云南電網公司信息中心通過安全風險評估回歸性測試

2015-03-18 16:47:17

大云網　點擊量：評論 (0)

信息安全風險評估就是從風險管理角度，運用科學的方法和手段，系統地分析信息系統所面臨的威脅及其存在的脆弱性……，信息中心安評部信息安全管理專責蘇永東對信息安全風險評估這樣認識，通過安全風險評估，可對

信息安全風險評估就是從風險管理角度，運用科學的方法和手段，系統地分析信息系統所面臨的威脅及其存在的脆弱性……，”信息中心安評部信息安全管理專責蘇永東對信息安全風險評估這樣認識，“通過安全風險評估，可對安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，為防范和化解信息安全風險，將風險控制在可接受的水平，從而最大限度地為保障信息安全提供科學依據……”

信息安全風險評估，一直是信息中心安評部工作的重中之重，“這是一種典型的防患于未然的重要舉措，要做到讓信息安全像陽光和空氣一樣，盡量讓大家在工作中感受不到，我們要做的就是不讓其出現缺失……” 信息中心安評部主任周靖這樣看待信息安全。

去年開展的信息安全風險評估工作是對云南電網公司現有內網信息系統、新增的對外信息系統以及網絡邊界展開全面深入的風險評估，最終分析出云南電網公司信息安全風險總體狀況。此次風險評估比往年更加注重應用安全，開展了業務流程仿真測試、滲透測試等評估工作。此次現場評估的時間為11個工作日，具體工作內容是系統調研表信息完善及核對、現有安全防護措施識別與分析，網絡設備、安全設備及網絡邊界評估，主機、數據庫、中間件、應用、終端核查，業務安全專項測試，漏洞掃描、木馬檢測，安全管理，滲透測試。

測評工作組通過測評，提出網絡層存在20個風險點，應用層存在29個風險點和終端層有4個風險點。隨后，中心安全測評部立即組織開展測評的整改工作。通過一個月的努力，在設備管理部、應用技術部和客戶服務部的協作下，共同完成了2014年南網一體化風險評估的整改工作，網絡層整改風險點20項、應用層整改風險點29項、終端層完成4個風險點的整改。

2015年，測評工作組再次來到信息中心開展回歸測試工作。通過對網絡設備、安全設備及網絡邊界，主機、數據庫、中間件、應用、終端，漏洞、木馬，滲透開展回歸核查測試，確認所存在的所有風險點已全部完成整改，中心安全風險評估回歸性測試一次性通過。

“通過這次信息安全風險評估、整改及回歸性測試，我們全面發現、掌握了云南電網所面臨的信息安全風險，進一步提升了信息安全保障能力和防護水平……”信息中心安評部主任周靖這樣總結，“信息安全風險管理，就是要迅速、及時地應對所面臨的網絡安全威脅，將信息安全風險降到最低……”（劉玉婷）