淺析電力行業(yè)信息安全管理
作者:劉誠
評論: 更新日期:2012年09月06日
??????? 三、電力企業(yè)網(wǎng)絡(luò)信息安全管理問題的成因分析
??????? (一)安全意識淡薄是網(wǎng)絡(luò)信息安全的瓶頸
??????? 企業(yè)人員忙于利用網(wǎng)絡(luò)工作學(xué)習(xí)�,對網(wǎng)絡(luò)信息的安全性無暇顧及����,安全意識相當(dāng)?shù) k娏ζ髽I(yè)注重的是網(wǎng)絡(luò)效應(yīng)�,對安全領(lǐng)域的投入和管理遠遠不能滿足安全防范的要求,網(wǎng)絡(luò)信息安全處于被動的封堵漏洞狀態(tài)。從上到下普遍存在僥幸心理����,沒有形成主動防范、積極應(yīng)對的全民意識�,更無法從根本上提高網(wǎng)絡(luò)監(jiān)測、防護��、響應(yīng)��、恢復(fù)和抗擊能力����。
??????? (二)運行管理機制的缺陷和不足制約了安全防范的力度
??????? 從目前的運行管理機制來看,有以下幾方面的缺陷和不足�����。
??????? 1. 網(wǎng)絡(luò)安全管理方面人才匱乏
??????? 由于技術(shù)應(yīng)用的擴展�����,技術(shù)的管理也應(yīng)同步擴展���,但從事系統(tǒng)管理的人員卻往往并不具備安全管理所需的技能����、資源和利益導(dǎo)向。
??????? 2. 安全措施不到位
??????? 配置不當(dāng)或過時的操作系統(tǒng)����、郵件程序和內(nèi)部網(wǎng)絡(luò)都存在入侵者可利用的缺陷,如果缺乏周密有效的安全措施���,就無法發(fā)現(xiàn)和及時查堵安全漏洞�����。當(dāng)廠商發(fā)布補丁或升級軟件來解決安全問題時�����,許多用戶的系統(tǒng)不進行同步升級����,原因是管理者未充分意識到網(wǎng)絡(luò)不安全的風(fēng)險所在��,未引起重視���。
??????? 3. 缺乏綜合性的解決方案
??????? 大多數(shù)用戶缺乏綜合性的安全管理解決方案��,稍有安全意識的用戶依賴升級防火墻和加密技術(shù)�,產(chǎn)生虛假的安全感��。實際上���,一次性使用一種方案并不能保證系統(tǒng)永遠安全��,網(wǎng)絡(luò)安全問題遠遠不是防毒軟件和防火墻能夠解決的�����,也不是大量標(biāo)準(zhǔn)安全產(chǎn)品簡單堆砌就能解決的�����。
??????? 四���、網(wǎng)絡(luò)信息安全管理的內(nèi)容
??????? 安全管理包括風(fēng)險管理、安全策略和安全教育�。這3個組件是企業(yè)安全規(guī)劃的基礎(chǔ)。
??????? (一)風(fēng)險管理
??????? 識別企業(yè)的信息資產(chǎn)�����,評估威脅這些資產(chǎn)的風(fēng)險,評估假定這些風(fēng)險成為現(xiàn)實時企業(yè)所承受的災(zāi)難和損失�。通過降低風(fēng)險、避免風(fēng)險��、轉(zhuǎn)嫁風(fēng)險�、接受風(fēng)險等多種風(fēng)險管理方式來協(xié)助管理部門制定企業(yè)信息安全策略。
??????? (二)安全策略
??????? 隨著企業(yè)規(guī)模����、業(yè)務(wù)發(fā)展、安全需求的不同��,信息安全策略可能各有不同����。但是安全策略都應(yīng)該簡單清晰、通俗易懂并直接反映主題����,避免含糊不清的情況出現(xiàn)。信息安全策略是企業(yè)安全的最高方針���,由高級管理部門支持��,必須形成書面文檔����,廣泛發(fā)布到企業(yè)所有員工手中�。
??????? (三)安全教育
??????? 信息安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容,其實施力度將直接關(guān)系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果�。為了保證信息安全的成功和有效,高級管理部門應(yīng)當(dāng)對企業(yè)各級管理人員����、用戶、技術(shù)人員進行安全培訓(xùn)��,所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)信息安全策略�����。
??????? 安全管理通過適當(dāng)?shù)刈R別企業(yè)的信息資產(chǎn)�,評估信息資產(chǎn)的價值,制定�����、實施安全策略����、安全標(biāo)準(zhǔn)�、安全方針����、安全措施來保證企業(yè)信息資產(chǎn)的完整性、機密性����、可用性,通過安全教育形成企業(yè)安全文化的重要組成部分�,保障安全管理的順利實現(xiàn)。
??????? 五���、加強電力企業(yè)網(wǎng)絡(luò)信息安全管理的建議
??????? (一)重視安全規(guī)劃
??????? 企業(yè)網(wǎng)絡(luò)安全規(guī)劃的目的就是要對網(wǎng)絡(luò)的安全問題有一個全面的思考���,要以系統(tǒng)的觀點去考慮安全問題。
??????? 要進行有效的安全管理�,必須建立起一套系統(tǒng)全面的信息安全管理體系。這可以參照國際上通行的一些標(biāo)準(zhǔn)來實現(xiàn)�����,如:BS7799��、ISO17799、ISO15408等�。
??????? (二)合理劃分安全域
??????? 電力企業(yè)是完全實行物理隔離的企業(yè)網(wǎng)絡(luò),在內(nèi)網(wǎng)上仍然要合理劃分安全域�。要根據(jù)整體的安全規(guī)劃和信息安全密級,從邏輯上劃分核心重點防范區(qū)域�����、一般防范區(qū)域和開放區(qū)域�。重點防范的區(qū)域是網(wǎng)絡(luò)安全的核心�,這部分區(qū)域是一般用戶不能直接訪問的區(qū)域,有很高的安全級別��。各種重要數(shù)據(jù)��、服務(wù)器�、數(shù)據(jù)庫服務(wù)器應(yīng)當(dāng)放置在該區(qū)域,各種應(yīng)用系統(tǒng)��、OA系統(tǒng)等在該區(qū)域運行�����。
??????? (三)加強安全管理����,重視制度建設(shè)
??????? 為保證企業(yè)網(wǎng)絡(luò)信息安全�,要把企業(yè)網(wǎng)絡(luò)信息安全作為一個系統(tǒng)工程來考慮��。因此�,企業(yè)網(wǎng)絡(luò)的安全問題,安全管理和制度建設(shè)非常重要(特別是內(nèi)網(wǎng))?��,F(xiàn)提出如下建議:
??????? 1. 加強日志管理與安全審計
??????? 一般的防火墻與入侵檢測系統(tǒng)都具備審計功能��,要充分利用它們的審計功能����,作好網(wǎng)絡(luò)的日志管理和安全審計工作��。對審計數(shù)據(jù)要嚴(yán)格管理����,不允許任何人修改、刪除審計記錄�。
??????? 2. 建立內(nèi)網(wǎng)的統(tǒng)一認(rèn)證系統(tǒng)
??????? 認(rèn)證是網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)之一,其目的是實現(xiàn)身份鑒別服務(wù)�、訪問控制服務(wù)、機密性服務(wù)和不可否認(rèn)服務(wù)等���。
??????? 3. 建立病毒防護體系
??????? 在企業(yè)網(wǎng)絡(luò)上安裝防病毒體系��。防病毒軟件系統(tǒng)要具有遠程安裝��、遠程報警�、集中管理等多種功能。其次�,要建立防病毒的管理制度。不能隨意將互聯(lián)網(wǎng)上下載的數(shù)據(jù)往內(nèi)網(wǎng)主機上拷貝����,來歷不明的移動存儲設(shè)備不能隨意在聯(lián)網(wǎng)計算機上使用�,職員應(yīng)熟練掌握發(fā)現(xiàn)病毒后的處置辦法。
??????? 4. 重視網(wǎng)絡(luò)管理制度建設(shè)
??????? 嚴(yán)格的管理制度���,是保證企業(yè)信息網(wǎng)絡(luò)安全的重要措施之一��。
??????? (1)領(lǐng)導(dǎo)應(yīng)當(dāng)高度重視網(wǎng)絡(luò)信息安全問題�。企業(yè)領(lǐng)導(dǎo)要高度重視安全管理和安全制度建設(shè)問題�����,不能把安全管理和制度建設(shè)看成是技術(shù)部門的事��。企業(yè)應(yīng)當(dāng)成立信息安全領(lǐng)導(dǎo)小組,由分管領(lǐng)導(dǎo)抓網(wǎng)絡(luò)安全工作�����,并明確其職責(zé)和工作制度����。要制訂安全事故處理程序、應(yīng)急計劃等���。
??????? (2)加強基礎(chǔ)設(shè)施和運行環(huán)境的管理建設(shè)��。企業(yè)網(wǎng)絡(luò)的管理機構(gòu)(信息中心)的機房���、配電房等計算機系統(tǒng)重要基礎(chǔ)設(shè)施應(yīng)嚴(yán)格管理,配備防盜�、防火、防水等設(shè)施��,應(yīng)當(dāng)安裝監(jiān)控系統(tǒng)����、監(jiān)控報警裝置等。建立嚴(yán)格的設(shè)備運行日志����,記錄設(shè)備運行狀況���。要規(guī)范操作規(guī)程,確保計算機系統(tǒng)的安全�����、可靠運行���。
??????? (3)建立必要的安全管理制度�。企業(yè)網(wǎng)絡(luò)的中心機房和各業(yè)務(wù)部門計算機系統(tǒng)都要建立計算機系統(tǒng)使用管理制度����,網(wǎng)絡(luò)系統(tǒng)管理員���、安全員����、各業(yè)務(wù)部門主管和計算機操作人員的計算機密碼管理規(guī)定等內(nèi)控管理制度����,對應(yīng)用系統(tǒng)重要數(shù)據(jù)的修改要經(jīng)過授權(quán)并由專人負(fù)責(zé)���,登記日志。建立健全數(shù)據(jù)備份制度�,核心程序及數(shù)據(jù)要嚴(yán)格保密,實行專人保管�。
??????? (4)堅持安全管理原則。多人負(fù)責(zé)原則:兩人或多人互相配合����、互相制約。從事每項安全活動��,應(yīng)至少兩人在場�����,做好工作情況記錄��。任期有限原則:任何人不長期擔(dān)任與安全有關(guān)的職務(wù)���。當(dāng)人員離任時����,應(yīng)立即對系統(tǒng)進行授權(quán)調(diào)整����。職責(zé)分離原則:不要打聽��、了解或參與職責(zé)以外的任何與安全相關(guān)的事情�,除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)�����。最小權(quán)限原則:只授予用戶和系統(tǒng)管理員所需要的最基本權(quán)限����,并且超級用戶的權(quán)限也應(yīng)該越小越好。
??????? (5)制度的定期督導(dǎo)檢查�����。管理制度具有嚴(yán)肅性���、權(quán)威性、強制性����,管理制度一旦形成,就要嚴(yán)格執(zhí)行��。企業(yè)應(yīng)組織有關(guān)人員對管理制度進行定期督導(dǎo)檢查,保證制度的落實��。
??????? (四)加強企業(yè)員工和網(wǎng)絡(luò)管理人員安全意識教育
??????? 對于網(wǎng)絡(luò)信息安全��,企業(yè)員工和網(wǎng)絡(luò)管理人員的素質(zhì)非常重要���。
??????? 1. 在安全教育具體實施過程中應(yīng)該有一定的層次性
??????? (1)對主管信息安全工作的高級負(fù)責(zé)人或各級管理人員����,重點是了解���、掌握企業(yè)信息安全的整體策略及目標(biāo)�、信息安全體系的構(gòu)成����、安全管理部門的建立和管理制度的制訂等。
??????? (2)對負(fù)責(zé)信息安全運行管理及維護的技術(shù)人員����,重點是充分理解信息安全管理策略,掌握安全評估的基本方法����,對安全操作和維護技術(shù)的合理運用等���。
??????? (3)對企業(yè)全體職員,重點是學(xué)習(xí)各種安全操作流程�����,了解和掌握與其相關(guān)的安全策略��,包括自身應(yīng)該承擔(dān)的安全職責(zé)等���。
??????? 2. 對于特定的人員要進行特定的安全培訓(xùn)
??????? 對于關(guān)鍵崗位和特殊崗位的人員��,通過送往專業(yè)機構(gòu)學(xué)習(xí)和培訓(xùn)����,使其獲得特定的安全方面的知識和技能���。通過安全培訓(xùn)�,確保在電力信息安全保障體系逐步建立的過程中�����,各類人員的安全意識和技術(shù)能力獲得提高���,各崗位人員的技術(shù)能力和管理能力與安全保障體系的運行和維護相適應(yīng)���。
??????? 六、建立安全長效機制
??????? 解決網(wǎng)絡(luò)信息安全問題���,技術(shù)是安全的主體�����,管理是安全的靈魂��。加強信息安全管理��,建立安全長效機制�����,成為電力企業(yè)安全文化的重要組成部分�����,其必然性由以下因素決定:
??????? (1)電網(wǎng)企業(yè)安全文化對社會具有輻射作用��。
??????? (2)新形勢下安全生產(chǎn)要求的重大舉措��。
??????? (3)電網(wǎng)科學(xué)技術(shù)發(fā)展的需要����。
??????? (4)人本管理是電力企業(yè)先進安全文化的核心。
??????? (5)實現(xiàn)高效的安全生產(chǎn)管理���。
??????? 建立先進的企業(yè)安全文化����。企業(yè)安全文化對企業(yè)安全生產(chǎn)工作起凝聚��、協(xié)調(diào)和控制作用���。積極向上的共同價值觀�、信念�����、行為準(zhǔn)則是一種內(nèi)部黏結(jié)劑����,是人們意識的一部分����,可以使員工自覺地行動�����,達到自我控制和自我協(xié)調(diào)���。
??????? 只有將有效的安全管理實踐自始至終貫徹落實于信息安全當(dāng)中,網(wǎng)絡(luò)安全的長期性和穩(wěn)定性才能有所保證����。在企業(yè)中建立安全文化,并將網(wǎng)絡(luò)信息安全管理容納到整個企業(yè)文化體系中才是最根本的解決辦法����。
??????? 結(jié)束語
??????? 網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局的管理問題�,網(wǎng)絡(luò)上的任何一個漏洞,都會導(dǎo)致全網(wǎng)的安全問題����,我們應(yīng)該用系統(tǒng)工程的觀點、方法����,分析網(wǎng)絡(luò)的安全及具體措施���。安全措施主要包括:行政法律手段、各種管理制度(人員審查����、工作流程、維護保障制度等)以及專業(yè)措施(識別技術(shù)����、存取控制、密碼����、低輻射、容錯����、防病毒、采用高安全產(chǎn)品等)����。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果���。一個計算機網(wǎng)絡(luò)����,包括個人�����、設(shè)備�、軟件�����、數(shù)據(jù)等���。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用�����,也只有從系統(tǒng)綜合整體的角度去看待���、分析,才能取得有效�����、可行的措施。即計算機網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則�,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。這樣才能真正做到整個系統(tǒng)的安全�����。
??????? 參考文獻
??????? [1] 王瑞軍���,冼沛勇.實現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全的具體方法[J]. 計算機與網(wǎng)絡(luò)���,2005,(3).
??????? [2] 朱貴強.論企業(yè)網(wǎng)絡(luò)信息安全管理[J]. 中國科教博覽�����,2005���,(6).
??????? [3] 閆斌���,曲俊華,齊林海.電力企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)方案的研究[J]�。 現(xiàn)代電力,2003�,(1).
??????? [4] 楊贊國���。 論企業(yè)網(wǎng)絡(luò)信息安全與防范策略[J]. 集團經(jīng)濟研究,2005�����,(6).
??????? [5] 郭護林.企業(yè)網(wǎng)絡(luò)信息安全分析[J]. 西北電力技術(shù)���,2002���,(6).
??????? [6] 王迎新 牛東曉《中國管理信息化(綜合版)》2007年第3期??????
???????
