蓝盾电力行业信息安全咨询服务解决方案

        电力信息化是指信息技术在电力行业中的应用，是电力行业在信息技术的驱动下由传统行业向高度集约化、高度知识化、高度技术化行业转变的过程。电力行业信息化的核心是电力行业管理信息系统的建设，主要内容是各级电力单位信息化的实现，包括生产过程自动化和管理信息化。只有通过信息化的手段，提高用电营销的管理水平，才能电力行业更有效地为客户提供服务。

        通过行业调研和行业经验，我们对电力单位局域网结构、业务系统及安全威胁进行分析，总结电力单位信息安全问题主要集中在信息安全建设、对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。针对电力行业信息安全的现状，我公司提出以下相应的解决方案：

         1、综合信息安全服务 2、信息安全风险评估(ISO17799/ISO27002

         3、等级保护测评 4、ISMS体系建设(ISO27001)

         5、ISMM体系建设(ISO27004) 6、ITIL体系建设(ISO20000)

         7、重特大风险管理机制建设 8、信息安全应急响应服务

         9、蓝盾相关安全产品一览

          2 总体设计

         电力行业信息系统经过长时间建设已经基本形成完整的网络构建、主机系统构架和管理组织机构现状。但在网络安全、主机安全和管理体系上还存在很多风险。

         通过等级保护测评和风险评估，对电力行业总体安全体系设计包括网络安全、主机安全和管理安全三大体系。针对网络架构安全性不足的问题，最有效的方式就是在原有的网络架构基础上添加相关的安全设备。

          信息安全管理解决方案分为四个阶段：售前阶段、引入阶段、深入阶段、持续阶段。

           3 综合信息安全服务

         蓝盾信息安全技术股份有限公司作为专业从事信息安全产品研发厂家、信息安全整体解决方案和信息安全服务的提供商，提出了一系列的信息安全解决方案，构成完整的信息安全防御体系，不但可以防御外界网络的入侵，同时阻止内部人为的网络破坏行为。目前为止，中国南方电网有限责任公司和国家电网公司及其附属电力机构经过多年发展，已经形成一套完整的信息业务体系，力求电网规划科学，技术先进，结构合理，安全可靠，服务高效，现信息系统正处于需要加强信息安全管理阶段。在此情况下，我司提出了一系列的蓝盾信息安全解决方案，以丰富的信息安全经验和强硬的技术研发服务队伍，为电力用户提供更科学，更安全，更有效的信息安全服务。

         蓝盾发展成为了一家信息安全服务、信息安全产品生产厂家、系统集成等综合解决方案提供商，用专业的技术服务水平专注于电力行业信息安全综合服务。在结合电力业务情况与安全需求的前提下，蓝盾为电力用户行业提供了一套完善的信息安全综合服务体系：

         1.通过对信息系统现状进行深入的调研与评估，找出最适合的、可行的安全策略;

         2.提出对应安全计划、设计、优化自身网络的安全体系，达到保护电力单位网络、防止系统被入侵和破坏的目的;

        3.为电力单位提供网络安全评估服务、安全加固服务、紧急响应服务、安全巡检服务等信息安全专业服务。

         4 信息安全风险评估(ISO17799/ISO27002)

         风险评估是组织对电力行业存在的威胁进行评估、对安全措施有效性进行评估、以及对系统弱点被利用的可能性进行评估后的综合结果，是风险管理的重要组成部分，是信息安全工作中的重要一环。

        我司将通过对资产、脆弱性和威胁来综合评估分析系统面临的安全风险，并对所发现风险提供相关的处理建议。组织可以通过实施安全控制防范威胁，降低安全风险。

        5 等级保护测评

        我司对信息系统安全等级保护状况进行全面的测试评估。确定了信息系统的安全保护等级后，需要相应等级的测评及相应安全保护手段：

       1.目标：确保信息系统的安全保护措施符合相应等级的安全要求。

       2.输入：描述文件，保护等级定级报告，测评计划，测评方案。

       3.描述：参见有关信息系统安全保护等级测评的规范或标准。

       4.输出：安全等级测评评估报告。

         6 ISMS体系建设(ISO27001)

        结合组织现有的信息安全体系管理架构，对组织采用以过程为基础的信息安全管理体系模式，并从以下几个方面维护体系的正常运行：1.明确公司的信息安全需求、理解建立信息安全方针和目标的需求;2.在管理组织的整体业务风险中实施并运作控制;3.监控并评审信息安全管理的绩效及有效性;4.在客观测量基础上持续改进。信息安全管理体系模式如下图：

          7 ISMM体系建设(ISO27004)

        通过提供一种方法，来定义ISMS的执行目标、有效性和效果标准，以促进对信息安全管理系统的管理，并追踪和测量随时间变化的系统进展情况，同时提供一种定义工具，用来定义与其它公司、同一组织的其它部门或同一工业标准和信息技术安全的最佳实例之间相互比较的基准。

         8 ITIL体系建设(ISO20000)

         提供了覆盖“端到端”服务管理全面的“最佳实践”指南，并且覆盖了人、过程、产品和合作伙伴的全部范畴：

         1.建立管理IT基础设施的流程;

         2.以流程为导向、以客户为中心，通过整合IT服务与业务，提高电力单位的IT服务及服务支持的能力和水平;

         3.引导组织高效和有效地使用技术，让信息化资源发挥更大的效能。

          9 重特大风险管理机制建设

         根据各种风险管理措施属性，可以分为：1.风险识别措施 2.风险防范措施 3.风险控制措施。共同构成整体信息安全风险管理机制体系。对风险的处理有回避风险、预防风险、接受风险和转移风险等四种方法。风险管理的基本目标是以最小的经济成本获得最大的安全保障效益，即风险管理就是以最少的费用支出达到最大限度地分散、转移、消除风险，以实现保障人们经济利益和社会稳定的基本目的。

         10 蓝盾信息安全应急响应服务

        我司为电力单位在突然或偶然发生信息安全事件时提供专业的、快速的应急响应服务，保障用户设备、数据等信息安全，使信息系统更好地服务于民。