论文部分内容阅读
摘要:在接入县级供电企业信息网络平台的应用系统越来越多的背景下,基于确保网络信息系统安全运行的思想,提出了创新县级供电企业网络信息安全管理工作的思路和具体做法。
关键词:供电企业;网络信息;安全管理
作者简介:赵孔燕(1980-),女,山东淄博人,山东惠民供电公司调度所,工程师;索玉海(1961-),男,山东惠民人,山东惠民供电公司调度所主任,工程师。(山东惠民251700)
中图分类号:F270.7 文献标识码:A 文章编号:1007-0079(2012)12-0138-02
随着电力系统信息化的全面推进,信息化已经成长为增强供电企业核心竞争力的重要驱动力。目前,“SG186”信息化工程不断完善,国家电网资源计划系统(ERP)上线运行,相继接入企业信息网络平台的应用系统越来越多,各应用系统间的数据交换日益频繁。因此确保供电企业内部网络信息系统的安全稳定运行,适应当前建设智能电网和“三集五大”体系建设新的工作要求,成为摆在我们面前的一个艰巨任务。为此,从九方面着手,来保障网络信息系统的安全运行。
一、完善机制,落实责任
企业的健康发展离不开严格的企业制度和明确的责任分工,信息安全保障工作的开展也不例外。为提高网络信息系统整体安全防护能力,强化公司内部信息安全,山东惠民供电公司成立了信息安全组织机构,组织机构分为领导小组和工作小组,其中领导小组的主要职责是:全面负责公司信息安全管理工作,领导实施各项信息安全各种规章制度,指导公司各种信息安全工作的开展,确保本单位不发生重大信息泄露事故。工作小组的主要职责是:负责信息安全基础防护知识的宣贯、普及工作;负责做好公司信息安全防护体系建设准备及实施工作,落实信息安全“八不准”和“五禁止”,确保不发生任何信息安全事件;负责公司信息安全技术监控及运行、维护和管理工作,坚决贯彻执行各项信息安全规章制度和领导小组的各项指令。
二、统一部署、双网双机
按照国家电网公司要求和山东电力集团公司及市公司统一部署安排,公司实行信息外网统一出口,实现了集团公司层面的统一。信息内外网实现物理分开,双网双机,网络专用。严禁办公终端计算机私自使用拨号、移动无线连接等任何方式接入因特网。在信息外网出口安装IPS入侵防御设备,可以实时主动拦截各类黑客攻击和恶意行为,保护信息网络架构免受侵害,阻断非授权用户的使用,降低了不安全因素。
信息内网统一安装桌面管理系统,能有效控制内网计算机。计算机实名注册并进行IP地址和MAC地址绑定,计算机管理员可以实时查看内网计算机的应用情况,插件的安装以及杀毒软件的运行等。启用移动存储审计策略和违规外联策略,严格控制内网设备违规外联,对公司的移动存储介质进行实名注册,严格控制信息的流入流出。
三、分区分域、等级防护
对公司的信息系统分成生产控制大区和管理信息大区,并对所有的业务系统进行等级划分,实现不同安全域之间的独立化和差异化的防护。其中生产控制大区又可以分为控制区和非控制区,调度数据网络作为专用的数据网络,划分为安全区I,它使用不同的网段单独组网,它与安全区II之间采用国家指定部门检测认定的电力专用正向单向隔离装置。WEB服务与管理信息大区之间分别安装硬件防火墙,并严格控制相互之间访问。
四、注重口令设置和数据备份
口令设置是信息安全管理中重要的一环。要求所有的服务器和每一台办公计算机都要设置开机密码,密码长度不小于8位,并且是字母和数字或特殊字符混合而成,密码不得与用户名相同并要求定期更换。另外要求每台计算机都要设屏幕保护,屏保时间设在15分钟左右,并开启恢复时使用密码功能;关闭远程桌面。这样可以有效防止外来人员访问他人电脑或内部心怀不轨的人员通过远程访问他人电脑。数据备份和恢复计算机管理员必须定期对重要的数据进行备份,这是保护信息安全的重要手段,它可以有效防止病毒入侵、操作人员误删除和设备磁盘故障等带来的数据丢失,备份要保存在当地磁盘和异地磁盘两份。个人办公计算机中重要的文件资料可以加密存放,并形成备份。
五、加强防病毒软件部署及管理
根据公司的计算机数量,统一购买安装企业版杀毒软件。为避免防病毒软件之间的冲突导致一些插件不能正常安装和运行以及文件的误删除,要求一台机器只能安装一款防病毒软件,禁止使用任何规定之外的防病毒软件。公司设专人负责定期进行病毒库的更新,并通过桌面管理系统统一发放病毒库升级通知,对机器病毒库自动进行升级,能有效防范网络病毒、木马。
六、漏洞扫描和隐患排查
漏洞扫描系统是一个自动化的安全风险评估工具,对公司的信息系统进行定期、全面、系统的信息安全风险评估,发现和分析信息系统中存在的漏洞,并及时进行整改。定期开展自测评与整改。通过自测评,及时发现信息系统中存在的问题和隐患,针对发现的问题制定相应的措施进行整改,可以有效降低信息系统安全隐患,进而将风险评估工作常态化、制度化。这也充分印证了信息管理也是遵循PDCA的过程模式,是一个动态的持续改进的过程。信息安全管理流程图如下图1所示。
七、物理安全和主机安全
公司每位职工都有保护自己办公电脑的义务,要求下班后关闭主机和显示器,这不仅可以增长机器的使用寿命也可以保护主机硬件设备,特别是雷雨天气,最好拔掉电源开关。对机房的服务器设备,首先,机房的环境应满足防风、防雨、防雷、防震等要求。其次,在机房出入口配置电子门禁系统,对进入机房的外来人员要严格登记,并有专人陪同。再次,在机房内安装机房环境监控系统,对机房的火灾自动报警,最好能够自动消防,如果不能也要配備足够的消防设备,保证机房设备的运行安全。最后,机房的温湿度也是影响设备安全运行的重要因素,因此配置温湿度调节设施,满足机房管理制度中规定的“夏季机房温度控制在23±2℃、冬季控制在20±2℃”的要求。
计算机管理员对机房服务器访问管理要严格控制,为操作系统和数据库系统的不同用户分配不同的用户名和访问权限,限制默认账户的访问权限。在不影响应用系统正常运行和访问的情况下,在服务列表中关闭有可能导致系统遭受侵害的一些服务。
八、应急响应和灾难恢复
建立切实可行的应急预案和灾难恢复预案,可有效预防和正确、快速应对网络及信息安全突发事件,最大限度地减少影响和损失,确保网络系统安全、稳定运行。
九、完善和落实规章制度
制定和完善网络信息安全相应管理制度及措施,并监督公司人员严格执行。与部室及员工签订信息安全责任书,确保责任落到实处。通过组织职工收看信息安全方面的教育片和邀请专家来公司做安全报告,提高员工对信息安全的认知和增强员工遵守信息安全各项规章制度的自觉性。
(责任编辑:刘辉)
关键词:供电企业;网络信息;安全管理
作者简介:赵孔燕(1980-),女,山东淄博人,山东惠民供电公司调度所,工程师;索玉海(1961-),男,山东惠民人,山东惠民供电公司调度所主任,工程师。(山东惠民251700)
中图分类号:F270.7 文献标识码:A 文章编号:1007-0079(2012)12-0138-02
随着电力系统信息化的全面推进,信息化已经成长为增强供电企业核心竞争力的重要驱动力。目前,“SG186”信息化工程不断完善,国家电网资源计划系统(ERP)上线运行,相继接入企业信息网络平台的应用系统越来越多,各应用系统间的数据交换日益频繁。因此确保供电企业内部网络信息系统的安全稳定运行,适应当前建设智能电网和“三集五大”体系建设新的工作要求,成为摆在我们面前的一个艰巨任务。为此,从九方面着手,来保障网络信息系统的安全运行。
一、完善机制,落实责任
企业的健康发展离不开严格的企业制度和明确的责任分工,信息安全保障工作的开展也不例外。为提高网络信息系统整体安全防护能力,强化公司内部信息安全,山东惠民供电公司成立了信息安全组织机构,组织机构分为领导小组和工作小组,其中领导小组的主要职责是:全面负责公司信息安全管理工作,领导实施各项信息安全各种规章制度,指导公司各种信息安全工作的开展,确保本单位不发生重大信息泄露事故。工作小组的主要职责是:负责信息安全基础防护知识的宣贯、普及工作;负责做好公司信息安全防护体系建设准备及实施工作,落实信息安全“八不准”和“五禁止”,确保不发生任何信息安全事件;负责公司信息安全技术监控及运行、维护和管理工作,坚决贯彻执行各项信息安全规章制度和领导小组的各项指令。
二、统一部署、双网双机
按照国家电网公司要求和山东电力集团公司及市公司统一部署安排,公司实行信息外网统一出口,实现了集团公司层面的统一。信息内外网实现物理分开,双网双机,网络专用。严禁办公终端计算机私自使用拨号、移动无线连接等任何方式接入因特网。在信息外网出口安装IPS入侵防御设备,可以实时主动拦截各类黑客攻击和恶意行为,保护信息网络架构免受侵害,阻断非授权用户的使用,降低了不安全因素。
信息内网统一安装桌面管理系统,能有效控制内网计算机。计算机实名注册并进行IP地址和MAC地址绑定,计算机管理员可以实时查看内网计算机的应用情况,插件的安装以及杀毒软件的运行等。启用移动存储审计策略和违规外联策略,严格控制内网设备违规外联,对公司的移动存储介质进行实名注册,严格控制信息的流入流出。
三、分区分域、等级防护
对公司的信息系统分成生产控制大区和管理信息大区,并对所有的业务系统进行等级划分,实现不同安全域之间的独立化和差异化的防护。其中生产控制大区又可以分为控制区和非控制区,调度数据网络作为专用的数据网络,划分为安全区I,它使用不同的网段单独组网,它与安全区II之间采用国家指定部门检测认定的电力专用正向单向隔离装置。WEB服务与管理信息大区之间分别安装硬件防火墙,并严格控制相互之间访问。
四、注重口令设置和数据备份
口令设置是信息安全管理中重要的一环。要求所有的服务器和每一台办公计算机都要设置开机密码,密码长度不小于8位,并且是字母和数字或特殊字符混合而成,密码不得与用户名相同并要求定期更换。另外要求每台计算机都要设屏幕保护,屏保时间设在15分钟左右,并开启恢复时使用密码功能;关闭远程桌面。这样可以有效防止外来人员访问他人电脑或内部心怀不轨的人员通过远程访问他人电脑。数据备份和恢复计算机管理员必须定期对重要的数据进行备份,这是保护信息安全的重要手段,它可以有效防止病毒入侵、操作人员误删除和设备磁盘故障等带来的数据丢失,备份要保存在当地磁盘和异地磁盘两份。个人办公计算机中重要的文件资料可以加密存放,并形成备份。
五、加强防病毒软件部署及管理
根据公司的计算机数量,统一购买安装企业版杀毒软件。为避免防病毒软件之间的冲突导致一些插件不能正常安装和运行以及文件的误删除,要求一台机器只能安装一款防病毒软件,禁止使用任何规定之外的防病毒软件。公司设专人负责定期进行病毒库的更新,并通过桌面管理系统统一发放病毒库升级通知,对机器病毒库自动进行升级,能有效防范网络病毒、木马。
六、漏洞扫描和隐患排查
漏洞扫描系统是一个自动化的安全风险评估工具,对公司的信息系统进行定期、全面、系统的信息安全风险评估,发现和分析信息系统中存在的漏洞,并及时进行整改。定期开展自测评与整改。通过自测评,及时发现信息系统中存在的问题和隐患,针对发现的问题制定相应的措施进行整改,可以有效降低信息系统安全隐患,进而将风险评估工作常态化、制度化。这也充分印证了信息管理也是遵循PDCA的过程模式,是一个动态的持续改进的过程。信息安全管理流程图如下图1所示。
七、物理安全和主机安全
公司每位职工都有保护自己办公电脑的义务,要求下班后关闭主机和显示器,这不仅可以增长机器的使用寿命也可以保护主机硬件设备,特别是雷雨天气,最好拔掉电源开关。对机房的服务器设备,首先,机房的环境应满足防风、防雨、防雷、防震等要求。其次,在机房出入口配置电子门禁系统,对进入机房的外来人员要严格登记,并有专人陪同。再次,在机房内安装机房环境监控系统,对机房的火灾自动报警,最好能够自动消防,如果不能也要配備足够的消防设备,保证机房设备的运行安全。最后,机房的温湿度也是影响设备安全运行的重要因素,因此配置温湿度调节设施,满足机房管理制度中规定的“夏季机房温度控制在23±2℃、冬季控制在20±2℃”的要求。
计算机管理员对机房服务器访问管理要严格控制,为操作系统和数据库系统的不同用户分配不同的用户名和访问权限,限制默认账户的访问权限。在不影响应用系统正常运行和访问的情况下,在服务列表中关闭有可能导致系统遭受侵害的一些服务。
八、应急响应和灾难恢复
建立切实可行的应急预案和灾难恢复预案,可有效预防和正确、快速应对网络及信息安全突发事件,最大限度地减少影响和损失,确保网络系统安全、稳定运行。
九、完善和落实规章制度
制定和完善网络信息安全相应管理制度及措施,并监督公司人员严格执行。与部室及员工签订信息安全责任书,确保责任落到实处。通过组织职工收看信息安全方面的教育片和邀请专家来公司做安全报告,提高员工对信息安全的认知和增强员工遵守信息安全各项规章制度的自觉性。
(责任编辑:刘辉)