淺析電力行業(yè)信息安全管理
淺析電力企業(yè)網絡信息安全管理
摘要:信息安全已是關系電力生產存亡和發(fā)展的重要方面。加強信息安全,才能全面提高電力行業(yè)的信息化�����。該文總結了目前我國電力企業(yè)信息化的特征���,列舉了電力企業(yè)網絡信息存在的主要問題�����,對問題的成因進行深入分析���,并提出了一系列可行性較強的加強電力企業(yè)網絡信息安全的建議和方法。
關鍵字:電力行業(yè)��;網絡信息;安全管理����;1、前言
信息技術在電力企業(yè)發(fā)揮著重要作用��,特別是隨著廠網分開����、電力市場構建,電力企業(yè)已建立起龐大復雜的調度數(shù)據(jù)網和綜合信息網��,計算機網絡信息系統(tǒng)成為企業(yè)日益重要的技術支持系統(tǒng)��。信息安全所面臨的危險同時滲透到電力企業(yè)生產��、經營的各個方面�。電力企業(yè)調度數(shù)據(jù)網和綜合信息網在物理上實現(xiàn)隔離��,在一定程度上保證了調度數(shù)據(jù)網的安全運行��,避免受到來自綜合信息網的可能的攻擊�;然而,財務�、營銷、客戶管理等系統(tǒng)的網絡信息安全還相當薄弱。網絡信息安全已成為影響電力安全生產的重大問題����。近幾年來,計算機在整個電力系統(tǒng)的生產�����、經營����、管理等方面應用越來越多。但是��,在計算機安全策略����、安全技術和安全措施投入較少。所以���,為保證電力系統(tǒng)安全����、穩(wěn)定��、高效運行,應建立一套結合電力計算機應用特點的計算機安全體系�����。
2�、目前電力企業(yè)在網絡信息安全管理方面存在以下問題。
2.1企業(yè)管理革新滯后于信息化發(fā)展進程
相對于信息技術的發(fā)展與應用����,電力企業(yè)管理革新處于落后狀況,有的企業(yè)引入了先進的業(yè)務系統(tǒng)��、管理系統(tǒng)�,而管理模式未能實施有效革新,最終導致了信息系統(tǒng)未能發(fā)揮預期的�����、應有的作用���。
2.2網絡信息安全管理需要成為企業(yè)安全文化的重要組成部分電力信息網絡已經深入到電力生產和管理的全過程,涉及電力生產的各個層面�����,電力生產與管理對其依賴性日益增大。目前�,在電力企業(yè)安全文化建設中,信息安全管理仍然處于從屬地位��,需要進行不斷努力�,使之成為企業(yè)安全文化的中堅力量。
2.3網絡信息安全風險的存在
電力企業(yè)網絡信息安全與一般企業(yè)網絡信息同樣具備多方面的安全風險��,主要表現(xiàn)在以下幾方面:1)網絡結構不合理
電力企業(yè)依據(jù)有關規(guī)定將網絡分為內網和外網�,內外網實行物理隔離,但網絡結構都存在著一些不合理的地方���。常見的有:核心交換機選擇不合理�。不少企業(yè)網絡的核心交換機是一臺二層交換機���,這樣��,所有網絡用戶在網絡中的地位將是平等的�����,安全問題只有通過應用系統(tǒng)去解決���。
(2)來自互聯(lián)網的風險
幾乎所有電力企業(yè)的網絡都是以各種方式與互聯(lián)網連接��,企業(yè)用戶可以直接訪問互聯(lián)網的資源�,這給企業(yè)職工帶來很大方便�;同樣,任何能上互聯(lián)網的用戶也可以訪問企業(yè)網絡的資源���,這對宣傳企業(yè)��、擴大企業(yè)的影響和知名度很有好處����。但是���,在帶來方便的同時���,也帶來安全風險。
(3)來自企業(yè)內部的風險
對于電力企業(yè)網絡來說���,來自內部的風險是非常主要的安全風險�����。內部人員(特別是網絡管理人員)對網絡結構�、應用系統(tǒng)都非常熟悉���,不經意之間泄露的重要信息�,都將可能成為導致系統(tǒng)受攻擊的最致命的安全威脅����。
(4)病毒的侵害計算機病毒對計算機網絡的影響是災難性的。電子郵件系統(tǒng)的廣泛使用���,使計算機病毒的擴散速度大大加快��,網絡成了病毒傳播的最好途徑����,電力企業(yè)網絡同樣難以幸免�。因此,計算機病毒成為企業(yè)網絡最嚴重的安全風險之一�。
(5)管理人員素質風險
許多電力企業(yè)網絡都存在重建設、重技術����、輕管理的傾向。實踐證明����,安全管理制度不完善�����、人員素質不高是網絡風險的重要來源之一����。比如���,網絡管理員配備不當���、企業(yè)員工安全意識不強、用戶口令設置不合理等����,都會給信息安全帶來嚴重威脅。
(6)系統(tǒng)的安全風險系統(tǒng)的安全風險主要指操作系統(tǒng)�、數(shù)據(jù)庫系統(tǒng)和各種應用系統(tǒng)所存在的安全風險。目前不少企業(yè)網絡使用的操作系統(tǒng)仍然是以Windows系列操作系統(tǒng)為主�����。不管使用哪一種操作系統(tǒng)都存在大量已知和未知的漏洞,這些漏洞可以導致入侵者獲得管理員的權限���,可以被用來實施拒絕服務攻擊���。3�����、電力企業(yè)網絡信息安全管理問題的成因分析
3.1安全意識淡薄是網絡信息安全的瓶頸企業(yè)人員忙于利用網絡工作學習��,對網絡信息的安全性無暇顧及��,安全意識相當?shù)�����。電力企業(yè)注重的是網絡效應���,對安全領域的投入和管理遠遠不能滿足安全防范的要求���,網絡信息安全處于被動的封堵漏洞狀態(tài)。從上到下普遍存在僥幸心理��,沒有形成主動防范、積極應對的全民意識�,更無法從根本上提高網絡監(jiān)測、防護�、響應、恢復和抗擊能力�����。
3.2運行管理機制的缺陷和不足制約了安全防范的力度從目前的運行管理機制來看�,有以下幾方面的缺陷和不足:
1)網絡安全管理方面人才匱乏由于技術應用的擴展,技術的管理也應同步擴展���,但從事系統(tǒng)管理的人員卻往往并不具備安全管理所需的技能����、資源和利益導向�����。
2)安全措施不到位配置不當或過時的操作系統(tǒng)���、郵件程序和內部網絡都存在入侵者可利用的缺陷���,如果缺乏周密有效的安全措施,就無法發(fā)現(xiàn)和及時查堵安全漏洞。當廠商發(fā)布補丁或升級軟件來解決安全問題時���,許多用戶的系統(tǒng)不進行同步升級����,原因是管理者未充分意識到網絡不安全的風險所在���,未引起重視。
(3)缺乏綜合性的解決方案
大多數(shù)用戶缺乏綜合性的安全管理解決方案����,稍有安全意識的用戶依賴升級防火墻和加密技術,產生虛假的安全感��。實際上��,一次性使用一種方案并不能保證系統(tǒng)永遠安全��,網絡安全問題遠遠不是防毒軟件和防火墻能夠解決的�����,也不是大量標準安全產品簡單堆砌就能解決的�����。4、加強電力企業(yè)網絡信息安全管理的建議
4.1重視安全規(guī)劃
企業(yè)網絡安全規(guī)劃的目的就是要對網絡的安全問題有一個全面的思考��,要以系統(tǒng)的觀點去考慮安全問題����。要進行有效的安全管理,必須建立起一套系統(tǒng)全面的信息安全管理體系�����。這可以參照國際上通行的一些標準來實現(xiàn)�,如:BS7799、ISO17799����、ISO15408等。
4.2合理劃分安全域
電力企業(yè)是完全實行物理隔離的企業(yè)網絡�����,在內網上仍然要合理劃分安全域����。要根據(jù)整體的安全規(guī)劃和信息安全密級����,從邏輯上劃分核心重點防范區(qū)域���、一般防范區(qū)域和開放區(qū)域���。重點防范的區(qū)域是網絡安全的核心,這部分區(qū)域是一般用戶不能直接訪問的區(qū)域�����,有很高的安全級別�����。各種重要數(shù)據(jù)�����、服務器����、數(shù)據(jù)庫服務器應當放置在該區(qū)域���,各種應用系統(tǒng)�、OA系統(tǒng)等在該區(qū)域運行。
4.3加強安全管理����,重視制度建設為保證企業(yè)網絡信息安全,要把企業(yè)網絡信息安全作為一個系統(tǒng)工程來考慮����。因此,企業(yè)網絡的安全問題���,安全管理和制度建設非常重要(特別是內網)��,F(xiàn)提出如下建議:
(1)加強日志管理與安全審計一般的防火墻與入侵檢測系統(tǒng)都具備審計功能����,要充分利用它們的審計功能���,做好網絡的日志管理和安全審計工作��。對審計數(shù)據(jù)要嚴格管理���,不允許任何人修改����、刪除審計記錄���。
(2)建立內網的統(tǒng)一認證系統(tǒng)
認證是網絡信息安全的關鍵技術之一��,其目的是實現(xiàn)身份鑒別服務����、訪問控制服務����、機密性服務和不可否認服務等。
(3)建立病毒防護體系
在企業(yè)網絡上安裝防病毒體系���。防病毒軟件系統(tǒng)要具有遠程安裝、遠程報警����、集中管理等多種功能。其次���,要建立防病毒的管理制度��。不能隨意將互聯(lián)網上下載的數(shù)據(jù)往內網主機上拷貝����,來歷不明的移動存儲設備不能隨意在聯(lián)網計算機上使用,職員應熟練掌握發(fā)現(xiàn)病毒后的處置辦法�����。
(4)重視網絡管理制度建設嚴格的管理制度����,是保證企業(yè)信息網絡安全的重要措施之一。
1)領導應當高度重視網絡信息安全問題�����。企業(yè)領導要高度重視安全管理和安全制度的建設問題�����,不能把安全管理和制度建設看成是技術部門的事����。企業(yè)應當成立信息安全領導小組,由分管領導抓網絡安全工作�����,并明確其職責和工作制度。要制訂安全事故處理程序���、應急計劃等��。
2)加強基礎設施和運行環(huán)境的管理建設�����。企業(yè)網絡的管理機構(信息中心)的機房�、配電房等計算機系統(tǒng)重要基礎設施應嚴格管理�����,配備防盜�����、防火�����、防水等設施�,應當安裝監(jiān)控系統(tǒng)、監(jiān)控報警裝置等���。建立嚴格的設備運行日志����,記錄設備運行狀況�。要規(guī)范操作規(guī)程,確保計算機系統(tǒng)的安全�����、可靠運行�。
3)建立必要的安全管理制度。企業(yè)網絡的中心機房和各業(yè)務部門計算機系統(tǒng)都要建立計算機系統(tǒng)使用管理制度�����,網絡系統(tǒng)管理員���、安全員���、各業(yè)務部門主管和計算機操作人員的計算機密碼管理規(guī)定等內控管理制度,對應用系統(tǒng)重要數(shù)據(jù)的修改要經過授權并由專人負責,登記日志����。建立健全數(shù)據(jù)備份制度,核心程序及數(shù)據(jù)要嚴格保密�����,實行專人保管�。
4)堅持安全管理原則。多人負責原則:兩人或多人互相配合�����、互相制約���。從事每項安全活動��,應至少兩人在場�����,做好工作情況記錄����。任期有限原則:任何人不長期擔任與安全有關的職務。當人員離任時��,應立即對系統(tǒng)進行授權調整�����。職責分離原則:不要打聽�、了解或參與職責以外的任何與安全相關的事情���,除非系統(tǒng)主管領導批準�。最小權限原則:只授予用戶和系統(tǒng)管理員所需要的最基本權限�,并且超級用戶的權限也應該越小越好。
5)制度的定期督導檢查�。管理制度具有嚴肅性、權威性����、強制性,管理制度一旦形成���,就要嚴格執(zhí)行���。企業(yè)應組織有關人員對管理制度進行定期督導檢查,保證制度的落實。
4.4加強企業(yè)員工和網絡管理人員安全意識教育對于網絡信息安全��,企業(yè)員工和網絡管理人員的素質非常重要�����。
(1)在安全教育具體實施過程中應該有一定的層次性�����。
1)對主管信息安全工作的高級負責人或各級管理人員����,重點是了解、掌握企業(yè)信息安全的整體策略及目標�、信息安全體系的構成、安全管理部門的建立和管理制度的制訂等���。
2)對負責信息安全運行管理及
維護的技術人員�,重點是充分理解信息安全管理策略�,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等���。
3)對企業(yè)全體職員�����,重點是學習各種安全操作流程��,了解和掌握與其相關的安全策略�����,包括自身應該承擔的安全職責等��。
(2)對于特定的人員要進行特定的安全培訓對于關鍵崗位和特殊崗位的人員���,通過送往專業(yè)機構學習和培訓,使其獲得特定的安全方面的知識和技能�����。通過安全培訓��,確保在電力信息安全保障體系逐步建立的過程中�����,各類人員的安全意識和技術能力獲得提高����,各崗位人員的技術能力和管理能力與安全保障體系的運行和維護相適應����。5�、建立安全長效機制解決網絡信息安全問題,技術是安全的主體��,管理是安全的靈魂���。加強信息安全管理�,建立安全長效機制���,成為電力企業(yè)安全文化的重要組成部分��,企業(yè)安全文化對企業(yè)安全生產工作起凝聚��、協(xié)調和控制的作用����。積極向上的共同價值觀���、信念��、行為準則是一種內部黏結劑�,是人們意識的一部分,可以使員工自覺地行動��,達到自我控制和自我協(xié)調只有將有效的安全管理實踐自至終貫徹落實于信息安全當中����,網絡安全的長期性和穩(wěn)定性才能有所保證。在企業(yè)中建立安全文化���,并將網絡信息安全管理容納到整個企業(yè)文化體系中才是最根本的解決辦法。6����、結束語
網絡安全是一個系統(tǒng)的、全局的管理問題��,網絡上的任何一個漏洞��,都會導致全網的安全問題�,我們應該用系統(tǒng)工程的觀點、方法�����,分析網絡的安全及具體措施。安全措施主要包括:行政法律手段�、各種管理制度(人員審查、工作流程�����、維護保障制度等)以及專業(yè)措施(識別技術����、存取控制、密碼���、低輻射��、容錯�、防病毒����、采用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合應用的結果���。一個計算機網絡��,包括個人�、設備、軟件���、數(shù)據(jù)等����。這些環(huán)節(jié)在網絡中的地位和影響作用�����,也只有從系統(tǒng)綜合整體的角度去看待�����、分析�����,才能取得有效����、可行的措施�。計算機網絡安全應遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網絡安全體系結構����。這樣才能真正做到整個系統(tǒng)的安全����。
參考文獻:[1王瑞軍��,冼沛勇.實現(xiàn)企業(yè)網絡信息安全的具體方法[J].計算機與網絡����,201*,(3).
[2朱貴強.論企業(yè)網絡信息安全管理[J].中國科教博覽���,201*��,(6).[3閆斌�����,曲俊華���,齊林海.電力企業(yè)網絡信息安全系統(tǒng)建設方案的研究[J]。現(xiàn)代電力����,201*����,(1).
[4楊贊國.論企業(yè)網絡信息安全與防范策略[J].集團經濟研究�,201*,(6).
[5郭護林.企業(yè)網絡信息安全分析[J].西北電力技術�,201*,(6).[6王迎新,牛東曉.中國管理信息化(綜合版),201*年第3期.
友情提示:本文中關于《淺析電力行業(yè)信息安全管理》給出的范例僅供您參考拓展思維使用�,淺析電力行業(yè)信息安全管理:該篇文章建議您自主創(chuàng)作。
來源:網絡整理 免責聲明:本文僅限學習分享�����,如產生版權問題���,請聯(lián)系我們及時刪除�。
《
淺析電力行業(yè)信息安全管理》由互聯(lián)網用戶整理提供,轉載分享請保留原作者信息,謝謝!
鏈接地址:http://www.taixiivf.com/gongwen/706339.html
