浅论如何完善电力企业信息安全管理
【摘 要】 近年来随着我国经济和科学技术的飞跃发展,我国电力企业也逐步完成了信息化建设,这不仅大大提高了我们电力企业的管理水平、工作效率,也大大提高了电力系统决策的准确性和科学性,更增强了企业的市场竞争力。但是信息化也是一把“双刃刀”,为电力企业带来诸多益处的同时,也带来一些安全问题,近年来信息安全事故数见不鲜,给我们各大企业敲响了警钟,因此如何做好企业信息安全管理已成为当代所有企业应该重视和解决的问题。本文笔者针对我国电力企业安全管理存在的问题,就如何完善电力企业信息安全管理提出自己粗浅的看法,以期为我国电力企业信息安全管理提供借鉴。
【关键词】 电力企业 信息安全 管理 问题 完善措施
1 前言
电力企业信息技术的发展起始于20世纪90年代,最早的计算机应用开始于财务管理、营销管理等办公业务,随着信息技术的不断深入发展,信息技术在电力企业的应用范围也日益扩大和深化,目前已经渗透入电力企业运营管理的全过程,信息技术也渐渐从开始的“配角”提升为电力企业运营管理的“主角”。在电力企业信息化技术应用日趋成熟、重要程度日益上升的今天,企业对信息化的管理和关注重点也在不停的发生变化,一方面信息化成果已成为企业甚至社会的重要资源,在整个企业的生产运行、电网调度、办公管理等各个方面发挥着重要的作用;另一方面由于信息技术的迅猛发展而带来的信息安全事故、事件屡见不鲜,信息安全问题与矛盾日益显著。而信息安全工程是一个多层面、多因素的、综合的、动态的系统工程。企业要实现信息安全管理,就必须不断完善和建立一套行之有效的信息安全管理与技术有机结合的安全防范体系。
2 我国电力企业信息安全管理存在的问题
2.1 电力企业普遍存在重技术、轻管理的问题
信息安全是“三分技术、七分管理”,但是现在许多电力企业任普遍存在重技术、轻管理的问题,甚至很多电力企业根本没有完善的安全管理制度,并且管理人员信息安全意识普遍不高,这也就在一定程度上加深了企业信息安全风险。要知道再好的技术在其运行的过程中管理才是第一位的,比如在实际工作中,有最好的技术,但是如果管理不到位,系统的运行、维护和开发等岗位分配不清,职责划分不明,存在一人身兼多职的现象,再先进的技术也不可能发挥其应有的效力,一样不具备竞争力、防御力。又如,企业在管理过程中对网络工作人员的基本技能和素质要求把关不严格,极易造成因网络工作人员因操作不当而造成硬件或者软件出现漏洞,使恶意份子有机可乘,同样影响网络信息安全。
2.2 电力企业对员工的信息安全意识宣传不到位
随着信息安全地位的不断攀升,电力企业对信息安全也越来越重视,但是,企业对于信息安全的培训力度仍显不够,电力企业员工信息安全意识仍非常低。如,一些电力员工在离开办公场所时,没有意识主动关闭电脑或锁定屏幕,因此容易造成企业数据的丢失及客户信息的泄漏。又如,一些员工为了贪图方便省事,直接将系统账号交给第三方人员进行操作,容易造成系统数据的错失遗漏,或者出现未授权的审批等等。再如,还有一些员工对于未确定安全性的文件防范意识不够,一旦点击打开后,就容易造成木马的植入或者病毒的扩散,从而造成数据的泄漏或丢失破坏。
2.3 电力企业信息安全技术不够完善
首先,在计算机的使用方面,有很多的办公计算机还是内网与外网混合使用的状态。虽然公司已经做出了相应的规定,要求内网与外网进行分开使用。但是,内外网混用情况仍十分严重,这就会给安全问题带来极大的隐患。其次,一些电力企业对移动介质的使用管理比较松散。如:一些企业的移动介质不需授权就能直接接入办公电脑中,容易让别有用心的人加以利用,从而拷贝了公司的内部资料,造成企业损失。又如,一些员工在未确保外来移动介质正常的情况下就接入内部网络,容易造成病毒的传入,从而影响内部网络的正常以及数据的安全。最后,部分电力企业数据库数据和文件的明文存储保护不完善。供电行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。
3 完善电力企业信息安全管理的具体措施
3.1 完善电力企业安全风险的评估
电力企业要解决网络安全问题并不能够仅仅是从技术上进行考虑,技术是安全的主体,但是却不能成为安全的灵魂,而管理才是安全的灵魂。首先电力企业必须做好安全状况评估分析,评估应聘请专业权威的信息安全专家或者咨询机构,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的危害和影响,针对评估出来的风险制定详细的解决预防方案并认真实施,实施完成后还要定期对其进行评估和不断改进完善。其次,网络安全离不开各种安全技术的具体实施以及各种安全产品的部署,但是现在市面上安全技术及产品种类繁多,让人眼花缭乱,难以进行抉择,我们信息安全系统建设中心内容是安全和稳定,所以我们企业应尽量采用成熟的技术和产品,不能过分求全求新。最后,培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。
3.2 不断完善电力企业信息安全管理制度
首先,构建良好的管理体制,在网络系统管理中,要做到管业务不管系统,管系统不管业务,如果二者混淆,就容易将所有权限落入一人之手,若该员工滥用职权,同样造成网络信息安全的极大威胁。其次,数据安全管理制度,即确保数据存储介质(设备)的安全;定时进行数据备份,备份数据必须异地存放;对数据的操作需经主管部门的审批、同意方可进行;数据的清除、整理工作需两人或两人以上在场,并由相关部门进行监督、记录。最后,准入管理制度。准入管理又称密码、权限管理,通过准入系统可以判断请求登录的用户是否是合法的、值得信任的。 3.3 加强对电力企业全员信息安全的教育及培训,提升全员信息安全意识
对于企业信息安全工作的开展不是一个部门一个人的事,而是我们电力公司全体员工的事情,所以必须提高企业全体员工的信息安全意识。通过开展多种形式的信息安全知识培训,可以提高员工的警惕性以及养成良好的计算机使用习惯。在不定时开展信息安全教育和培训的时候应注意安全教育知识的层次性。主管信息安全工作的负责人和各级信息安全员,重点要了解和掌握信息安全的整体策略及目标、安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系统的安全维护技术等;广大信息系统用户重点要学习各种安全操作流程和行为规范,了解和掌握与其相关的信息安全策略,包括自身应该承担的安全职责等。另外,我们企业还可以采取一些考核奖罚措施,去激励和约束全员认真进行信息安全培训,认真落实信息安全操作,从而有效提高我们电力企业整体信息安全水平,提高信息安全意识,最终有效避免信息安全问题或失泄密事件的发生。
3.4 不断完善和提升电力企业信息安全技术
第一,对电力企业内部和外部网络进行物理隔离。采用最高效的解决信息网络安全问题的办法:将局域网与外网物理隔离,使局域网内的用户只能访问内网资源,外网计算机无法与内网相连接。通过这种方法可以很大程度地防止互联网上的病毒、流氓软件等的入侵,避免企业及用户个人的重要信息与数据的失窃,进而可以控制可能由此造成的无法估计的损失。其次,对于移动介质,应加入认证管理,只有被预先授权的介质才能接入内网,对于数据的拷贝,只能通过加密形式处理。第三,数据与系统备份技术。供电企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。计算机病毒传播广,破坏力大,会严重影响电力企业网络系统的安全运行。因此,为了使电力企业免受病毒的侵害,作为网络管理人员应该建立从主机到服务器的完善的防病毒体系,建立健全的网络信息管理制定,以此来有效的提高电力企业网络信息的安全管理。最后,建立信息安全身份认证体系。供电企业面对来自内部和外部信息安全风险威胁,需建立有效的信息安全身份认证体系,实现网络危险过滤、终端准入、用户识别、上网授权等功能,最终实现企业内网用户终端安全性的提升,达成企业整网上网安全性的保障。
参考文献:
[2]冯慧昌.信息安全管理现状与研究策略[J].科技风,2012(7).
[4]胡国胜,张迎春.信息安全基础[M].北京:电子工业出版社,2011.
[5]胡泉军,王以群,张延芝.企业信息安全管理中组织管理失误因素分析[J].工业工程,2009(2).
[7]唐琳,李云峰.电力信息系统的安全性初探[J].信息安全与通信保密,2006(10).