信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。信息安全性主要是指信息的完整性、可用性、保密性和可靠性。
万丈高楼平地起
“在今天的世界上,网络空间已经成为继海陆空天之后的‘第五空间’”。云南电网公司信息中心安生部主任张建文这样形容网络与信息的重要性,“‘第五空间’其实不是我的发明,只是我比较认同这种说法,它比较形象地说明了信息网络安全的重要性。如何保障这一空间的安全是我们成立信息中心以来考虑得最多的问题,而我们认为制度建设是最为基础的工作,所以,我们牢牢抓住这一切入点,大力加强标准制度的调研、分析和拟定”。在云南电网公司信息部的指导下,信息中心根据南方电网公司相关标准,结合云南电网公司信息化现状和“十二五”信息化发展要求,配合省公司信息部编制完成《云南电网公司综合网络及综合网络安全建设规范》、《云南电网公司信息机房建设规范》、《云南电网公司供电局信息安全建设技术规范》和《云南电网公司局域网建设技术规范》,通过一系列的标准、规范,明确各地市供电局的IT基础设施建设基准要求,对各供电局的IT基础设施建设提供参考基线。配合公司信息部,完成《云南电网公司信息安全保障体系》以及信息安全相关制度的修编工作,构建了信息安全的坚实基础。
“清理、优化、规范”一个都不能少
“‘木桶理论’特别适用于我们信息安全,安全往往会从最短板处被突破,”张建文告诉记者,“去年我们重点进行了互联网出口清理优化工作,清理那些低矮的门,把不规范的门关掉,主要开展了业务合并、统一和分类等工作,严格对外服务审批制度,防止堡垒从最低处被攻破。”张建文用通俗易懂的语言解释了信息中心开展的清理优化工作。为加强对外服务应用系统安全,降低信息安全风险,按照云南电网公司要求,信息中心开展了互联网出口清理优化工作,一是完成公司对外服务应用系统清理工作,共清理出121台对外服务主机,最终关闭了70台主机对外服务,剩余51台对外提供服务的主机已进行备案登记;二是完成对外服务应用系统域名使用规范清理工作,将公司所有对外应用系统的互联网域名按南网要求统一到了csg.cn上;三是对各单位提供在对外互连出口及互联网域名整改时的相关技术支持及配合工作,确保各项整改工作顺利实施,业务平稳过渡,实现了全公司省、地、县互联网统一出口;四是完成对外服务网站安全扫描工作、互联网统一出口的信息安全检查工作,督促对外服务责任单位采取有效措施,避免了信息安全风险。
“针对各单位多级企业及县级供电单位安全防护水平较弱,已成为云南电网网络与信息安全短板问题,我们配合省公司信息部积极研究,对关联企业和内部信息化应用互通模式进行深入分析,确定了可行的关联企业安全防护技术手段。”信息中心安生部信息安全管理专责苏永东对信息安全的“短板”情况了然于心,“但是我们也不能过度管理而不服务,信息安全追求一种‘适合度’,在刚性要求外,我们也要做好服务。”苏永东对如何把握信息安全管理的“符合度”与 “适合度”很有心得,“大家可能都会觉得使用信息设备时不设置任何限制用起来最顺手,但是因为安全的需要,我们必须要部署各种策略。比如在进行绿色桌面部署时,我们也听到了很多不理解的声音。我们的技术人员只有尽量做好安全设防与优质服务,有时还要包容一些不理解的声音……”在信息部的领导下,信息中心落实了省公司网络信息安全管理责任和控制措施,有效防范了信息安全风险,建立了关联企业信息安全管控模式。
加强“健康体检”,管好“出入口”
“每年,我们都要组织开展信息安全风险评估,所谓信息安全风险评估,就是类似我们身体的健康体检,这样的体检非常重要,它帮助我们及时发现问题、及时解决问题,防患于未然……”苏永东向记者解释道。为切实做好信息安全风险评估,信息中心按照南方电网公司一体化信息安全风险评估工作要求,制定了工作方案,明确了工作职责,编制了《云南电网公司一体化信息安全风险评估工作方案》,组织安排开展了信息系统的资产识别、漏洞扫描、系统加固、安全核查等自查工作,每周召开协调会,对发现的问题及时处理,制定了整改计划和整改方案,通过加强安全措施和管理、增加安全设备、修改配置、开展安全策略及账户清理优化、应用系统代码修改优化等多种技术和管理手段,完成了所有发现风险的整改。
“管理信息安全还要注重‘出入口’的管理。”苏永东加重了语气,“信息中心作为省级信息系统运维单位,采取了多种有效措施加强该项工作,比如加强全网安全软件的部署,提高网络准入系统、防病毒系统的部署率和补丁的更新率。另外,为了进一步加强移动存储设备安全管理,在公司本部、信息中心、昆明供电局还组织开展了移动存储介质注册认证试点工作……进行绿色桌面应用实施部署,开展信息安全基线检查及漏洞扫描工作……”说到这些专业工作,这位工作多年的信息安全专家侃侃而谈。
在日常的信息安全工作中,信息中心不断加强对重要信息系统、对外服务系统以及互联网出口的防火墙、入侵防御、上网行为管理等安全设备的定期巡查,严格访问控制策略,增强抵抗恶意攻击和非法入侵的能力,防止有害信息进入和向外扩散。在重要时段做到每日对网络设备、IPS、互联网审计、防病毒系统、外部网站进行监控,统计每天的监控情况,对发现的问题及时进行处理。
云南电网公司信息中心成立以来,以“管理提升年”活动为契机,大力加强信息安全管理工作力度,坚持管理与技术并重,从管理体系、风险控制、基础设备和运行服务等方面入手,积极推进信息系统安全等级保护、南网一体化信息安全风险评估、“十八大”信息安全保障等各项工作,不断提高信息安全综合防护能力,采取多种措施防范信息安全事件的发生,确保公司网络与信息系统的安全运行。全年未发生影响公司安全与形象的信息安全事件,圆满完成了年度各项信息安全任务,确保了信息安全零事故。
万丈高楼平地起
“在今天的世界上,网络空间已经成为继海陆空天之后的‘第五空间’”。云南电网公司信息中心安生部主任张建文这样形容网络与信息的重要性,“‘第五空间’其实不是我的发明,只是我比较认同这种说法,它比较形象地说明了信息网络安全的重要性。如何保障这一空间的安全是我们成立信息中心以来考虑得最多的问题,而我们认为制度建设是最为基础的工作,所以,我们牢牢抓住这一切入点,大力加强标准制度的调研、分析和拟定”。在云南电网公司信息部的指导下,信息中心根据南方电网公司相关标准,结合云南电网公司信息化现状和“十二五”信息化发展要求,配合省公司信息部编制完成《云南电网公司综合网络及综合网络安全建设规范》、《云南电网公司信息机房建设规范》、《云南电网公司供电局信息安全建设技术规范》和《云南电网公司局域网建设技术规范》,通过一系列的标准、规范,明确各地市供电局的IT基础设施建设基准要求,对各供电局的IT基础设施建设提供参考基线。配合公司信息部,完成《云南电网公司信息安全保障体系》以及信息安全相关制度的修编工作,构建了信息安全的坚实基础。
“清理、优化、规范”一个都不能少
“‘木桶理论’特别适用于我们信息安全,安全往往会从最短板处被突破,”张建文告诉记者,“去年我们重点进行了互联网出口清理优化工作,清理那些低矮的门,把不规范的门关掉,主要开展了业务合并、统一和分类等工作,严格对外服务审批制度,防止堡垒从最低处被攻破。”张建文用通俗易懂的语言解释了信息中心开展的清理优化工作。为加强对外服务应用系统安全,降低信息安全风险,按照云南电网公司要求,信息中心开展了互联网出口清理优化工作,一是完成公司对外服务应用系统清理工作,共清理出121台对外服务主机,最终关闭了70台主机对外服务,剩余51台对外提供服务的主机已进行备案登记;二是完成对外服务应用系统域名使用规范清理工作,将公司所有对外应用系统的互联网域名按南网要求统一到了csg.cn上;三是对各单位提供在对外互连出口及互联网域名整改时的相关技术支持及配合工作,确保各项整改工作顺利实施,业务平稳过渡,实现了全公司省、地、县互联网统一出口;四是完成对外服务网站安全扫描工作、互联网统一出口的信息安全检查工作,督促对外服务责任单位采取有效措施,避免了信息安全风险。
“针对各单位多级企业及县级供电单位安全防护水平较弱,已成为云南电网网络与信息安全短板问题,我们配合省公司信息部积极研究,对关联企业和内部信息化应用互通模式进行深入分析,确定了可行的关联企业安全防护技术手段。”信息中心安生部信息安全管理专责苏永东对信息安全的“短板”情况了然于心,“但是我们也不能过度管理而不服务,信息安全追求一种‘适合度’,在刚性要求外,我们也要做好服务。”苏永东对如何把握信息安全管理的“符合度”与 “适合度”很有心得,“大家可能都会觉得使用信息设备时不设置任何限制用起来最顺手,但是因为安全的需要,我们必须要部署各种策略。比如在进行绿色桌面部署时,我们也听到了很多不理解的声音。我们的技术人员只有尽量做好安全设防与优质服务,有时还要包容一些不理解的声音……”在信息部的领导下,信息中心落实了省公司网络信息安全管理责任和控制措施,有效防范了信息安全风险,建立了关联企业信息安全管控模式。
加强“健康体检”,管好“出入口”
“每年,我们都要组织开展信息安全风险评估,所谓信息安全风险评估,就是类似我们身体的健康体检,这样的体检非常重要,它帮助我们及时发现问题、及时解决问题,防患于未然……”苏永东向记者解释道。为切实做好信息安全风险评估,信息中心按照南方电网公司一体化信息安全风险评估工作要求,制定了工作方案,明确了工作职责,编制了《云南电网公司一体化信息安全风险评估工作方案》,组织安排开展了信息系统的资产识别、漏洞扫描、系统加固、安全核查等自查工作,每周召开协调会,对发现的问题及时处理,制定了整改计划和整改方案,通过加强安全措施和管理、增加安全设备、修改配置、开展安全策略及账户清理优化、应用系统代码修改优化等多种技术和管理手段,完成了所有发现风险的整改。
“管理信息安全还要注重‘出入口’的管理。”苏永东加重了语气,“信息中心作为省级信息系统运维单位,采取了多种有效措施加强该项工作,比如加强全网安全软件的部署,提高网络准入系统、防病毒系统的部署率和补丁的更新率。另外,为了进一步加强移动存储设备安全管理,在公司本部、信息中心、昆明供电局还组织开展了移动存储介质注册认证试点工作……进行绿色桌面应用实施部署,开展信息安全基线检查及漏洞扫描工作……”说到这些专业工作,这位工作多年的信息安全专家侃侃而谈。
在日常的信息安全工作中,信息中心不断加强对重要信息系统、对外服务系统以及互联网出口的防火墙、入侵防御、上网行为管理等安全设备的定期巡查,严格访问控制策略,增强抵抗恶意攻击和非法入侵的能力,防止有害信息进入和向外扩散。在重要时段做到每日对网络设备、IPS、互联网审计、防病毒系统、外部网站进行监控,统计每天的监控情况,对发现的问题及时进行处理。
通过打基础、强管理等一些列措施,云南电网公司取得了全年零安全事件的优异成绩。