论文部分内容阅读
摘要:根据电力系统网络的安全风险和问题,该文提出了信息安全工作开展的一般原则,从信息安全技术上和安全管理上提出了解决安全问题的思路和方法,分析了局域网的安全管理所涉及的问题,并根据自己的经验提出了比较切实有效的思路。
关键词:信息网络;安全管理
中图分类号:TP393.08 文献标识码:A 文章编号:1009-3044(2009)05-1074-03
Analysis of Power System Information Network Security
YANG Jian-dong, MA Yong
(Senior Management Training Center,Jiangsu Electric Power Company,Wuxi 214000,China)
Abstract: According to the power system network security risks and problems,this paper presents the work of information security and the general principles of information security from a technical and safety management put forward the idea of addressing security issues and methods of analysis of local area network security management related to issues,and according to their own experience of a relatively effective way of thinking.
Key words: information network; security management
1 前言
随着计算机信息技术的发展,大大增加了电力系统对信息系统的依赖性,网络已成为我们工作中的重要组成部分。但当我们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。病毒的传播日益猖獗,黑客的攻击也越来越多,给局域网数据的管理、网络的安全带来诸多问题。
也许出乎你的意料,世界上每分钟就有两个企业因为信息安全问题倒闭,有十一个企业因为信息安全问题造成大约800多万美元的直接经济损失。这是一个细节决定竞争成败的时代,一个关键的信息就可以左右企业的命运。信息安全问题,不仅仅涉及到企业的生存发展,还涉及国家的经济、科技和社会安全,甚至危及到国防、政治和文化安全。
然而,纵观这许多问题,人是信息安全中的关键因素,同时人也是信息安全中最薄弱的环节。当网络中的硬件和软件技术处于时代发展主流水平,升级系统已不能明显提升网络信息安全水平时,信息系统的安全往往取决于系统中最薄弱的环节——人。实际上有许多网络安全问题是由于安全管理没有有效地实施造成的,因此安全管理是信息安全的核心。
2 电力系统信息网络安全主要存在的问题
1) 安全意识淡薄
企业人员忙于利用网络工作学习,对网络信息的安全性无暇顾及,安全意识相当淡薄。电力企业注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求,网络信息安全处于被动的封堵漏涮状态。从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。
2) 信息化机构、制度建设尚需进一步健全
信息部门未受到应有的重视。信息部门在电力公司没有专门机构配置,没有规范的建制和岗位,信息部门附属在生产技术部下,有的作为设在科技部下的科室,有的设在总经理工作部门下,还有的仅设一个“信息化专责”人员。信息化作为一项系统工程,需要专门的机构来推动和企业各个部门的配合。这种状况势必不能适应信息化对人才、机构的要求。
3) 电力企业网络信息安全风险的主要表现
① 网络结构不合理
电力企业依据有关规定将网络分为内网和外网,内外网实行物理隔离,但网络结构都存在着一些不合理的地方。常见的有:核心交换机选择不合理。不少企业网络的核心交换机是一台二层交换机,这样,所有网络用户在网络中的地位将是平等的,安全问题只有通过应用系统去解决。
② 来自互联网的风险
几乎所有电力企业的网络都是以各种方式与互联网连接,企业用户可以直接访问互联网的资源,这给企业职工带来很大方便;同样,任何能上互联网的用户也可以访问企业网络的资源,这对宣传企业、扩大企业的影响和知名度很有好处。但是,在带来方便的同时,也带来安全风险。互联网上的一些用户出于种种动机,对电力公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业的商业秘密和机密信息,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。
③ 来自企业内部的风险
对于电力企业网络来说,来自内部的风险是非常主要的安全风险。随着网络技术的发展,电力系统的信息网络已从过去的小范围局域网,发展为网络终端数以万计的大规模广域网。江苏省电力公司信息应用集中集成的逐步推广,各种应用,包括办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。内部人员(特别是网络管理人员)对网络结构、应用系统都非常熟悉,不经意之间泄露的重要信息,都将可能成为导致系统受攻击的最致命的安全威胁。
④ 病毒的侵害
计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,一台计算机感染病毒,在短期内可以感染到区域内所有的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。
⑤ 管理人员素质风险
许多电力企业网络都存在重建设、重技术、轻管理的倾向。实践证明,安全管理制度不完善、人员素质不高是网络风险的重要来源之一。比如,网络管理员配备不当、企业员工安全意识不强、用户口令设置不合理等,都会给信息安全带来严重威胁。
⑥ 系统的安全风险
系统的安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。不管使用哪一种操作系统都存在大量已知和未知的漏洞,这些漏洞可以导致入侵者获得管理员的权限,可以被用来实施拒绝服务攻击。
3 解决电力系统网络安全问题的基本原则
1) 做好安全风险的评估
进行安全系统的建设,首先必须做好安全状况评估分析,评估应聘请专业权威的信息安全咨询机构,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。
信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。
培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。
2) 采用信息安全新技术,建立信息安全防护体系
企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施
① 建立计算机防病毒系统
计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。
在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电网公司这样的大型企业的首选。
② 建立网络安全防护系统
信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。
对于已经投入使用的信息系统,可以通过采用增加安全访问网关的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
3) 依据法规,遵循标准,提高安全管理水平
信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全“七分管理,三分技术”的说法不是很精确,但管理的作用可见一斑。
4 加强电力系统网络安全的措施
1) 重视安全规划
企业网络安全规划的目的就是要对网络的安全问题有一个全面的思考,要以系统的观点去考虑安全问题。要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系。
2) 合理划分安全域
电力企业是完全实行物理隔离的企业网络,在内网上仍然要合理划分安全域。要根据整体的安全规划和信息安全密级,从逻辑上划分核心重点防范区域、一般防范区域和开放区域,并采用严格的访问控制策略。
重点防范的区域是网络安全的核心,这部分区域是一般用户不能直接访问的区域,有很高的安全级别。各种重要数据、服务器、数据库服务器应当放置在该区域,各种应用系统、OA系统等在该区域运行。
3) 加强安全管理
为保证企业网络信息安全,要把企业网络信息安全作为一个系统工程来考虑。因此,企业网络的安全问题,安全管理和制度建设非常重要(特别是内网)。现提出如下建议:
① 加强日志管理与安全审计
一般的防火墙与入侵检测系统都具备审计功能,要充分利用它们的审计功能,做好网络的日志管理和安全审计工作。对审计数据要严格管理,不允许任何人修改、删除审计记录。
② 建立内网的统一认证系统
认证是网络信息安全的关键技术之一,其目的是实现身份鉴别服务、访问控制服务、机密性服务和不可否认服务等。
③ 建立防护体系
在企业网络上安装防病毒体系。防病毒软件系统要具有远程安装、远程报警、集中管理等多种功能。其次,要建立防病毒的管理制度。不能随意将互联网上下载的数据往内网主机上拷贝,来历不明的移动存储设备不能随意在联网计算机上使用,职员应熟练掌握发现病毒后的处置办法。
在局域网部署架设微软更新服务器。网络中的诸多病毒及黑客入侵导致计算机的数据损坏甚至系统崩溃,究其原因,操作系统本身的漏洞被恶意代码利用并加以攻击,是造成系统不稳定的重要原因之一。所以,即时完善操作系统,成为当前计算机维护工作中的首要任务。微软公司的Windows系列操作系统作为当前用户数量最多的系统,其受关注程度和受侵害程度也是各类操作系统中最多的。鉴于微软公司操作系统更新服务器在国外,造成下载更新补丁的速度偏慢,同时,对于局域网用户数量大,在每台机器上更新会带来繁重的重复性操作,故而在本地局域网内架设部署一台集中式微软软件更新服务器成为保障Windows系列操作系统及时更新最为行之有效的方法之一。
4) 重视网络管理制度建设
① 领导应当高度重视网络信息安全问题
企业领导要高度重视安全管理和安全制度的建设问题,不能把安全管理和制度建设看成是技术部门的事。企业应当成立信息安全领导小组,由分管领导抓网络安全工作,并明确其职责和工作制度。要制订安全事故处理程序、应急计划等。
② 加强基础设施和运行环境的管理建设
企业网络的管理的机房、配电房等计算机系统重要基础设施应严格管理,配备防盗、防火、防水等设施,应当安装监控系统、监控报警装置等。建立严格的设备运行日志,记录设备运行状况。要规范操作规程,确保计算机系统的安全、可靠运行。
③ 建立必要的安全管理制度
企业网络的中心机房和各业务部门计算机系统都要建立计算机系统使用管理制度,网络系统管理员、安全员、各业务部门主管和计算机操作人员的计算机密码管理规定等内控管理制度,对应用系统重要数据的修改要经过授权并由专人负责,登记日志。建立健全数据备份制度,核心程序及数据要严格保密,实行专人保管。
④ 坚持安全管理原则
多人负责原则:两人或多人互相配合、互相制约。从事每项安全活动,应至少两人在场,做好工作情况记录。
任期有限原则:任何人不长期担任与安全有关的职务。当人员离任时,应立即对系统进行授权调整。
职责分离原则:不要打听、了解或参与职责以外的任何与安全相关的事情,除非系统主管领导批准。
最小权限原则:只授予用户和系统管理员所需要的最基本权限,并且超级用户的权限也应该越小越好。
⑤ 制度的定期督导检查
管理制度具有严肃性、权威性、强制性,管理制度一旦形成,就要严格执行。企业应组织有关人员对管理制度进行定期督导检查,保证制度的落实。
5) 加强企业员工和网络管理人员安全意识教育
对于网络信息安全,企业员工和网络管理人员的素质非常重要。信息安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证信息安全的成功和有效,应当对企业各级管理人员、用户、技术人员进行安全培训,所有的企业人员必须了解并严格执行企业信息安全策略,通过安全教育形成企业安全文化的重要组成部分,保障安全管理的顺利实现。
① 在安全教育具体实施过程中应该有一定的层次性。
对主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制订等。
对负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
对企业全体职员,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
② 对于特定的人员要进行特定的安全培训
对于关键岗位和特殊岗位的人员,通过送往专业机构学习和培训,使其获得特定的安全方面的知识和技能。通过安全培训,确保在电力信息安全保障体系逐步建立的过程中,各类人员的安全意识和技术能力获得提高,各岗位人员的技术能力和管理能力与安全保障体系的运行和维护相适应。
6) 在发展中求安全
没有百分之百安全的技术和防护系统黑客技术,计算机病毒等信息安全攻击技术在不断发展的,人们对它们的认识,掌握也不是完全的,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。
人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备,也仅仅是满足某一些方面的安全需求,不是企业有某一方面的信息安全需求,市场上就有对应的成熟产品,因此不是所有的安全问题都可以找到有效的解决方案。
因此需要建立安全长效机制解决网络信息安全问题,以技术为安全的主体,以管理为安全的灵魂,在不断发展中求安全。
5 结束语
电力系统的信息化应用是随着企业的发展而不断发展的,信息网络安全也是一个动态过程,需要定期对信息网络安全状况进行评估,改进安全方案,调整安全策略。需要强调的是,网络安全是一个系统工程,不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面,既有层次上的划分、结构上的划分,也有防范目标上的差别。任何一个产品和技术不可能解决全部层面的问题,因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统,既有技术的因素,也包含人的因素。一个较好的安全措施往往是多种方法适当综合应用的结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。因此笔者认为电力系统局域网络安全是一个伴随着信息化应用发展而发展的永恒课题。
参考文献:
[1] 郭护林.企业网络信息安全分析[J].计算机安全,2002(6).
[2] 闫斌,曲俊华,齐林海.电力企业网络信息安全系统建设方案的研究[J].计算机安全,2003(1).
[3] 冯登国.计算机通信网络安全[M].清华大学出版社,2004.
[4] 朱贵强.论企业网络信息安全管理.2005(6).
[5] 杨赞国.论企业网络信息安全与防范策略[J].计算机安全,2005(6).
[6] 王迎新,牛东晓.电力企业网络信息安全管理研究[J].计算机安全,2007(3).
关键词:信息网络;安全管理
中图分类号:TP393.08 文献标识码:A 文章编号:1009-3044(2009)05-1074-03
Analysis of Power System Information Network Security
YANG Jian-dong, MA Yong
(Senior Management Training Center,Jiangsu Electric Power Company,Wuxi 214000,China)
Abstract: According to the power system network security risks and problems,this paper presents the work of information security and the general principles of information security from a technical and safety management put forward the idea of addressing security issues and methods of analysis of local area network security management related to issues,and according to their own experience of a relatively effective way of thinking.
Key words: information network; security management
1 前言
随着计算机信息技术的发展,大大增加了电力系统对信息系统的依赖性,网络已成为我们工作中的重要组成部分。但当我们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。病毒的传播日益猖獗,黑客的攻击也越来越多,给局域网数据的管理、网络的安全带来诸多问题。
也许出乎你的意料,世界上每分钟就有两个企业因为信息安全问题倒闭,有十一个企业因为信息安全问题造成大约800多万美元的直接经济损失。这是一个细节决定竞争成败的时代,一个关键的信息就可以左右企业的命运。信息安全问题,不仅仅涉及到企业的生存发展,还涉及国家的经济、科技和社会安全,甚至危及到国防、政治和文化安全。
然而,纵观这许多问题,人是信息安全中的关键因素,同时人也是信息安全中最薄弱的环节。当网络中的硬件和软件技术处于时代发展主流水平,升级系统已不能明显提升网络信息安全水平时,信息系统的安全往往取决于系统中最薄弱的环节——人。实际上有许多网络安全问题是由于安全管理没有有效地实施造成的,因此安全管理是信息安全的核心。
2 电力系统信息网络安全主要存在的问题
1) 安全意识淡薄
企业人员忙于利用网络工作学习,对网络信息的安全性无暇顾及,安全意识相当淡薄。电力企业注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求,网络信息安全处于被动的封堵漏涮状态。从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。
2) 信息化机构、制度建设尚需进一步健全
信息部门未受到应有的重视。信息部门在电力公司没有专门机构配置,没有规范的建制和岗位,信息部门附属在生产技术部下,有的作为设在科技部下的科室,有的设在总经理工作部门下,还有的仅设一个“信息化专责”人员。信息化作为一项系统工程,需要专门的机构来推动和企业各个部门的配合。这种状况势必不能适应信息化对人才、机构的要求。
3) 电力企业网络信息安全风险的主要表现
① 网络结构不合理
电力企业依据有关规定将网络分为内网和外网,内外网实行物理隔离,但网络结构都存在着一些不合理的地方。常见的有:核心交换机选择不合理。不少企业网络的核心交换机是一台二层交换机,这样,所有网络用户在网络中的地位将是平等的,安全问题只有通过应用系统去解决。
② 来自互联网的风险
几乎所有电力企业的网络都是以各种方式与互联网连接,企业用户可以直接访问互联网的资源,这给企业职工带来很大方便;同样,任何能上互联网的用户也可以访问企业网络的资源,这对宣传企业、扩大企业的影响和知名度很有好处。但是,在带来方便的同时,也带来安全风险。互联网上的一些用户出于种种动机,对电力公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业的商业秘密和机密信息,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。
③ 来自企业内部的风险
对于电力企业网络来说,来自内部的风险是非常主要的安全风险。随着网络技术的发展,电力系统的信息网络已从过去的小范围局域网,发展为网络终端数以万计的大规模广域网。江苏省电力公司信息应用集中集成的逐步推广,各种应用,包括办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。内部人员(特别是网络管理人员)对网络结构、应用系统都非常熟悉,不经意之间泄露的重要信息,都将可能成为导致系统受攻击的最致命的安全威胁。
④ 病毒的侵害
计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,一台计算机感染病毒,在短期内可以感染到区域内所有的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。
⑤ 管理人员素质风险
许多电力企业网络都存在重建设、重技术、轻管理的倾向。实践证明,安全管理制度不完善、人员素质不高是网络风险的重要来源之一。比如,网络管理员配备不当、企业员工安全意识不强、用户口令设置不合理等,都会给信息安全带来严重威胁。
⑥ 系统的安全风险
系统的安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。不管使用哪一种操作系统都存在大量已知和未知的漏洞,这些漏洞可以导致入侵者获得管理员的权限,可以被用来实施拒绝服务攻击。
3 解决电力系统网络安全问题的基本原则
1) 做好安全风险的评估
进行安全系统的建设,首先必须做好安全状况评估分析,评估应聘请专业权威的信息安全咨询机构,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。
信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。
培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。
2) 采用信息安全新技术,建立信息安全防护体系
企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施
① 建立计算机防病毒系统
计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。
在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电网公司这样的大型企业的首选。
② 建立网络安全防护系统
信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。
对于已经投入使用的信息系统,可以通过采用增加安全访问网关的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
3) 依据法规,遵循标准,提高安全管理水平
信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全“七分管理,三分技术”的说法不是很精确,但管理的作用可见一斑。
4 加强电力系统网络安全的措施
1) 重视安全规划
企业网络安全规划的目的就是要对网络的安全问题有一个全面的思考,要以系统的观点去考虑安全问题。要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系。
2) 合理划分安全域
电力企业是完全实行物理隔离的企业网络,在内网上仍然要合理划分安全域。要根据整体的安全规划和信息安全密级,从逻辑上划分核心重点防范区域、一般防范区域和开放区域,并采用严格的访问控制策略。
重点防范的区域是网络安全的核心,这部分区域是一般用户不能直接访问的区域,有很高的安全级别。各种重要数据、服务器、数据库服务器应当放置在该区域,各种应用系统、OA系统等在该区域运行。
3) 加强安全管理
为保证企业网络信息安全,要把企业网络信息安全作为一个系统工程来考虑。因此,企业网络的安全问题,安全管理和制度建设非常重要(特别是内网)。现提出如下建议:
① 加强日志管理与安全审计
一般的防火墙与入侵检测系统都具备审计功能,要充分利用它们的审计功能,做好网络的日志管理和安全审计工作。对审计数据要严格管理,不允许任何人修改、删除审计记录。
② 建立内网的统一认证系统
认证是网络信息安全的关键技术之一,其目的是实现身份鉴别服务、访问控制服务、机密性服务和不可否认服务等。
③ 建立防护体系
在企业网络上安装防病毒体系。防病毒软件系统要具有远程安装、远程报警、集中管理等多种功能。其次,要建立防病毒的管理制度。不能随意将互联网上下载的数据往内网主机上拷贝,来历不明的移动存储设备不能随意在联网计算机上使用,职员应熟练掌握发现病毒后的处置办法。
在局域网部署架设微软更新服务器。网络中的诸多病毒及黑客入侵导致计算机的数据损坏甚至系统崩溃,究其原因,操作系统本身的漏洞被恶意代码利用并加以攻击,是造成系统不稳定的重要原因之一。所以,即时完善操作系统,成为当前计算机维护工作中的首要任务。微软公司的Windows系列操作系统作为当前用户数量最多的系统,其受关注程度和受侵害程度也是各类操作系统中最多的。鉴于微软公司操作系统更新服务器在国外,造成下载更新补丁的速度偏慢,同时,对于局域网用户数量大,在每台机器上更新会带来繁重的重复性操作,故而在本地局域网内架设部署一台集中式微软软件更新服务器成为保障Windows系列操作系统及时更新最为行之有效的方法之一。
4) 重视网络管理制度建设
① 领导应当高度重视网络信息安全问题
企业领导要高度重视安全管理和安全制度的建设问题,不能把安全管理和制度建设看成是技术部门的事。企业应当成立信息安全领导小组,由分管领导抓网络安全工作,并明确其职责和工作制度。要制订安全事故处理程序、应急计划等。
② 加强基础设施和运行环境的管理建设
企业网络的管理的机房、配电房等计算机系统重要基础设施应严格管理,配备防盗、防火、防水等设施,应当安装监控系统、监控报警装置等。建立严格的设备运行日志,记录设备运行状况。要规范操作规程,确保计算机系统的安全、可靠运行。
③ 建立必要的安全管理制度
企业网络的中心机房和各业务部门计算机系统都要建立计算机系统使用管理制度,网络系统管理员、安全员、各业务部门主管和计算机操作人员的计算机密码管理规定等内控管理制度,对应用系统重要数据的修改要经过授权并由专人负责,登记日志。建立健全数据备份制度,核心程序及数据要严格保密,实行专人保管。
④ 坚持安全管理原则
多人负责原则:两人或多人互相配合、互相制约。从事每项安全活动,应至少两人在场,做好工作情况记录。
任期有限原则:任何人不长期担任与安全有关的职务。当人员离任时,应立即对系统进行授权调整。
职责分离原则:不要打听、了解或参与职责以外的任何与安全相关的事情,除非系统主管领导批准。
最小权限原则:只授予用户和系统管理员所需要的最基本权限,并且超级用户的权限也应该越小越好。
⑤ 制度的定期督导检查
管理制度具有严肃性、权威性、强制性,管理制度一旦形成,就要严格执行。企业应组织有关人员对管理制度进行定期督导检查,保证制度的落实。
5) 加强企业员工和网络管理人员安全意识教育
对于网络信息安全,企业员工和网络管理人员的素质非常重要。信息安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证信息安全的成功和有效,应当对企业各级管理人员、用户、技术人员进行安全培训,所有的企业人员必须了解并严格执行企业信息安全策略,通过安全教育形成企业安全文化的重要组成部分,保障安全管理的顺利实现。
① 在安全教育具体实施过程中应该有一定的层次性。
对主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制订等。
对负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
对企业全体职员,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
② 对于特定的人员要进行特定的安全培训
对于关键岗位和特殊岗位的人员,通过送往专业机构学习和培训,使其获得特定的安全方面的知识和技能。通过安全培训,确保在电力信息安全保障体系逐步建立的过程中,各类人员的安全意识和技术能力获得提高,各岗位人员的技术能力和管理能力与安全保障体系的运行和维护相适应。
6) 在发展中求安全
没有百分之百安全的技术和防护系统黑客技术,计算机病毒等信息安全攻击技术在不断发展的,人们对它们的认识,掌握也不是完全的,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。
人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备,也仅仅是满足某一些方面的安全需求,不是企业有某一方面的信息安全需求,市场上就有对应的成熟产品,因此不是所有的安全问题都可以找到有效的解决方案。
因此需要建立安全长效机制解决网络信息安全问题,以技术为安全的主体,以管理为安全的灵魂,在不断发展中求安全。
5 结束语
电力系统的信息化应用是随着企业的发展而不断发展的,信息网络安全也是一个动态过程,需要定期对信息网络安全状况进行评估,改进安全方案,调整安全策略。需要强调的是,网络安全是一个系统工程,不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面,既有层次上的划分、结构上的划分,也有防范目标上的差别。任何一个产品和技术不可能解决全部层面的问题,因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统,既有技术的因素,也包含人的因素。一个较好的安全措施往往是多种方法适当综合应用的结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。因此笔者认为电力系统局域网络安全是一个伴随着信息化应用发展而发展的永恒课题。
参考文献:
[1] 郭护林.企业网络信息安全分析[J].计算机安全,2002(6).
[2] 闫斌,曲俊华,齐林海.电力企业网络信息安全系统建设方案的研究[J].计算机安全,2003(1).
[3] 冯登国.计算机通信网络安全[M].清华大学出版社,2004.
[4] 朱贵强.论企业网络信息安全管理.2005(6).
[5] 杨赞国.论企业网络信息安全与防范策略[J].计算机安全,2005(6).
[6] 王迎新,牛东晓.电力企业网络信息安全管理研究[J].计算机安全,2007(3).