信息安全就是數據的安全

2014-09-26 11:29:42 EP電力信息化網　點擊量：評論 (0)

信息安全就是數據的安全文國家電網重慶電力涪陵公司唐振勇唐湉湉我國電力工業體制開始向市場經營模式轉變。各級供電企業紛紛建立數據中心，信息存儲系統和基于云計算的大集中管理應用，已成為提高生產效率、

信息安全就是數據的安全

文/國家電網重慶電力涪陵公司唐振勇唐湉湉

我國電力工業體制開始向市場經營模式轉變。各級供電企業紛紛建立數據中心，信息存儲系統和基于云計算的大集中管理應用，已成為提高生產效率、管理水平、加強信息反饋和提高企業經營決策以及綜合競爭力的科學手段。隨著電力信息網絡的互聯互通，電力信息網絡面臨日益突出的信息系統安全問題。

怎樣才能保證我們信息的保密、完整和可用性呢？眾所紛云的口頭禪 “信息安全”到底是什么？我們曾經作過調查：70%的人認為“信息安全太廣義了，包含的內容太多。如果指定哪方面的安全，我們加強重視和防范不就行了”，30%的人認為“信息安全問題，國家有專門的保障體系，我們只是在技術上采取策略和措施，將對信息的危害降到最低的程度。這是我們應盡的職責。”如表1所示。

表1 “IT運維網”注冊用戶對信息安全的調查報告

大集中云技術讓我們感覺到數據中心近在眼前，而且越來越近，我們獲取數據信息猶如撐手摘云。但前提是首先要加固網絡安全，包括信息系統自身的安全，信息網絡的安全和信息人員的安全。

確實，信息安全包含內容較多，分信息安全保障和信息安全技術兩大類，正如“積極防御，綜合防范，管理與技術并重”的方針，即在信息系統的整個生命周期中，通過對信息系統的風險分析，制定并執行相應的安全保障策略，從技術、管理、工程和人員等方面提高安全保障要求，確保信息的機密性、完整性和可用性，降低安全風險到可接受的程度，從而保障系統實現組織機構的使命。

安全策略又分組織措施和技術措施。組織措施包括成立信息安全管理機構即信息安全領導小組；制定信息安全的目標，確保業務的連續性，并通過一系列預防措施將業務可能受到的損害降到最低，將安全事故產生的影響降到最小；實施信息安全管理辦法，在確保信息系統資產受到保護的同時，確保信息能夠在允許的范圍內正常使用，保護每種資產的機密性、完整性、可用性等三個基本要素；頒布信息安全管理制度，如數據中心機房出入；門禁、視頻監控、巡視、防護、檢測、跟蹤、響應、缺陷處理、恢復、終結以及人員管理和培訓計劃等等。技術措施包含很多綜合的技術，如加解密技術、訪問控制技術、審計和監控、入侵檢測、深度防御、設備監控、網絡架構以及攻防兼備技術。

信息安全就是數據的安全。在沒有數據中心集中備份的條件下，管理層不考慮信息數據的安全問題，而片面追求系統運行速度，以最小的投入達到應用目的。這種理念在中、小型企業中普遍存在。信息系統自身的安全，包括硬件和軟件系統，關鍵是磁盤陣列設備和架構的安全。

電力信息網絡與互聯網實行物理隔離，但仍要防止意外破壞或者內部人員的安全控制，也要面對如網絡病毒、蠕蟲、木馬和電腦“黑客”等的各種攻擊。電力企業信息傳輸基本上是明文方式，不具有信息安全所要求的保密、完整和發送方不可抵賴的要求。在數據庫或操作系統文件中以明文形式存儲的信息也存在泄露的可能，因為拿到存儲介質的人可以讀出這些信息；黑客可以繞過操作系統、數據庫管理系統的控制獲取這些信息；系統后門使軟硬件系統制造商也很容易得到這些信息。

要加強信息人員的安全教育，保持信息人員特別是網絡管理員和安全管理員的相對穩定，防止網絡機密泄露，特別注意人員調離時的網絡機密的泄露。對網絡設備、服務器、存儲設備的操作要履行簽字許可制度和操作監護制度，杜絕誤修改和非法修改。主管信息安全工作的高級負責人或各級管理人員，重點了解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制定。負責信息安全運行管理及維護的技術人員，重點理解信息安全管理策略，掌握安全評估的基本方法，合理運用安全操作和維護技術。信息用戶人員，重點學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責。對特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。

國家電網吹響了推行“三集五大” 的戰斗號角，南方電網也全面推行信息系統一體化平臺應用。大集中模式已經形成，數據中心近在眼前，猶如電力信息網絡的一朵朵云彩。電力信息安全已經成為電力企業生產、經營和管理的重要組成部分，并被提高到新的高度。電力企業的綜合信息管理系統中，必須從網絡、操作系統、應用程序和業務需求等各方面來保證系統的安全，研究電力信息網絡安全問題、制訂切實可行的防范措施與系統災難恢復等安全防護策略勢在必行，信息安全應急預案是當前信息化工作的重要內容。在企業中建立安全文化并容納到整個企業文化體系中才是最根本的解決辦法。