即用模糊数学对受到多种因素制约的事物或对象做出一个总体的评价。它具有结果清晰，系
统性强的特点，能较好地解决模糊的、难以量化的问题，适合各种非确定性问题的解决。
39.(1)首先确定评价对象的评价指标域：
40.指标体系有一个一级评价指标，则评价指标域为：u＝{u1}，即u＝{网络安全风险管理控制}。
41.(2)确定评价判断集：
42.确定评价对象的评语集是评价者对被评价对象可能做出的各种总的评价结果组成的评语等级的集合，因此根据电力企业网络和信息安全风险管理的现状，判断集可以表示为：一级判断集：v＝{v1，v2，v3，v4，v5}，即v＝{网络和信息安全风险管理控制效果很好，网络和信息安全风险管理控制效果较好，网络和信息安全风险管理控制效果一般，网络和信息安全风险管理控制效果较差，网络和信息安全风险管理控制效果很差}。二级判断级v1＝{v
i1
，v
i2
，v
i3
…
v
in
}，即v1＝{很好，较好，一般，较差，很差}。
43.(3)建立对应的模糊关系矩阵：
44.在构造了等级模糊子集后，就要逐个对被评价的对象从每个因素u1上进行量化，也就是说要确定从单个因素来看，被评价对象对各个等级模糊子集的隶属度，从而得到对应模糊关系的矩阵。
[0045][0046]
其中r
ij
表示某个被评价对象从因素u
i
来看对等级模糊子集v
j
的隶属度。一个被评价对象在某个因素u
i
方面的表现是通过模糊矢量r
i
来刻画的，r
i
被称为单因素评价矩阵，可以看作是因素集u和评价集v之间的一种模糊关系，即影响因素与评价对象之间的“合理关系”，电力企业网络和信息安全风险管理控制效果模糊评价需要评价者对安全管理风险控制效果提供更多的信息，最后的评价结果也会更加贴近实际。
[0047]
(4)结合层次分析法的结果，确定各环节指标的相应权重：根据各项工作各个关键指标的相应权重，需要给这些权重进行对应赋值。
[0048]
(5)合成模糊综合评价结果矢量：
[0049]
可根据权重指标w与模糊关系矩阵r合成得到各个被评价对象的模糊综合评价结果矢量b。模糊综合评价的模型为：
[0050][0051]
电力企业网络和信息安全风险管理控制效果评价结果分析,处理模糊综合评价矢量b＝(b1,b2......b
n
)的方法可采用最大隶属原则，即如下表示b
max
(b1,b2......b
n
)。
[0052]
本具体实施方式将pdca管理模式应用在电力企业的网络和信息安全风险管理中，改变了以前网络和信息安全风险管理较为被动的模式，改成主动预防和保护，将以前零散的网络和信息安全风险管理模式提升成系统的体系，并具有针对性规划的管理体系，基于
pdca循环的电力企业网络和信息安全风险管理的各阶段环环相扣，每个阶段的工作均根据上一个阶段得出的结果来执行，并且通过多次的pdca循环来控制电力企业网络和信息安全风险，减少安全风险隐患，提升安全风险控制能力，具有广阔的市场应用前景。
[0053]
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。