引言
伴随着发电企业信息化建设的发展和成熟,许多发电企业都建立了自己的各种管理信息系统,如设备管理系统、OA系统等。然而,管理信息系统在为企业发展带来 便利的同时也带来了信息安全问题。以本公司为例,分析发电企业信息安全现状、存在的风险及需要采取的措施。
一、发电企业信息安全现状
信息安全是保障发电企业正常生产、安全运行的基础。目前信息安全己逐渐引起人们的重视,很多发电企业加强了网络安全硬件和软件建设,安装了防火墙、防病毒等系统。但是重设备、轻管理的问题仍然广泛存在,主要表现在以下几个方面:第一,许多发电企业购买安装了防病毒软件、防火墙和入侵检测等设备,但仅限于设备的简单应用,而未对网络安全进行统筹规划,网络中存在许多的安全隐患及漏洞。例如:末对网络进行VLAN划分,末制定各种安全访问策略,末建立操作系统 补丁自动分发系统等。第二,在计算机安全策略、安全措施等方面关注较少,结果事倍功半。最好的硬件产品并不能保证信息安全,还需要制定相应的策略和措施。第三,对安全教育缺乏重视,很多企业员工对信息安全没有概念。所以时常会发生重要信息被盗或设备发生故障时信息丢失的现象,损失惨重。
二、发电企业信息安全风险分析
在分析发电企业信息安全风险时,应考虑每个网络的特点,以下以发电企业常见的信息安全风险进行讨论。
2.1 系统及软件风险
指由于计算机系统及软件本身存在的漏洞给信息安全带来的风险。这些漏洞和缺陷有可能成为黑客攻击的入口,有可能影响系统的长期稳定运行,给企业造成巨大的损失。最为熟悉的就是微软的操作系统存在无数漏洞,经常成为攻击目标,给用户造成巨大损失。
2.2 设备风险
随着企业信息化的发展,企业大量的数据存在于终端、服务器、存储设备上,一旦这些设备发生故障,会造成大量数据丢失,甚至影响生产的正常运行。
2.3 病毒、黑客风险
随着网络飞速发展,它在为工作带来极大方便的同时,也为病毒、黑客的横行提供了方便。众所周知的CIH病毒大爆发,使得许多企业损失惨重而黑客横行也会造 成企业重要信息泄露、丢失。
2.4 人员操作风险
由于企业中业务人员并不一定熟悉计算机操作,因此在系统使用过程中极有可能出现由于人员操作不当而造成的意外损失,例如操作人员的错误操作也许会引起机组跳机,造成重大事故。还有操作人员是否会利用职权之便对信息进行破坏或剿窃也是应该关注的重要问题。尤其是财务系统的电子银行更应重视这方面的问题。
2.5 缺乏强可操作的安全管理制度的风险
末建立完善的安全管理制度或末严格执行制度都容易造成责权不明、管理混乱,是发电企业信息安全的潜在风险。
三、信息安全管理与安全防范的基本措施
讨论了如上面临的种种风险,必须采取行之有效的措施加以预防或控制,从而做到保护信息免受多种威胁的攻击,保证业务连续性。首先需从如下几方面做起。
3.1 建立安全组织机构
建立一个健全、务实、有效的安全组织机构,明确机构成员的安全职责,形成发电企业信息安全的决策层、管理层、执行层,是企业安全管理得以实施、推广的基础。如厂级信息安全委员会的建立,信息中心安全员设立,各部门兼职信息员的确定等。
3.2 良好的系统及软件支持
发电企业可建立系统补丁自动分发机制及漏洞扫描机制,保证系统及时更新、运行正常。其次在选择应用系统时应选择成熟完善的系统,及有良好技术支持的大型公司,防止差错发生。发现问题能及时解决。
3.3 制定完善的备份与恢复策略
完善的备份与恢复策略是对关键应用的数据与应用系统进行备份,确保设备故障、数据损坏、系统崩溃情况下快速恢复数据与系统的可用性;对关键主机设备、网络 的设备与部件进行相应的热备份与冷备份,避免单点故障影响系统可靠性;对实时控制系统在具备条件的前提下进行异地的数据与系统备份提供系统级容灾功能,保证在灾难情况下系统业务的连续性。
3.4 业务人员的定期培训
人是信息安全中最关键的因素,同时也是信息安全中最薄弱的环节。发电企业的信息管理部门应加强安全教育,提高系统全体人员的信息安全意识和防范技术,组织开展多层次、多方位的信息安全宣传和培训,建立一个安全培训机制,增强用户安全防范意识和防范能力。
3.5 完善安全管理制度
完善的安全管理制度可以弥补技术手段的不足,增加发电企业的风险承受能力。安全管理制度包括机房管理、防火墙管理、应用系统管理、防病毒系统的维护及使用、安全事件应急处理工作等制度。各种安全管理制度正式发布后,需经常组织员工学习,从而保证了制度的顺利贯彻执行。
3.6 合理的安全策略
发电企业的安全策略主要包括分区防护、物理隔离。分区防护就是将业务系统分为实时控制区、非控制生产区、生产管理区、管理信息区4个安全工作区,然后将所 有业务系统都置于相应的安全区内,分级管理。物理隔离就是将实时控制区、非控制生产区与管理大区物理隔离,首要保证实时信息安全。
在管理信息区同样要根据使用人员的不同、应用系统的不同采取合理的安全策略,以及内外网的访问策略、关闭不必要的服务和协议等。
3.7 安全产品和安全技术的应用
技术是安全的主体,管理是安全的灵魂,信息安全离不开安全技术的实施、安全产品的部署。目前各种安全产品层出不穷,企业可根据对自身风险和需求的分析选购相应产品,如建立网络版病毒防御系统、部署防火墙、部署入侵检测机制、安装接入控制及安全总控中心建设,使发电企业的安全防护不断完善。
四、保证信息安全的其他措施
计算机网络的迅猛发展,黑客技术水平的日新月异,种种原因都导致了即使企业在基础措施做足的前提下,也有太多的可能性遭遇安全方面的威胁。因此,还必须定期进行信息安全风险评估来保障企业信息的安全。
安全需要风险管理,信息安全更需要风险管理。风险评估是当前解决信息安全问题的重要手段。
信息安全风险评估就是对发电企业现有的网络架构、核心路由器、交换机、数据库服务器、应用服务器、业务流程、安全策略等进行分析,以提出合理的安全建议来保证系统资产的机密性、完整性和可用性等,业根据评估的结果采取相应的安全控制措施,并适时调整安全策略。发电企业在进行风险评估时要搞清企业信息系统现 有的以及潜在的风险,充分评估这些风险可能带来的威胁和影响,才能真正选择到企业需要的安全技术,使企业信息安全管理达到实效。其次,还要确定信息安全等级,要知道企业中有哪些可识别的资产,哪些是最关键的、需要重点防护的,哪些是次要一些的但是也需要保护的,哪些是不需要专门关注的,做到心中有数、重点 防护。
由于信息安全是动态变化的,只有定期的安全风险评估才能发现和跟踪最新的安全风险,所以安全风险评估是一个长期持续的工作。
五、对安全管理的一些想法
部署可靠、有效的安全体系结构不仅是复杂的而且是耗费巨大的,因为安全是一项工程,需要不断的实践和变化,而且安全技术永远滞后于应用技术的发展。绝对的信息安全是不存在的,每个网络环境都有一定程度的漏洞和风险,比如部署了防病毒系统,但病毒仍会通过各种途径出现,但它的危险程度降低了,影响范围缩小 了,不再是不可控的了。其实信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求,企业的信息安全管理工作逐步走向规范化、制度化、建立起比较完善的管理和技术防范体系。
