二、解決信息安全問題的基本原則

統籌規劃,分步實施。要建立完整的信息安全防護體系,絕不能一哄而上,必須分清需求的輕重緩急,根據信息化建設的發展,結合信息系統建設和應用的步伐,統一規劃,分步建設,逐步投資。

1、做好安全風險的評估。進行安全系統的建設,首先必須做好安全狀況評估分析,評估應聘請專業信息安全咨詢公司,并組織企業內部信息人員和專業人員深度參與,全面進行信息安全風險評估,找出問題,確定需求,制定策略,再來實施,實施完成后還要定期評估和改進。

信息安全系統建設著重點在安全和穩定,應盡量采用成熟的技術和產品,不能過分求全求新。

培養信息安全專門人才和加強信息安全管理工作必須與信息安全防護系統建設同步進行,才能真正發揮信息安全防護系統和設備的作用。

2、采用信息安全新技術,建立信息安全防護體系

企業信息安全面臨的問題很多,我們可以根據安全需求的輕重緩急,解決相關安全問題的信息安全技術的成熟度綜合考慮,分步實施。技術成熟的,能快速見效的安全系統先實施

3、計算機防病毒系統

計算機防病毒系統是發展時間最長的信息安全技術,從硬件防病毒卡,單機版防病毒軟件到網絡版防病毒軟件,到企業版防病毒軟件,技術成熟且應用效果非常明顯。防病毒軟件系統的應用基本上可以防治絕大多數計算機病毒,保障信息系統的安全。

在目前的網絡環境下,能夠提供集中管理,服務器自動升級,客戶端病毒定義碼自動更新,支持多種操作系統平臺,多種應用平臺殺毒的企業版殺毒軟件,是電網公司這樣的大型企業的首選。個人版本的殺毒軟件適合家庭,小規模用戶。

4、網絡安全防護系統

信息資源訪問的安全是信息安全的一個重要內容,在信息系統建設的設計階段,就必須仔細分析,設計出合理的,靈活的用戶管理和權限控制機制,明確信息資源的訪問范圍,制定信息資源訪問策略。

對于已經投入使用的信息系統,可以通過采用增加安全訪問網關的方法,來增強原有系統的用戶管理和對信息資源訪問的控制,以及實現單點登陸訪問任意系統等功能。這種方式基本上不需要改動原來的系統,實施的技術難度相對小一些。對于新建系統,則最好采用統一身份認證平臺技術,來實現不同系統通過同一個用戶管理平臺實現用戶管理和訪問控制。

5、開展信息安全專題研究,為將來的應用做好準備

電網實時監視與控制系統的安全問題要求更高,技術難度更大,應開展專題研究。

國家有關部門和電力企業對電網實時監視與控制系統的安全問題高度重視,專門發文要求確保電網二次系統的計算機和網絡系統的安全,要實現調度控制系統,數據網與其他生產管理系統和網絡的有效隔離,甚至是物理隔離。

6、電子商務安全需要深入研究和逐步應用

電子商務的安全牽涉很多方面,包括嚴格,安全的身份的認證技術,對涉及商業機密的信息實現加密傳輸,采取數字簽名技術保證合同和交易的完整性及不可否認性等。這些方面又與信息安全基礎技術平臺密切相關,因此安全基礎平臺的建設對于電子商務的安全應用是至關重要的。目前已經有電子商務的應用系統投入在線使用,我們必須加快對電子商務的安全的研究和應用,否則將來會出現因電子在線交易不安全,不可靠的而導致電子商務系統無人敢用的局面。

7、依據法規,遵循標準,提高安全管理水平

信息安全的管理包括了法律法規的規定,責任的分化,策略的規劃,政策的制訂,流程的制作,操作的審議等等。雖然信息安全"七分管理,三分技術"的說法不是很精確,但管理的作用可見一斑。

三、解決信息安全問題的思路與對策

電力企業的信息安全管理相對來說還是一個較新的話題,國內其他電力企業也在積極研究和探討,以下是一些粗淺的看法。

1、依據國家法律,法規,建立企業信息安全管理制度

國家在信息安全方面發布了一系列的法律法規和技術標準,對信息網絡安全進行了明確的規定，并有專門的部門負責信息安全的管理和執法。企業首先必須遵守國家發布的這些法律法規和技術標準,企業也必須依據這些法律法規,來建立自己的管理標準,技術體系,指導信息安全工作。學習信息安全管理國際標準,提升企業信息安全管理水平

國際上的信息技術發展和應用比我們先進,在信息安全領域的研究起步比我們更早,取得了很多的成果和經驗,我們可以充分利用國際標準來指導我們的工作,提高水平,少走彎路。

信息安全是企業信息化工作中一項重要而且長期的工作,為此必須各單位建立一個信息安全工作的組織體系和常設機構,明確領導,設立專責人長期負責信息安全的管理工作和技術工作,長能保證信息安全工作長期的,有效的開展,才能取得好的成績。

2、開展全員信息安全教育和培訓活動

安全意識和相關技能的教育是企業安全管理中重要的內容,信息安全不僅僅是信息部門的事,它牽涉到企業所有的員工,為了保證安全的成功和有效,應當對企業各級管理人員,用戶,技術人員進行安全培訓,減少人為差錯,失誤造成的安全風險。

開展安全教育和培訓還應該注意安全知識的層次性,主管信息安全工作的負責人或各級管理人員,重點是了解,掌握企業信息安全的整體策略及目標,信息安全體系的構成,安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等;用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。

3、充分利用企業網絡條件,提供全面,及時和快捷的信息安全服務

山東省電力公司廣域網聯通了系統內的各個二級單位,各單位的局域網全部建成,在這種良好的網絡條件下,作為省公司一級的信息安全技術管理部門應建立計算機網絡應急處理的信息發布與技術支持平臺,發布安全公告,安全法規和技術標準,提供安全軟件下載,搜集安全問題,解答用戶疑問,提供在線的信息安全教育培訓,并為用戶提供一個相互交流經驗的場所。網絡方式的信息服務突破了時間,空間和地域的限制,是信息安全管理和服務的重要方式。

4、在發展中求安全

沒有百分之百安全的技術和防護系統黑客技術,計算機病毒等信息安全攻擊技術在不斷發展的,人們對它們的認識,掌握也不是完全的,安全防護軟件系統由于技術復雜,在研制開發過程中不可避免的會出現這樣或者那樣的問題,這勢必決定了安全防護系統和設備不可能百分百的防御各種已知的,未知的信息安全威脅。

不是所有的信息安全問題可以一次解決

人們對信息安全問題的認識是隨著技術和應用的發展而逐步提高的,不可能一次就發現所有的安全問題。信息安全生產廠家所生產的系統和設備,也僅僅是滿足某一些方面的安全需求,不是企業有某一方面的信息安全需求,市場上就有對應的成熟產品,因此不是所有的安全問題都可以找到有效的解決方案。

5、解決信息安全問題不可能一勞永逸

企業的信息化應用是隨著企業的發展而不斷發展的,信息技術更是日新月異的發展的,安全的需求也是逐步變化的,新的安全問題也不斷產生,原來建設的防護系統可能不滿足新形勢下的安全需求,這些都決定了信息安全是一個動態過程,需要定期對信息網絡安全狀況進行評估,改進安全方案,調整安全策略。信息安全是一個伴隨著企業信息化應用發展而發展的永恒課題。