個人信息安全應急演練范例6篇

前言：中文期刊網精心挑選了個人信息安全應急演練范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

個人信息安全應急演練范文1

目前，我國的信息安全事件和事故的頻繁發生，這和老百姓最為直接的就是個人網絡賬號被盜。據賽門鐵克諾頓公司9月11日的諾頓安全報告顯示，從2011年7月至2012年7月，網絡犯罪致使全球個人用戶蒙受的直接損失高達1100億美元。同期，中國估計有超過2.57億人成為網絡犯罪受害者，直接經濟損失達人民幣2890億元。

針對日趨嚴重的網絡安全問題。工信部通信保障局網絡安全處副處長付景廣對記者說，工信部建立了通訊行業和網絡安全防護、應急演練等等，以保障網絡運行的穩定和安全?！搬槍W絡釣魚、垃圾信息等危險用戶的切實利益問題，我們與中國互聯網協會、中國網絡互聯網信息中心等建立了相關的機制，以凈化網絡環境?！?/p>

信息安全風險管理需常態化

國家信息化專家咨詢委員會委員、國家信息化中國專家委員會副主任寧家駿認為，當前，信息安全形勢變化總體來說是國家信息安全形勢的一種表現。2010年前后可以看到美國進一步調整它的國家信息安全戰略，俄羅斯、紐約也在調整，日本更明確把國家的安全防范對象轉向我們國家。“9·11恐怖事件”發生后，美國的多部門獨立管理，多種模式逐漸感到沒有辦法適應信息時代國家安全戰略調整需求。所以，它先后整合了一些部門通管他們信息安全技術，另外也任命了公安局的局長出任網絡司令部的司令整合軍內的信息戰略領域。

在當前我們必須看到我們國家的網絡信息安全工作面臨新的復雜的形勢。進入新世紀以來，經濟、社會發展對我們信息網絡和信息化的依賴程度越來越高，現在我們可以說金融、交通、電力、水務等都離不開信息網絡。

寧家駿指出，信息網絡的發展已經成為推動社會和經濟發展的重要力量，也是各國競爭的制高點。一方面我們看到信息化的大勢不可逆轉，但是同時我們要必須看到，隨著我們中國的迅速崛起，也引起了國際社會的廣泛關注。在這種背景下，在全球網絡空間國際競爭日趨激烈的背景下，我們的信息安全問題更加錯綜復雜。所以，對信息安全保障體系的建設需求更加緊迫，面對國內和國際形勢，必須進一步提高對我們重要性系統的信息安全保障體系建設的高度重視和對風險的應對能力。

特別是在當前互聯網這種特性——規模龐大、帶寬持續增長和應用邏輯日益復雜的情況下，如果繼續在不同的安全領域中間各自為戰將不能適應信息安全新的發展要求。如何處理這種信息訪問的瓶頸？如何應對這種開放協議的安全事件？如何來解決我們應用軟件中安全漏洞難以避免的現實？寧家駿認為，這些問題要求我們必須解決在信息安全保障中全局協同的問題，同時要提高我們的效能，提高我們對事件處置能力和事前應急預警的能力。

在世界競爭日趨復雜的環境中，已經發生的一些重大信息安全事件對我國的發展產生不同的損失，對我國信息安全的重要性提出了更加緊迫的要求。特別是我們看到威脅在不斷的演變，有些部門的人覺得自己的電腦沒有什么可以保密的文件，疏忽管理。其實恰恰不然，很多的隱蔽性的網絡攻擊就是把這些看似沒有價值的電腦作為網絡攻擊的第一個跳板。特別是當前移動互聯網的發展，智能終端的廣泛應用已經成為當前在網絡攻擊中的一個最好的獲利的平臺。

所以，國外每年銀行卡信息被盜損失的金額非常巨大，特別是在當前我們這種移動終端，包括山寨手機內置的一些軟件，包括我們惡意捆綁那些流氓的軟件，使得我們的手機不僅僅是被吸取話費，而且把病毒傳播開來。寧家駿說：“未來一方面是信息化安全技術，一方面是面臨這種復雜的環境，使我們應對危機的難度在增加。所以，我們必須看到我們存在明顯的不足，清醒的認識到這種日益增加的戰略層面的巨大的威脅，包括我們很多的技術手段。同時，我們必須要解決這種各自為戰的，要克服這種誰主管、誰負責的局限性。”

“我們又必須看到風險管理的滯后和非常態化。當前，我們重視了風險評估工作，但是往往我們對風險的理解常常是限定在技術層面，而沒有考慮到相關方的核心力?！睂幖因E說，“我們的風險評估常?；陟o態，沒有真正的開展常態化的、動態的持續的監管。特別是我們個人信息的保護嚴重的滯后，所以在這里既有我們用戶和企業的意識淡薄，更有我們法律的欠缺，也有我們相應的服務和管理上的約束的不足?！?/p>

手機信息安全不容忽視

黑客的入侵手法日益更新，傳統的網絡安全問題正逐漸向移動互聯網等領域延伸。付景廣介紹，手機終端與PC終端面臨的問題沒有本質的區別，都面臨木馬病毒等問題。但是，手機的繳費和扣費功能更容易受到黑客的關注。調查發現有些木馬病毒可以操控手機，定制收費業務，造成用戶的經濟損失，有的還可以遠程竊取手機的位置信息和通話記錄等，導致用戶隱私泄露。

今年以來，社會上有一些企業搜集用戶的個人信息引起人們關注。付景廣說：“我們需要增強安全意識，這與現實生活中的偷盜詐騙等相比，手機的安全問題和虛擬性、空間地域性，使網絡的安全問題變得更加隱蔽和復雜?！彼J為，人們只有樹立起正確的防范意識，才會自覺地養成良好的防范舉措。但是，還有很多在信息產業中的從業人員對信息安全的防范也是一知半解。

最近，工信部發文明確要求：

第一，手機制造企業和行業協會要承擔起指導用戶安全使用手機的責任，加強風險提示等。

第二，加強應用商店安全管理，控制手機惡意程序的渠道。對捆綁惡意功能的程序必須加大力度處理；另一方面開辦應用商店的基礎企業，移動互聯網企業和手機制造企業要切實履行好各自的責任和安全的審核機制。

個人信息安全應急演練范文2

[關鍵詞]課程思政；信息安全；教學方法

現階段專業課程融入思想政治教育存在的問題

1.思政教育與專業教育之間存在“兩張皮”的現象在國家教育改革的引領下，專業課教師積極促進課程思政入課堂，但由于有的教師刻意地加入相關內容，為了思政而思政，造成了思政教育與專業教育“兩張皮”的現象，內容的過度生硬，一定程度上影響了學生對思政內容的接受。因此，高校應研究如何將思政教育與專業教育之間由“兩層皮”向“一盤棋”轉化，以真正達到育人效果。2.思政教育與專業教育的融合比較隨機當前，各科教師在融入思政元素的過程中存在較強的隨機性，多是依靠專業課程教師自我發掘與發揮，這就有可能導致思政內容重復，甚至會引起學生的反感。對此，高校應從整體專業規劃出發，針對每門課的特點確定課程思政的育人目標，以及思政元素的融入方式，使其形成課程體系的一部分。

專業課程與課程思政協同改革

1.緊扣畢業要求，明確教學目標與育人目標在傳統的人才培養方案中，重點在于知識目標和能力目標的定位，為了提升學生的綜合素養，高校應結合畢業要求，以課程教學大綱為抓手，明確并落實課程育人目標。以信息安全這門課為例，可通過理論教學與實驗環節，使學生具備密碼學、計算機系統安全、網絡攻擊技術與防御基礎、病毒分析與防范、防火墻技術與VPN、安全掃描與入侵檢測等計算機網絡信息安全方面的基本理論知識、技能及綜合應用，同時，培養學生獨立思考、勇于創新的能力。在確定育人目標時，應讓學生通過熟悉信息安全領域的國家方針、政策、法律、法規，追求科學真理，牢固樹立熱愛祖國、“信息安全技術的發展與應用不能損害國家和合法個人的利益”的理念，明確合法行為與非法行為的界限，理解誠實、公正、誠信的職業操守和職業規范，并在實際生活、學習與工作中自覺遵守。另外，還要面向國際科學應用前沿、國家重大需求及經濟主戰場，將前沿科技滲透到課程實踐中，教育學生努力學習，破解“卡脖子”難題。2.堅持問題導向，改革教學方法信息安全主要采用理論教學、課堂討論和上機實驗相結合的教學方式，注重啟發式教學，以問題為導向，引導學生獨立設計信息安全框架，逐步培養他們分析問題、解決問題、勇于創新的能力。在課堂教學中，教師要加強與學生的互動交流，指引學生開展團隊協作和課堂討論，并及時分析、評價學生的討論結果。另外，要從課程內容、實驗環節、互動交流、分組討論中進行專業課程的思政教學體系設計，促使學生產生學習內動力。

具體案例研究

將課程的教學目標及育人目標，深入滲透到教學大綱的具體內容中，使專業課程內容與思政元素有效融合。以信息安全課程為例，本課程的教學目標是掌握計算機網絡信息安全方面的基本知識，了解設計和維護網絡信息安全的基本手段和常用方法，能夠利用理論知識解決生活中的實際問題。思政育人目標是培養出能夠肩負歷史使命，勇擔強國重任，堅持面向世界科技前沿、面向國家重大需求、面向經濟主戰場，不斷向科學技術廣度和深度進軍的高端信息安全人才。

思政育人案例

1教學內容：第一章，信息安全概述教學目的與要求：了解信息安全面臨的主要威脅、信息安全的基本概念、信息安全的發展方向，掌握信息安全的主要技術及解決方案。思政元素切入點：針對美國政府在拿不出任何真憑實據的情況下，泛化國家安全概念，濫用國家力量，以列入實體清單、技術封鎖、投資設障等手段，加大對中國企業的打壓力度，讓中國在芯片領域面臨較為被動的局面。針對這一案例，要明確信息安全的真實含義，牢固樹立“信息安全技術的發展與應用不能損害國家和合法個人的利益”的理念，強調中國人的命運一定要掌握在自己手里，絕對不容許被任何勢力“卡脖子”。育人目標：面向國家重大需求，培養新一代科技人才，使其能潛心關鍵領域的基礎研究與關鍵技術的開發；引導青年學生發揮“兩彈一星”的艱苦創業精神，為國家培養徹底解決“卡脖子”問題的技術人才；學生要樹立正確的家國意識與主人翁意識，將個人的聰明才智和未來發展與國家需求相結合。實施過程：（1）教師授課。講授信息安全面臨的主要威脅、信息安全的基本概念、信息安全的解決方案、信息安全的主要技術、信息安全的發展方向等，從中穿插思政元素。（2）師生研討。學生針對信息安全的案例分組展開研討，每組委派一名學生進行總結發言；教師和學生進行點評，在整個研討過程中形成良好的思政氛圍。（3）課后拓展。教師可適當給學生提供與國家戰略相關的新聞報道和重大成果視頻，增強思政權威性，引發學生思考。思政育人案例2教學內容：第二章，密碼技術基礎與公鑰基礎設施教學目的與要求：掌握密碼學基本概念、了解傳統密碼技術，掌握公鑰密碼技術、公鑰基礎設施。思政元素切入點：對傳統密碼技術及公鑰密碼技術進行闡述，引入量子技術的快速發展對已有密碼學方案的沖擊。在量子計算模型下，經典數論密碼體系受到了極大的沖擊，如何在量子時代保障數據安全成為一個亟待解決的問題。Regev提出基于格的密碼體系可以抵抗這種量子算法的攻擊。格密碼作為備受關注的抗量子密碼體制，吸引了研究人員的目光。格自身有完整的理論體系，相較于其他密碼體制有獨特的優勢：困難問題存在從一般情況到最壞情況的規約，具有較高的算法效率和并行性等。通過知識拓展，引導學生從基于格困難問題的密碼體制設計進行思考、探索，培養學生的工匠精神、鉆研精神。育人目標：讓學生通過了解傳統密碼技術及公鑰密碼技術，知曉量子技術的發展對已有技術的沖擊，引導其發揮工匠精神及鉆研精神，勇于探索行業難題。實施過程：（1）教師授課。講授密碼學數學基礎、密碼學基本概念、對稱密碼技術、公鑰基礎設施等知識，從中穿插思政元素。（2）師生研討。針對“我們是否可以在標準模型下構造一個抗量子攻擊的基于位置的服務方案？這樣的方案是否可以做到避免密鑰濫用？”這兩個問題進行探討，引導學生思考，培養學生的工匠精神，提升其思考問題、分析問題的能力。（3）課后拓展。課后對量子算法技術進行更深一步的研究，了解兩字算法技術的發展對現有技術的推動，并引入相關思政素材，增強思政權威性，引發學生思考及探索。思政育人案例3教學內容：第四章，網絡攻擊技術與防御基礎教學目的與要求：了解黑客的概念及黑客的攻擊模式，掌握網絡攻擊的技術與原理、網絡攻擊工具、攻擊防范。思政元素切入點：2014年3月22日，國內漏洞研究平臺曝光稱，攜程系統開啟了用戶支付服務接口的調試功能，使所有向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務器，包括信用卡用戶的身份證、卡號、CVV碼等信息均可能被黑客任意竊取，導致大量用戶銀行卡信息泄露，該漏洞引發了關于“電商網站存儲用戶信息，并存在泄露風險”等問題的熱議。針對攜程漏洞事件，教師引導學生熟知《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）要求網絡運營者對網絡安全運營負有責任，對產品的漏洞及時補救，怠于履行法律義務，導致個人信息泄露的，將面臨最高五十萬元的罰款，如果是關鍵信息基礎設施的運營者將面臨最高一百萬元的罰款。2014年12月25日，第三方漏洞研究平臺發現大量12306用戶數據在互聯網流傳，內容包含用戶賬戶、明文密碼、身份證號碼、手機號碼等，這次事件是黑客通過收集其他網站泄露的用戶名和密碼，通過撞庫的方式利用12306網站安全機制的缺失來獲取13萬多條用戶數據。針對12306用戶數據泄露事件，引導學生熟知關鍵信息基礎設施的網絡運營者不僅有一般網絡運營者應該履行的網絡安全等級保護義務，還有更高層次的網絡安全保護義務，如對重要系統和數據庫進行容災備份，制定網絡安全應急預案并定期進行演練等。關鍵信息基礎設施運營者若沒有每年進行一次安全檢測評估，拒不改正或導致網絡安全嚴重后果的，將面臨最高一百萬元的罰款，對直接負責的主管人員處一萬至十萬元以下的罰款。育人目標：通過“教、學、做”一體化的教學模式，一方面向學生介紹網絡攻擊的相關知識；另一方面結合具體案例自然融入《網絡安全法》的知識，引導學生正確運用網絡安全和防御技術，嚴格規范自己的網絡行為，維護好個人、企業、組織、國家的信息安全，積極構建網絡安全。實施過程：（1）教師授課。講授關于黑客、網絡攻擊技術與原理、網絡攻擊工具、網絡攻擊防范等知識，從中穿插思政元素。（2）師生研討。學生針對《網絡安全法》的案例分組展開研討，研討之后，每組委派一名學生進行總結發言；教師和學生點評，拓展學生的知識面，在整個研討過程中讓學生構建網絡安全意識。（3）課后拓展。課后可適當給學生提供《網絡安全法》的相關報道視頻，增強學生的安全意識，使其規范自己的網絡行為。

總結

個人信息安全應急演練范文3

電力是人民生活、經濟進步不可或缺的必需品，美國作為世界第一大經濟體，提供可靠的電力供應是維持社會穩定、保證經濟社會平穩發展的必然要求。但隨著通用網絡與信息技術在電力系統中的使用，病毒、網絡攻擊給電力生產帶來了信息安全風險，尤其美國部分落后地區電網基礎設施陳舊，測控與保護系統缺少安全防護機制，一旦遭受信息安全攻擊，不僅造成本地區的電力故障，還可能影響北美地區的電力供應。2003年美國東北部和加拿大部分地區發生大面積停電就是典型的連鎖反應事故。隨著美國智能電網建設的推進，更加開放與友好的電網讓美國的電力供應面臨更多威脅。2009年的美國黑帽大會上就有人演示驗證了蠕蟲可以在24h內感染智能電表，使1.5萬戶家庭電力供應陷入癱瘓[1]。針對基礎設施信息安全的嚴峻形勢，美國聯邦政府下屬多個機構都對電力系統的信息安全給予高度重視，投入資金進行相關的研究與標準制定工作，經過近10a的發展，美國政府相關部門在工業控制尤其是電力系統信息安全防護方面，先后經歷了交流研究、立法規范、推行標準和當前的智能電網安全試點投資建設階段，目前信息安全工作已經取得了一定的成果，的標準和指南被世界范圍內電力行業信息安全相關工作人員參考和使用。

本文在對美國電力行業信息安全相關政府部門和標準組織的工作進行總結的基礎上，對影響力比較大的法規、標準、及相關指導文件進行了解讀，并分析了美國電力行業信息安全工作的特點。

1美國電力行業信息安全管理模式

1.1美國電力行業信息安全研究與管理組織結構

美國聯邦政府對電力系統的信息安全工作極為關注，國會多項法案，賦予下屬多個部門管理權利與相關職能。在電力企業與機構信息安全監管方面，遵循已有的電力企業監管方式，授權聯邦一級的聯邦能源管理委員會(FederalEnergyRegulatoryCommission，FERC)監管包括信息安全標準在內的電力可靠性標準的推行。在電力行業信息安全研究與指導方面，美國能源部(DepartmentofEnergy，DOE)下屬多個能源實驗室從事信息安全的研究，研發的信息安全防護措施與技術直接用于電力相關示范項目中。在信息安全標準化方面，商務部下屬美國國家標準技術研究院(NationalInstituteofStandardsandTechnology，NIST)致力于工業控制系統安全標準和智能電網信息安全標準的制定，形成了大量研究成果，為電力企業實施信息安全防護提供了指南。此外，美國國土安全部(DepartmentofHomelandSecurity，DHS)負責信息安全威脅分析與信息安全事件的應急響應，每年都組織包含電網等基礎設施在內的大規模信息安全演練。

1.2國土安全部

美國國土安全部(DHS)是美國聯邦政府的一個內閣部門，主要職責包括保護美國免受恐怖組織的攻擊，同時在發生自然災害時進行緊急響應。

DHS在2006年、2008年和2010年分別進行了3次網絡風暴(cyberstorm)演習。網絡風暴演習模擬美國關鍵基礎設施遭受大規模網絡攻擊時，網絡應急響應團體中各政府部分與相關企業聯合應對的情況，旨在檢測并加強政企合作的網絡防災和響應能力。

DHS還負責控制系統安全項目(controlsystemssecurityprogram，CSSP)的執行，通過聯邦、州、地區政府部門和工業控制系統所有者、運營商和廠商的共同努力，降低關鍵基礎設施面臨的信息安全風險。項目下設工業控制系統聯合工作組(industrialcontrolsystemsjointworkinggroup，CSJWG)，為聯邦機構內所有關鍵基礎設施和重要能源部門(criticalinfrastructureandkeystructures，CIKR)，以及工業控制系統私營企業提供交流的渠道，加速設計、開發和部署安全的工業控制系統，持續加強利益相關者在信息安全工作方面的合作。

1.1 能源部及相關單位

    1.3.1美國能源部

美國能源部(DOE)是美國聯邦政府的能源主管部門，主要負責制定和實施國家綜合能源戰略和政策。具體職責包括：收集、分析和研究能源信息，提出能源政策方案，制定能源發展與能源安全戰略，研究開發安全、環保和有競爭力的能源新產品等。在推進電力安全防護工作方面，DOE在2003年就提出了《保護SCADA系統信息安全的21步》，還資助美國電力科學研究院(ElectricPowerResearchInstitute，EPRI)和多個能源實驗室進行電力系統信息安全風險與防護技術的研究。

1.3.2美國聯邦能源管理委員會

美國聯邦能源管理委員會(FERC)是一個內設于美國能源部的獨立監管機構，前身是成立于1920年的聯邦電力委員會(FederalPowerCommission，FPC)。委員會的主要職責是負責依法制定聯邦政府職權范圍內的能源監管政策并實施監管，具體包括監管跨州的電力銷售、批發電價、水電建設許可證、天然氣定價和石油管道運輸費。

《2005年能源政策法案》授權FERC監督主干電網強制可靠性標準的實施。2007年7月，FERC批準由北美電力可靠性組織(NorthAmericanElectricReliabilityCorporation，NERC)制定的《關鍵設施保護》(criticalinfrastructureprotection，CIP)標準為強制標準，要求各相關企業執行，旨在保護電網，預防由于薄弱的訪問控制、軟件漏洞或其他控制系統漏洞而導致的信息系統攻擊事件的發生。1.3.3北美電力可靠性協會北美電力可靠性組織(NERC)是一個非營利性組織，其前身是1968年6月成立的國家電力可靠性委員會(NationalElectricReliabilityCouncil，NERC)。1965年發生美國東北部大停電之后，各電力企業為促進北美電力傳輸的可靠性、保證電網輸電能力，聯合成立了該委員會。1981年由于加拿大和墨西哥的加入，NERC改名為北美電力可靠性協會(NorthAmericanElectricReliabilityCouncil)。NERC的主要工作包括組織制定電力系統運行標準、監督和推進標準的執行、評估系統的能力和提供培訓服務。NERC還對重大的電力系統故障進行調查和分析，以防類似事件的再次發生。NERC的成立極大地推動了電力系統可靠性理論的研究及其在工程實際中的應用，同時也帶動了世界各國電力可靠性管理工作的開展。

《2005年美國能源政策法案》提出成立“電力可靠性組織”(electricreliabilityorganization，ERO)，制定并推行強制可靠性標準。2006年，NERC被授予該職能。2007年，NERC正式更名為北美電力可靠性組織。NERC的一系列CIP標準，被FERC認證為強制標準，在美國50個州和加拿大部分省份強制執行。美國的電力公司一旦違反這些標準，將被處罰最高每天100萬USD的罰金。

1.4美國電力行業信息安全標準研究與制定機構

    1.4.1美國國家標準技術研究院

美國國家標準與技術研究院(NIST)是美國商務部下屬非監管聯邦機構，其前身是1901年成立的美國國家標準局(NationalBureauofStandards，NBS)，1988年更名為美國國家標準與技術研究院。

NIST的職責是指導美國使用已有和新興的信息技術來滿足國家在社會、經濟和政治等方面的要求。根據《2002年聯邦信息安全管理法案》，NIST加強了信息安全標準、指南和相關技術的研究，完成了NISTSP800系列出版物。其中，NISTSP800-82《工業控制系統安全指南》和NISTSP800-53《聯邦信息系統推薦安全措施》2份出版物與電力工業信息安全密切相關。

根據《2007年能源獨立與安全法案》，NIST“主要負責協調開發一個包括協議和信息管理的模型標準框架，實現智能電網設備和系統的互操作性”。為了完成法案提出的要求，NIST制定了3階段的工作計劃，以快速建立一套最初的標準，并形成有效的工作流程，隨著技術的革新持續對標準進行制訂和實施。NIST為商業和其他智能電網利益相關者提供了一個開放的公共交流平臺，通過該平臺，相關人員可以對已有的標準進行識別，分析缺失的標準并提出亟需制定的標準。目前NIST已了NISTIR7628《智能電網信息安全指南》。

   1.4.2國際自動化協會

國際自動化協會（InternationalSocietyofAutomation，ISA)成立于1945年，是一家全球性的非盈利組織。主要從事自動化行業技術標準化工作。除了制定標準，ISA還從事認證、培訓、會議組織、技術刊物出版等工作。

ISA的前身是美國儀表協會，2000年隨著研究范圍的擴大，更名為美國儀器、系統和自動化協會，后在2008年又更名為國際自動化協會。ISA下屬ISA99委員會從事包括電網調度系統在內的工業控制系統的信息安全標準化工作，目前正在制定ISA99《工業自動化與控制系統安全》標準系列。

2美國電力行業信息安全工作主要成果

2.1關鍵設施保護CIP標準

2.1.1CIP標準的制定過程介紹

目前在全美強制推廣的CIP標準最初名稱是NERC1300，2005年NERC對NERC1300進行了更新并更名為CIP，分為CIP002-009共8個部分草案。CIP編制的目標是保證電網的可靠運行，覆蓋對象包括供電公司、發電廠、電網運營商等電力企業。2006年4月，在經過4個版本的討論與修改后，CIP標準第1版，同時了符合性實施計劃[1'實施截止日期根據企業的不同定在2009—2010年之間。

2007年7月20日，FERC針對NERCCIP標準了一份《公共制定規則通知》[11]，將NERCCIP作為強制性標準進行推行，但對標準的8個部分提出了59項修改內容，要求CIP在2009年前進行修改。2008年末，CIP的修改進入了實質性階段，在2009年9月末了CIP第2版，即CIP002-2至CIP009-2。但在標準的執行過程中，針對CIP執行效果不佳的問題，NERC對CIP標準要求進行了細化和調整，2011年1月了CIP第4版。

2.1.2CIP標準內容介紹

NERCCIP標準的核心部分是CIP-002至CIP-009，8個要求部分分別覆蓋資產識別、安全管理、人員管理、訪問控制、物理安全、系統安全、應急響應與災難恢復，具體內容描述見表1。在提出要求的基礎上，NERC制定了符合性實施計劃，將標準的執行分為了資產評估、基本符合、符合和通過審計4個階段，對不同的電力企業制定了不同的執行時間表和審計截止日期，電力企業在審計截止日期之前將CIP中要求的材料提交到NERC或州權威機構。

2.1.3CIP標準存在的問題

盡管CIP作為全美強制推行的第一個電力系統信息安全標準，已經在管理層面取得了重大突破，但是CIP在內容上仍存在很多不足。

首先，CIP-002《關鍵網絡資產識別》中只要求電力企業自己選用風險評估方法識別重要的信息資產，而且傾向于防護基于通用網絡技術的信息系統主機、終端，但對于繼電保護裝置、測控裝置、變壓器等重要的電力系統組件，CIP中卻沒有提到。電力企業可以根據自己的評估方法接受一定的信息安全風險，自主確定需要保護的資產。但是在實際操作中，很多電力企業都聲稱在進行了風險評估之后，沒有需要保護的重要資產。比如在美國東南最大的一個區域，所有電力企業(包括核電在內)，都認為他們的發電系統對電網的可靠性沒有影響，系統滿足#-1定律，單一故障并不影響整個系統的穩定性，所以這些系統不屬于重要資產[12]。但是他們并沒有考慮到安全故障同時發生的情況。試想如果多個電站控制系統中都被植入了木馬，而且同時發作，出現的狀況將不亞于2003年的東北大停電。2009年4月，NERC的副主席兼首席安全官向NERC提交了一封信，信中稱70%的美國電廠都認為自己的系統不是NERC的關鍵系統，30%的輸電資產也被所屬電力公司認為是非關鍵資產，而由于CIP沒有覆蓋配電，所以100%配電系統都不屬于關鍵資產[13]。FERC在《公共制定規則通知》中對CIP的寬松條款表示不滿，要求NERC重新考慮修改事宜，經過多版更新，目前的CIP第4版中雖然對資產進行了更近一步的定義，但是發電廠的資產基線設定值高達1500MW，仍有很多的發電設備將在防護要求之外，而且標準依舊沒有考慮配電設施。

其次，CIP標準中要求的安全機制都是適用于商用信息系統的防病毒、安全配置等通用措施，主要用于解決調度中心的服務器和工作站的安全問題，而不是防護電廠和變電站的現場設備的。但對于目前美國變電站和電廠中的大部分現場控制器和可編程邏輯控制器（programmablelogiccontroller，PLC)等眾多計算機處理能力低、結構簡單的設備，這些措施則無法實施。而且，隨著智能電網的推行，底層設備的智能化而引入的信息安全風險也是CIP標準必須面對的問題。

再次，CIP標準沒有考慮配電系統和電力市場交易系統。配電的監控系統也是連接在NERC的調度通信網上的，配電監控系統的安全同樣影響電網的安全。開放接入實時信息系統(openaccesssame-timeinformationsystem，OASIS)作為市場交易系統的一種，就在CIP的管理范圍之外，它們一邊連著EMS/SCADA系統，另一邊就連著互聯網，對電網的安全構成極大威脅。

根據NERC2011年3月的標準符合度情況統計數據，從2010年起，各電力企業和機構的CIP不符合項以每月100個的速度增長，而且這些不符合項中超過一半都還沒有整改。CIP標準本身的缺陷和推行不力問題，使得美國國內很多專家對CIP是否真的能夠提升全美電力系統的信息安全水平產生了巨大質疑。

2.2 NISTSP800-53和NISTIR7628

2.2.1 NISTSP800-53介紹

在美國國會將NERCCIP提升為強制要求的過程中，信息安全界始終有呼聲推舉安全防護覆蓋面更廣的NISTSP800-53作為強制標準。

NISTSP800-53是為了支持《2002年聯邦信息安全管理法案》而制定的，該法案要求所有聯邦機構都開發、記錄并實施信息系統安全項目。作為法案實施的一部分，NIST提出了“風險管理框架”，將法案相關的標準和指南進行整合，幫助各機構制定實施信息安全項目，在法案的要求下，所有的聯邦機構都必須強制執行。NISTSP800-53是“風險管理框架”的基礎，其中包含管理、操作和技術3類安全控制措施(圖2)，為機構實施信息安全項目提供了基本信息安全控制點。

2.2.2 NISTIR7628介紹

在美國政府將智能電網列入國家重點發展產業的同時，NIST為智能電網信息安全戰略規劃了一份報告NISTIR7628《智能電網信息安全指南》。作為國家層面智能電網信息安全防護戰略規劃與指南，NISTIR7628中提出了一個普適性的框架，電力企業可以根據該框架制定基于自身特征、風險與脆弱性的信息安全戰略規劃。而相關的電力設備廠商和管理部門也可以將該報告中的安全措施作為工作指南的基本素材。

NIST編制NISTIR7628的目的是對NISTSP1108《智能電網互操作標準框架與路線圖》進行補充。NISTSP1108提出信息安全是需要優先解決的標準工作專題，NISTIR7628在此基礎上，對智能電網的信息安全進行了深入的分析，提供了用于指導智能電網風險管理的相關內容。NISTIR7628的編制工作自2009年3月啟動，經過了多輪公開討論與修改，第3版最終在2010年8月。

NISTIR7628報告第3版全文分為3個分冊。第1分冊描述了用于識別高層安全要求的風險評估步驟，提出了智能電網概念模型和7個智能電網域、域中以及域間接口的邏輯接口架構，并將這些接口分為了22類，對每一類接口制定了高層安全要求。在第1分冊的最后對智能電網系統與設備中的加密與密鑰管理問題進行了討論。第2分冊主要對用戶的隱私問題進行了討論。報告中對智能電網中新技術、個人信息、社區信息、人們在居所中的行為、電動汽車的使用情況等信息涉及的隱私問題進行了分析。根據被普遍使用的隱私原則，建議電力企業對智能電網業務流程中的包含個人信息的數據流進行跟蹤，將隱私風險降到最低，另外還建議電力企業對用戶和相關人員進行智能電網隱私風險的培訓，指導他們降低此類風險。第3分冊是對前2冊中提出高層安全要求的需求分析和其他相關資料的匯編。其中包含脆弱性分類方法和報告編制采用的“自下向上”的安全分析方法。此外，還包含了智能電網信息安全新技術研發專題，指明了保證高層可靠性與安全的技術方向。最后，對識別和梳理智能電網信息安全標準的過程進行了描述。

NISTIR7628最大的貢獻之一是形成了智能電網的安全要求指南，這些安全要求的內容主要是出自NISTSP800-53附錄I中工業控制系統的安全要求，是對NIST之前工業控制系統安全研究成果的繼承。盡管這份報告內容翔實豐富，且對于實際防護具有指導意義，但與NISTSP800-53遭遇的尷尬境地一樣，美國政府想在電力行業內推行NISTIR7628中的要求仍需要長時間的考量和多方利益的權衡。

2.3 ISA99和舊C62443的推進

除了政府層面從保衛國家基礎設施安全的角度關注電力系統以及智能電網的安全防護外，安全廠商、監控系統與設備制造商也意識到了電力系統的安全產品與解決方案市場潛力巨大，在基于原有信息安全技術提供測控系統及設備附加安全服務的同時，廠商通過參與民間電力系統信息安全技術標準化工作來占領技術制高點，擴大影響力，提升自身競爭力。

ISA下屬ISA99委員會從事工業控制系統的信息安全標準化工作，正在制定的標準系列ISA99《工業自動化與控制系統安全》未來將被IEC等同采用為IEC62443《工業通信網絡一網絡和系統安全》。

ISA99委員會在其工作計劃中提到，未來《工業自動化與控制系統安全》系列標準包含有常識與術語、安全項目的建立與運行、系統的等級與要求和終端設備的技術要求等4部分內容，標準結構見圖3。

在ISA99委員會進行標準制定的同時，ISA下屬安全合規性委員會(ISAsecuritycomplianceinstitute，ISCI)成立了嵌入式設備安全保證(embeddeddevicesecurityassurance，EDSA)認證項目，提出了嵌入式設備安全功能要求、嵌入式設備開發要求和嵌入式設備網絡協議健壯性要求等一系列嵌入式設備測評準則和流程文檔，在一定程度上為嵌入式設備的廠商提供了設備安全功能指南。

設備與系統安全機制的標準化和對電力通信規約的安全改造標準化，可以從底層直接實現系統建設與更新過程中安全技術的產業化集成，對提高電力系統的安全風險抵御能力具有重要意義。ISA99委員會早在1997年就了工業控制與自動化信息安全技術的報告，是最早進行相關研究的組織之一，因此業界一直對由廠商和研究機構組成的ISA99委員會寄予巨大期望，希望該委員會制定的標準能夠從本質上提高工業控制系統的信息安全技術防護能力。在歐洲和亞洲具有巨大影響力的IEC的加入，也為ISA99在全球的推廣提供了有力的支持。但是由于工作量巨大，標準工作組內部組織不力，ISA99標準的編制工作進展緩慢，目前還沒有成型的實質性成果。

3美國電力行業信息安全工作的特點

3.1 廠商掌握核心信息安全技術

由于美國信息技術發展起步較早，美國IT廠商掌握著大量信息安全的核心技術，而且信息安全的標準化工作都主要是美國有實力的廠商主導。以目前唯一的電力系統信息安全技術標準，電力規約通信安全標準IEC62351[2Q]為例，IEC62351-3《包含TCP/IP協議的安全規范》中使用的方法為“傳輸層安全協議”（transportlayersecurity，TLS)[21]，TLS協議是Certicom公司1999年在Internet工程任務組(Internetengineeringtaskforce，IETF)提出的。另外，Cisco、Microsoft等國外公司都掌握大量通信信息安全核心技術。

除了掌握核心技術知識產權，大量美國廠商還引領著信息安全技術的發展方向。隨著電力監控終端的處理能力的提高和一次設備的智能化，設備自身面臨的安全風險逐漸增多，大量自動控制系統生產廠商都在致力于將信息安全功能作為設備的增值能力，意圖從系統底層奠定智能電網信息安全的基礎。全球嵌入式及移動應用軟件制造商WindRiver于2011年2月宣布與全球最大的專業安全技術公司McAfee達成一項戰略合作協議，針對各類非PC設備，尤其是嵌入式及移動設備，共同開發、營銷專屬的安全防護解決方案并提供相關支持。

3.2 國家層面電力安全項目扶持力度大

美國聯邦政府安排多個部門從事電力系統信息安全的相關工作，并對工業控制系統安全研究、智能電網標準化和企業技術研發項目提供強大的資金支持。早在2004年，DHS就向11家小公司提供了10萬USD基金進行包括入侵檢測系統(intrusiondetectionsystems，IDS)和密碼算法在內的SCADA系統安全相關研究。2005年，為支持研究機構從事SCADA系統安全研究，DHS和NIST共同出資850萬USD作為由Sandia實驗室領導的信息架構保護協會（instituteforinformationinfrastructureprotection，I3P)2a期的研究經費。2007年，DOE向5個項目提供了790萬USD進行電網以及其他能源基礎設施的安全設備集成與先進技術應用。2009年底奧巴馬提出政府將撥款34億USD帶動美國智能電網建設，2010年美國能源部為10個智能電網信息安全項目提供了3040萬USD作為資金支持。2009年底確定的智能電網示范項目中很多項目都不同程度地包含信息安全的工作，其中DOE提供850多萬USD示范項目基金，采用波音公司的軍用級別信息安全軟件技術改進區域輸電系統計劃與運行軟件。美國多個部門連續在財年預算中提供工業控制和電力系統信息安全的項目基金，鼓勵企業和學術機構從事相關的研究和研發工作，當前美國在電力系統信息安全方面的國際領先地位與政府的大力扶持密不可分。

3.3 電力行業信息安全監管力度較弱

美國在電力行業市場化進程中，隨著民間資本的流入，政府對電力企業的監管控制程度都不同程度地降低了。在信息安全工作方面，盡管多部門齊抓共管，但在實際工作中國家層面各政府部門并不能強制要求電力企業如何進行信息安全防護工作，主要措施還是提供信息安全防護標準、指南，并且通過推動標準、指南的產業化應用逐步實現電力企業安全防護能力的提升。雖然FERC在強制推行CIP標準，但CIP的強度與我國的《電力二次系統安全防護規定》及配套方案相比，在控制力度和技術措施細度方面存在巨大差距，即使貫徹實行，也難以達到防御集團式攻擊的能力。而且，FERC的監管權利有限，只能被動等待電力企業上報自審結果，并不具備有力的強制性監管方式，即使電力企業對實際標準執行工作敷衍了事，FERC也無可奈何。

3.4 電力企業信息安全工作基礎較差

在電力市場競爭中，大部分美國電力企業更關注經濟效益。由于受到20世紀90年代電力改革的影響，部分州的電網運營商利潤被擠壓，高額負債無法償還、設備無法更新、電網老化嚴重和數字化程度低等現狀嚴重制約美國電網的發展。在這樣的形勢下，企業投資者不愿意也沒有資金從事信息安全防護工作。雖然近幾年國家加大了這方面的資金投入，但對于大量的電力企業來說，信息安全的經驗積累和意識轉變仍需要時間。

在IT基礎設施方面，大部分美國電力企業不具備用于生產控制業務的專用網絡，仍使用互聯網實現生產控制系統的廣域連接，使得控制系統暴露在互聯網上，為電網的生產控制引入巨大的風險。而且，目前各公司對信息安全工作的理解和重視程度不同，設定的信息安全防護目標和實現的防護效果也差異很大，防護薄弱的節點必然會成為整個北美互連電網抵御信息安全攻擊的“短板”。

個人信息安全應急演練范文4

1.信息科技管理模式現狀

一是分支機構管理模式。主要為國有銀行、股份制銀行的分支機構及各級農合機構。其信息系統的開發、維護和管理均由上級行統一負責，市、縣各級科技部門主要負責本行信息系統安全、運維和設備管理。其中市級分支機構通過成立科技管理部或網絡信息中心負責科技管理工作；市級中心機房僅承擔網絡通道、應用前端和節點接入功能，負責數據發送接收?？h級分支機構科技管理通常由財會、辦公室等部門人員兼任，由上級行科技部門對其進行技術指導。

二是中小法人管理模式。主要為村鎮銀行和貸款公司等新型農村金融機構。其信息化建設均外包給發起行，由其統一進行建設；重要信息系統托管于發起行，或由發起行托管于第三方機構；科技管理工作通常由財會、辦公室等部門人員兼任，由發起行科技部門對其進行技術指導。

2.存在的主要問題及原因

基層涉農銀行機構在信息科技管理中，均不同程度存在人力、物力缺乏，制度、規范缺位，貫徹執行乏力的情況；對信息科技風險的認識停留在表面階段，對于實質存在哪些風險、如何有效降低風險知之甚少。綜合分析，主要是以下五個方面存在突出問題：

2.1科技崗位缺失導致保障能力不強

轄內基層涉農銀行機構科技人員整體布局不足，與銀監會要求的“十二五”末達到3%的目標相距甚遠?；鶎訖C構普遍在人事制度安排上，沒有專業部門負責科技管理，一般由財務會計、辦公室、綜合部門兼管科技，有的雖成立了信息科技部門，但科技工作職責上沒有嚴格獨立。高管層中也沒有專職領導來分管科技，普遍缺乏對信息科技風險管理內涵的認知，缺乏整體科技戰略，沒有將信息科技風險管理當作日常性工作安排，少有銀行機構召開專題會議研究部署信息科技管理工作。調查發現，城區科技人員和工作人員的比例約在1%；縣域的比例約在0.4%，即縣級機構普遍只有1-2名兼職人員負責轄內縣、鄉、村網點的科技管理和技術保障，再加上與業務部門職能交叉，轄內到科技人員占比低，力量薄弱?，F場走訪調查發現，轄內基層涉農機構大量信息科技人員對信息技術的掌握有限，對系統運行中出現的問題和故障缺乏基本的判斷能力，對重要信息系統難以形成有效保障。

2.2管理水平低下，制約信息科技發展

信息科技管理不僅對人員技術水平有特殊的要求，管理方法和經驗也尤為重要，目前轄內基層涉農銀行機構信息科技整體管理簡單、粗糙，管理水平明顯不足，基本沿用了上級行的規章制度，這些制度并不適合組織架構較為簡化，人員崗位存在嚴重不足的基層涉農機構，導致制度與實際脫節、決策流程不暢、辦事效率底下，相關工作要求難以有效落實到工作中去，對業務流程管理也缺乏約束。

2.3運維管理管理存在風險隱患

一是運維管理不規范。轄內多數基層涉農銀行機構未落實機房專人值班，僅有少數機構能夠落實雙人值班。另外，轄內多數機構未設置信息安全員崗位，在對柜面人員、科技運維人員和中心機房的安全管理方面，缺乏明確的安全管理制度，部分機構僅憑經驗與員工進行安全管理方面的約定。二是運維流程不清晰。轄內基層涉農銀行機構在運維流程方面比較混亂，網絡出現故障亂作一團，沒有章法可循。三是是運維手段未建立。目前大部分機構運維仍然完全依靠工作人員，銀行普遍使用的安全監控、網絡監控、系統和設備監控等技術手段在基層涉農銀行機構還是空白，導致出現故障時完全依靠經驗判斷，處置風險的精確度和效率大大降低。

2.4電子渠道信息安全隱患突出

近年，轄內基層涉農銀行機構連續發生3起ATM安全事件，對客戶及銀行的資金安全造成威脅。隨著基層涉農銀行機構的銀行卡和電子銀行業務快速發展，基層涉農銀行機構科技力量薄弱問題凸顯，難以有效管控信息科技風險。歸結起來主要問題有三：一是基層涉農銀行機構離行式金融機具管理手段落后，無遠程管理能力，普遍存在夜間管理困難、缺乏自動報警手段等問題。二是地域廣科技人員少，重要信息系統日常檢查、定期巡查周期過長。三是由于宣傳不到位，縣域客戶自我保護意識相對薄弱，個人信息、銀行卡的密碼等重要信息容易泄漏。

2.5基礎設施落后，業務連續性缺乏保障

因為科技投入不足，基層涉農銀行機構的科技基礎設施建設建設風險較大，普遍存在因基礎設施故障導致業務中斷、安全防范設施不足導致信息被盜的風險較為突出。一是機房建設標準較低。部分涉農機構機房布局、面積、防靜電、防火低于國家機房建設標準；缺乏精密空調，硬件設備正常運行的環境無法保障；缺乏視頻監控系統，信息科技突發事件難以實時響應；少數機構還有與其它單位共用機房，雙方科技人員共同參與管理維護情況。二是電力保障未達到監管要求。多數涉農機構地處供山區，供電保障條件較差，未實行雙路市電、UPS+發電機等供電保障機制，與所處環境供電情況存在一定差距。三是重要網絡通信設備缺少冗余備份。盡管網絡接入基本采用了專線，主要網絡設備也有冗余備份，但出于成本考慮，通訊線路大部分是單線運行，因通訊故障和通訊運營商服務質量導致業務中斷的故障時有發生。

3.監管建議

3.1立足市場準入，科技監管地位要明確

監管部門應將縣級以下機構信息科技風險納入監管視野，關注涉農銀行機構的信息系統安全穩定問題，通過制訂相關政策法規，將信息科技監管納入市場準入工作，將科技風險關口前移，嚴控信息科技風險。一是明確縣級以下分支機構科技準入標準，包括科技人員覆蓋率、年度投入等，確保信息科技人力物力投入力度；二是制定新型農村金融機構科技建設準入門檻，確保小法人機構的基礎設施能保障業務連續性發展；三是加大縣域機構信息科技風險巡查力度，確保農村金融服務質量不斷提升。

3.2立足制度建設，科技治理架構要規范

縣級以下分支機構應將信息科技風險納入風險管理總體框架，并重點從制度建設、基建保障、業務連續性管理等方面予以改進和完善。一是整章建制。要認真貫徹落實銀監會《商業銀行信息科技風險防范管理指引》，逐步制定符合實際情況的科技制度，形成完整、實用的規章制度體系，從制度上提高科技風險管理能力；二是狠抓基建。有計劃的提升基礎設施建設水平，建立對供電、通訊和主要設備冗余備份機制，不斷加強容災能力，以滿足未來業務發展的需要；三是連續性管理。加強環境監控措施，適時開展應急演練和測評，確保在發生重大突發信息科技突發事件時，能夠迅速做出反應并從容應對。