国网江西省电力公司赣西供电分公司 江西新余 338000
摘要:供电企业作为我国国民经济发展的重要支柱力量,供电企业中通常会涉及到大量的机密信息和重要的企业内部信息,这些信息的安全关系到整个供电企业的发展。为此,在整个企业的管理系统中建立一个信息安全管理体系就显得非常重要。文章主要对信息安全管理体系建设中的重要环节、重要技术等进行分析,以此期望提高对供电企业信息安全的防护。
关键词:信息安全;供电企业;风险评估;管理模式
1 引言
近年来随着信息技术和供电企业信息化的共同发展,互联网和计算机的供电企业信息系统成为了目前供电企业各项工作开展的重要辅助工具,信息通过共享传递实现其价值。但是,信息的交换存在着信息泄露风险,加强对供电企业信息安全管理就非常有必要了。又由于网络是一个开放互联的环境,接入网络的方式多样,再加上技术存在的漏洞或者人们可能的操作失误等,供电企业信息安全问题一刻不容忽视。
2 供电企业信息管理体系建设的依据
关于企业信息安全管理体系方面的标准众多,如何针对企业自身实际情况选择合适的参考标准很重要,尤其是供电企业有着与其他企业不同的一些特殊性质,选择信息安全体系建设的参考标准更要谨慎。我国供电企业已经引入了一些国际化标准作为建立和维护企业运转的保证,关于信息安全体系的标准也应纳入到保证企业运转的一系列参考中去。供电企业总体应有一致的安全信息管理体系参考标准,但是具体地区的公司又有着本身自己的特殊环境,所以在总体一致的信息安全标准的情况下,也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息安全标准作为建立、实施和维护信息安全管理体系的依据。信息安全管理体系顾全大局又要有所侧重的体现供电企业安全标准的要求。
3 信息安全管理体系里的重要环节
3.1 硬件环境要求
信息安全管理体系并没有特别要求添加什么特别的设备,只是对企业用到的设备做一些要求。供电企业一般采用内外网结合的方式,内外网设备要尽量进行物理隔离。企业每个员工基本都有自己的移动设备,如手机等,为了增加信息安全的系数,企业可以限制公司设备的无线网络拓展。另外,实时监控系统也应该覆盖企业的重要设备,监控硬件设备的安全。
3.2 软件环境要求
在企业设备(主要是计算机)上部署相关软件环境是信息安全管理体系中最重要的部分。比如防病毒软件的部署、桌面系统弱口令监控软件的部署等,以此防止网络攻击或者提高安全系数。另外,企业设备所用系统的安全漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题,都在信息安全管理体系设计的考虑范畴。
3.3信息安全管理体系的风险系数评估
风险评估在信息安全管理体系中是确定企业信息安全需求的一个重要途径,它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用下所带来的风险可能性的评测。风险评估的主要任务是:检测评估对象所面临的各种风险,估计风险的概率和可能带来的负面影响的程度,确定信息安全管理体系承受风险的能力,确定不同风险发生后消减和控制的优先级,对消除风险提出建议。在信息安全管理体系的风险系数评估过程中,形成《风险系数评估报告》、《风险处理方案》等文档,作为对信息安全管理体系进行调整的参考。风险系数的评估要尽可能全面的反映企业的信息安全管理体系,除了常规手段,也可以使用一些相应的软件工具的结果作为参考。另外很值得注意的是企业的员工对风险的理解,企业员工对他们所操作的对象有比较深刻的理解,对其中可能存在的不足也有自己的见解,在风险系数评估的过程中,可以进行一些员工的问卷调查等,把员工对风险的认识纳入风险评估的考虑范畴。
3.4信息安全管理体系的管理模式
文章前面提到企业信息安全是动态的,所以信息安全管理体系需要建立一个长效的机制,针对最新的情况及时对自身作出调整,使信息安全管理体系有效的运行。现在一般会采用PDCA循环过程模式:计划,依照体系整个的方针和目标,建立与控制风险系数、提高信息安全的有关的安全方针、过程、指标和程序等;执行:实施和运作计划中建立的方针、过程、程序等;评测:根据方针、目标等,评估业绩,并形成报告,也就是文章前面说到的风险系数评估;举措:采取主动纠正或预防措施对体系进行调整,进一步提高体系运作的有效性。
期刊文章分类查询,尽在期刊图书馆这四个步骤循环运转,成为一个闭环,是信息安全管理体系得到持续的改进。
4 重要技术及展望
4.1 安全隔离技术
供电企业的信息网络是由内外网两部分组成,从被防御的角度来看的话,内网的主要安全防护技术为防火墙、桌面弱口令监控、入侵检测技术等;而主动防护则主要采用的是安全隔离技术等。安全隔离技术包括物理隔离、协议隔离技术和防火墙技术。一般供电企业采用了物理隔离与防火墙技术,在内网设立防火墙,在内外网之间进行物理隔离。
4.2 数据加密技术
信息加密是一种行之有效的技术保护措施,是一种主动的防卫措施。通过某种加密算法将数据变换成只有经过密钥后才可读的密码来加以保护。信息加密包括两方面的要求,一个是对数据保密性要求,使未经授权的非法访问即使得到数据也难以解密;另一个是对通信保密性要求,防止用户通信数据篡改、通信数据插入、通信数据重用等非法操作。现代密码算法不仅可以实现加密,还可实现数字签名、鉴别等功能,有效地对抗截取、非法访问、破坏数据的完整性、冒充、抵赖、重演等威胁,因此密码技术是数据安全的核心技术之一。常见的数据加密算法有DES 算法、RSA 算法、IDEA 算法、DSA 算法等。
4.3 终端弱口令监控技术
终端设备众多,而且是业务应用的主要入口,所以终端口令关乎业务数据的安全以及整个系统的正常运转。如果终端口令过于简单薄弱,相当于没有设定而将设备暴露。终端的信息安全是供电企业信息安全的第一道防线,因此采用桌面系统弱口令监控技术来加强这第一道防线的稳固性对供电企业的信息安全非常重要。
5、加强电力企业信息系统安全管理的对策
1.强化电力企业信息系统安全管理基础设施建设
加强电力企业信息系统安全管理,首先就业加强相关基础设施建设,其中最为关键的就是要确保信息系统运行的网络环境的安全性及稳定性。电力企业要建立专门的支持信息系统安全稳定运行的机房,在机房内配备必要的辅助应急设施和安全设备,同时要对机房内的设备和环境进行定期检查和维护,以保障信息系统能够在一个相对安全稳定的环境下运行,有效避免外界环境因素给电力信息系统造成安全威胁。
2.利用网络安全技术提高电力企业信息系统的安全性
一套安全完善的电力企业信息系统必要要有强大的技术作为支持,电力企业要利用网络安全技术来不断提高信息系统的安全性能。首先在防火墙的设置上要根据企业的实际需求来选取,保障防火墙能够满足电力企业庞大的信息系统管理的需要,防止外部不安全信息侵入内部系统。其次,要建立满足电力企业信息系统安全需求的入侵防御系统,在不影响系统网络性能的情况下对传输的数据信息进行监测,对不安全信息进行拦截,还要通过身份认证技术等来加强对操作系统访问控制,从而保障系统的安全性。此外,电力企业在进行信息系统安全管理过程中还要加强对数据的安全处理,利用系统平台对数据进行加密保护,加强系统数据的安全,避免不法分子盗取企业机密数据信息。
3.落实责任制,提高相关人员的安全意识
良好的安全意识是保障电力企业信息系统安全运行的保障,因此电力企业有必要建立和完善责任制度,提高相关工作人员的安全意识。在这方面电力企业首先要加强对信息系统安全知识的宣传,帮助企业员工认识到信息系统安全运行对于企业发展的重要性,同时加强对员工的安全教育培训工作,营造良好的信息安全环境,进而从根本上提高电力企业全体员工的安全意识。
6 结束语
供电企业的信息安全与企业的生产与经营管理密切相关,是企业整个管理系统的一部分。信息安全管理体系是一个整体性的管理工作,把体系中涉及的内容统一进行管理,让它们协调运作,实现信息安全管理体系的功能。供电企业信息安全的建立与体系不断的改进定能稳定、有效地维护企业的信息安全。
参考文献:
[1] 王志强,李建刚.电网企业信息安全管理体系建设[J].浙江省电力公司,2008,6(3)
[2] 陈贺,宫俊峰.浅析信息安全体系如何建立[J].中国管理信息化,2014,17(1):74-76.
[3] 郭建,顾志强.供电企业信息安全现状分析及管理对策[J].信息技术,2013(1):180-187.
论文作者:李培培,林谋斌
论文发表刊物:《基层建设》2016年16期
论文发表时间:2016/11/2
标签:信息安全论文; 供电企业论文; 管理体系论文; 企业论文; 风险论文; 数据论文; 信息系统论文; 《基层建设》2016年16期论文;