公務(wù)員期刊網(wǎng) 論文中心 正文

基層供電企業(yè)信息安全建設(shè)思考

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了基層供電企業(yè)信息安全建設(shè)思考范文,希望能給你帶來靈感和參考,敬請閱讀。

基層供電企業(yè)信息安全建設(shè)思考

摘要:信息安全作為國家安全重要組成部分為各國共識,各國紛紛出臺自己的信息安全戰(zhàn)略和政策,加強自身信息安全保障體系建設(shè)。新形勢下我國提出“以信息化帶動工業(yè)化,發(fā)揮后發(fā)優(yōu)勢,實現(xiàn)社會生產(chǎn)力了跨越式發(fā)展”,并將信息安全與政治、經(jīng)濟、文化、國防安全作為國家安全基石。電力企業(yè)事關(guān)國計民生基礎(chǔ)性行業(yè),如何利用現(xiàn)代信息技術(shù)提高供電企業(yè)管理水平和電網(wǎng)穩(wěn)定運行顯得尤為重要?;诖耍瑢闹贫裙芾?、人員和技術(shù)等方面討論基層供電企業(yè)信息安全建設(shè)的建議。

關(guān)鍵詞:信息安全;管理體系;PKI/CA;MPLSVPN;基線

在供電企業(yè)現(xiàn)代信息技術(shù)廣泛運用生產(chǎn)經(jīng)營、綜合管理之中,實現(xiàn)資源和信息共享,為領(lǐng)導(dǎo)提供相關(guān)輔助決策。保障企業(yè)信息安全是企業(yè)領(lǐng)導(dǎo)層、專業(yè)人員及企業(yè)全員共同面對的。信息安全是集管理、人員、設(shè)備、技術(shù)為一體系統(tǒng)工程,木桶原理可以很好地詮釋信息安全,一個企業(yè)安全不取決于最強項,而取決最短板。信息安全需從制度建設(shè)、體系架構(gòu)、一體化防控體系、人員意識、專業(yè)人員技術(shù)水平等多方面共同建設(shè),才能有效提高企業(yè)信息安全,才能為企業(yè)生產(chǎn)、經(jīng)營保駕護航。

1基層供電信息安全現(xiàn)狀

基層供電企業(yè)信息安全建設(shè)方面,在制度建設(shè)、安全分區(qū)、網(wǎng)絡(luò)架構(gòu)、一體化防護、人員意識、專業(yè)人員技術(shù)水平等多方面存在不同程度問題。

1.1管理制度不健全,制度多重化

信息安全制度建設(shè)方面較為被動,大多數(shù)都是現(xiàn)實之中出現(xiàn)某一問題,然后一個相關(guān)制度,制度修修補補。同一類問題有時出現(xiàn)不同管理規(guī)定里,處理辦法不一,甚至發(fā)生沖突。原有信息安全管理制度寬泛,操作性較差。信息系統(tǒng)建設(shè)渠道不同,未提前進行信息安全方面考慮,管理職責不明,導(dǎo)致部分信息安全工作開始不順暢。

1.2安全區(qū)域劃分不明,網(wǎng)絡(luò)架構(gòu)不清晰

基層供電企業(yè)系統(tǒng)建設(shè)主要由上級推廣系統(tǒng)和自建系統(tǒng),系統(tǒng)建設(shè)時候相當部分系統(tǒng)未充分考慮系統(tǒng),特別是業(yè)務(wù)部門自建系統(tǒng)更甚。網(wǎng)絡(luò)建設(shè)需要什么就連接什么,存在服務(wù)器、終端、外聯(lián)區(qū)域不明顯,網(wǎng)絡(luò)架構(gòu)不清晰。

1.3未建立一體化安全防護體系

從近些年已經(jīng)發(fā)生的各類信息安全事件來看,內(nèi)部客戶端問題造成超過將近70%。內(nèi)部終端用戶網(wǎng)絡(luò)行為控制不足,存在網(wǎng)絡(luò)帶寬濫用;終端接入沒有相應(yīng)準入控制,不滿足網(wǎng)絡(luò)安全需求用戶接入辦公網(wǎng)絡(luò),網(wǎng)絡(luò)環(huán)境安全構(gòu)成極大風險;內(nèi)部人員對核心服務(wù)器和網(wǎng)絡(luò)設(shè)備未建立統(tǒng)一內(nèi)部控制機制;移動介質(zhì)未實施注冊制管理等問題。

1.4未建立行之有效設(shè)備基線標準

網(wǎng)絡(luò)安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等廠家為了某種方便需求,在設(shè)備和系統(tǒng)中常常保留有默認缺省安全配置項,這些恰恰是別人利用漏洞?;鶎庸╇娖髽I(yè)在部署設(shè)備和系統(tǒng)時,沒有統(tǒng)一基線標準,沒有對設(shè)備和系統(tǒng)進行相應(yīng)基線加固,企業(yè)存在潛在風險。1.5信息安全意識較差,技術(shù)水平參差不齊企業(yè)信息安全認識存在認識上誤區(qū),常常認為我們有較強信息安全保護設(shè)備,外部不易攻破內(nèi)部,事實上堡壘常常是從內(nèi)部攻破的。比如企業(yè)員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業(yè)機密泄露等,這恰恰是基層供電企業(yè)全員信息安全意識較為薄弱表現(xiàn)。專業(yè)技術(shù)人員缺乏必要自我學(xué)習和知識主動更新,未取得專門信息安全專業(yè)人員資質(zhì),處理問題能力表現(xiàn)參差不齊。

2必要性

信息安全為國家安全重要組成部門,電力企業(yè)信息安全為國家信息安全的重要元素,電網(wǎng)安全事關(guān)國計民生。2014年2月,國家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,將網(wǎng)絡(luò)信息安全提升前所未有高度。近年發(fā)生的“棱鏡門”事件,前幾年發(fā)生伊朗核電站“震網(wǎng)”病毒(Stuxnet病毒)網(wǎng)絡(luò)攻擊,其中一個關(guān)鍵問題就是利用移動介質(zhì)擺渡來進行攻擊,造成設(shè)備癱瘓,這一系列信息安全事件都事關(guān)國家安全,因此人人都要有信息安全意識。首先要防止企業(yè)機密數(shù)據(jù)(財務(wù)、人資、投資、客戶等)泄漏;其次,保持數(shù)據(jù)真實性和完整性,錯誤的或被篡改的不當信息可能會導(dǎo)致錯誤的決策或商業(yè)機會甚至信譽的喪失;最后,信息的可用性,防止由于人員、流程和技術(shù)服務(wù)的中斷而影響業(yè)務(wù)的正常運作,業(yè)務(wù)賴以生存的關(guān)鍵系統(tǒng)如失效,不能得到及時有效恢復(fù),會造成重大損失。建立嚴格的訪問控制,前面數(shù)據(jù)分級時有制定數(shù)據(jù)的“所有者”及給敏感數(shù)據(jù)進行分級,按照分級的要求制定嚴格的訪問控制策略,基本的思想是最小特權(quán)原則和權(quán)限分離原則。最少特權(quán)是給定使用者最低的只需完成其工作任務(wù)的權(quán)限;權(quán)限分離原則是將不同的工作職能分開,只給相關(guān)職能有必要讓其知道的內(nèi)容訪問權(quán)限。通過對內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范內(nèi)部的上網(wǎng)行為,提高工作效率,保護企業(yè)有限網(wǎng)絡(luò)資源應(yīng)用于主要生產(chǎn)經(jīng)營上來。

3特點探析

通過我們對基層供電企業(yè)在信息安全存在問題及必要性來看,主要是管理制度、網(wǎng)絡(luò)信息安全技術(shù)、人員意識等方面存在問題,有以下特點。

3.1管理制度方面

常說信息安全“三方技術(shù)、七分管理”,制度建設(shè)對信息安全保障至關(guān)重要。信息安全管理制度應(yīng)該有上級主管部門建立一套統(tǒng)一管理制度,基層供電企業(yè)遵照執(zhí)行,可以根據(jù)各單位具體情況進一步細化,讓管理制度落地。從企業(yè)總體信息安全方針到具體專業(yè)制度管理上,實現(xiàn)全網(wǎng)一體化,規(guī)范化。

3.2網(wǎng)絡(luò)信息安全技術(shù)方面

上級專業(yè)主管部門,站在企業(yè)高度,制定專業(yè)技術(shù)標準和技術(shù)細則。從網(wǎng)絡(luò)安全分區(qū)、網(wǎng)絡(luò)技術(shù)架構(gòu)、互聯(lián)網(wǎng)接入和訪問方式、終端安全管理、網(wǎng)絡(luò)準入控制等方面統(tǒng)一規(guī)劃,分布實施,最終實現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全防控一體化。

3.3信息安全意識培養(yǎng)方面

企業(yè)員工信息安全意識培養(yǎng)是個長期的過程,不是通過一次兩次培訓(xùn)就能解決的,采取形式多樣化方式來培養(yǎng)員工安全意識,可以通過集中培訓(xùn)講課、視頻宣傳、張貼宣傳畫等方式進行。針對專業(yè)人員,要讓他們養(yǎng)成按照制度辦事習慣,用戶需要申請某項資源,嚴格按照制度執(zhí)行,填寫相應(yīng)資源申請,有時候領(lǐng)導(dǎo)打招呼也要按照制度流程來執(zhí)行。長此以往,人人都會知道自己該做什么,不該做什么,該怎么做,企業(yè)信息安全意識就會得到極大提高。

3.4專業(yè)技術(shù)人員水平方面

信息安全技術(shù)日新月異,不學(xué)習就落后,不斷收集信息安全方面信息,共同討論相關(guān)話題,建立相應(yīng)培訓(xùn)機制,專業(yè)人員實行持證上崗,提升專業(yè)人員實際解決問題能力,有效提高人員專業(yè)素養(yǎng),成為企業(yè)信息安全方面專家。

4實施和開展

從2009年開始,先后進行一系列信息安全建設(shè),涉及到信息安全制度建設(shè)、網(wǎng)絡(luò)信息安全體系架構(gòu)、信息安全保障服務(wù)、人員培訓(xùn)等方面,整體提高基層供電企業(yè)信息安全狀況。

4.1信息安全制度建設(shè)

2010年開始信息安全體系ISO27001、27002建設(shè),結(jié)合企業(yè)情況,形成30個信息安全相關(guān)文件,涵蓋企業(yè)信息安全方針、等級保護、人員管理、機房管理、網(wǎng)絡(luò)信息系統(tǒng)運行維護管理、終端安全、病毒防護、介質(zhì)管理、數(shù)據(jù)管理、日志管理、教育培訓(xùn)等諸多方面。2013年為進一步提示公司信息化管理水平,先后增加修改建設(shè)管理、實用化管理、項目管理、信息安全管理、運維管理、綜合管理5個方面14個管理細則。經(jīng)過這一系列制度建設(shè),基層供電企業(yè)有章可循,全網(wǎng)信息安全依據(jù)統(tǒng)一,明確短板情況。

4.2建設(shè)一體化網(wǎng)絡(luò)與信息安全防控

首先依據(jù)電監(jiān)會5號文件要求,網(wǎng)絡(luò)架構(gòu)按照三層四區(qū)原則進行部署建設(shè),生產(chǎn)實時控制大區(qū)(Ⅰ、Ⅱ區(qū))與信息管理大區(qū)(Ⅲ、Ⅳ區(qū))之間采用國家強制認證單向數(shù)據(jù)隔離裝置進行強制隔離,網(wǎng)絡(luò)架構(gòu)采用核心、匯聚、接入部署。網(wǎng)絡(luò)接入按照功能劃分服務(wù)器區(qū)、網(wǎng)管區(qū)、核心交換區(qū)、用戶辦公區(qū)、外聯(lián)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū),在綜合數(shù)據(jù)網(wǎng)上,利用MPLSVPN,根據(jù)劃分不同VPN業(yè)務(wù)、隔離相互間數(shù)據(jù)交叉。建立全網(wǎng)PKI/CA系統(tǒng),構(gòu)建企業(yè)員工在企業(yè)數(shù)字身份認證系統(tǒng),已建成系統(tǒng)進行未采用PKI登陸系統(tǒng),進行相應(yīng)改造結(jié)合PKI/CA系統(tǒng),采用PKI登陸,在建系統(tǒng)用戶登陸必須集成PKI登陸。根據(jù)企業(yè)信息安全要求,進行互聯(lián)網(wǎng)統(tǒng)一出口,部署統(tǒng)一互聯(lián)網(wǎng)防控設(shè)備,建立統(tǒng)一上網(wǎng)行為管理策略,規(guī)范員工上網(wǎng)行為,合理使用有限互聯(lián)網(wǎng)資源,審計員工上網(wǎng)日志,以備不時之需。建立企業(yè)統(tǒng)一病毒防護系統(tǒng),實現(xiàn)病毒軟件統(tǒng)一安裝,病毒庫自動更新,防護策略統(tǒng)一下發(fā),定期統(tǒng)計病毒分布情況,同時作為終端接入內(nèi)網(wǎng)必備選項,對終端病毒態(tài)勢比較嚴重用戶進行督促整改,有效防止病毒在企業(yè)內(nèi)部蔓延,進一步進化內(nèi)網(wǎng)環(huán)境。建立統(tǒng)一網(wǎng)絡(luò)邊界安全防護,在企業(yè)內(nèi)網(wǎng)邊界合理部署防火墻、IPS、UTM,并將其產(chǎn)生日志發(fā)送到統(tǒng)一安全管理平臺,進行日志管理分析,展現(xiàn)企業(yè)內(nèi)部信息安全態(tài)勢,預(yù)警企業(yè)內(nèi)部信息安全存在問題。利用AD域或PKI/CA進行用戶身份認證,建設(shè)統(tǒng)一桌面管理,所有內(nèi)網(wǎng)用戶必須滿足最基本防病毒、安全助手、IT監(jiān)控要求方可接入內(nèi)網(wǎng),系統(tǒng)啟用強制安全策略,終端采用采用DHCP,用戶不能自動修改IP地址,在DHCP服務(wù)器上實現(xiàn)IP與MAC地址及人員綁定,杜絕用戶私自更換IP地址引起沖突。安全認證方面可以采用NACC或交換機802.1x方式進行,不滿足要求用戶,自動重定向到指定網(wǎng)站進行安全合規(guī)性檢查,滿足要求后自動接入內(nèi)網(wǎng),強制所有用戶采用統(tǒng)一網(wǎng)絡(luò)安全準入規(guī)則。實行移動介質(zhì)注冊制,極大提高終端安全性,有效保護企業(yè)信息資產(chǎn)。建立內(nèi)部運維控制機制,實現(xiàn)4A統(tǒng)一安全管理,認證、賬號、授權(quán)、審計集中管控。規(guī)劃統(tǒng)一服務(wù)器、網(wǎng)絡(luò)設(shè)備資源池,按照用戶需求,提交相應(yīng)申請材料,授權(quán)訪問特定設(shè)備和資源,并對用戶訪問行為全程記錄審計。

5結(jié)語

上述討論主要針對傳統(tǒng)信息安全來說的,隨著移動智能終端普及,移動設(shè)備應(yīng)用在電網(wǎng)企業(yè)不斷深化,傳統(tǒng)信息安全管理存在一定盲區(qū),無線網(wǎng)絡(luò)安全和移動終端信息安全問題突顯,如何在無線準入、移動終端統(tǒng)一管理、移動應(yīng)用安全管理方面進一步面臨更大考驗。

作者:袁忠軍 單位:貴州電網(wǎng)有限責任公司都勻供電局