论文部分内容阅读
[摘 要] 通过对电力企业信息安全风险的分析,提出相应的安全对策,可供从事信息安全的同行参考借鉴。
[关键词] 电力企业;信息安全;风险
1、前言
随着计算机信息化建设的飞速发展而信息系统在电力企业中所处的地位越来越重要。信息安全随着信息技术的不断发展而演变,其重要性日益越来越明显,信息安全所包含的内容、范围也不断的变化。信息安全有三个中心目标。保密性:保证非授权操作不能获取受保护的信息或计算机资源。完整性:保证非授权操作小能修改数据。有效性:保证非授权操作不能破坏信息或计算机资源。信息安全的重点放在了保护信息,确保信息在存储,处理,传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。
2、电力企业信息安全风险探析
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力企业信息系统面临的主要风险存在于以下几个方面:①计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的;②网络安全问题日益突出:电力企业网络的联通为信息传递提供了方便的途径。电力企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。电力企业开通了互联网专线宽带上网,电力企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等;③信息传递的安全不容忽视。电力企业和外部的单位,以及外部有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户、还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。④用户身份认证和信息系统的访问控制急需加强:电力企业中的信息系统一般为特定范围的用户利用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要利用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,利用起来非常不方便,更不用说账号的有效管理和安全了;⑤实时控制系统和数据网络的安全至关重要:电网的调度指挥,自动控制,微机保护等领域的计算机应用在电力企业中起步早,应用水平高,不但实现了对电网运行状况的实时监视,还实现了对电网一次设备的遥控及保护设备的远方管理。随着数据网的建设和应用,这些电网监视和控制方面的系统逐步从采用专线通道传输数据转移到通过数据网络来传送数据和下发控制指控令。由于这些计算机系统可以直接管理和操作控制电网一次设备,系统的安全可靠,数据网的安全可靠,信息指令传输的实时性等直接关系着电网的安全,其安全等级要求高于一般的广域网系统。
3、解决信息安全问题的基本原则
3.1采用信息安全新技术,建立信息安全防护体系。企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施
3.2计算机防病毒系统。计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电力企业的首选。个人版本的杀毒软件适合家庭,小规模用户。
3.3网络安全防护系统。信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细探析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。 关于已经投入利用的信息系统,可以通过采用增加安全访问网管的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。关于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
4、解决信息安全问题的对策
4.1依据国家法律,法规,建立电力企业信息安全管理制度。根据国家信息安全方面一系列的法律法规和技术标准,应结合电力企业实际,建立开发信息系统的管理标准、制度、规范和流程和技术体系,来指导信息安全工作。并建立信息安全工作的组织体系和机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,保证信息安全工作长期有效的开展。
4.2充分使用企业网络条件,提供全面,及时和快捷的信息安全服务。我省电网公司广域网联通了系统内的各个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为省公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息发布与技术支持平台,发布安全公告,安全法规和技术标准,提供安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。
4.3开展全员信息安全教育和培训活动。开展安全教育和培训应该注意安全教育知识的层次性。主管信息安全工作的负责人和各级信息安全员,重点要了解和掌握信息安全的整体策略及目标、安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系统的安全维护技术等;广大信息系统用户重点要学习各种安全操作流程和行为规范,了解和掌握与其相关的信息安全策略,包括自身应该承担的安全职责等。
5、结语
电力系统信息安全是一个系统的、全局的管理问题,我们应该用系统工程的观点方法,分析信息的安全及具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果,只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即信息安全应遵循整体安全性原则,根据规定的安全策略制定出合理的信息安全体系结构,这样才能真正做到整个系统的安全。
参考文献:
[1] 时小明,浅谈我国网络安全现状及防范措施[J],黑龙江科技信息,2010(14).
[2] 肖红亮,电力系统网络安全及其对策浅析[J],科技信息,2010(03).
[3] 贾春杰,电力系统网络安全风险及其控制措施[J],机电信息,2011(33).
[关键词] 电力企业;信息安全;风险
1、前言
随着计算机信息化建设的飞速发展而信息系统在电力企业中所处的地位越来越重要。信息安全随着信息技术的不断发展而演变,其重要性日益越来越明显,信息安全所包含的内容、范围也不断的变化。信息安全有三个中心目标。保密性:保证非授权操作不能获取受保护的信息或计算机资源。完整性:保证非授权操作小能修改数据。有效性:保证非授权操作不能破坏信息或计算机资源。信息安全的重点放在了保护信息,确保信息在存储,处理,传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。
2、电力企业信息安全风险探析
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力企业信息系统面临的主要风险存在于以下几个方面:①计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的;②网络安全问题日益突出:电力企业网络的联通为信息传递提供了方便的途径。电力企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。电力企业开通了互联网专线宽带上网,电力企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等;③信息传递的安全不容忽视。电力企业和外部的单位,以及外部有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户、还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。④用户身份认证和信息系统的访问控制急需加强:电力企业中的信息系统一般为特定范围的用户利用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要利用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,利用起来非常不方便,更不用说账号的有效管理和安全了;⑤实时控制系统和数据网络的安全至关重要:电网的调度指挥,自动控制,微机保护等领域的计算机应用在电力企业中起步早,应用水平高,不但实现了对电网运行状况的实时监视,还实现了对电网一次设备的遥控及保护设备的远方管理。随着数据网的建设和应用,这些电网监视和控制方面的系统逐步从采用专线通道传输数据转移到通过数据网络来传送数据和下发控制指控令。由于这些计算机系统可以直接管理和操作控制电网一次设备,系统的安全可靠,数据网的安全可靠,信息指令传输的实时性等直接关系着电网的安全,其安全等级要求高于一般的广域网系统。
3、解决信息安全问题的基本原则
3.1采用信息安全新技术,建立信息安全防护体系。企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施
3.2计算机防病毒系统。计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电力企业的首选。个人版本的杀毒软件适合家庭,小规模用户。
3.3网络安全防护系统。信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细探析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。 关于已经投入利用的信息系统,可以通过采用增加安全访问网管的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。关于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
4、解决信息安全问题的对策
4.1依据国家法律,法规,建立电力企业信息安全管理制度。根据国家信息安全方面一系列的法律法规和技术标准,应结合电力企业实际,建立开发信息系统的管理标准、制度、规范和流程和技术体系,来指导信息安全工作。并建立信息安全工作的组织体系和机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,保证信息安全工作长期有效的开展。
4.2充分使用企业网络条件,提供全面,及时和快捷的信息安全服务。我省电网公司广域网联通了系统内的各个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为省公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息发布与技术支持平台,发布安全公告,安全法规和技术标准,提供安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。
4.3开展全员信息安全教育和培训活动。开展安全教育和培训应该注意安全教育知识的层次性。主管信息安全工作的负责人和各级信息安全员,重点要了解和掌握信息安全的整体策略及目标、安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系统的安全维护技术等;广大信息系统用户重点要学习各种安全操作流程和行为规范,了解和掌握与其相关的信息安全策略,包括自身应该承担的安全职责等。
5、结语
电力系统信息安全是一个系统的、全局的管理问题,我们应该用系统工程的观点方法,分析信息的安全及具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果,只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即信息安全应遵循整体安全性原则,根据规定的安全策略制定出合理的信息安全体系结构,这样才能真正做到整个系统的安全。
参考文献:
[1] 时小明,浅谈我国网络安全现状及防范措施[J],黑龙江科技信息,2010(14).
[2] 肖红亮,电力系统网络安全及其对策浅析[J],科技信息,2010(03).
[3] 贾春杰,电力系统网络安全风险及其控制措施[J],机电信息,2011(33).