摘要:資訊保安已是關係電力生產存亡和發展的重要方面。加強資訊保安,才能全面提高電力行業的資訊化。該文總結了目前我國電力企業資訊化的特徵,列舉了電力企業網路資訊存在的主要問題,對問題的成因進行深入分析,並提出了一系列可行性較強的加強電力企業網路資訊保安的建議和方法。
關鍵字:電力行業;網路資訊;安全管理;
1、前言
資訊科技在電力企業發揮著重要作用,特別是隨著廠網分開、電力市場構建,電力企業已建立起龐大複雜的排程資料網和綜合資訊網,計算機網路資訊系統成為企業日益重要的技術支援系統。資訊保安所面臨的危險同時滲透到電力企業生產、經營的各個方面。電力企業排程資料網和綜合資訊網在物理上實現隔離,在一定程度上保證了排程資料網的安全執行,避免受到來自綜合資訊網的可能的攻擊;然而,財務、營銷、客戶管理等系統的網路資訊保安還相當薄弱。網路資訊保安已成為影響電力安全生產的重大問題。近幾年來,計算機在整個電力系統的生產、經營、管理等方面應用越來越多。但是,在電腦保安策略、安全技術和安全措施投入較少。所以,為保證電力系統安全、穩定、高效執行,應建立一套結合電力計算機應用特點的電腦保安體系。
2、目前電力企業在網路資訊保安管理方面存在以下問題。
2.1企業管理革新滯後於資訊化發展程序
相對於資訊科技的發展與應用,電力企業管理革新處於落後狀況,有的企業引入了先進的業務系統、管理系統,而管理模式未能實施有效革新,最終導致了資訊系統未能發揮預期的、應有的作用。
2.2網路資訊保安管理需要成為企業安全文化的重要組成部分電力資訊網路已經深入到電力生產和管理的全過程,涉及電力生產的各個層面,電力生產與管理對其依賴性日益增大。目前,在電力企業安全文化建設中,資訊保安管理仍然處於從屬地位,需要進行不斷努力,使之成為企業安全文化的中堅力量。
2.3網路資訊保安風險的存在
電力企業網路資訊保安與一般企業網路資訊同樣具備多方面的安全風險,主要表現在以下幾方面:
(1)網路結構不合理
電力企業依據有關規定將網路分為內網和外網,內外網實行物理隔離,但網路結構都存在著一些不合理的地方。常見的有:核心交換機選擇不合理。不少企業網路的核心交換機是一臺二層交換機,這樣,所有網路使用者在網路中的地位將是平等的,安全問題只有通過應用系統去解決。
(2)來自網際網路的風險
幾乎所有電力企業的網路都是以各種方式與網際網路連線,企業使用者可以直接訪問網際網路的資源,這給企業職工帶來很大方便;同樣,任何能上網際網路的使用者也可以訪問企業網路的資源,這對宣傳企業、擴大企業的影響和知名度很有好處。但是,在帶來方便的同時,也帶來安全風險。
(3)來自企業內部的風險
對於電力企業網路來說,來自內部的風險是非常主要的安全風險。內部人員(特別是網路管理人員)對網路結構、應用系統都非常熟悉,不經意之間洩露的重要資訊,都將可能成為導致系統受攻擊的最致命的安全威脅。
(4)病毒的侵害計算機病毒對計算機網路的影響是災難性的。電子郵件系統的廣泛使用,使計算機病毒的擴散速度大大加快,網路成了病毒傳播的最好途徑,電力企業網路同樣難以倖免。因此,計算機病毒成為企業網路最嚴重的安全風險之一。
(5)管理人員素質風險
許多電力企業網路都存在重建設、重技術、輕管理的傾向。實踐證明,安全管理制度不完善、人員素質不高是網路風險的重要來源之一。比如,網路管理員配備不當、企業員工安全意識不強、使用者口令設定不合理等,都會給資訊保安帶來嚴重威脅。
(6)系統的安全風險系統的安全風險主要指作業系統、資料庫系統和各種應用系統所存在的安全風險。目前不少企業網路使用的作業系統仍然是以Windows系列作業系統為主。不管使用哪一種作業系統都存在大量已知和未知的漏洞,這些漏洞可以導致入侵者獲得管理員的許可權,可以被用來實施拒絕服務攻擊。
3、電力企業網路資訊保安管理問題的成因分析
3.1安全意識淡薄是網路資訊保安的瓶頸企業人員忙於利用網路工作學習,對網路資訊的'安全性無暇顧及,安全意識相當淡薄。電力企業注重的是網路效應,對安全領域的投入和管理遠遠不能滿足安全防範的要求,網路資訊保安處於被動的封堵漏洞狀態。從上到下普遍存在僥倖心理,沒有形成主動防範、積極應對的全民意識,更無法從根本上提高網路監測、防護、響應、恢復和抗擊能力。
3.2執行管理機制的缺陷和不足制約了安全防範的力度從目前的執行管理機制來看,有以下幾方面的缺陷和不足:
(1)網路安全管理方面人才匱乏由於技術應用的擴充套件,技術的管理也應同步擴充套件,但從事系統管理的人員卻往往並不具備安全管理所需的技能、資源和利益導向。
(2)安全措施不到位配置不當或過時的作業系統、郵件程式和內部網路都存在入侵者可利用的缺陷,如果缺乏周密有效的安全措施,就無法發現和及時查堵安全漏洞。當廠商釋出補丁或升級軟體來解決安全問題時,許多使用者的系統不進行同步升級,原因是管理者未充分意識到網路不安全的風險所在,未引起重視。
(3)缺乏綜合性的解決方案
大多數使用者缺乏綜合性的安全管理解決方案,稍有安全意識的使用者依賴升級防火牆和加密技術,產生虛假的安全感。實際上,一次性使用一種方案並不能保證系統永遠安全,網路安全問題遠遠不是防毒軟體和防火牆能夠解決的,也不是大量標準安全產品簡單堆砌就能解決的。
4、加強電力企業網路資訊保安管理的建議
4.1重視安全規劃
企業網路安全規劃的目的就是要對網路的安全問題有一個全面的思考,要以系統的觀點去考慮安全問題。要進行有效的安全管理,必須建立起一套系統全面的資訊保安管理體系。這可以參照國際上通行的一些標準來實現,如:BS7799、ISO17799、ISO15408等。
4.2合理劃分安全域
電力企業是完全實行物理隔離的企業網路,在內網上仍然要合理劃分安全域。要根據整體的安全規劃和資訊保安密級,從邏輯上劃分核心重點防範區域、一般防範區域和開放區域。重點防範的區域是網路安全的核心,這部分割槽域是一般使用者不能直接訪問的區域,有很高的安全級別。各種重要資料、伺服器、資料庫伺服器應當放置在該區域,各種應用系統、OA系統等在該區域執行。
4.3加強安全管理,重視制度建設為保證企業網路資訊保安,要把企業網路資訊保安作為一個系統工程來考慮。因此,企業網路的安全問題,安全管理和制度建設非常重要(特別是內網)。現提出如下建議:
(1)加強日誌管理與安全審計一般的防火牆與入侵檢測系統都具備審計功能,要充分利用它們的審計功能,做好網路的日誌管理和安全審計工作。對審計資料要嚴格管理,不允許任何人修改、刪除審計記錄。
(2)建立內網的統一認證系統
認證是網路資訊保安的關鍵技術之一,其目的是實現身份鑑別服務、訪問控制服務、機密性服務和不可否認服務等。
(3)建立病毒防護體系
在企業網路上安裝防病毒體系。防病毒軟體系統要具有遠端安裝、遠端報警、集中管理等多種功能。其次,要建立防病毒的管理制度。不能隨意將網際網路上下載的資料往內網主機上拷貝,來歷不明的移動儲存裝置不能隨意在聯網計算機上使用,職員應熟練掌握髮現病毒後的處置辦法。
(4)重視網路管理制度建設嚴格的管理制度,是保證企業資訊網路安全的重要措施之一。
1)領導應當高度重視網路資訊保安問題。企業領導要高度重視安全管理和安全制度的建設問題,不能把安全管理和制度建設看成是技術部門的事。企業應當成立資訊保安領導小組,由分管領導抓網路安全工作,並明確其職責和工作制度。要制訂安全事故處理程式、應急計劃等。
2)加強基礎設施和執行環境的管理建設。企業網路的管理機構(資訊中心)的機房、配電房等計算機系統重要基礎設施應嚴格管理,配備防盜、防火、防水等設施,應當安裝監控系統、監控報警裝置等。建立嚴格的裝置執行日誌,記錄裝置執行狀況。要規範操作規程,確保計算機系統的安全、可靠執行。
3)建立必要的安全管理制度。企業網路的中心機房和各業務部門計算機系統都要建立計算機系統使用管理制度,網路系統管理員、安全員、各業務部門主管和計算機操作人員的計算機密碼管理規定等內控管理制度,對應用系統重要資料的修改要經過授權並由專人負責,登記日誌。建立健全資料備份制度,核心程式及資料要嚴格保密,實行專人保管。
4)堅持安全管理原則。多人負責原則:兩人或多人互相配合、互相制約。從事每項安全活動,應至少兩人在場,做好工作情況記錄。任期有限原則:任何人不長期擔任與安全有關的職務。當人員離任時,應立即對系統進行授權調整。職責分離原則:不要打聽、瞭解或參與職責以外的任何與安全相關的事情,除非系統主管領導批准。最小許可權原則:只授予使用者和系統管理員所需要的最基本許可權,並且超級使用者的許可權也應該越小越好。
5)制度的定期督導檢查。管理制度具有嚴肅性、權威性、強制性,管理制度一旦形成,就要嚴格執行。企業應組織有關人員對管理制度進行定期督導檢查,保證制度的落實。
4.4加強企業員工和網路管理人員安全意識教育對於網路資訊保安,企業員工和網路管理人員的素質非常重要。
(1)在安全教育具體實施過程中應該有一定的層次性。
1)對主管資訊保安工作的高階負責人或各級管理人員,重點是瞭解、掌握企業資訊保安的整體策略及目標、資訊保安體系的構成、安全管理部門的建立和管理制度的制訂等。
2)對負責資訊保安執行管理及維護的技術人員,重點是充分理解資訊保安管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等。
3)對企業全體職員,重點是學習各種安全操作流程,瞭解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。
(2)對於特定的人員要進行特定的安全培訓對於關鍵崗位和特殊崗位的人員,通過送往專業機構學習和培訓,使其獲得特定的安全方面的知識和技能。通過安全培訓,確保在電力資訊保安保障體系逐步建立的過程中,各類人員的安全意識和技術能力獲得提高,各崗位人員的技術能力和管理能力與安全保障體系的執行和維護相適應。
5、建立安全長效機制
解決網路資訊保安問題,技術是安全的主體,管理是安全的靈魂。加強資訊保安管理,建立安全長效機制,成為電力企業安全文化的重要組成部分,企業安全文化對企業安全生產工作起凝聚、協調和控制的作用。積極向上的共同價值觀、信念、行為準則是一種內部黏結劑,是人們意識的一部分,可以使員工自覺地行動,達到自我控制和自我協調只有將有效的安全管理實踐自至終貫徹落實於資訊安全當中,網路安全的長期性和穩定性才能有所保證。在企業中建立安全文化,並將網路資訊保安管理容納到整個企業文化體系中才是最根本的解決辦法。
6、結束語
網路安全是一個系統的、全域性的管理問題,網路上的任何一個漏洞,都會導致全網的安全問題,我們應該用系統工程的觀點、方法,分析網路的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合應用的結果。一個計算機網路,包括個人、裝置、軟體、資料等。這些環節在網路中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。計算機網路安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網路安全體系結構。這樣才能真正做到整個系統的安全。
參考文獻:
[1王瑞軍,冼沛勇。實現企業網路資訊保安的具體方法[J]。計算機與網路,20xx,(3)。
[2朱貴強。論企業網路資訊保安管理[J]。中國科教博覽,20xx,(6)。
[3閆斌,曲俊華,齊林海。電力企業網路資訊安全系統建設方案的研究[J]。現代電力,20xx,(1)。
[4楊贊國。論企業網路資訊保安與防範策略[J]。集團經濟研究,20xx,(6)。
[5郭護林。企業網路資訊保安分析[J]。西北電力技術,20xx,(6)。
[6王迎新,牛東曉。中國管理資訊化(綜合版),20xx年第3期。
