(通辽盛发热电有限责任公司内蒙古通辽028000)
摘要:随着越来越多信息技术在电力信息安全方面的广泛应用,信息安全的泄露危害也随之增加。在这个机遇与危险并存的时候,想要建立一个相对健全国家电网公司的信息防护体系,必须从基础做起,将管理、技术以及安全等各个方面进行高效的安排,确保电力信息的安全。
关键词:电力企业;信息安全防护体系;构建;实现
1信息安全的概述
电力工业系统中互联网具有的开放、标准化、迅速性等特点。电力系统的正常运行于与电力工业日常的调度、生产、运输息息相关。对于电力工业来说,信息安全的重要性则显得尤为重要。信息安全包含的主要内容就是指信息的保密性、完整性和可用性。于一个正常运行的工业生产的工业系统来说,信息安全牵涉到钱财、经济发展模式等各个方面。公司的内部人员都会有摄取信息的权限,且不同阶层的人获取的信息量也是不一样的。以上指的是信息安全的保密性;信息的完整性则是指信息本身的处理方式的完整性;可用性则是指已经被授权的用户享有及时的获取自己想要获取信息的过程。
2电力企业网络信息安全的现状
2.1电力企业网络信息安全存在的问题
1)缺少安全意识,最近几年互联网信息发展迅速,一些企业的安全策略和安全保护技术在不断进步。但很多企业的领导者没有认识到保护信息安全的重要性,理想和实际还存在巨大的差异。2)虽然很多电力企业认识到了计算机安全的重要性,但没有进行统一的管理工作。整个电力企业,也没有形成完善的管理规范,对于信息网络安全应对措施,没有具体统一的用对方法。3)缺乏针对电力企业设置的信息安全系统。虽然计算机已经应用在电力企业的管理、生产经营系统中。但是,对于安全防患、安全措施投入力度较少,而且没有针对性的信息安全系统。4)很多计算机系统都是商用的,用户的身份认证这一方面不够完善,缺少专业的用户鉴别方法。有些只是输入口令,就能进行安全信息控制。5)很多电力企业的工作站都会进行数据备份工作,但对于如何备份,如何管理没有具体的策略也不知道该怎样进行数据备份的管理工作。
2.2网络安全防护工作无法满足业务发展的需求
信息技术的发展也促进了很多电力企业业务的发展。网络安全问题也成为企业重视的关键问题。很多电力企业的安全防护工作不够完善,不知道该如何进行管理控制,管理水平不够完善,不知道该如何进行风险测评工作,也无法进行风险评估。针对这个问题,我们国家还没有专业的测评机构。因此,很多电力企业存在着安全隐患不容易被发现,也不能得到及时管理。这就使得安全隐患变得越来越大,企业的防范能力也没有得到提高。
2.3网页病毒带来的网络安全问题
很多电力企业都建立了自己的网站,还会和其他的银行个人帐户连接。而电力企业也分为内网和外网,这两者是相联系的。很多员工也会通过内网直接和外网联系,在网站上寻找自己想要的东西。但是,这些网页有可能会存在安全隐患。一些网页有可能被黑客修改过。一旦员工如果通过内网点击到可能被黑客修改过的网页,公司的内网就有可能受到攻击。
3电力企业信息安全管理策略
3.1完善组织架构
电力企业信息安全管理实行统一领导、分级管理原则,领导小组由决策层组成,管理层由各部门管理者组成,包括信息安全的规划、监督审计、运行保障等各职能部门,实施专业化管理。同时构建信息安全管理体系框架,包括信息安全的策略、运行、管理和技术措施四个模块。
3.2做好安全规划
电力企业需要根据自身实际情况,从系统角度和网络安全特点出发优先做好信息安全规划工作,对网络信息安全从整体上进行综合考虑和规划,也可以参照一些国外的通行标准构建信息安全管理体系,以达到防范网络安全问题的目的。同时电力企业信息安全实行双网双机管理,内外网之间采用物理隔离,应结合实际情况合理规划内网安全域,通常划分为一般防范区域和重点防范区域,其中重点防范区域属于电力企业信息安全的内部核心,必须实施重点安全防范,因此设置的访问级别较高,用户访问受权限限制,未经许可用户无法进入,目的是防止不法分子侵入系统。安全区域运行OA系统、应用系统等与核心数据相关的重要数据,以保证数据信息安全。
3.3强化安全管理
(1)加强日常安全审计:入侵检测系统均具有审计功能,能够对病毒攻击或不法分子入侵及时启动警报系统,将计算机自动从局域网中隔离,尽可能降低安全隐患问题。因此应当将安全审计工作落实到位,在加强网络日志管理的同时做好审计数据的保存,以确保审计数据真实、全面、可靠,促使系统安全运行。另外,未经授权不得私自更改或删除审计记录。
(2)构建病毒防护体系:安装的防病毒软件必须具有远程安装、远程报警、集中管理等特点,同时建立防病毒管理制度,严禁将来历不明的存储设备或随意从互联网上下载的数据接入联网计算机,一旦发现病毒应及时进行处理。
(3)信息安全保障举措:根据信息安全分级保护等级落实好“分级、分区、分域”的信息安全防护策略,严格保密核心程序和数据,有效落实信息安全防护预案,实施强逻辑隔离措施,做好安全区域的隔离和划分工作。
(4)建立网络入侵保护系统IPS:IPS是一种快速主动的防御体系,能够阻止恶意数据侵入电力系统,提升电力企业网络信息安全管理指标。与常规的防火墙相比,IPS的安全防御功能更加完善,不仅可以对网络恶意数据流量进行数据安全检测,及时消除隐患,还能提供网络虚拟补丁,起到预先拦截黑客攻击或网络病毒传播的作用,以保证电力企业信息系统免受损害。
3.4提升信息安全管理意识
(1)高度重视信息安全管理工作:信息安全问题已经成为制约电力企业发展的瓶颈,领导层应不断提升信息安全管理意识,高度重视信息安全管理工作,结合企业实际情况成立信息安全领导小组,组织所有员工进行信息系统安全运行管理培训,让其了解信息安全管理目标,掌握信息安全评估方法,提高信息安全管理技能,在企业内部形成良好的信息安全管理氛围。
(2)建立健全信息安全管理制度:完善的信息安全管理制度应明确相关负责人的工作职责和权限,落实信息安全管理工作责任到人,定期开展信息安全管理工作督导检查,对发现的问题要求及时进行整改,对相关的责任人按规定进行严肃处理,以确保信息安全管理制度的严肃性、强制性、权威性和可执行性。同时也使工作人员在具体操作时,有章可循、有法可依、更加规范,从而避免因操作失误带来的信息安全问题。
(3)建立信息安全应急保障机制和不同信息安全风险的预警机制:电力企业信息安全问题较为严重,信息风险无处不在,建立信息安全应急保障机制和不同信息安全风险的预警机制是确保信息系统安全、稳定运行的重要保障,尤其需要加强信息系统的容灾建设、数据保存备份和恢复管理制度建设。
结束语
信息安全管理是保证信息安全的基础措施。在这个信息化不断发展的时代,更要对信心安全管理进行具体的安排。从强化管理入手,先制定一个合理正确的安全管理理念,制定的安全管理理念要符合公司的发展,并且将信心安全管理分成不同的部分,让公司的各个部门各自负责信息管理的一部分,进行信息安全的检测工作以及对信息管理进行风险评估工作,这样一来,既保护了公司的信息安全,又促进了公司内部人员的团结协作默契。
参考文献:
[1]牛斐.电力企业网络信息安全的防范措施[J].大众用电,2017(S1):166-167+178.
[2]袁昕.电力信息安全管理存在的问题及措施探讨[J].通讯世界,2017(22):104-105.
[3]赵建辉.浅析电力企业信息网络的安全及防范措施[J].通讯世界,2017(22):172-173.
[4]陈少钦.电力信息系统常见安全分析及防护对策[J].网络安全技术与应用,2017(11):121+124.