如何做電力企業(yè)信息安全管理?
在現(xiàn)今時代,無論是富裕的發(fā)達國家,還是貧窮的發(fā)展中國家,誰都不能沒有電。電氣工業(yè)已成為一國現(xiàn)代化的重要指標。電力企業(yè)是電氣工業(yè)的實際體現(xiàn)。電力企業(yè)做好網(wǎng)絡(luò)信息安全工作,除了采用技術(shù)手段外,必須建立安全管理機制。因為諸多不安全因素恰恰反映在組織管理等方面。良好的管理有助于增強網(wǎng)絡(luò)信息的安全性。只有切實提高網(wǎng)絡(luò)意識,建立完善的管理制度,才能保證電力企業(yè)網(wǎng)絡(luò)信息的整體安全性。
“三分技術(shù),七分管理”是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言,網(wǎng)絡(luò)安全中的30%依靠計算機系統(tǒng)信息安全設(shè)備和技術(shù)保障,而70%則依靠用戶安全管理意識的提高以及管理模式的更新。安全管理是網(wǎng)絡(luò)安全中非常重要又常被忽視的一項內(nèi)容,需要‘管理’到位、‘技術(shù)’到位、‘觀念’到位,更需要管理、技術(shù)和觀念不斷更新,而且三者要有機地結(jié)合起來,才能真正地為電力企業(yè)信息安全服務(wù)。
本人在企業(yè)從事信息化工作多年,深刻體會到企業(yè)信息化給企業(yè)帶來的巨大變革,同時也深刻體會到企業(yè)信息安全管理工作的重要性。隨著信息技術(shù)和網(wǎng)絡(luò)的不斷發(fā)展,企業(yè)信息安全問題也日益突出,如果防范不當可能給企業(yè)帶來災(zāi)難性的后果。做好網(wǎng)絡(luò)信息安全工作,除了采用技術(shù)手段外,必須建立安全管理機制。因為諸多不安全因素恰恰反映在組織管理等方面。良好的管理有助于增強網(wǎng)絡(luò)信息的安全性。只有切實提高網(wǎng)絡(luò)意識,建立完善的管理制度,才能保證電力企業(yè)網(wǎng)絡(luò)信息的整體安全性。
網(wǎng)絡(luò)信息安全管理的內(nèi)容
信息安全管理包括風(fēng)險管理、安全策略和安全教育三個部分,是電力企業(yè)進行安全規(guī)劃的基礎(chǔ)。信息安全管理通過適當?shù)刈R別企業(yè)的信息資產(chǎn),評估信息資產(chǎn)的價值,制定、實施安全策略、安全標準、安全方針、安全措施來保證企業(yè)信息資產(chǎn)的完整性、機密性、可用性,通過安全教育形成企業(yè)安全文化的重要組成部分,保障企業(yè)安全管理的順利實現(xiàn)。
風(fēng)險管理
識別企業(yè)的信息資產(chǎn),評估所有威脅這些信息資產(chǎn)的風(fēng)險,并估算這些風(fēng)險成為現(xiàn)實時企業(yè)所承受的災(zāi)難和損失。通過降低風(fēng)險、避免風(fēng)險、轉(zhuǎn)嫁風(fēng)險、接受風(fēng)險等多種風(fēng)險管理方式來協(xié)助信息管理部門制定企業(yè)信息安全策略。
安全策略
隨著電力企業(yè)規(guī)模的擴大、業(yè)務(wù)的發(fā)展,安全需求的不同,信息安全策略的制定也會有所不同。但是安全策略都應(yīng)該簡單清晰、通俗易懂并直接反映主題,避免含糊不清的情況出現(xiàn)。信息安全策略是企業(yè)信息安全的最高方針,必須由高級管理部門支持,并形成書面文檔,廣泛發(fā)布到企業(yè)的所有員工手中。
安全教育
信息安全意識和相關(guān)技能的教育是企業(yè)信息安全管理中重要的內(nèi)容,其實施力度將直接關(guān)系到電力企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證信息安全的成功和有效,高級管理部門應(yīng)當對企業(yè)各級管理人員、用戶、技術(shù)人員等進行安全培訓(xùn),所有的企業(yè)人員必須了解并嚴格執(zhí)行企業(yè)信息安全策略。
建立安全長效機制
解決網(wǎng)絡(luò)信息安全問題,技術(shù)是安全的主體,管理是安全的靈魂。加強信息安全管理,建立安全長效機制,成為電力企業(yè)安全文化的重要組成部分,其必然性由以下因素決定:
(1)電網(wǎng)企業(yè)安全文化對社會具有輻射作用。
(2)新形勢下安全生產(chǎn)要求的重大舉措。
(3)電網(wǎng)科學(xué)技術(shù)發(fā)展的需要。
(4)人本管理是電力企業(yè)先進安全文化的核心。
(5)實現(xiàn)高效的安全生產(chǎn)管理。
電力企業(yè)應(yīng)建立先進的企業(yè)安全文化。企業(yè)安全文化對企業(yè)安全生產(chǎn)工作起到凝聚、協(xié)調(diào)和控制的作用。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中,網(wǎng)絡(luò)安全的長期性和穩(wěn)定性才能有所保證。在企業(yè)中建立安全文化,并將網(wǎng)絡(luò)信息安全管理容納到整個企業(yè)文化體系中才是最根本的解決辦法。
加強電力企業(yè)網(wǎng)絡(luò)信息安全管理的建議
重視安全規(guī)劃
電力企業(yè)網(wǎng)絡(luò)信息安全規(guī)劃的目的就是要對網(wǎng)絡(luò)信息安全問題有一個全面的思考,要以系統(tǒng)的觀點去考慮信息安全問題。
要進行有效的安全管理,必須建立起一套系統(tǒng)而全面的信息安全管理體系。這可以參照國際上通行的一些標準來實現(xiàn),如:BS7799、ISO17799、ISO15408等。
合理劃分安全域
電力企業(yè)由于其應(yīng)用的需要,大部份都需要接入互聯(lián)網(wǎng),在內(nèi)網(wǎng)上需要合理劃分安全域。要根據(jù)整體的安全規(guī)劃和信息安全密級,從邏輯上劃分核心重點防范區(qū)域、一般防范區(qū)域和開放區(qū)域。重點防范的區(qū)域是網(wǎng)絡(luò)安全的核心,這部分區(qū)域是一般用戶不能直接訪問的區(qū)域,有很高的安全級別,各種重要數(shù)據(jù)、服務(wù)器、數(shù)據(jù)庫服務(wù)器應(yīng)當放置在該區(qū)域。各種應(yīng)用系統(tǒng)、OA系統(tǒng)等由于用戶需要經(jīng)常訪問,放在一般防范區(qū)域運行。開放區(qū)域的級別比較低,但必須與防范區(qū)域做到物理上的隔離。
加強安全管理,重視制度建設(shè)
為保證企業(yè)網(wǎng)絡(luò)信息安全,要把企業(yè)網(wǎng)絡(luò)信息安全作為一個系統(tǒng)工程來考慮。因此,企業(yè)網(wǎng)絡(luò)的安全問題,安全管理和制度建設(shè)非常重要(特別是內(nèi)網(wǎng))。現(xiàn)提出如下建議:
加強日志管理與安全審計
一般的防火墻與入侵檢測系統(tǒng)都具備審計功能,要充分利用它們的審計功能,作好網(wǎng)絡(luò)的日志管理和安全審計工作。對審計數(shù)據(jù)要嚴格管理,不允許任何人修改、刪除審計記錄。
建立內(nèi)網(wǎng)的統(tǒng)一認證系統(tǒng)
認證是網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)之一,其目的是實現(xiàn)身份鑒別服務(wù)、訪問控制服務(wù)、機密性服務(wù)和不可否認服務(wù)等。
建立病毒防護體系
在企業(yè)網(wǎng)絡(luò)上安裝防病毒體系。防病毒軟件系統(tǒng)要具有遠程安裝、遠程報警、集中管理等多種功能。其次,要建立防病毒的管理制度。不能隨意將互聯(lián)網(wǎng)上下載的數(shù)據(jù)往內(nèi)網(wǎng)主機上拷貝,來歷不明的移動存儲設(shè)備不能隨意在聯(lián)網(wǎng)計算機上使用,職員應(yīng)熟練掌握發(fā)現(xiàn)病毒后的處置辦法。
重視網(wǎng)絡(luò)管理制度建設(shè)
嚴格的管理制度,是保證企業(yè)信息網(wǎng)絡(luò)安全的重要措施之一。
(1)企業(yè)領(lǐng)導(dǎo)應(yīng)當高度重視網(wǎng)絡(luò)信息安全問題。企業(yè)領(lǐng)導(dǎo)要高度重視安全管理和安全制度建設(shè)問題,不能把安全管理和制度建設(shè)看成是技術(shù)部門的事。企業(yè)應(yīng)當成立信息安全領(lǐng)導(dǎo)小組,由分管領(lǐng)導(dǎo)抓網(wǎng)絡(luò)安全工作,并明確其職責(zé)和工作制度。要制訂安全事故處理程序、應(yīng)急計劃等。
(2)加強基礎(chǔ)設(shè)施和運行環(huán)境的管理建設(shè)。企業(yè)網(wǎng)絡(luò)的管理機構(gòu)(信息中心)的機房、配電房等計算機系統(tǒng)重要基礎(chǔ)設(shè)施應(yīng)嚴格管理,配備防盜、防火、防水等設(shè)施,應(yīng)當安裝監(jiān)控系統(tǒng)、報警裝置等。建立嚴格的設(shè)備運行日志,記錄設(shè)備運行狀況。要規(guī)范操作規(guī)程,確保計算機系統(tǒng)的安全、可靠運行。
(3)建立必要的安全管理制度。企業(yè)網(wǎng)絡(luò)的中心機房和各業(yè)務(wù)部門計算機系統(tǒng)都要建立計算機系統(tǒng)使用管理制度,網(wǎng)絡(luò)系統(tǒng)管理員、安全員、各業(yè)務(wù)部門主管和計算機操作人員的計算機密碼管理規(guī)定等內(nèi)控管理制度,對應(yīng)用系統(tǒng)重要數(shù)據(jù)的修改要經(jīng)過授權(quán)并由專人負責(zé),登記日志。建立健全數(shù)據(jù)備份制度,核心程序及數(shù)據(jù)要嚴格保密,實行專人保管。
(4)堅持安全管理原則。多人負責(zé)原則:兩人或多人互相配合、互相制約。從事每項安全活動,應(yīng)至少兩人在場,做好工作情況記錄。任期有限原則:任何人不長期擔(dān)任與安全有關(guān)的職務(wù)。當人員離任時,應(yīng)立即對系統(tǒng)進行授權(quán)調(diào)整。職責(zé)分離原則:不要打聽、了解或參與職責(zé)以外的任何與安全相關(guān)的事情,除非系統(tǒng)主管領(lǐng)導(dǎo)批準。最小權(quán)限原則:只授予用戶和系統(tǒng)管理員所需要的最基本權(quán)限,并且超級用戶的權(quán)限也應(yīng)該越小越好。
(5)制度的定期督導(dǎo)檢查。管理制度具有嚴肅性、權(quán)威性、強制性,管理制度一旦形成,就要嚴格執(zhí)行。企業(yè)應(yīng)組織有關(guān)人員對管理制度進行定期督導(dǎo)檢查,保證制度的落實。
加強企業(yè)員工和網(wǎng)絡(luò)管理人員安全意識教育
對于網(wǎng)絡(luò)信息安全,企業(yè)員工和網(wǎng)絡(luò)管理人員的素質(zhì)非常重要,應(yīng)加強企業(yè)員工和網(wǎng)絡(luò)管理人員安全意識教育,對其進行特定的安全培訓(xùn),以增強其安全技能。
在安全教育具體實施過程中應(yīng)該有一定的層次性
(1)對主管信息安全工作的高級負責(zé)人或各級管理人員,重點是熟悉、掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構(gòu)成、安全管理部門的建立和管理制度的制訂等。
(2)對負責(zé)信息安全運行管理及維護的技術(shù)人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術(shù)的合理運用等。
(3)對企業(yè)全體職員,重點是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。
對于特定的人員要進行特定的安全培訓(xùn)
對于關(guān)鍵崗位和特殊崗位的工作人員,通過送往專業(yè)機構(gòu)學(xué)習(xí)和培訓(xùn),使其獲得特定的安全方面的知識和技能。通過安全培訓(xùn),確保在電力信息安全保障體系逐步建立的過程中,各類人員的安全意識和技術(shù)能力獲得提高,各崗位人員的技術(shù)能力和管理能力與安全保障體系的運行和維護相適應(yīng)。
責(zé)任編輯:電改觀察員
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進行時丨陜西電力部署6項重點任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)