淺析電力行業(yè)信息安全管理
淺析電力企業(yè)網(wǎng)絡(luò)信息安全管理
摘要:信息安全已是關(guān)系電力生產(chǎn)存亡和發(fā)展的重要方面。加強(qiáng)信息安全,才能全面提高電力行業(yè)的信息化。該文總結(jié)了目前我國電力企業(yè)信息化的特征,列舉了電力企業(yè)網(wǎng)絡(luò)信息存在的主要問題,對問題的成因進(jìn)行深入分析,并提出了一系列可行性較強(qiáng)的加強(qiáng)電力企業(yè)網(wǎng)絡(luò)信息安全的建議和方法。
關(guān)鍵字:電力行業(yè);網(wǎng)絡(luò)信息;安全管理;1、前言
信息技術(shù)在電力企業(yè)發(fā)揮著重要作用,特別是隨著廠網(wǎng)分開、電力市場構(gòu)建,電力企業(yè)已建立起龐大復(fù)雜的調(diào)度數(shù)據(jù)網(wǎng)和綜合信息網(wǎng),計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)成為企業(yè)日益重要的技術(shù)支持系統(tǒng)。信息安全所面臨的危險同時滲透到電力企業(yè)生產(chǎn)、經(jīng)營的各個方面。電力企業(yè)調(diào)度數(shù)據(jù)網(wǎng)和綜合信息網(wǎng)在物理上實現(xiàn)隔離,在一定程度上保證了調(diào)度數(shù)據(jù)網(wǎng)的安全運(yùn)行,避免受到來自綜合信息網(wǎng)的可能的攻擊;然而,財務(wù)、營銷、客戶管理等系統(tǒng)的網(wǎng)絡(luò)信息安全還相當(dāng)薄弱。網(wǎng)絡(luò)信息安全已成為影響電力安全生產(chǎn)的重大問題。近幾年來,計算機(jī)在整個電力系統(tǒng)的生產(chǎn)、經(jīng)營、管理等方面應(yīng)用越來越多。但是,在計算機(jī)安全策略、安全技術(shù)和安全措施投入較少。所以,為保證電力系統(tǒng)安全、穩(wěn)定、高效運(yùn)行,應(yīng)建立一套結(jié)合電力計算機(jī)應(yīng)用特點的計算機(jī)安全體系。
2、目前電力企業(yè)在網(wǎng)絡(luò)信息安全管理方面存在以下問題。
2.1企業(yè)管理革新滯后于信息化發(fā)展進(jìn)程
相對于信息技術(shù)的發(fā)展與應(yīng)用,電力企業(yè)管理革新處于落后狀況,有的企業(yè)引入了先進(jìn)的業(yè)務(wù)系統(tǒng)、管理系統(tǒng),而管理模式未能實施有效革新,最終導(dǎo)致了信息系統(tǒng)未能發(fā)揮預(yù)期的、應(yīng)有的作用。
2.2網(wǎng)絡(luò)信息安全管理需要成為企業(yè)安全文化的重要組成部分電力信息網(wǎng)絡(luò)已經(jīng)深入到電力生產(chǎn)和管理的全過程,涉及電力生產(chǎn)的各個層面,電力生產(chǎn)與管理對其依賴性日益增大。目前,在電力企業(yè)安全文化建設(shè)中,信息安全管理仍然處于從屬地位,需要進(jìn)行不斷努力,使之成為企業(yè)安全文化的中堅力量。
2.3網(wǎng)絡(luò)信息安全風(fēng)險的存在
電力企業(yè)網(wǎng)絡(luò)信息安全與一般企業(yè)網(wǎng)絡(luò)信息同樣具備多方面的安全風(fēng)險,主要表現(xiàn)在以下幾方面:1)網(wǎng)絡(luò)結(jié)構(gòu)不合理
電力企業(yè)依據(jù)有關(guān)規(guī)定將網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng),內(nèi)外網(wǎng)實行物理隔離,但網(wǎng)絡(luò)結(jié)構(gòu)都存在著一些不合理的地方。常見的有:核心交換機(jī)選擇不合理。不少企業(yè)網(wǎng)絡(luò)的核心交換機(jī)是一臺二層交換機(jī),這樣,所有網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)中的地位將是平等的,安全問題只有通過應(yīng)用系統(tǒng)去解決。
(2)來自互聯(lián)網(wǎng)的風(fēng)險
幾乎所有電力企業(yè)的網(wǎng)絡(luò)都是以各種方式與互聯(lián)網(wǎng)連接,企業(yè)用戶可以直接訪問互聯(lián)網(wǎng)的資源,這給企業(yè)職工帶來很大方便;同樣,任何能上互聯(lián)網(wǎng)的用戶也可以訪問企業(yè)網(wǎng)絡(luò)的資源,這對宣傳企業(yè)、擴(kuò)大企業(yè)的影響和知名度很有好處。但是,在帶來方便的同時,也帶來安全風(fēng)險。
(3)來自企業(yè)內(nèi)部的風(fēng)險
對于電力企業(yè)網(wǎng)絡(luò)來說,來自內(nèi)部的風(fēng)險是非常主要的安全風(fēng)險。內(nèi)部人員(特別是網(wǎng)絡(luò)管理人員)對網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)都非常熟悉,不經(jīng)意之間泄露的重要信息,都將可能成為導(dǎo)致系統(tǒng)受攻擊的最致命的安全威脅。
(4)病毒的侵害計算機(jī)病毒對計算機(jī)網(wǎng)絡(luò)的影響是災(zāi)難性的。電子郵件系統(tǒng)的廣泛使用,使計算機(jī)病毒的擴(kuò)散速度大大加快,網(wǎng)絡(luò)成了病毒傳播的最好途徑,電力企業(yè)網(wǎng)絡(luò)同樣難以幸免。因此,計算機(jī)病毒成為企業(yè)網(wǎng)絡(luò)最嚴(yán)重的安全風(fēng)險之一。
(5)管理人員素質(zhì)風(fēng)險
許多電力企業(yè)網(wǎng)絡(luò)都存在重建設(shè)、重技術(shù)、輕管理的傾向。實踐證明,安全管理制度不完善、人員素質(zhì)不高是網(wǎng)絡(luò)風(fēng)險的重要來源之一。比如,網(wǎng)絡(luò)管理員配備不當(dāng)、企業(yè)員工安全意識不強(qiáng)、用戶口令設(shè)置不合理等,都會給信息安全帶來嚴(yán)重威脅。
(6)系統(tǒng)的安全風(fēng)險系統(tǒng)的安全風(fēng)險主要指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和各種應(yīng)用系統(tǒng)所存在的安全風(fēng)險。目前不少企業(yè)網(wǎng)絡(luò)使用的操作系統(tǒng)仍然是以Windows系列操作系統(tǒng)為主。不管使用哪一種操作系統(tǒng)都存在大量已知和未知的漏洞,這些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限,可以被用來實施拒絕服務(wù)攻擊。3、電力企業(yè)網(wǎng)絡(luò)信息安全管理問題的成因分析
3.1安全意識淡薄是網(wǎng)絡(luò)信息安全的瓶頸企業(yè)人員忙于利用網(wǎng)絡(luò)工作學(xué)習(xí),對網(wǎng)絡(luò)信息的安全性無暇顧及,安全意識相當(dāng)?shù)。電力企業(yè)注重的是網(wǎng)絡(luò)效應(yīng),對安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范的要求,網(wǎng)絡(luò)信息安全處于被動的封堵漏洞狀態(tài)。從上到下普遍存在僥幸心理,沒有形成主動防范、積極應(yīng)對的全民意識,更無法從根本上提高網(wǎng)絡(luò)監(jiān)測、防護(hù)、響應(yīng)、恢復(fù)和抗擊能力。
3.2運(yùn)行管理機(jī)制的缺陷和不足制約了安全防范的力度從目前的運(yùn)行管理機(jī)制來看,有以下幾方面的缺陷和不足:
1)網(wǎng)絡(luò)安全管理方面人才匱乏由于技術(shù)應(yīng)用的擴(kuò)展,技術(shù)的管理也應(yīng)同步擴(kuò)展,但從事系統(tǒng)管理的人員卻往往并不具備安全管理所需的技能、資源和利益導(dǎo)向。
2)安全措施不到位配置不當(dāng)或過時的操作系統(tǒng)、郵件程序和內(nèi)部網(wǎng)絡(luò)都存在入侵者可利用的缺陷,如果缺乏周密有效的安全措施,就無法發(fā)現(xiàn)和及時查堵安全漏洞。當(dāng)廠商發(fā)布補(bǔ)丁或升級軟件來解決安全問題時,許多用戶的系統(tǒng)不進(jìn)行同步升級,原因是管理者未充分意識到網(wǎng)絡(luò)不安全的風(fēng)險所在,未引起重視。
(3)缺乏綜合性的解決方案
大多數(shù)用戶缺乏綜合性的安全管理解決方案,稍有安全意識的用戶依賴升級防火墻和加密技術(shù),產(chǎn)生虛假的安全感。實際上,一次性使用一種方案并不能保證系統(tǒng)永遠(yuǎn)安全,網(wǎng)絡(luò)安全問題遠(yuǎn)遠(yuǎn)不是防毒軟件和防火墻能夠解決的,也不是大量標(biāo)準(zhǔn)安全產(chǎn)品簡單堆砌就能解決的。4、加強(qiáng)電力企業(yè)網(wǎng)絡(luò)信息安全管理的建議
4.1重視安全規(guī)劃
企業(yè)網(wǎng)絡(luò)安全規(guī)劃的目的就是要對網(wǎng)絡(luò)的安全問題有一個全面的思考,要以系統(tǒng)的觀點去考慮安全問題。要進(jìn)行有效的安全管理,必須建立起一套系統(tǒng)全面的信息安全管理體系。這可以參照國際上通行的一些標(biāo)準(zhǔn)來實現(xiàn),如:BS7799、ISO17799、ISO15408等。
4.2合理劃分安全域
電力企業(yè)是完全實行物理隔離的企業(yè)網(wǎng)絡(luò),在內(nèi)網(wǎng)上仍然要合理劃分安全域。要根據(jù)整體的安全規(guī)劃和信息安全密級,從邏輯上劃分核心重點防范區(qū)域、一般防范區(qū)域和開放區(qū)域。重點防范的區(qū)域是網(wǎng)絡(luò)安全的核心,這部分區(qū)域是一般用戶不能直接訪問的區(qū)域,有很高的安全級別。各種重要數(shù)據(jù)、服務(wù)器、數(shù)據(jù)庫服務(wù)器應(yīng)當(dāng)放置在該區(qū)域,各種應(yīng)用系統(tǒng)、OA系統(tǒng)等在該區(qū)域運(yùn)行。
4.3加強(qiáng)安全管理,重視制度建設(shè)為保證企業(yè)網(wǎng)絡(luò)信息安全,要把企業(yè)網(wǎng)絡(luò)信息安全作為一個系統(tǒng)工程來考慮。因此,企業(yè)網(wǎng)絡(luò)的安全問題,安全管理和制度建設(shè)非常重要(特別是內(nèi)網(wǎng)),F(xiàn)提出如下建議:
(1)加強(qiáng)日志管理與安全審計一般的防火墻與入侵檢測系統(tǒng)都具備審計功能,要充分利用它們的審計功能,做好網(wǎng)絡(luò)的日志管理和安全審計工作。對審計數(shù)據(jù)要嚴(yán)格管理,不允許任何人修改、刪除審計記錄。
(2)建立內(nèi)網(wǎng)的統(tǒng)一認(rèn)證系統(tǒng)
認(rèn)證是網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)之一,其目的是實現(xiàn)身份鑒別服務(wù)、訪問控制服務(wù)、機(jī)密性服務(wù)和不可否認(rèn)服務(wù)等。
(3)建立病毒防護(hù)體系
在企業(yè)網(wǎng)絡(luò)上安裝防病毒體系。防病毒軟件系統(tǒng)要具有遠(yuǎn)程安裝、遠(yuǎn)程報警、集中管理等多種功能。其次,要建立防病毒的管理制度。不能隨意將互聯(lián)網(wǎng)上下載的數(shù)據(jù)往內(nèi)網(wǎng)主機(jī)上拷貝,來歷不明的移動存儲設(shè)備不能隨意在聯(lián)網(wǎng)計算機(jī)上使用,職員應(yīng)熟練掌握發(fā)現(xiàn)病毒后的處置辦法。
(4)重視網(wǎng)絡(luò)管理制度建設(shè)嚴(yán)格的管理制度,是保證企業(yè)信息網(wǎng)絡(luò)安全的重要措施之一。
1)領(lǐng)導(dǎo)應(yīng)當(dāng)高度重視網(wǎng)絡(luò)信息安全問題。企業(yè)領(lǐng)導(dǎo)要高度重視安全管理和安全制度的建設(shè)問題,不能把安全管理和制度建設(shè)看成是技術(shù)部門的事。企業(yè)應(yīng)當(dāng)成立信息安全領(lǐng)導(dǎo)小組,由分管領(lǐng)導(dǎo)抓網(wǎng)絡(luò)安全工作,并明確其職責(zé)和工作制度。要制訂安全事故處理程序、應(yīng)急計劃等。
2)加強(qiáng)基礎(chǔ)設(shè)施和運(yùn)行環(huán)境的管理建設(shè)。企業(yè)網(wǎng)絡(luò)的管理機(jī)構(gòu)(信息中心)的機(jī)房、配電房等計算機(jī)系統(tǒng)重要基礎(chǔ)設(shè)施應(yīng)嚴(yán)格管理,配備防盜、防火、防水等設(shè)施,應(yīng)當(dāng)安裝監(jiān)控系統(tǒng)、監(jiān)控報警裝置等。建立嚴(yán)格的設(shè)備運(yùn)行日志,記錄設(shè)備運(yùn)行狀況。要規(guī)范操作規(guī)程,確保計算機(jī)系統(tǒng)的安全、可靠運(yùn)行。
3)建立必要的安全管理制度。企業(yè)網(wǎng)絡(luò)的中心機(jī)房和各業(yè)務(wù)部門計算機(jī)系統(tǒng)都要建立計算機(jī)系統(tǒng)使用管理制度,網(wǎng)絡(luò)系統(tǒng)管理員、安全員、各業(yè)務(wù)部門主管和計算機(jī)操作人員的計算機(jī)密碼管理規(guī)定等內(nèi)控管理制度,對應(yīng)用系統(tǒng)重要數(shù)據(jù)的修改要經(jīng)過授權(quán)并由專人負(fù)責(zé),登記日志。建立健全數(shù)據(jù)備份制度,核心程序及數(shù)據(jù)要嚴(yán)格保密,實行專人保管。
4)堅持安全管理原則。多人負(fù)責(zé)原則:兩人或多人互相配合、互相制約。從事每項安全活動,應(yīng)至少兩人在場,做好工作情況記錄。任期有限原則:任何人不長期擔(dān)任與安全有關(guān)的職務(wù)。當(dāng)人員離任時,應(yīng)立即對系統(tǒng)進(jìn)行授權(quán)調(diào)整。職責(zé)分離原則:不要打聽、了解或參與職責(zé)以外的任何與安全相關(guān)的事情,除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。最小權(quán)限原則:只授予用戶和系統(tǒng)管理員所需要的最基本權(quán)限,并且超級用戶的權(quán)限也應(yīng)該越小越好。
5)制度的定期督導(dǎo)檢查。管理制度具有嚴(yán)肅性、權(quán)威性、強(qiáng)制性,管理制度一旦形成,就要嚴(yán)格執(zhí)行。企業(yè)應(yīng)組織有關(guān)人員對管理制度進(jìn)行定期督導(dǎo)檢查,保證制度的落實。
4.4加強(qiáng)企業(yè)員工和網(wǎng)絡(luò)管理人員安全意識教育對于網(wǎng)絡(luò)信息安全,企業(yè)員工和網(wǎng)絡(luò)管理人員的素質(zhì)非常重要。
(1)在安全教育具體實施過程中應(yīng)該有一定的層次性。
1)對主管信息安全工作的高級負(fù)責(zé)人或各級管理人員,重點是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部門的建立和管理制度的制訂等。
2)對負(fù)責(zé)信息安全運(yùn)行管理及
維護(hù)的技術(shù)人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護(hù)技術(shù)的合理運(yùn)用等。
3)對企業(yè)全體職員,重點是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。
(2)對于特定的人員要進(jìn)行特定的安全培訓(xùn)對于關(guān)鍵崗位和特殊崗位的人員,通過送往專業(yè)機(jī)構(gòu)學(xué)習(xí)和培訓(xùn),使其獲得特定的安全方面的知識和技能。通過安全培訓(xùn),確保在電力信息安全保障體系逐步建立的過程中,各類人員的安全意識和技術(shù)能力獲得提高,各崗位人員的技術(shù)能力和管理能力與安全保障體系的運(yùn)行和維護(hù)相適應(yīng)。5、建立安全長效機(jī)制解決網(wǎng)絡(luò)信息安全問題,技術(shù)是安全的主體,管理是安全的靈魂。加強(qiáng)信息安全管理,建立安全長效機(jī)制,成為電力企業(yè)安全文化的重要組成部分,企業(yè)安全文化對企業(yè)安全生產(chǎn)工作起凝聚、協(xié)調(diào)和控制的作用。積極向上的共同價值觀、信念、行為準(zhǔn)則是一種內(nèi)部黏結(jié)劑,是人們意識的一部分,可以使員工自覺地行動,達(dá)到自我控制和自我協(xié)調(diào)只有將有效的安全管理實踐自至終貫徹落實于信息安全當(dāng)中,網(wǎng)絡(luò)安全的長期性和穩(wěn)定性才能有所保證。在企業(yè)中建立安全文化,并將網(wǎng)絡(luò)信息安全管理容納到整個企業(yè)文化體系中才是最根本的解決辦法。6、結(jié)束語
網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局的管理問題,網(wǎng)絡(luò)上的任何一個漏洞,都會導(dǎo)致全網(wǎng)的安全問題,我們應(yīng)該用系統(tǒng)工程的觀點、方法,分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)措施(識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。一個較好的安全措施往往是多種方法適當(dāng)綜合應(yīng)用的結(jié)果。一個計算機(jī)網(wǎng)絡(luò),包括個人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用,也只有從系統(tǒng)綜合整體的角度去看待、分析,才能取得有效、可行的措施。計算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。這樣才能真正做到整個系統(tǒng)的安全。
參考文獻(xiàn):[1王瑞軍,冼沛勇.實現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全的具體方法[J].計算機(jī)與網(wǎng)絡(luò),201*,(3).
[2朱貴強(qiáng).論企業(yè)網(wǎng)絡(luò)信息安全管理[J].中國科教博覽,201*,(6).[3閆斌,曲俊華,齊林海.電力企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)方案的研究[J]。現(xiàn)代電力,201*,(1).
[4楊贊國.論企業(yè)網(wǎng)絡(luò)信息安全與防范策略[J].集團(tuán)經(jīng)濟(jì)研究,201*,(6).
[5郭護(hù)林.企業(yè)網(wǎng)絡(luò)信息安全分析[J].西北電力技術(shù),201*,(6).[6王迎新,牛東曉.中國管理信息化(綜合版),201*年第3期.
友情提示:本文中關(guān)于《淺析電力行業(yè)信息安全管理》給出的范例僅供您參考拓展思維使用,淺析電力行業(yè)信息安全管理:該篇文章建議您自主創(chuàng)作。
來源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享,如產(chǎn)生版權(quán)問題,請聯(lián)系我們及時刪除。