周睿 黃康乾

隨著信息技術(shù)的發(fā)展，信息化已成為企業(yè)轉(zhuǎn)型升級(jí)必不可少的一項(xiàng)重要舉措。但同時(shí)信息化也面臨著潛在的信息安全問(wèn)題。本文通過(guò)對(duì)電網(wǎng)技術(shù)發(fā)展趨勢(shì)的研究，總結(jié)了人為失誤、計(jì)算機(jī)系統(tǒng)威脅等六方面的網(wǎng)絡(luò)安全威脅，嚴(yán)重影響企業(yè)信息化進(jìn)程。因此，保障企業(yè)信息安全，構(gòu)建信息安全體系架構(gòu)成為信息化過(guò)程中的重要議題。

一、企業(yè)信息化安全管理現(xiàn)狀分析

（一）企業(yè)信息化安全領(lǐng)域

我國(guó)企業(yè)信息化安全水平仍處于初步發(fā)展階段，整體安全架構(gòu)系統(tǒng)還不成熟，按照安全內(nèi)容，可以將信息化安全分為物理、應(yīng)用、網(wǎng)絡(luò)和管理四大領(lǐng)域。

物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒體免遭地震、水災(zāi)等不可抗力及人為操作失誤導(dǎo)致的破壞過(guò)程；應(yīng)用安全是指主機(jī)系統(tǒng)上應(yīng)用軟件層面的安全；網(wǎng)絡(luò)安全是保障信息網(wǎng)絡(luò)安全穩(wěn)定的血管和運(yùn)輸通道；管理安全是企業(yè)整體信息化管理水平的體現(xiàn)，包括建立規(guī)范標(biāo)準(zhǔn)的信息系統(tǒng)安全管理制度、落實(shí)各項(xiàng)安全節(jié)點(diǎn)的責(zé)任。

（二）企業(yè)信息化安全評(píng)估

通過(guò)調(diào)查研究，本文從風(fēng)險(xiǎn)控制、安全管理和安全技術(shù)三方面評(píng)估案例企業(yè)信息化安全水平與國(guó)際標(biāo)準(zhǔn)和國(guó)家等保三級(jí)要求的差距。

在風(fēng)險(xiǎn)控制方面，主要存在12個(gè)風(fēng)險(xiǎn)控制點(diǎn)，并按照風(fēng)險(xiǎn)發(fā)生概率和影響力，分為特大風(fēng)險(xiǎn)、重大風(fēng)險(xiǎn)和一般風(fēng)險(xiǎn)。

在安全管理方面，本文參照國(guó)際標(biāo)準(zhǔn)組織制定的ISMS相關(guān)安全控制點(diǎn)進(jìn)行評(píng)估，發(fā)現(xiàn)電力企業(yè)有6個(gè)方面與國(guó)際標(biāo)準(zhǔn)存在一定差距。在信息安全策略上，管理者對(duì)信息安全方針的評(píng)審、批準(zhǔn)、發(fā)布與傳達(dá)不到位；在信息安全組織上，組織架構(gòu)不完善，職責(zé)界定不清晰，與特定利益團(tuán)隊(duì)聯(lián)系不密切；在資產(chǎn)管理上，信息資產(chǎn)編制沒(méi)有進(jìn)行全生命周期跟蹤，資產(chǎn)使用規(guī)則執(zhí)行不佳；在供應(yīng)商管理上，未形成良好的管理機(jī)制，未定期監(jiān)測(cè)、審查供應(yīng)商的服務(wù)，針對(duì)供應(yīng)商服務(wù)變更調(diào)整信息安全工作的周期較長(zhǎng)；在信息安全事件管理上，管理職責(zé)和程序不清晰，難以快速響應(yīng)信息安全事件，報(bào)告安全弱點(diǎn)，透徹分析事故原因；在業(yè)務(wù)連續(xù)性管理上，沒(méi)有制定配套的管理措施，定期的信息安全連續(xù)性控制核實(shí)不到位，在不利情況下的效力水平?jīng)]有達(dá)到相應(yīng)標(biāo)準(zhǔn)。

在安全技術(shù)方面，本文發(fā)現(xiàn)案例企業(yè)安全技術(shù)使用率較高，已經(jīng)達(dá)到定義級(jí)標(biāo)準(zhǔn)，但與國(guó)家等保三級(jí)安全技術(shù)框架仍存在災(zāi)備建設(shè)、身份認(rèn)證、訪問(wèn)控制、內(nèi)容安全、安全運(yùn)營(yíng)五方面的差距。

總的來(lái)看，中國(guó)電力企業(yè)在電力交易信息化過(guò)程中，已經(jīng)初步具備保障信息安全的能力。但在運(yùn)維管理、安全控制和災(zāi)備建設(shè)等關(guān)系重大的風(fēng)險(xiǎn)控制方面，仍然有待提升。

二、企業(yè)信息化安全架構(gòu)設(shè)計(jì)原則梳理

（一）設(shè)計(jì)原則與目標(biāo)

綜合考慮電力企業(yè)在交易信息化過(guò)程中面臨的安全問(wèn)題及國(guó)家政策的相關(guān)規(guī)定，信息化安全架構(gòu)需要符合以下六個(gè)原則。一是合規(guī)性原則，企業(yè)信息化安全架構(gòu)應(yīng)符合國(guó)家信息安全保障體系的總體要求，符合國(guó)家信息安全等級(jí)保護(hù)等相關(guān)制度要求。二是可持續(xù)性原則，應(yīng)該綜合考量信息現(xiàn)狀和未來(lái)需求，建立滿足全生命周期管理的安全保障架構(gòu)。三是整體性原則，全面考慮各方面的安全問(wèn)題，綜合運(yùn)用技術(shù)手段和管理手段進(jìn)行安全防護(hù)。四是可實(shí)施性原則，要求信息安全架構(gòu)能夠落地實(shí)施。五是先進(jìn)性原則，安全體系架構(gòu)設(shè)計(jì)要具有一定的前瞻性，考慮技術(shù)發(fā)展趨勢(shì)，滿足業(yè)務(wù)發(fā)展需求。最后是針對(duì)性原則，應(yīng)該根據(jù)企業(yè)自身結(jié)構(gòu)、網(wǎng)絡(luò)和業(yè)務(wù)特點(diǎn)，有針對(duì)性地提供安全防護(hù)措施。

結(jié)合安全架構(gòu)設(shè)計(jì)原則，基于風(fēng)險(xiǎn)評(píng)估和需求分析，企業(yè)信息安全架構(gòu)應(yīng)該達(dá)到以下目標(biāo)：在保密性上，要?jiǎng)傂宰裱缺Ｈ?jí)要求，確保交易信息不會(huì)泄漏給非授權(quán)用戶或?qū)嶓w；在完整性上，基于ISO27001信息安全管理體系，構(gòu)建智能化安全體系，確保交易信息不會(huì)被篡改，并保持信息內(nèi)、外部一致性，保障業(yè)務(wù)持續(xù)發(fā)展；在可用性上，圍繞電力市場(chǎng)的敏感、實(shí)時(shí)、互聯(lián)等特點(diǎn)，以短平快速建設(shè)為主，分步實(shí)施的大建設(shè)為輔助，確保設(shè)計(jì)全面可實(shí)施。

（二）基于安全架構(gòu)愿景的智能安全視圖

加德納安全自適應(yīng)架構(gòu)是國(guó)際主流認(rèn)可的安全架構(gòu)指導(dǎo)方案，其提出的自適應(yīng)四階段防御系統(tǒng)闡述了信息安全架構(gòu)的四個(gè)關(guān)鍵能力：防御能力、檢測(cè)能力、回溯能力、預(yù)測(cè)能力。

智能安全視圖基于加德納自適應(yīng)安全架構(gòu)要求，能夠有效幫助企業(yè)建立可持續(xù)的信息化安全架構(gòu)。安全戰(zhàn)略將基于業(yè)務(wù)要求、安全標(biāo)準(zhǔn)和合規(guī)要求進(jìn)行整體規(guī)劃，使安全戰(zhàn)略可以直接有效地對(duì)各層級(jí)提供向?qū)?。安全協(xié)同可以聯(lián)系身份認(rèn)證、訪問(wèn)控制、內(nèi)容安全、響應(yīng)恢復(fù)和審計(jì)跟蹤等流程，有效協(xié)調(diào)安全信息框架的一致性運(yùn)行。安全威脅管理，包括對(duì)外部病毒和惡意攻擊以及內(nèi)部操作失誤等威脅的管理，能夠建立合適的進(jìn)入認(rèn)證機(jī)制和漏洞識(shí)別和修復(fù)制度，定期檢查系統(tǒng)運(yùn)行狀況，培養(yǎng)用戶安全意識(shí)。綜合上述模塊，將各類(lèi)安全情報(bào)集中分析，實(shí)時(shí)高效的尋找信息系統(tǒng)運(yùn)行中的各類(lèi)安全狀況，反饋回安全信息管理。最后，構(gòu)建主動(dòng)防御能力，保護(hù)核心資產(chǎn)、擴(kuò)展資產(chǎn)。

三、建設(shè)企業(yè)信息化安全架構(gòu)策略分析

（一）信息化安全架構(gòu)功能分類(lèi)

針對(duì)電力企業(yè)在交易業(yè)務(wù)中存在的信息化管理風(fēng)險(xiǎn)，結(jié)合前沿安全信息架構(gòu)設(shè)計(jì)原理，相關(guān)企業(yè)可以按照以下七個(gè)安全功能分類(lèi)進(jìn)行信息安全架構(gòu)的搭建。

1、戰(zhàn)略、變革和風(fēng)險(xiǎn)

戰(zhàn)略有助于確定電力交易信息安全的整體方向，指引安全路線圖的設(shè)計(jì)和開(kāi)發(fā)，確保業(yè)務(wù)目標(biāo)與結(jié)果相一致。變革能夠根據(jù)所述業(yè)務(wù)需求對(duì)企業(yè)進(jìn)行改造，使企業(yè)信息安全架構(gòu)可以適應(yīng)內(nèi)外部環(huán)境變化，促進(jìn)安全防護(hù)變革。企業(yè)也應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)的識(shí)別與分析，并將分析結(jié)果應(yīng)用到安全治理、合規(guī)管理和業(yè)務(wù)連續(xù)性管理當(dāng)中。

2、安全運(yùn)營(yíng)

安全運(yùn)營(yíng)是為了交易信息安全功能有效運(yùn)行而進(jìn)行的日常管理、維護(hù)和執(zhí)行的管理活動(dòng)，包括運(yùn)行監(jiān)控、安全控制和安全事件管理：一是企業(yè)信息化活動(dòng)中生成、傳輸、存儲(chǔ)、分析和處理安全日志的過(guò)程；二是升級(jí)管理和安全補(bǔ)丁管理的過(guò)程；三是識(shí)別適用合規(guī)需求，評(píng)估合規(guī)狀態(tài)，維護(hù)所需合規(guī)性的過(guò)程；四是應(yīng)對(duì)企業(yè)事故和自然災(zāi)害，對(duì)業(yè)務(wù)至關(guān)重要的技術(shù)、數(shù)據(jù)和基礎(chǔ)設(shè)備的恢復(fù)和使其保護(hù)連續(xù)運(yùn)行的過(guò)程、政策和流程。

3、身份與訪問(wèn)管理

身份和訪問(wèn)管理有效協(xié)調(diào)交易中心業(yè)務(wù)環(huán)境中的人員、角色、訪問(wèn)權(quán)限和需求。安全信息框架應(yīng)給核心資源或擴(kuò)展資源設(shè)置適當(dāng)?shù)脑L問(wèn)權(quán)限，以身份和憑證作為執(zhí)行規(guī)則，以確保正確的人員在適當(dāng)?shù)臅r(shí)間獲得合適的資源，從而提高安全性和工作效率。

4、網(wǎng)絡(luò)空間安全

網(wǎng)絡(luò)空間安全使信息化業(yè)務(wù)能通過(guò)智能安全功能來(lái)檢測(cè)、評(píng)估和應(yīng)對(duì)威脅，從而處理業(yè)務(wù)高級(jí)威脅，包括主動(dòng)響應(yīng)檢測(cè)到的威脅并啟動(dòng)緩解流程的威脅管理、檢測(cè)、評(píng)估和描述可能導(dǎo)致安全漏洞被利用的危險(xiǎn)項(xiàng)的脆弱性管理和安全事件發(fā)生后進(jìn)行補(bǔ)救和經(jīng)驗(yàn)總結(jié)的事件管理。

5、數(shù)據(jù)安全

數(shù)據(jù)安全使信息化企業(yè)能夠根據(jù)業(yè)務(wù)需求管理和保護(hù)自身的保密數(shù)據(jù)和信息。首先是密碼，關(guān)注數(shù)據(jù)轉(zhuǎn)換的原理、方法和隱藏語(yǔ)義內(nèi)容，防止未經(jīng)授權(quán)的使用和修改。其次是通過(guò)關(guān)注敏感信息的位置、分類(lèi)和監(jiān)測(cè)來(lái)阻止數(shù)據(jù)丟失。第三是對(duì)存儲(chǔ)數(shù)據(jù)和業(yè)務(wù)流程的訪問(wèn)和使用進(jìn)行保護(hù)，支持安全數(shù)據(jù)的部署和管理。

6、軟件和應(yīng)用安全

軟件和應(yīng)用安全可以確定安全開(kāi)發(fā)和保護(hù)自定義應(yīng)用和商業(yè)應(yīng)用。對(duì)于電力交易信息系統(tǒng)來(lái)說(shuō)，該功能可以為基于Web的應(yīng)用程序提供充足的措施來(lái)保護(hù)不受攻擊和外部威脅，通過(guò)各種不同的技術(shù)和業(yè)務(wù)實(shí)踐來(lái)減少對(duì)移動(dòng)應(yīng)用的攻擊風(fēng)險(xiǎn)，保護(hù)其不受未經(jīng)授權(quán)的瀏覽、篡改或修改的影響，并從整個(gè)安全開(kāi)發(fā)生命周期出發(fā)，通過(guò)可重復(fù)和可測(cè)量的過(guò)程確保應(yīng)用程序或軟件具有彈性和可靠性，有助于避免在應(yīng)用程序開(kāi)發(fā)完成后造成缺陷。

7、基礎(chǔ)設(shè)施安全

基礎(chǔ)設(shè)施安全用于保護(hù)信息化業(yè)務(wù)的基礎(chǔ)，包括網(wǎng)絡(luò)、平臺(tái)和終端。網(wǎng)絡(luò)安全依賴于多層保護(hù)，由多個(gè)組件構(gòu)成，包括網(wǎng)絡(luò)架構(gòu)和安全軟件，以及硬件和設(shè)備，此機(jī)制防止任何未授權(quán)的訪問(wèn)、誤用、修改或拒絕網(wǎng)絡(luò)本身。平臺(tái)安全則用于保護(hù)底層平臺(tái)免遭攻擊。終端安全應(yīng)要求所有終端設(shè)備在允許訪問(wèn)網(wǎng)絡(luò)資源前必須遵守特定規(guī)則。

（二）安全架構(gòu)與安全愿景的匹配

1、戰(zhàn)略、變革和風(fēng)險(xiǎn)匹配

信息化安全需要基于電力交易需求、行業(yè)標(biāo)準(zhǔn)和合規(guī)性，從頂層對(duì)企業(yè)信息化策略和發(fā)展方向提供指導(dǎo)，并能夠有效的對(duì)電力交易安全運(yùn)營(yíng)做出積極反應(yīng)。以此為愿景，戰(zhàn)略、變革和風(fēng)險(xiǎn)領(lǐng)域的功能設(shè)計(jì)有助于確定信息安全戰(zhàn)略方向，基于交易及業(yè)務(wù)要求進(jìn)行轉(zhuǎn)型變更，通過(guò)風(fēng)險(xiǎn)識(shí)別和脆弱分析，識(shí)別并利用有利于信息化電力交易安全建設(shè)的機(jī)會(huì)。

2、安全運(yùn)營(yíng)匹配

安全運(yùn)營(yíng)的目標(biāo)是通過(guò)解決方案和強(qiáng)健的一套流程檢測(cè)、分析并且響應(yīng)網(wǎng)絡(luò)安全事件。因此，安全運(yùn)營(yíng)領(lǐng)域?qū)⑺械腎T安全能力用于信息化系統(tǒng)日常的管理和維護(hù)，包括安全日志管理、激活和連續(xù)性計(jì)劃、系統(tǒng)維護(hù)升級(jí)和合規(guī)監(jiān)視等。其優(yōu)勢(shì)在于通過(guò)持續(xù)不斷的檢測(cè)分析數(shù)據(jù)活動(dòng)，改善安全事件的檢測(cè)，并通過(guò)分析跨組織網(wǎng)絡(luò)、終端、服務(wù)器和數(shù)據(jù)庫(kù)的活動(dòng)，確保及時(shí)檢測(cè)和應(yīng)對(duì)電力交易安全事件。

3、網(wǎng)絡(luò)空間安全匹配

網(wǎng)絡(luò)空間安全愿景希望將各類(lèi)交易信息情報(bào)收集分析后，協(xié)同管理各類(lèi)安全技術(shù)和設(shè)施以應(yīng)對(duì)安全事件，通過(guò)有層級(jí)的安全措施對(duì)核心資產(chǎn)進(jìn)行主動(dòng)防御。與之匹配，基于安全知識(shí)，事前對(duì)資產(chǎn)的防護(hù)體系進(jìn)行脆弱性分析，預(yù)測(cè)非授權(quán)客體攻擊的可能性及威脅程度，結(jié)合脆弱度和威脅度采取相應(yīng)措施。

4、其他功能匹配

此外，企業(yè)信息安全還應(yīng)保護(hù)信息核心資產(chǎn)和延展資產(chǎn)。一是對(duì)系統(tǒng)用戶和訪問(wèn)者，信息安全架構(gòu)包括了身份管理、訪問(wèn)控制、授權(quán)管理等功能，使企業(yè)可以在交易環(huán)境中有效地管理角色和訪問(wèn)權(quán)限；二是對(duì)軟件和應(yīng)用，涵蓋了移動(dòng)應(yīng)用、軟件開(kāi)發(fā)和桌面應(yīng)用的安全保護(hù)，能夠及時(shí)對(duì)非授權(quán)的使用應(yīng)用和不規(guī)范的應(yīng)用操作采取行動(dòng)；三是對(duì)數(shù)據(jù)安全，安全架構(gòu)貫穿數(shù)據(jù)產(chǎn)生、交換、存儲(chǔ)和交換過(guò)程，可以防止交易過(guò)程中的數(shù)據(jù)損失和惡意丟失事件；四是對(duì)基礎(chǔ)設(shè)施安全，安全架構(gòu)可以保護(hù)信息平臺(tái)不受攻擊，防止未授權(quán)的網(wǎng)絡(luò)使用和修改，使電力交易業(yè)務(wù)不受侵害。

四、基于架構(gòu)的安全建設(shè)實(shí)施方法

我國(guó)企業(yè)信息安全工作剛起步，且交易中心部門(mén)、安全專業(yè)人員較少，安全要求高。因此，交易中心應(yīng)當(dāng)先夯實(shí)基礎(chǔ)、優(yōu)先處理立竿見(jiàn)影、需求緊急的安全工作，再整體深化建設(shè)，最終達(dá)到智能安全建設(shè)的愿景。

（一）穩(wěn)固基礎(chǔ)

以國(guó)際主流標(biāo)準(zhǔn)為建設(shè)目標(biāo)，結(jié)合自身實(shí)際情況，夯實(shí)現(xiàn)有信息化安全建設(shè)成果。

具體來(lái)說(shuō)，建立系統(tǒng)的信息安全管理體系，呈現(xiàn)強(qiáng)邏輯性架構(gòu)。在評(píng)估階段，通過(guò)了解業(yè)務(wù)現(xiàn)狀，識(shí)別信息資產(chǎn)的脆弱性、受威脅程度和當(dāng)前的控制措施，評(píng)估可能的風(fēng)險(xiǎn)源和風(fēng)險(xiǎn)后果的嚴(yán)重性。實(shí)施階段，基于對(duì)企業(yè)實(shí)際情況的了解，制定風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)，并參照標(biāo)準(zhǔn)制定處置計(jì)劃和文檔分級(jí)架構(gòu)。檢驗(yàn)階段，把控試運(yùn)行的具體情況，結(jié)合管理層評(píng)審、內(nèi)部ISMS審計(jì)和持續(xù)的風(fēng)險(xiǎn)評(píng)估，對(duì)相關(guān)項(xiàng)目和節(jié)點(diǎn)進(jìn)行檢查和監(jiān)控。最后，對(duì)檢查中出現(xiàn)的問(wèn)題和需求，制定預(yù)防措施和分析根源性問(wèn)題，形成閉環(huán)。

（二）補(bǔ)齊短板

1、災(zāi)備體系規(guī)劃設(shè)計(jì)

災(zāi)備體系是持續(xù)電力交易連續(xù)所需要的IT支撐，滿足交易和應(yīng)用系統(tǒng)高可用性的要求，是交易連續(xù)性的重要保障，它包括分析評(píng)估、設(shè)計(jì)實(shí)施和管理維護(hù)三個(gè)階段，并形成閉環(huán)。首先根據(jù)企業(yè)所處自然環(huán)境，分析信息系統(tǒng)弱點(diǎn)，計(jì)算信息資產(chǎn)價(jià)值，以此預(yù)估偶然性事件發(fā)生時(shí)的潛在損失，形成安全措施有效性評(píng)估。之后，設(shè)計(jì)和實(shí)施容災(zāi)方案，制定技術(shù)需求水平，設(shè)立災(zāi)害響應(yīng)小組，分析運(yùn)營(yíng)中可能造成的損失閾值上線以進(jìn)行運(yùn)營(yíng)部署，形成最佳容災(zāi)方案。最后，根據(jù)業(yè)務(wù)發(fā)展情況和災(zāi)備實(shí)際效果，持續(xù)調(diào)整容災(zāi)方案，將應(yīng)急管理提升到企業(yè)級(jí)高度。

2、安全治理規(guī)劃

安全治理規(guī)劃應(yīng)提升安全操作流程、用戶協(xié)議、管理規(guī)定建設(shè)以及適用于交易中心體量的安全組織規(guī)劃建設(shè)。一是主策略，作為綱領(lǐng)性的安全策略主文檔，等同于安全指導(dǎo)方針，是各方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。二是管理規(guī)定，是主策略引出的具體管理要求，需要覆蓋到安全工作的各個(gè)方面。三是技術(shù)規(guī)范，包括各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和主要應(yīng)用程序進(jìn)行安全配置和管理的技術(shù)標(biāo)準(zhǔn)和規(guī)范。四是用戶協(xié)定，包括安全管理人員、網(wǎng)絡(luò)和系統(tǒng)管理員的安全責(zé)任書(shū)、保密協(xié)議、安全使用承諾等等。五是安全操作流程，詳細(xì)規(guī)定主要業(yè)務(wù)的流程、步驟及相關(guān)注意事項(xiàng)。

3、網(wǎng)絡(luò)空間安全規(guī)劃設(shè)計(jì)

對(duì)于電力交易信息化的關(guān)鍵軟/硬件設(shè)備進(jìn)行分析，針對(duì)這些設(shè)備因設(shè)計(jì)缺陷造成的漏洞及管理員的誤操作帶來(lái)的安全隱患進(jìn)行加固，從整體上提高網(wǎng)絡(luò)的安全防御能力。在防護(hù)上，建立威脅保護(hù)機(jī)制，進(jìn)行安全完整性檢查，防止病毒和木馬對(duì)信息平臺(tái)的入侵。在控制上，清晰定義信息邊界，設(shè)置準(zhǔn)入和隔離設(shè)施，做到端對(duì)端準(zhǔn)入控制和終端自我隔離。在管理上，對(duì)信息資產(chǎn)、應(yīng)用程序和遠(yuǎn)程工作進(jìn)行有標(biāo)準(zhǔn)、全方位的精確控制，防止在業(yè)務(wù)操作過(guò)程中的意外安全事件。在修復(fù)上，要保證系統(tǒng)恢復(fù)的完整性，對(duì)文件和文件夾的修復(fù)要能夠及時(shí)和全程記錄。

4、安全運(yùn)營(yíng)體系規(guī)劃

安全運(yùn)營(yíng)體系是實(shí)現(xiàn)自動(dòng)化合規(guī)管理和風(fēng)險(xiǎn)監(jiān)控的機(jī)制支撐。沒(méi)有運(yùn)營(yíng)體系，各類(lèi)安全組件獨(dú)立運(yùn)作，達(dá)不到體系化運(yùn)行效果。第一步應(yīng)搭建安全監(jiān)控技術(shù)平臺(tái)，做好技術(shù)、流程和管理等方面的鋪墊。第二步使交易信息系統(tǒng)具備安全事件、漏洞、變更情況的全面集中監(jiān)控功能。第三步是體系建設(shè)，制定安全監(jiān)控體系策略、制度及相應(yīng)的標(biāo)準(zhǔn)化規(guī)范。第四步是對(duì)事件發(fā)生路徑實(shí)現(xiàn)全程跟蹤和追溯。最后是運(yùn)行和維護(hù)，建立監(jiān)控系統(tǒng)運(yùn)行維護(hù)服務(wù)體系。

（三）深化建設(shè)

深化建設(shè)應(yīng)建立一套預(yù)防、監(jiān)測(cè)、響應(yīng)為一體的防護(hù)體系，建立與業(yè)務(wù)部門(mén)間的溝通機(jī)制，完成電力交易安全規(guī)章和制度的建設(shè)，部署預(yù)防、監(jiān)測(cè)、響應(yīng)三層級(jí)的技術(shù)能力設(shè)計(jì)。同時(shí)，有條件的企業(yè)可以邀請(qǐng)國(guó)際力量參與，借助其在信息安全方面的國(guó)際視野和先進(jìn)管理經(jīng)驗(yàn)，全面提升企業(yè)工作質(zhì)量，實(shí)現(xiàn)創(chuàng)造性突破。

五、總結(jié)

在互聯(lián)網(wǎng)快速發(fā)展的新時(shí)期，信息化是企業(yè)必須抓住的一次重大機(jī)遇。在電力企業(yè)交易信息化過(guò)程中，信息安全問(wèn)題變得越來(lái)越重要。因此，理性審視行業(yè)和企業(yè)自身內(nèi)外部環(huán)境，構(gòu)建完善的信息安全架構(gòu)，是企業(yè)轉(zhuǎn)型升級(jí)的重要保障。