前言:想要寫出一篇引人入勝的文章?我們特意為您整理了基層供電企業(yè)信息安全建設(shè)思考范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。
摘要:信息安全作為國家安全重要組成部分為各國共識(shí),各國紛紛出臺(tái)自己的信息安全戰(zhàn)略和政策,加強(qiáng)自身信息安全保障體系建設(shè)。新形勢(shì)下我國提出“以信息化帶動(dòng)工業(yè)化,發(fā)揮后發(fā)優(yōu)勢(shì),實(shí)現(xiàn)社會(huì)生產(chǎn)力了跨越式發(fā)展”,并將信息安全與政治、經(jīng)濟(jì)、文化、國防安全作為國家安全基石。電力企業(yè)事關(guān)國計(jì)民生基礎(chǔ)性行業(yè),如何利用現(xiàn)代信息技術(shù)提高供電企業(yè)管理水平和電網(wǎng)穩(wěn)定運(yùn)行顯得尤為重要?;诖?,將從制度管理、人員和技術(shù)等方面討論基層供電企業(yè)信息安全建設(shè)的建議。
關(guān)鍵詞:信息安全;管理體系;PKI/CA;MPLSVPN;基線
在供電企業(yè)現(xiàn)代信息技術(shù)廣泛運(yùn)用生產(chǎn)經(jīng)營、綜合管理之中,實(shí)現(xiàn)資源和信息共享,為領(lǐng)導(dǎo)提供相關(guān)輔助決策。保障企業(yè)信息安全是企業(yè)領(lǐng)導(dǎo)層、專業(yè)人員及企業(yè)全員共同面對(duì)的。信息安全是集管理、人員、設(shè)備、技術(shù)為一體系統(tǒng)工程,木桶原理可以很好地詮釋信息安全,一個(gè)企業(yè)安全不取決于最強(qiáng)項(xiàng),而取決最短板。信息安全需從制度建設(shè)、體系架構(gòu)、一體化防控體系、人員意識(shí)、專業(yè)人員技術(shù)水平等多方面共同建設(shè),才能有效提高企業(yè)信息安全,才能為企業(yè)生產(chǎn)、經(jīng)營保駕護(hù)航。
1基層供電信息安全現(xiàn)狀
基層供電企業(yè)信息安全建設(shè)方面,在制度建設(shè)、安全分區(qū)、網(wǎng)絡(luò)架構(gòu)、一體化防護(hù)、人員意識(shí)、專業(yè)人員技術(shù)水平等多方面存在不同程度問題。
1.1管理制度不健全,制度多重化
信息安全制度建設(shè)方面較為被動(dòng),大多數(shù)都是現(xiàn)實(shí)之中出現(xiàn)某一問題,然后一個(gè)相關(guān)制度,制度修修補(bǔ)補(bǔ)。同一類問題有時(shí)出現(xiàn)不同管理規(guī)定里,處理辦法不一,甚至發(fā)生沖突。原有信息安全管理制度寬泛,操作性較差。信息系統(tǒng)建設(shè)渠道不同,未提前進(jìn)行信息安全方面考慮,管理職責(zé)不明,導(dǎo)致部分信息安全工作開始不順暢。
1.2安全區(qū)域劃分不明,網(wǎng)絡(luò)架構(gòu)不清晰
基層供電企業(yè)系統(tǒng)建設(shè)主要由上級(jí)推廣系統(tǒng)和自建系統(tǒng),系統(tǒng)建設(shè)時(shí)候相當(dāng)部分系統(tǒng)未充分考慮系統(tǒng),特別是業(yè)務(wù)部門自建系統(tǒng)更甚。網(wǎng)絡(luò)建設(shè)需要什么就連接什么,存在服務(wù)器、終端、外聯(lián)區(qū)域不明顯,網(wǎng)絡(luò)架構(gòu)不清晰。
1.3未建立一體化安全防護(hù)體系
從近些年已經(jīng)發(fā)生的各類信息安全事件來看,內(nèi)部客戶端問題造成超過將近70%。內(nèi)部終端用戶網(wǎng)絡(luò)行為控制不足,存在網(wǎng)絡(luò)帶寬濫用;終端接入沒有相應(yīng)準(zhǔn)入控制,不滿足網(wǎng)絡(luò)安全需求用戶接入辦公網(wǎng)絡(luò),網(wǎng)絡(luò)環(huán)境安全構(gòu)成極大風(fēng)險(xiǎn);內(nèi)部人員對(duì)核心服務(wù)器和網(wǎng)絡(luò)設(shè)備未建立統(tǒng)一內(nèi)部控制機(jī)制;移動(dòng)介質(zhì)未實(shí)施注冊(cè)制管理等問題。
1.4未建立行之有效設(shè)備基線標(biāo)準(zhǔn)
網(wǎng)絡(luò)安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等廠家為了某種方便需求,在設(shè)備和系統(tǒng)中常常保留有默認(rèn)缺省安全配置項(xiàng),這些恰恰是別人利用漏洞。基層供電企業(yè)在部署設(shè)備和系統(tǒng)時(shí),沒有統(tǒng)一基線標(biāo)準(zhǔn),沒有對(duì)設(shè)備和系統(tǒng)進(jìn)行相應(yīng)基線加固,企業(yè)存在潛在風(fēng)險(xiǎn)。1.5信息安全意識(shí)較差,技術(shù)水平參差不齊企業(yè)信息安全認(rèn)識(shí)存在認(rèn)識(shí)上誤區(qū),常常認(rèn)為我們有較強(qiáng)信息安全保護(hù)設(shè)備,外部不易攻破內(nèi)部,事實(shí)上堡壘常常是從內(nèi)部攻破的。比如企業(yè)員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業(yè)機(jī)密泄露等,這恰恰是基層供電企業(yè)全員信息安全意識(shí)較為薄弱表現(xiàn)。專業(yè)技術(shù)人員缺乏必要自我學(xué)習(xí)和知識(shí)主動(dòng)更新,未取得專門信息安全專業(yè)人員資質(zhì),處理問題能力表現(xiàn)參差不齊。
2必要性
信息安全為國家安全重要組成部門,電力企業(yè)信息安全為國家信息安全的重要元素,電網(wǎng)安全事關(guān)國計(jì)民生。2014年2月,國家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,將網(wǎng)絡(luò)信息安全提升前所未有高度。近年發(fā)生的“棱鏡門”事件,前幾年發(fā)生伊朗核電站“震網(wǎng)”病毒(Stuxnet病毒)網(wǎng)絡(luò)攻擊,其中一個(gè)關(guān)鍵問題就是利用移動(dòng)介質(zhì)擺渡來進(jìn)行攻擊,造成設(shè)備癱瘓,這一系列信息安全事件都事關(guān)國家安全,因此人人都要有信息安全意識(shí)。首先要防止企業(yè)機(jī)密數(shù)據(jù)(財(cái)務(wù)、人資、投資、客戶等)泄漏;其次,保持?jǐn)?shù)據(jù)真實(shí)性和完整性,錯(cuò)誤的或被篡改的不當(dāng)信息可能會(huì)導(dǎo)致錯(cuò)誤的決策或商業(yè)機(jī)會(huì)甚至信譽(yù)的喪失;最后,信息的可用性,防止由于人員、流程和技術(shù)服務(wù)的中斷而影響業(yè)務(wù)的正常運(yùn)作,業(yè)務(wù)賴以生存的關(guān)鍵系統(tǒng)如失效,不能得到及時(shí)有效恢復(fù),會(huì)造成重大損失。建立嚴(yán)格的訪問控制,前面數(shù)據(jù)分級(jí)時(shí)有制定數(shù)據(jù)的“所有者”及給敏感數(shù)據(jù)進(jìn)行分級(jí),按照分級(jí)的要求制定嚴(yán)格的訪問控制策略,基本的思想是最小特權(quán)原則和權(quán)限分離原則。最少特權(quán)是給定使用者最低的只需完成其工作任務(wù)的權(quán)限;權(quán)限分離原則是將不同的工作職能分開,只給相關(guān)職能有必要讓其知道的內(nèi)容訪問權(quán)限。通過對(duì)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范內(nèi)部的上網(wǎng)行為,提高工作效率,保護(hù)企業(yè)有限網(wǎng)絡(luò)資源應(yīng)用于主要生產(chǎn)經(jīng)營上來。
3特點(diǎn)探析
通過我們對(duì)基層供電企業(yè)在信息安全存在問題及必要性來看,主要是管理制度、網(wǎng)絡(luò)信息安全技術(shù)、人員意識(shí)等方面存在問題,有以下特點(diǎn)。
3.1管理制度方面
常說信息安全“三方技術(shù)、七分管理”,制度建設(shè)對(duì)信息安全保障至關(guān)重要。信息安全管理制度應(yīng)該有上級(jí)主管部門建立一套統(tǒng)一管理制度,基層供電企業(yè)遵照?qǐng)?zhí)行,可以根據(jù)各單位具體情況進(jìn)一步細(xì)化,讓管理制度落地。從企業(yè)總體信息安全方針到具體專業(yè)制度管理上,實(shí)現(xiàn)全網(wǎng)一體化,規(guī)范化。
3.2網(wǎng)絡(luò)信息安全技術(shù)方面
上級(jí)專業(yè)主管部門,站在企業(yè)高度,制定專業(yè)技術(shù)標(biāo)準(zhǔn)和技術(shù)細(xì)則。從網(wǎng)絡(luò)安全分區(qū)、網(wǎng)絡(luò)技術(shù)架構(gòu)、互聯(lián)網(wǎng)接入和訪問方式、終端安全管理、網(wǎng)絡(luò)準(zhǔn)入控制等方面統(tǒng)一規(guī)劃,分布實(shí)施,最終實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全防控一體化。
3.3信息安全意識(shí)培養(yǎng)方面
企業(yè)員工信息安全意識(shí)培養(yǎng)是個(gè)長期的過程,不是通過一次兩次培訓(xùn)就能解決的,采取形式多樣化方式來培養(yǎng)員工安全意識(shí),可以通過集中培訓(xùn)講課、視頻宣傳、張貼宣傳畫等方式進(jìn)行。針對(duì)專業(yè)人員,要讓他們養(yǎng)成按照制度辦事習(xí)慣,用戶需要申請(qǐng)某項(xiàng)資源,嚴(yán)格按照制度執(zhí)行,填寫相應(yīng)資源申請(qǐng),有時(shí)候領(lǐng)導(dǎo)打招呼也要按照制度流程來執(zhí)行。長此以往,人人都會(huì)知道自己該做什么,不該做什么,該怎么做,企業(yè)信息安全意識(shí)就會(huì)得到極大提高。
3.4專業(yè)技術(shù)人員水平方面
信息安全技術(shù)日新月異,不學(xué)習(xí)就落后,不斷收集信息安全方面信息,共同討論相關(guān)話題,建立相應(yīng)培訓(xùn)機(jī)制,專業(yè)人員實(shí)行持證上崗,提升專業(yè)人員實(shí)際解決問題能力,有效提高人員專業(yè)素養(yǎng),成為企業(yè)信息安全方面專家。
4實(shí)施和開展
從2009年開始,先后進(jìn)行一系列信息安全建設(shè),涉及到信息安全制度建設(shè)、網(wǎng)絡(luò)信息安全體系架構(gòu)、信息安全保障服務(wù)、人員培訓(xùn)等方面,整體提高基層供電企業(yè)信息安全狀況。
4.1信息安全制度建設(shè)
2010年開始信息安全體系ISO27001、27002建設(shè),結(jié)合企業(yè)情況,形成30個(gè)信息安全相關(guān)文件,涵蓋企業(yè)信息安全方針、等級(jí)保護(hù)、人員管理、機(jī)房管理、網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行維護(hù)管理、終端安全、病毒防護(hù)、介質(zhì)管理、數(shù)據(jù)管理、日志管理、教育培訓(xùn)等諸多方面。2013年為進(jìn)一步提示公司信息化管理水平,先后增加修改建設(shè)管理、實(shí)用化管理、項(xiàng)目管理、信息安全管理、運(yùn)維管理、綜合管理5個(gè)方面14個(gè)管理細(xì)則。經(jīng)過這一系列制度建設(shè),基層供電企業(yè)有章可循,全網(wǎng)信息安全依據(jù)統(tǒng)一,明確短板情況。
4.2建設(shè)一體化網(wǎng)絡(luò)與信息安全防控
首先依據(jù)電監(jiān)會(huì)5號(hào)文件要求,網(wǎng)絡(luò)架構(gòu)按照三層四區(qū)原則進(jìn)行部署建設(shè),生產(chǎn)實(shí)時(shí)控制大區(qū)(Ⅰ、Ⅱ區(qū))與信息管理大區(qū)(Ⅲ、Ⅳ區(qū))之間采用國家強(qiáng)制認(rèn)證單向數(shù)據(jù)隔離裝置進(jìn)行強(qiáng)制隔離,網(wǎng)絡(luò)架構(gòu)采用核心、匯聚、接入部署。網(wǎng)絡(luò)接入按照功能劃分服務(wù)器區(qū)、網(wǎng)管區(qū)、核心交換區(qū)、用戶辦公區(qū)、外聯(lián)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū),在綜合數(shù)據(jù)網(wǎng)上,利用MPLSVPN,根據(jù)劃分不同VPN業(yè)務(wù)、隔離相互間數(shù)據(jù)交叉。建立全網(wǎng)PKI/CA系統(tǒng),構(gòu)建企業(yè)員工在企業(yè)數(shù)字身份認(rèn)證系統(tǒng),已建成系統(tǒng)進(jìn)行未采用PKI登陸系統(tǒng),進(jìn)行相應(yīng)改造結(jié)合PKI/CA系統(tǒng),采用PKI登陸,在建系統(tǒng)用戶登陸必須集成PKI登陸。根據(jù)企業(yè)信息安全要求,進(jìn)行互聯(lián)網(wǎng)統(tǒng)一出口,部署統(tǒng)一互聯(lián)網(wǎng)防控設(shè)備,建立統(tǒng)一上網(wǎng)行為管理策略,規(guī)范員工上網(wǎng)行為,合理使用有限互聯(lián)網(wǎng)資源,審計(jì)員工上網(wǎng)日志,以備不時(shí)之需。建立企業(yè)統(tǒng)一病毒防護(hù)系統(tǒng),實(shí)現(xiàn)病毒軟件統(tǒng)一安裝,病毒庫自動(dòng)更新,防護(hù)策略統(tǒng)一下發(fā),定期統(tǒng)計(jì)病毒分布情況,同時(shí)作為終端接入內(nèi)網(wǎng)必備選項(xiàng),對(duì)終端病毒態(tài)勢(shì)比較嚴(yán)重用戶進(jìn)行督促整改,有效防止病毒在企業(yè)內(nèi)部蔓延,進(jìn)一步進(jìn)化內(nèi)網(wǎng)環(huán)境。建立統(tǒng)一網(wǎng)絡(luò)邊界安全防護(hù),在企業(yè)內(nèi)網(wǎng)邊界合理部署防火墻、IPS、UTM,并將其產(chǎn)生日志發(fā)送到統(tǒng)一安全管理平臺(tái),進(jìn)行日志管理分析,展現(xiàn)企業(yè)內(nèi)部信息安全態(tài)勢(shì),預(yù)警企業(yè)內(nèi)部信息安全存在問題。利用AD域或PKI/CA進(jìn)行用戶身份認(rèn)證,建設(shè)統(tǒng)一桌面管理,所有內(nèi)網(wǎng)用戶必須滿足最基本防病毒、安全助手、IT監(jiān)控要求方可接入內(nèi)網(wǎng),系統(tǒng)啟用強(qiáng)制安全策略,終端采用采用DHCP,用戶不能自動(dòng)修改IP地址,在DHCP服務(wù)器上實(shí)現(xiàn)IP與MAC地址及人員綁定,杜絕用戶私自更換IP地址引起沖突。安全認(rèn)證方面可以采用NACC或交換機(jī)802.1x方式進(jìn)行,不滿足要求用戶,自動(dòng)重定向到指定網(wǎng)站進(jìn)行安全合規(guī)性檢查,滿足要求后自動(dòng)接入內(nèi)網(wǎng),強(qiáng)制所有用戶采用統(tǒng)一網(wǎng)絡(luò)安全準(zhǔn)入規(guī)則。實(shí)行移動(dòng)介質(zhì)注冊(cè)制,極大提高終端安全性,有效保護(hù)企業(yè)信息資產(chǎn)。建立內(nèi)部運(yùn)維控制機(jī)制,實(shí)現(xiàn)4A統(tǒng)一安全管理,認(rèn)證、賬號(hào)、授權(quán)、審計(jì)集中管控。規(guī)劃統(tǒng)一服務(wù)器、網(wǎng)絡(luò)設(shè)備資源池,按照用戶需求,提交相應(yīng)申請(qǐng)材料,授權(quán)訪問特定設(shè)備和資源,并對(duì)用戶訪問行為全程記錄審計(jì)。
5結(jié)語
上述討論主要針對(duì)傳統(tǒng)信息安全來說的,隨著移動(dòng)智能終端普及,移動(dòng)設(shè)備應(yīng)用在電網(wǎng)企業(yè)不斷深化,傳統(tǒng)信息安全管理存在一定盲區(qū),無線網(wǎng)絡(luò)安全和移動(dòng)終端信息安全問題突顯,如何在無線準(zhǔn)入、移動(dòng)終端統(tǒng)一管理、移動(dòng)應(yīng)用安全管理方面進(jìn)一步面臨更大考驗(yàn)。
作者:袁忠軍 單位:貴州電網(wǎng)有限責(zé)任公司都勻供電局