做好网络信息安全工作,除了采用技术手段外,必须建立安全管理机制。因为诸多不安全因素恰恰反映在组织管理等方面。良好的管理有助于增强网络信息的安全性。只有切实提高网络意识,建立完善的管理制度,才能保证电力企业网络信息的整体安全性。
“三分技术,七分管理”是网络安全领域的一句至理名言,网络安全中的30%依靠计算机系统信息安全设备和技术保障,而70%则依靠用户安全管理意识的提高以及管理模式的更新。安全管理是网络安全中非常重要又常被忽视的一项内容,需要‘管理’到位、‘技术’到位、‘观念’到位,更需要管理、技术和观念不断更新,而且三者要有机地结合起来,才能真正地为电力企业信息安全服务。
本人在企业从事信息化工作多年,深刻体会到企业信息化给企业带来的巨大变革,同时也深刻体会到企业信息安全管理工作的重要性。随着信息技术和网络的不断发展,企业信息安全问题也日益突出,如果防范不当可能给企业带来灾难性的后果。做好网络信息安全工作,除了采用技术手段外,必须建立安全管理机制。因为诸多不安全因素恰恰反映在组织管理等方面。良好的管理有助于增强网络信息的安全性。只有切实提高网络意识,建立完善的管理制度,才能保证电力企业网络信息的整体安全性。
网络信息安全管理的内容
信息安全管理包括风险管理、安全策略和安全教育三个部分,是电力企业进行安全规划的基础。信息安全管理通过适当地识别企业的信息资产,评估信息资产的价值,制定、实施安全策略、安全标准、安全方针、安全措施来保证企业信息资产的完整性、机密性、可用性,通过安全教育形成企业安全文化的重要组成部分,保障企业安全管理的顺利实现。
风险管理
识别企业的信息资产,评估所有威胁这些信息资产的风险,并估算这些风险成为现实时企业所承受的灾难和损失。通过降低风险、避免风险、转嫁风险、接受风险等多种风险管理方式来协助信息管理部门制定企业信息安全策略。
安全策略
随着电力企业规模的扩大、业务的发展,安全需求的不同,信息安全策略的制定也会有不同。但是安全策略都应该简单清晰、通俗易懂并直接反映主题,避免含糊不清的情况出现。信息安全策略是企业信息安全的最高方针,必须由高级管理部门支持,并形成书面文档,广泛发布到企业的所有员工手中。
安全教育
信息安全意识和相关技能的教育是企业信息安全管理中重要的内容,其实施力度将直接关系到电力企业安全策略被理解的程度和被执行的效果。为了保证信息安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员等进行安全培训,所有的企业人员必须了解并严格执行企业信息安全策略。
建立安全长效机制
解决网络信息安全问题,技术是安全的主体,管理是安全的灵魂。加强信息安全管理,建立安全长效机制,成为电力企业安全文化的重要组成部分,其必然性由以下因素决定:
(1)电网企业安全文化对社会具有辐射作用。
(2)新形势下安全生产要求的重大举措。
(3)电网科学技术发展的需要。
(4)人本管理是电力企业先进安全文化的核心。
(5)实现高效的安全生产管理。
电力企业应建立先进的企业安全文化。企业安全文化对企业安全生产工作起到凝聚、协调和控制的作用。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。在企业中建立安全文化,并将网络信息安全管理容纳到整个企业文化体系中才是最根本的解决办法。
加强电力企业网络信息安全管理的建议
重视安全规划
电力企业网络信息安全规划的目的就是要对网络信息安全问题有一个全面的思考,要以系统的观点去考虑信息安全问题。
要进行有效的安全管理,必须建立起一套系统而全面的信息安全管理体系。这可以参照国际上通行的一些标准来实现,如:BS7799、ISO17799、ISO15408等。
合理划分安全域
电力企业由于其应用的需要,大部份都需要接入互联网,在内网上需要合理划分安全域。要根据整体的安全规划和信息安全密级,从逻辑上划分核心重点防范区域、一般防范区域和开放区域。重点防范的区域是网络安全的核心,这部分区域是一般用户不能直接访问的区域,有很高的安全级别,各种重要数据、服务器、数据库服务器应当放置在该区域。各种应用系统、OA系统等由于用户需要经常访问,放在一般防范区域运行。开放区域的级别比较低,但必须与防范区域做到物理上的隔离。
加强安全管理,重视制度建设
为保证企业网络信息安全,要把企业网络信息安全作为一个系统工程来考虑。因此,企业网络的安全问题,安全管理和制度建设非常重要(特别是内网)。现提出如下建议:
加强日志管理与安全审计
一般的防火墙与入侵检测系统都具备审计功能,要充分利用它们的审计功能,作好网络的日志管理和安全审计工作。对审计数据要严格管理,不允许任何人修改、删除审计记录。
建立内网的统一认证系统
认证是网络信息安全的关键技术之一,其目的是实现身份鉴别服务、访问控制服务、机密性服务和不可否认服务等。
建立病毒防护体系
在企业网络上安装防病毒体系。防病毒软件系统要具有远程安装、远程报警、集中管理等多种功能。其次,要建立防病毒的管理制度。不能随意将互联网上下载的数据往内网主机上拷贝,来历不明的移动存储设备不能随意在联网计算机上使用,职员应熟练掌握发现病毒后的处置办法。
重视网络管理制度建设
严格的管理制度,是保证企业信息网络安全的重要措施之一。
(1)企业领导应当高度重视网络信息安全问题。企业领导要高度重视安全管理和安全制度建设问题,不能把安全管理和制度建设看成是技术部门的事。企业应当成立信息安全领导小组,由分管领导抓网络安全工作,并明确其职责和工作制度。要制订安全事故处理程序、应急计划等。
(2)加强基础设施和运行环境的管理建设。企业网络的管理机构(信息中心)的机房、配电房等计算机系统重要基础设施应严格管理,配备防盗、防火、防水等设施,应当安装监控系统、报警装置等。建立严格的设备运行日志,记录设备运行状况。要规范操作规程,确保计算机系统的安全、可靠运行。
(3)建立必要的安全管理制度。企业网络的中心机房和各业务部门计算机系统都要建立计算机系统使用管理制度,网络系统管理员、安全员、各业务部门主管和计算机操作人员的计算机密码管理规定等内控管理制度,对应用系统重要数据的修改要经过授权并由专人负责,登记日志。建立健全数据备份制度,核心程序及数据要严格保密,实行专人保管。
(4)坚持安全管理原则。多人负责原则:两人或多人互相配合、互相制约。从事每项安全活动,应至少两人在场,做好工作情况记录。任期有限原则:任何人不长期担任与安全有关的职务。当人员离任时,应立即对系统进行授权调整。职责分离原则:不要打听、了解或参与职责以外的任何与安全相关的事情,除非系统主管领导批准。最小权限原则:只授予用户和系统管理员所需要的最基本权限,并且超级用户的权限也应该越小越好。
(5)制度的定期督导检查。管理制度具有严肃性、权威性、强制性,管理制度一旦形成,就要严格执行。企业应组织有关人员对管理制度进行定期督导检查,保证制度的落实。
加强企业员工和网络管理人员安全意识教育
对于网络信息安全,企业员工和网络管理人员的素质非常重要,应加强企业员工和网络管理人员安全意识教育,对其进行特定的安全培训,以增强其安全技能。
在安全教育具体实施过程中应该有一定的层次性
(1)对主管信息安全工作的高级负责人或各级管理人员,重点是熟悉、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制订等。
(2)对负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
(3)对企业全体职员,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
对于特定的人员要进行特定的安全培训
对于关键岗位和特殊岗位的工作人员,通过送往专业机构学习和培训,使其获得特定的安全方面的知识和技能。通过安全培训,确保在电力信息安全保障体系逐步建立的过程中,各类人员的安全意识和技术能力获得提高,各岗位人员的技术能力和管理能力与安全保障体系的运行和维护相适应。