论电力企业信息安全管理

浅析电力企业信息安全管理XXX电力技术开发有限公司 信息化部 摘要：随着计算机信息化建设的飞速发展而信息系统在电力企业中所处的地位越来越重要，大量的信息系统的应用让电力企业生产信息和办公事务流程的运作控制流程高度集中于企业信息系统之中，由此导致信息系统安全问题日益引起企业IT管理部门的重视。在电力企业生产信息系统安全已纳入到安全生产的管理大纲之中，一旦信息系统因系统软硬件故障，黑客攻击、网络病毒感染、文件非法拷贝等而出现问题甚至瘫痪，将直接影响企业的正常运行，并给企业带来巨大的影响。关键词：企业信息化 计算机安全 网络安全 信息安全随着电力企业信息化建设的快速发展和应用，ERP系统、门户网站、FMIS系统、内控系统、OA系统等已经成为现今电力企业运营管理的必备要素。然而，由于网络具有开放性、互联性、连接方式的特性以及终端分部的不均匀，加之信息系统设计时存在的设计缺陷和人为的疏忽，致使信息系统易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁，摆在电力企业信息安全管理上的问题严峻，一旦重要信息资源的丢失、损坏和泄露，可能会给企业带来巨大的危害，以至于造成企业无法挽回损失。电力企业信息安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，其中涉及到的一些复杂的技术只有专业从事信息安全的企业能够完成。在当前大部分的电力企业中负责企业信息安全的工作人员在技术能力上存在与专业公司技术团队间的差距。但是这种差距是可以通过合理的制度管理进行弥补的，一套完整的信息管理制度和管理理念结合企业信息安全方面的技术手段将能够保障企业的信息安全。信息安全的管理包括了法律法规的规定，责任的分化，策略的规划，政策的制订，流程的制作，操作的审议等等。在电力企业的信息安全管理中存在着“七分管理，三分技术”的说法，虽然这种说话不是很精确，但由此可见管理的作用在电力企业信息安全的工作还是十分重要的。在电力企业的信息安全通常存在着以下的特性：1、身份的一致性、真实性是指用户登陆信息系统的身份与社会中的身份相一致。在企业的内部系统中，一旦出现系统用户身份冒用，将会导致企业运行出现重大问题。因此，如何能对各种信息系统中登陆的实体身份的真实性进行鉴别？如何保证用户的身份不会被别人冒充？尤其在信息系统中，绝对不允许冒充、伪造等现象的存在，这是真实性所需要解决的问题。2、数据的有效性、保密性有效性是指信息所涉及的内容是真实有效的，在法律上可界定的；保密性是指信息不被泄露给非授权的用户、实体或过程，或供其利用的特性，即防止信息泄露给非授权个人或实体，在企业信息系统中存放着企业运行的数据，这些数据是企业的核心机密信息，关系到企业的生产管理，运营监控和战略规划。因此，系统信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上，保障网络信息安全的重要手段。3、数据的不可否认性不可否认性也称作不可抵赖性，这一特性与数据的有效性相通，因为能够否认的数据就不是一个有效的数据。所以在电力企业网络信息系统的信息交互过程中，确信参与者的真实唯一性，即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止信息发布者不真实地否认己发送信息，利用递交接收证据可以防止收信方事后否认已经接收的信息。数字签名技术,MAC地址登记是解决不可否认性的手段之一。4、系统的可靠性可靠性是指系统能够在规定条件和规定的时间内完成规定的功能的特性。随着信息系统在电力企业的生产中日益普及，信息系统在替代传统管理系统时应当建立详细的测试以及细致的评审工作体系，一旦由于信息系统在设计建设时的缺陷导致运行中的系统崩溃将会导致严重的企业安全生产事故。因此，信息系统的可靠性是系统安全的最重要的基础要求，是所有电力企业信息系统的建设和运行的基本目标。5、数据的完整性完整性是信息未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性。确保每一条添加的数据都是存在着日志记录的，完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、正确存储和正确传输。6、数据的可控性可控性是对信息的传播及内容具有控制能力的特性。不允许不良内容通过公共网络进行传输。对于企业信息系统而言，可控性是十分重要的特点，所有需要公开发布的信息必须通过审计后才能发布。如果存在错误消息的发布，要有即使的预警和回滚的机制。7、数据的可用性可用性是信息可被授权实体访问并被按需求使用的特性，即信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是信息系统面向用户的安全性能。信息系统最基本的功能是向用户提供服务，而用户的需求是随机的、多方面的，有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。电力企业的信息安全工作是一项跨学科的综合性信息系统工程，它涉及安全技术和安全管理两大范畴。就安全技术而言，它就涵盖了通信技术、计算机技术、操作系统、网络技术和密码学等多个领域，远非个人或小团队所能具备的，它需要有专门的组织或单位投入大量的人力、物力和财力致力于这方面的研究和开发，才有可能做的比较完备。在文章的前言部分已经论述过了，相对于电力企业而言更应该分析企业的安全需求，根据需求制定相应的技术和管理方案来满足它。以此开弥补在电力企业做信息安全技术上的不足。事实上，在部署安全方案的过程中还要坚持“安全与方便”和“投入与效果”等原则，比如用系统总投资的一半以上作为安全投入或施加安全方案后却造成了系统的瓶颈，显然都是不合适的，大量技术设备应用将会造成大量的资金投入，相对于电力企业而言这是得不偿失的。因此重视对系统安全的管理制度的建设，才是符合电力企业信息安全工作的道路。目前我国电力企业信息安全方面主要存在以下三个问题： 1、安全意识淡薄是电力企业信息安全的瓶颈由于信息技术突飞猛进，造成很多基层电力企业年纪大的员工的安全意识还停留在传统的、有形的生产安全的层次，对无形的信息安全意识普遍比较薄弱。例如，在实施企业日常信息运维的过程中，经常可以遇到部分员工安装公司与工作无关的软件、中止安装在自己电脑上的安全产品客户端等诸如此类的事件，造成这些问题的原因是多种多样的。由于员工缺少足够的信息安全意识，他们往往因为直接的便利而违反信息安全规章，电力行业是国民经济的重要支柱，重要信息的丢失将会导致整个公司甚至国家的经济安全推向危险的境地。2、技术产品依赖进口是我国电力企业信息安全的隐忧这些年我国的高科技制造业虽然取得了长足的发展，但其中所有的核心部件几乎都是国外进口的。在国外有关于某些国家在出口到他国的网络硬件设备和操作系统中留存着“后门”程序。在必要时启动这些程序可以毫不费力的得到所有运行在这些设备和系统中的数据。这些问题都将是我国电力系统乃至于国家安全上的巨大隐患。3、专业人才的不足制约了电力企业信息安全防范的力度目前，在电力企业网络安全管理方面专业人才匾乏，从事信息系统管理的人员却往往并不具备安全管理所需的技能、资源，信息安全技术管理方面的人才无论是数量还是水平都无法适应当前电力企业信息安全形势的需要。安全措施不到位、不落实，许多电力企业没有从管理制度上建立相应的安全防范机制，在整个运行过程中，缺乏行之有效的安全检查和应对保护制度。以上的三个方面，只是当前在电力企业中比较共性的一些问题。在不同的企业中，还存在着各种各样的信息安全问题。只有重视电力企业在信息安全方面的管理，提高信息安全在企业整体安全管理框架中的地位，才能够从根本上解决电力企业从传统管理模式到信息化管理模式中，所产生的信息安全方面的问题。对于电力企业而言，整体的信息系统安全主要包含三个层面的内容：硬件系统的安全、操作系统的安全和应用软件的安全。操作系统在计算机中占有极其重要的位置，首先，操作系统提供用户与计算机系统的交互界面和运行环境，任何的应用程序（包括企业中的办公自动化软件）要想正常运行，都必须借助操作系统这个平台；其次，操作系统可以为用户建立安全屏障，目前的操作系统都或多或少的采取了一定的安全措施以防止恶意攻击和非授权访问，入侵者要攻入某台计算机，其首要目标就是该计算机的操作系统；再次，操作系统负责为用户管理计算机的所有软硬件资源，为各个程序的正常使用提供运行基础，它是各种应用系统成败的关键。操作系统的功能和权力如此之大，使它也成为攻击的首要目标。一旦攻破操作系统的防御，就获得了计算机系统保密信息的存取权。因此，既要防止操作系统本身的隐患和不安全漏洞，也要防范对操作系统的滥用、破坏和窃取服务。计算机系统的安全极大地取决于操作系统的安全，计算机操作系统的安全是指利用安全手段防止操作系统本身被破坏，防止非法用户对计算机资源（如软件、硬件、时问、空间、数据、服务等资源）的窃取。操作系统安全的实施将保护计算机硬件、软件和数据，防止人为因素造成的故障和破坏。目前，电力企业用户所选用的操作系统主要有Unix操作系统、Linux操作系统、windows系列操作系统以及Macintosh系列操作系统。这些操作系统在设计和使用上是各有长处的。但都存在一定的安全漏洞，企业可以根据实际计算机系统要求的安全等级来决定选用何种操作系统，比如，对于存储比较重要数据的网络服务器，可采用Unix操作系统或Linux操作系统来提高系统的安全级别，对于只是安装简单客户端程序的计算机系统可采用安全级别较低但界面较为友好的Windows系列操作系统。在维护操作系统本身的稳定的基础之上，作为系统管理员，还应该为本系统制定出合适的资源与文件的访问策略，通过这些策略，来拒绝恶意攻击和非授权访问。在操作系统中主要的策略应包括：账户管理策略、资源访问策略、文件访问策略，审计策略、域策略、组策略、日志策略等，对一个已经安装的操作系统制定出一套符合实际要求的策略，可以极大地增强操作系统的安全性，并可以及时发现针对操作系统的攻击。企业在应用软件的选择上，往往倾向于操作方便、功能齐备、界面友好的应用软件。因此，各个软件设计公司纷纷把目光聚焦在如何开发出能够吸引人们眼球的界面上，在界面、功能方面常常是不遗余力。但是，很少有人注意到应用软件给系统带来的不安全隐患。这类隐患常常会导致对系统数据的非授权访问和修改，轻者可造成消息失密，重者可导致整个企业系统的崩溃。作为企业信息系统的管理员，在实际使用过程中，一方面应该对所使用的应用系统进行充分的分析，彻底清除残留的后门、特洛伊木马、逻辑炸弹、病毒等有害代码，还应该在使用过程中对软件进行全方面的监控（病毒监控、端口监控、日志监控）以随时发现软件中存在的安全隐患；另一方面，系统管理员还应该养成一个数据备份的良好习惯，以应付突如其来的攻击，把整个系统的损失减少到最小程度。硬件系统主要以一条条指令的形式完成用户所需求的功能，因此，所有的用户功能都是由硬件系统来具体完成的。硬件系统在整个企业系统中起到基础和支撑作用，硬件系统的安全直接关系到整个企业信息系统的安全。从实际出发，计算机硬件系统面临的主要威胁有：（1）计算机硬件被盗窃、破坏和信息泄漏。一旦存有重要信息的计算机硬件被盗窃或破坏，将会导致企业信息系统的瘫痪和信息泄露，造成极大损失，解决的关键是建立科学合理的计算机管理制度，防止计算机硬件被盗窃或破坏。（2）自然灾害、意外事故。自然界有很多自然灾害情况，如地震、飓风、雷击等，这些自然灾害都可能毁坏计算机硬件系统，导致该系统承载的信息系统的崩溃和数据丢失，为有效防止自然灾害对信息系统的破坏，应对计算机硬件系统采取合理的防护措施，并对重要数据定期备份。（3）废物搜寻。在信息系统中，硬件的升级是经常会遇到的问题，被替换下来的硬件在处理前一定要进行认真的清理，以防止别有用心的人通过废物回收的途径获得信息系统中的重要数据。（4）电子辐射导致信息泄露。计算机系统作为电子设备，和其它电子设备一样，具有电磁辐射(主要表现在中央处理器、显示器和网络设备上)，而这些电磁辐射会或多或少的向外界泄露当前计算机正在处理的信息，为了防止重要信息通过电磁辐射被泄露，应在处理信息系统的机密数据的计算机房外加装屏蔽设备(如铜栅)以防止电磁泄露。（5）网络设备被破坏或被窃听。企业信息系统中，网络是信息流动的载体。各种网络设备（如交换机、路由器、集线器）中要经常传输重要信息，别有用心的人常常会通过破坏网络设备或对网线搭线窃听等方式来达到干扰系统正常工作或窃取系统数据的目的。（6）对于计算机硬件系统的安全，仅仅通过技术手段是无法完全解决的，要解决硬件系统的安全问题，还需要从管理的途径入手，建立起一套行之有效的计算机使用、管理机制，从而最终达到计算机硬件系统安全的目的。企业信息安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全解决方案的制定需要从整体上进行把握。信息安全解决方案是综合各种计算机网络信息系统安全技术，将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、漏洞扫描技术等结合起来，形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重，安全技术必须结合安全措施，并加强计算机立法和执法的力度，