- 相关推荐
浅析电力行业信息安全管理
摘要:信息安全已是关系电力生产存亡和发展的重要方面。加强信息安全,才能全面提高电力行业的信息化。该文总结了目前我国电力企业信息化的特征,列举了电力企业网络信息存在的主要问题,对问题的成因进行深入分析,并提出了一系列可行性较强的加强电力企业网络信息安全的建议和方法。
关键字:电力行业;网络信息;安全管理;
1、前言
信息技术在电力企业发挥着重要作用,特别是随着厂网分开、电力市场构建,电力企业已建立起庞大复杂的调度数据网和综合信息网,计算机网络信息系统成为企业日益重要的技术支持系统。信息安全所面临的危险同时渗透到电力企业生产、经营的各个方面。电力企业调度数据网和综合信息网在物理上实现隔离,在一定程度上保证了调度数据网的安全运行,避免受到来自综合信息网的可能的攻击;然而,财务、营销、客户管理等系统的网络信息安全还相当薄弱。网络信息安全已成为影响电力安全生产的重大问题。近几年来,计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是,在计算机安全策略、安全技术和安全措施投入较少。所以,为保证电力系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机安全体系。
2、目前电力企业在网络信息安全管理方面存在以下问题。
2.1企业管理革新滞后于信息化发展进程
相对于信息技术的发展与应用,电力企业管理革新处于落后状况,有的企业引入了先进的业务系统、管理系统,而管理模式未能实施有效革新,最终导致了信息系统未能发挥预期的、应有的作用。
2.2网络信息安全管理需要成为企业安全文化的重要组成部分电力信息网络已经深入到电力生产和管理的全过程,涉及电力生产的各个层面,电力生产与管理对其依赖性日益增大。目前,在电力企业安全文化建设中,信息安全管理仍然处于从属地位,需要进行不断努力,使之成为企业安全文化的中坚力量。
2.3网络信息安全风险的存在
电力企业网络信息安全与一般企业网络信息同样具备多方面的安全风险,主要表现在以下几方面:
(1)网络结构不合理
电力企业依据有关规定将网络分为内网和外网,内外网实行物理隔离,但网络结构都存在着一些不合理的地方。常见的有:核心交换机选择不合理。不少企业网络的核心交换机是一台二层交换机,这样,所有网络用户在网络中的地位将是平等的,安全问题只有通过应用系统去解决。
(2)来自互联网的风险
几乎所有电力企业的网络都是以各种方式与互联网连接,企业用户可以直接访问互联网的资源,这给企业职工带来很大方便;同样,任何能上互联网的用户也可以访问企业网络的资源,这对宣传企业、扩大企业的影响和知名度很有好处。但是,在带来方便的同时,也带来安全风险。
(3)来自企业内部的风险
对于电力企业网络来说,来自内部的风险是非常主要的安全风险。内部人员(特别是网络管理人员)对网络结构、应用系统都非常熟悉,不经意之间泄露的重要信息,都将可能成为导致系统受攻击的最致命的安全威胁。
(4)病毒的侵害计算机病毒对计算机网络的影响是灾难性的。电子邮件系统的广泛使用,使计算机病毒的扩散速度大大加快,网络成了病毒传播的最好途径,电力企业网络同样难以幸免。因此,计算机病毒成为企业网络最严重的安全风险之一。
(5)管理人员素质风险
许多电力企业网络都存在重建设、重技术、轻管理的倾向。实践证明,安全管理制度不完善、人员素质不高是网络风险的重要来源之一。比如,网络管理员配备不当、企业员工安全意识不强、用户口令设置不合理等,都会给信息安全带来严重威胁。
(6)系统的安全风险系统的安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。目前不少企业网络使用的操作系统仍然是以Windows系列操作系统为主。不管使用哪一种操作系统都存在大量已知和未知的漏洞,这些漏洞可以导致入侵者获得管理员的权限,可以被用来实施拒绝服务攻击。
3、电力企业网络信息安全管理问题的成因分析
3.1安全意识淡薄是网络信息安全的瓶颈企业人员忙于利用网络工作学习,对网络信息的安全性无暇顾及,安全意识相当淡薄。电力企业注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求,网络信息安全处于被动的封堵漏洞状态。从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。
3.2运行管理机制的缺陷和不足制约了安全防范的力度从目前的运行管理机制来看,有以下几方面的缺陷和不足:
(1)网络安全管理方面人才匮乏由于技术应用的扩展,技术的管理也应同步扩展,但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。
(2)安全措施不到位配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷,如果缺乏周密有效的安全措施,就无法发现和及时查堵安全漏洞。当厂商发布补丁或升级软件来解决安全问题时,许多用户的系统不进行同步升级,原因是管理者未充分意识到网络不安全的风险所在,未引起重视。
(3)缺乏综合性的解决方案
大多数用户缺乏综合性的安全管理解决方案,稍有安全意识的用户依赖升级防火墙和加密技术,产生虚假的安全感。实际上,一次性使用一种方案并不能保证系统永远安全,网络安全问题远远不是防毒软件和防火墙能够解决的,也不是大量标准安全产品简单堆砌就能解决的。
4、加强电力企业网络信息安全管理的建议
4.1重视安全规划
企业网络安全规划的目的就是要对网络的安全问题有一个全面的思考,要以系统的观点去考虑安全问题。要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系。这可以参照国际上通行的一些标准来实现,如:BS7799、ISO17799、ISO15408等。
4.2合理划分安全域
电力企业是完全实行物理隔离的企业网络,在内网上仍然要合理划分安全域。要根据整体的安全规划和信息安全密级,从逻辑上划分核心重点防范区域、一般防范区域和开放区域。重点防范的区域是网络安全的核心,这部分区域是一般用户不能直接访问的区域,有很高的安全级别。各种重要数据、服务器、数据库服务器应当放置在该区域,各种应用系统、OA系统等在该区域运行。
4.3加强安全管理,重视制度建设为保证企业网络信息安全,要把企业网络信息安全作为一个系统工程来考虑。因此,企业网络的安全问题,安全管理和制度建设非常重要(特别是内网)。现提出如下建议:
(1)加强日志管理与安全审计一般的防火墙与入侵检测系统都具备审计功能,要充分利用它们的审计功能,做好网络的日志管理和安全审计工作。对审计数据要严格管理,不允许任何人修改、删除审计记录。
(2)建立内网的统一认证系统
认证是网络信息安全的关键技术之一,其目的是实现身份鉴别服务、访问控制服务、机密性服务和不可否认服务等。
(3)建立病毒防护体系
在企业网络上安装防病毒体系。防病毒软件系统要具有远程安装、远程报警、集中管理等多种功能。其次,要建立防病毒的管理制度。不能随意将互联网上下载的数据往内网主机上拷贝,来历不明的移动存储设备不能随意在联网计算机上使用,职员应熟练掌握发现病毒后的处置办法。
(4)重视网络管理制度建设严格的管理制度,是保证企业信息网络安全的重要措施之一。
1)领导应当高度重视网络信息安全问题。企业领导要高度重视安全管理和安全制度的建设问题,不能把安全管理和制度建设看成是技术部门的事。企业应当成立信息安全领导小组,由分管领导抓网络安全工作,并明确其职责和工作制度。要制订安全事故处理程序、应急计划等。
2)加强基础设施和运行环境的管理建设。企业网络的管理机构(信息中心)的机房、配电房等计算机系统重要基础设施应严格管理,配备防盗、防火、防水等设施,应当安装监控系统、监控报警装置等。建立严格的设备运行日志,记录设备运行状况。要规范操作规程,确保计算机系统的安全、可靠运行。
3)建立必要的安全管理制度。企业网络的中心机房和各业务部门计算机系统都要建立计算机系统使用管理制度,网络系统管理员、安全员、各业务部门主管和计算机操作人员的计算机密码管理规定等内控管理制度,对应用系统重要数据的修改要经过授权并由专人负责,登记日志。建立健全数据备份制度,核心程序及数据要严格保密,实行专人保管。
4)坚持安全管理原则。多人负责原则:两人或多人互相配合、互相制约。从事每项安全活动,应至少两人在场,做好工作情况记录。任期有限原则:任何人不长期担任与安全有关的职务。当人员离任时,应立即对系统进行授权调整。职责分离原则:不要打听、了解或参与职责以外的任何与安全相关的事情,除非系统主管领导批准。最小权限原则:只授予用户和系统管理员所需要的最基本权限,并且超级用户的权限也应该越小越好。
5)制度的定期督导检查。管理制度具有严肃性、权威性、强制性,管理制度一旦形成,就要严格执行。企业应组织有关人员对管理制度进行定期督导检查,保证制度的落实。
4.4加强企业员工和网络管理人员安全意识教育对于网络信息安全,企业员工和网络管理人员的素质非常重要。
(1)在安全教育具体实施过程中应该有一定的层次性。
1)对主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制订等。
2)对负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
3)对企业全体职员,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
(2)对于特定的人员要进行特定的安全培训对于关键岗位和特殊岗位的人员,通过送往专业机构学习和培训,使其获得特定的安全方面的知识和技能。通过安全培训,确保在电力信息安全保障体系逐步建立的过程中,各类人员的安全意识和技术能力获得提高,各岗位人员的技术能力和管理能力与安全保障体系的运行和维护相适应。
5、建立安全长效机制
解决网络信息安全问题,技术是安全的主体,管理是安全的灵魂。加强信息安全管理,建立安全长效机制,成为电力企业安全文化的重要组成部分,企业安全文化对企业安全生产工作起凝聚、协调和控制的作用。积极向上的共同价值观、信念、行为准则是一种内部黏结剂,是人们意识的一部分,可以使员工自觉地行动,达到自我控制和自我协调只有将有效的安全管理实践自至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。在企业中建立安全文化,并将网络信息安全管理容纳到整个企业文化体系中才是最根本的解决办法。
6、结束语
网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合应用的结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。
参考文献:
[1王瑞军,冼沛勇。实现企业网络信息安全的具体方法[J]。计算机与网络,20xx,(3)。
[2朱贵强。论企业网络信息安全管理[J]。中国科教博览,20xx,(6)。
[3闫斌,曲俊华,齐林海。电力企业网络信息安全系统建设方案的研究[J]。现代电力,20xx,(1)。
[4杨赞国。论企业网络信息安全与防范策略[J]。集团经济研究,20xx,(6)。
[5郭护林。企业网络信息安全分析[J]。西北电力技术,20xx,(6)。
[6王迎新,牛东晓。中国管理信息化(综合版),20xx年第3期。
【浅析电力行业信息安全管理】相关文章:
电力行业安全学习心得12-01
浅析信息技术在小学数学教学中的作用01-04
企业市场营销战略管理浅析08-19
电力行业述职报告12-04
电力行业个人总结11-22
电力行业简历范文08-27
电力行业的工作总结 01-02
电力行业辞职报告11-03