论文部分内容阅读
摘要:针对当前信息异化环境的现状,结合企业现有安全保障模式手段的研究,提出系统性的信息安全保障模式。通过对信息安全保障系统的运用,企业能将被异化的信息进行有针对性的判定、挖掘和集成,并利用安全保障系统的保障模式,对异化还原后的信息进行保障管理,最后在信息加密措施中实现信息的安全管理。
关键词:发电企业;信息;安全保障体系;建设
1、电力信息系统安全体系建设的原则
对电力信息安全水平进行提高能够有效的对电力系统安全事件的发生率进行有效的降低,关于信息系统的安全建设并不是仅仅局限于安全产品的集成,要在电力信息安全系统建设以及管理建设和策略建设方面得到重视,而对于这一安全体系的建设完备的标志也要具备安全管理体系以及技术完备的成功建立和安全策略的完善及安全团队的成功建设等几个重要的要素。
在电力信息系统的安全保障体系方面,不仅要对电力系统整体安全水平进行提高,同时还要对其中的信息安全的隐患进行消除,电力系统对我国的国民经济的发展起到了决定性的作用,由于其自身具有的特殊性,故此在建立电力信息系统的安全保障体系中就要遵循几个基本原则,即:法定原则、动态原则、均衡原则、立体性原则。
2、电力信息系统在当前的现状问题
电力系统的组件自身存在着脆弱性以及缺陷,由于在对其组件的设计、组装以及制造的过程中在各种因素的影响下,就可能存有多方面的隐患。在硬件的组件方面主要是来源于设计,由于设计问题的因素就在物理的存取上存在隐患。软件组件的安全隐患主要是设计以及软件工程的实施过程中所留下的问题,主要是表现在安全漏洞上。还有是网络以及通信协议方面的安全隐患,因特网自身就是没有明确物理界限的网际是虚拟的网络现实,这在安全问题上也较容易发生。其次是自然威胁以及意外的人为威胁和恶意的人为威胁。
在电力信息系统方面的发展过程中同时也存在着一些问题,首先就是人员信息安全意识的薄弱,当前的电力企业对于信息的安全以及保密的意识还有待进一步的提高,各个单位领导以及相关的工作人员对于信息安全的问题没有得到充分的重视,在个人的办公终端有的不设置口令或者是口令的密度较低,对于软件的安装以及下载都是没有授权的,这些问题都是源自对信息安全意识的薄弱。另外就是在电力信息的安全管理机制方面还不够完善,制度的执行力度还不够,在相关人员的配备上没有做到位,安全监管职责也没有得到有效的落实,对于信息安全事件还存在着不通报以及通报不及时的现象,并且在信息安全的原因分析方面还不够充分,对于整改的措施没有落实到位,同时在电力信息安全事件的调查处理以及考核机制方面还有待进一步的完善,在其信息系统的边界安全防护方面还存在着能够被黑客高手利用的一些较为薄弱的环节,在安全体系以及可评估的安全模型方面比較的缺乏。
3、信息安全保障体系建设探索
3.1建立信息安全管理体系
安全管理体系是整个信息安全防护体系的基石,它包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理五个方面,信息安全组织机构的建立尤为重要。
3.1.1建立信息安全管理小组
建立具有管理权的信息安全小组,负责整体信息安全管理工作,审批信息安全方针,分配安全管理职责,支持和推动组织内部信息安全工作的实施,对信息安全重大事项进行决策。处置信息安全事件,对安全管理体系进行评审。
3.1.2分配管理者权限
按照管理者的责、权、利一致的原则,对信息管理人员作级别上的限制;根据管理者的角色分配权限,实现特权用户的权限分离。对工作调动和离职人员及时调整授权,根据管理职责确定使用对象,明确某一设备配置、使用、授权信息的划分,制订相应管理制度。
3.1.3职责明确,层层把关
制订操作规程要根据职责分离和多人负责的原则各负其责,不能超越自己的管辖范围。系统维护时要经信息管理部门审批,有信息安全管理员在场,对故障原因、维护内容和维护前后情况做详细记录。
3.1.5系统应急处理
制定信息安全应急响应管理办法,按照严重性和紧急程度及危害影响的大小来确定全事件的等级,采取措施,防止破坏的蔓延与扩展,使危害降到最低,通过对事件或行为的分析结果,查找事件根源,彻底消除安全隐患。
3.2建立信息安全技术策略
3.2.1物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;确保计算机系统有一个良好的工作环境;防止非法进入机房和各种偷窃、破坏活动的发生,抑制和防止电磁泄露等采取的安全措施。
3.2.2网络安全策略
网络安全防护措施主要包括以下几种类型:
(1)防火墙技术。通过防火墙配置,控制内部和外部网络的访问策略,结合上网行为管理,监控网络流量分配,对于重要数据实行加密传输或加密处理,使只有拥有密钥的授权人才能解密获取信息,保证信息在传输过程中的安全。
(2)防病毒技术。根据有关资料统计,对电力信息网络和二次系统的威胁除了黑客以外,很大程度上是计算机病毒造成的。采用有效的防病毒软件、恶意代码防护软件,保障升级和更新的时效性,是行之有效的措施。
(3)安全检测系统。通过专用工具,定期查找各种漏洞,监控网络的运行状况。在电力二次系统之间安装IDS入侵检测软件等,确保对网络非法访问、入侵行为做到及时报警,防止非法入侵。
3.2.3安全策略管理
对建的电力二次系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;对已投运且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞。
3.2.4 数据库的安全策略
数据库的安全策略包括安全管理策略、访问控制策略和信息控制策略。但数据库的安全问题最主要的仍是访问控制策略。就访问控制策略分类而言,它可以分为最小特权策略、数据库加密策略、数据库备份策略、审计追踪策略。
4、结语
对于电力信息系统的安全体系的建设,要能够把安全保障以及安全管理得到有机的结合,在我国的电力信息化的不断发展以及推进的过程中,信息系统以及网络安全管理已经愈来愈广泛的得到了电力企业的重视,这对于保障电力信息的安全有着极其重要的作用。
参考文献:
[1]王芝茗.做实做细加强督导--国网辽宁电力信息安全管理提升工作记事[J].国家电网,2013(12).
[2]寇杨.档案网络信息安全保障体系建设探讨[J].管理观察,2012(26).
关键词:发电企业;信息;安全保障体系;建设
1、电力信息系统安全体系建设的原则
对电力信息安全水平进行提高能够有效的对电力系统安全事件的发生率进行有效的降低,关于信息系统的安全建设并不是仅仅局限于安全产品的集成,要在电力信息安全系统建设以及管理建设和策略建设方面得到重视,而对于这一安全体系的建设完备的标志也要具备安全管理体系以及技术完备的成功建立和安全策略的完善及安全团队的成功建设等几个重要的要素。
在电力信息系统的安全保障体系方面,不仅要对电力系统整体安全水平进行提高,同时还要对其中的信息安全的隐患进行消除,电力系统对我国的国民经济的发展起到了决定性的作用,由于其自身具有的特殊性,故此在建立电力信息系统的安全保障体系中就要遵循几个基本原则,即:法定原则、动态原则、均衡原则、立体性原则。
2、电力信息系统在当前的现状问题
电力系统的组件自身存在着脆弱性以及缺陷,由于在对其组件的设计、组装以及制造的过程中在各种因素的影响下,就可能存有多方面的隐患。在硬件的组件方面主要是来源于设计,由于设计问题的因素就在物理的存取上存在隐患。软件组件的安全隐患主要是设计以及软件工程的实施过程中所留下的问题,主要是表现在安全漏洞上。还有是网络以及通信协议方面的安全隐患,因特网自身就是没有明确物理界限的网际是虚拟的网络现实,这在安全问题上也较容易发生。其次是自然威胁以及意外的人为威胁和恶意的人为威胁。
在电力信息系统方面的发展过程中同时也存在着一些问题,首先就是人员信息安全意识的薄弱,当前的电力企业对于信息的安全以及保密的意识还有待进一步的提高,各个单位领导以及相关的工作人员对于信息安全的问题没有得到充分的重视,在个人的办公终端有的不设置口令或者是口令的密度较低,对于软件的安装以及下载都是没有授权的,这些问题都是源自对信息安全意识的薄弱。另外就是在电力信息的安全管理机制方面还不够完善,制度的执行力度还不够,在相关人员的配备上没有做到位,安全监管职责也没有得到有效的落实,对于信息安全事件还存在着不通报以及通报不及时的现象,并且在信息安全的原因分析方面还不够充分,对于整改的措施没有落实到位,同时在电力信息安全事件的调查处理以及考核机制方面还有待进一步的完善,在其信息系统的边界安全防护方面还存在着能够被黑客高手利用的一些较为薄弱的环节,在安全体系以及可评估的安全模型方面比較的缺乏。
3、信息安全保障体系建设探索
3.1建立信息安全管理体系
安全管理体系是整个信息安全防护体系的基石,它包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理五个方面,信息安全组织机构的建立尤为重要。
3.1.1建立信息安全管理小组
建立具有管理权的信息安全小组,负责整体信息安全管理工作,审批信息安全方针,分配安全管理职责,支持和推动组织内部信息安全工作的实施,对信息安全重大事项进行决策。处置信息安全事件,对安全管理体系进行评审。
3.1.2分配管理者权限
按照管理者的责、权、利一致的原则,对信息管理人员作级别上的限制;根据管理者的角色分配权限,实现特权用户的权限分离。对工作调动和离职人员及时调整授权,根据管理职责确定使用对象,明确某一设备配置、使用、授权信息的划分,制订相应管理制度。
3.1.3职责明确,层层把关
制订操作规程要根据职责分离和多人负责的原则各负其责,不能超越自己的管辖范围。系统维护时要经信息管理部门审批,有信息安全管理员在场,对故障原因、维护内容和维护前后情况做详细记录。
3.1.5系统应急处理
制定信息安全应急响应管理办法,按照严重性和紧急程度及危害影响的大小来确定全事件的等级,采取措施,防止破坏的蔓延与扩展,使危害降到最低,通过对事件或行为的分析结果,查找事件根源,彻底消除安全隐患。
3.2建立信息安全技术策略
3.2.1物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;确保计算机系统有一个良好的工作环境;防止非法进入机房和各种偷窃、破坏活动的发生,抑制和防止电磁泄露等采取的安全措施。
3.2.2网络安全策略
网络安全防护措施主要包括以下几种类型:
(1)防火墙技术。通过防火墙配置,控制内部和外部网络的访问策略,结合上网行为管理,监控网络流量分配,对于重要数据实行加密传输或加密处理,使只有拥有密钥的授权人才能解密获取信息,保证信息在传输过程中的安全。
(2)防病毒技术。根据有关资料统计,对电力信息网络和二次系统的威胁除了黑客以外,很大程度上是计算机病毒造成的。采用有效的防病毒软件、恶意代码防护软件,保障升级和更新的时效性,是行之有效的措施。
(3)安全检测系统。通过专用工具,定期查找各种漏洞,监控网络的运行状况。在电力二次系统之间安装IDS入侵检测软件等,确保对网络非法访问、入侵行为做到及时报警,防止非法入侵。
3.2.3安全策略管理
对建的电力二次系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;对已投运且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞。
3.2.4 数据库的安全策略
数据库的安全策略包括安全管理策略、访问控制策略和信息控制策略。但数据库的安全问题最主要的仍是访问控制策略。就访问控制策略分类而言,它可以分为最小特权策略、数据库加密策略、数据库备份策略、审计追踪策略。
4、结语
对于电力信息系统的安全体系的建设,要能够把安全保障以及安全管理得到有机的结合,在我国的电力信息化的不断发展以及推进的过程中,信息系统以及网络安全管理已经愈来愈广泛的得到了电力企业的重视,这对于保障电力信息的安全有着极其重要的作用。
参考文献:
[1]王芝茗.做实做细加强督导--国网辽宁电力信息安全管理提升工作记事[J].国家电网,2013(12).
[2]寇杨.档案网络信息安全保障体系建设探讨[J].管理观察,2012(26).