摘要:本文首先分析了电力企业信息管理体系建设的依据,然后分析了电力企业信息安全管理风险,最后分析了信息安全管理体系里的重要环节。
关键字:电力企业;信息安全;管理
在如今的信息化社会中,信息通过共享传递实现其 价值。 在信息交换的过程中,人们肯定会担心自己的信 息泄露,所以信息安全备受关注,企业的信息安全就更 为重要了。 但是网络是一个开放互联的环境,接入网络 的方式多样,再加上技术存在的漏洞或者人们可能的操 作失误等,信息安全问题一刻不容忽视。 尤其是电力,是 国家规定的重要信息安全领域。 所以电力企业要把信息 安全管理体系的建设,作为重要的一环纳入到整个企业 管理体系中去。
一、电力企业信息管理体系建设的依据
关于企业的安全管理体系方面的标准有很多。 英国 BSI/DISC 的 BDD 信息管理委员会制定的安全管理体 系主要包含两个部分内容:信息安全管理实施规则和信 息安全管理体系规范。 信息安全管理实施规则是一个基础性指导文件,里面有 10 大管理项、36 个执行的目标和 127 种控制的方法,可以作为开发人员在信息安全管理 体系开发过程中的一个参考文档。 信息安全管理体系规 范则详细描述了在建立、施工和维护信息安全管理体系 过程的要求,并提出了一些具体操作的建议。
电力企业总体应有一致的安 全信息管理体系参考标准,但是具体地区的公司又有着本身自己的特殊环境,所以在总体一致的信息安全标准 的情况下,也应该根据企业自身地区、人文、政策等的不 同制定一些企业内部自己信息安全标准作为建立、实施 和维护信息安全管理体系的依据。 信息安全管理体系顾 全大局又要有所侧重的体现电力企业安全标准的要求。
二、 电力企业信息安全管理风险分析
(一)信息安全体系层面
1、信息网络结构和边界风险
电力企业在信息网络结构上存在核心交换机选 型不合理等问题,如核心交换机是一台二层交换机, 网络的安全问题只有通过应用系统去解决。另外, 电力企业的信息大多以各种方式与互联网连接,由 于不同安全域之间的网络连接没有有效的访问控制 措施,来自互联网的访问存在潜在的扫描攻击、DOS 攻击、非法侵入等。
2、病毒侵害和网络攻击
电子邮件系统的广泛使用,使计算机病毒扩散速度大大加快,网络成了病毒传播的最好途径,计算 机病毒已成为电力企业网络最严重的安全风险之 一。目前网络攻击手法已经融合了多种技术,部分 电力企业中的防病毒软件只能查杀病毒,却不能有 效地阻止病毒的传播; 入侵检测系统可以检查出蠕 虫在网络上传播,却不能清除蠕虫; 补丁管理可以防 止蠕虫的感染,却不能查杀蠕虫。企业各个安全产品单独工作,无法系统地查杀病毒并防止病毒传播。
3、系统安全风险
系统安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。目前不少电力企 业网络使用的操作系统仍然是以 Windows 系列操作 系统为主。不管使用哪一种操作系统都存在大量已 知和未知的漏洞,这些漏洞可以导致入侵者获得管 理员的权限,可以被用来实施拒绝服务等攻击。
4、 信息日常传递风险
电力企业和外部的单位都有着许多工作联系,日常许多信息数据都需要通过互联网来传输。网络 中传输的这些信息面临着各种安全风险,例如被非 法用户截取,从而泄露企业机密; 被非法篡改,造成 数据混乱、信息错误从而造成工作失误等。非法用 户还有可能假冒合法身份,发送虚假信息,给正常的 生产经营秩序带来混乱,造成企业损失。
期刊文章分类查询,尽在期刊图书馆
三、信息安全管理体系里的重要环节
(一)硬件环境要求
信息安全管理体系并没有特别要求添加什么特别 的设备,只是对企业用到的设备做一些要求。 电力企业 一般采用内外网结合的方式,内外网设备要尽量进行物 理隔离。 企业每个员工基本都有自己的移动设备,如手 机等,为了增加信息安全的系数,企业可以限制公司设 备的无线网络拓展。 另外,实时监控系统也应该覆盖企 业的重要设备,监控硬件设备的安全。
(二)软件环境要求
在企业设备(主要是计算机)上部署相关软件环境 是信息安全管理体系中最重要的部分。 比如防病毒软件 的部署、桌面系统弱口令监控软件的部署等,以此防止 网络攻击或者提高安全系数。 另外,企业设备所用系统 的安全漏洞修复、数据的加密解密、数据的备份恢复及 数据传输通道的加密解密等问题,都在信息安全管理体 系设计的考虑范畴。
(三)企业员工管理
尽管现在一直倡导智能化,但是企业内进行设备等操 作的主体还是员工。 不管是对设备终端操作来进行信息的 首发,还是对企业软硬件系统进行维护工作,都是有员工 来进行的。 所以,对企业内部员工进行信息安全培训,提高 员工的信息安全防范意识,让员工掌握一定的信息安全防 范与处理手段是非常重要的事情。 针对不同的职位,在员 工上岗前应该进行相关的信息安全方面的培训,然后对培 训结果进行考核,不合格的人员不准上岗。 在岗的人员也 要定期进行培训与考核。 另外,如果有条件的话,企业应该 定期(例如每年)进行一次信息安全的相关演习。
另外, 电力企业有些项目是外包给其他相应公司 的,这时候会有施工人员和驻场人员在电力企业,对这 些人员也应该进行电力企业信息安全的培训。
(四)信息安全管理体系的风险系数评估
风险评估在信息安全管理体系中是确定企业信息安 全需求的一个重要途径, 它是对企业的信息资产所面临 的威胁、存在的弱点、造成的影响,以及三者综合作用下所带来的风险可能性的评测。 风险系 数的评估要尽可能全面的反映企业的信息安全管理体 系,除了常规手段,也可以使用一些相应的软件工具的结 果作为参考。 另外很值得注意的是企业的员工对风险的 理解,企业员工对他们所操作的对象有比较深刻的理解, 对其中可能存在的不足也有自己的见解, 在风险系数评 估的过程中,可以进行一些员工的问卷调查等,把员工对 风险的认识纳入风险评估的考虑范畴。
企业的设备会老旧更换,员工也会更换,所以企业 的信息安全是动态的,因此风险评估工作也要视具体情 况定期进行,针对当前情况作评估报告,然后制定相应 的风险处理方案。 还有,之所以要建立信息安全管理体 系, 其中很重要的一点就是体系内各个模块的结合,信 息安全管理体系的风险评估与关键内容的实时监控就 应该结合起来。
参考文献:
[1] 郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013,(1):180-183,187.DOI:10.3969/j.issn.1009-2552.2013.01.050.
[2] 张丽.县级电力企业信息安全管理策略探析[J].机电信息,2013,(9):166-167.
[3] 张梅,许崇志,许振飞等.基于桌面管控技术的电力企业信息安全水平提升[J].通讯世界,2016,(20):152-153.DOI:10.39 69/j.issn.1006-4222.2016.20.111.
[4] 蔡文检.电力企业信息安全风险分析与防范措施[J].计算机光盘软件与应用,2011,(19):9-9.
[5] 徐岩峰,牛璐杰.电力企业信息安全趋势与防范措施[J].城市建设理论研究(电子版),2016,(10):4162-4162.DOI:10.3 969/j.issn.2095-2104.2016.10.162.
论文作者:陈延响
论文发表刊物:《电力设备》2017年第14期
论文发表时间:2017/9/4
标签:信息安全论文; 电力企业论文; 企业论文; 风险论文; 信息论文; 管理体系论文; 员工论文; 《电力设备》2017年第14期论文;