论文部分内容阅读
摘要:近年来,计算机信息网络已经成为社会发展进步的重要保证,同时,计算机网络又是一把双刃剑,它在极大地促进社会进步,方便和丰富人们生活的同时,也给国家安全和社会稳定带来严峻挑战,计算机信息安全也变得越来越重要。吕梁供电公司信息安全防护落实国网公司“双网双机、分区分域、等级防护、多层防御”的安全防护策略,确保信息系统持续、稳定、可靠运行。从管理方面和技术方面采取有效措施,公司同业对标信息化指标上半年完成情况为:信息安全次数为0次,信息系统可用率为100%,信息系统应用指标为100%。吕梁供电公司主要以三方面来保障信息安全建设,一是物理安全(包括环境安全、设备安全),二是运行安全(包括一些信息安全制度的建立、运行规程的建立及一些运行方法的实施),三是信息安全(包括病毒防护、加密等)。
关键词:电力企业信息安全重要性
1 信息安全建设的目标
吕梁供电公司信息安全建设的目标是:基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统、直至数据和应用平台各个层面,构建全面、完整、高效的信息安全体系,从而提高公司信息系统的整体安全等级,为公司的业务发展提供坚实的信息安全保障。
1.1 信息安全管理的理念或策略 从宏观的、整体的角度出发,系统的建设公司信息安全体系,不仅仅局限于技术层面,而是全面构架信息安全技术体系,覆盖从物理安全、网络安全、主机系统安全、到数据和应用系统安全各个层面。同时,建立全面有效的安全管理体系和运行保障体系。技术和管理并重,突出安全管理在信息安全体系中的重要性,仅仅凭借安全技术体系,无法解决所有的安全问题,安全管理体系和技术防护相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷,使得安全技术体系发挥最佳的保障效果。
1.2 信息安全管理的范围和目标 吕梁供电公司信息安全防护的总体目标是为了贯彻和落实公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息安全工作要求,全面完善公司信息安全防护体系,落实国网公司“双网双机、分区分域、等级防护、多层防御”的安全防护策略,确保信息系统持续、稳定、可靠运行,确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的一次系统事故。确保信息安全工作在公司的顺利开展,逐步提高公司信息安全整体防护水平。
对吕梁供电公司信息系统进行安全风险评估,涵盖管理与技术两部分,其中管理包括管理机构、管理制度、系统运维、人员安全和系统建设五个方面,技术则包括物理安全、网络安全、主机安全、应用安全和数据安全五个方面。通过评估的实施,不仅可以进一步提高信息系统安全保护符合性要求,而且可以将整个信息系统的安全状况提升到一个较高的水平,并尽可能地消除或降低信息系统的安全风险。
1.3 信息安全管理的指标体系及目标值
1.3.1 分区分域 依据国家电网公司安全分区、分级、分域及分层防护的原则,吕梁供电公司信息网络已划分为信息内网和信息外网。
信息内网依据总体方案“二级系统统一成域,三级系统独立分域”方法,结合公司实际,信息内网系统可分为:营销系统二级域;财务系统二级域;公共服务域(WWW、DNS、办公自动化系统等);桌面终端域。
信息外网的系统可分为:对外应用系统域;桌面终端域。
安全域的具体实现采用物理防火墙、虚拟防火墙或VLAN、VPN等隔离方法。基本实现目标为划分的各域边界可进行访问控制。
进行安全域划分后,公司内网二级域3个,桌面终端域1个;外网服务域1个,桌面终端域1个。
1.3.2 控制指标 公司同业对标指标目标值:信息安全次数为0次,信息系统可用率为100%,信息系统应用指标为100%。
2 专业管理的主要做法
2.1 主要做法说明
2.1.1 物理安全 物理安全主要是网络设备及主机安全,吕梁供电公司网络设备及系统服务器存放在专门的计算机机房,首先通过门禁系统保证这些设备自身的安全性,并建立了专门的人员出入访问控制机制,严格控制人员出入计算机机房和其他重要安全区域,便于检查和分析。其次,指定专门的人员,负责计算机机房地建设和管理工作,建立了计算机机房管理制度,对设备安全管理、介质安全管理、人员出入访问控制管理等作出了详细的规定,并定期对计算机机房各项安全措施和安全管理制度的有效性和实施状况进行检查,发现问题,及时整改。
2.1.2 运行安全 为了保证信息网络的安全运行,吕梁供电公司开展了双网双机建设,也就是内网和外网物理逻辑隔离,内网用计算机与外网用计算机物理分开的建设。
2.1.3 信息安全 吕梁供电公司要求每位员工有效利用各种口令,每台机器都设置有开机口令,确保口令长度至少8个字符,并且是大小写字母、数字和特殊字符中的三种组合,并要求至少3个月更换一次口令。
关于信息加密方面,公司要求重要信息、文件等不能在外网传送,必须在内网发送,并且要加密发送,并要求关闭计算机文件共享,确保信息不会泄露。
每台计算机必须安装省公司统一推广的趋势杀毒软件及启用防火墙,发现有未安装杀毒软件的机器立即短网,防止外部用户非法进入。
2.2 确保流程正常运行的人力资源保证 根据省公司对于信息安全的总体部署,为切实做好信息系统安全工作,我公司成立了以公司经理为组长,分管科技信息工作的副经理为常务副组长,各部门和所属单位一把手为成员的“网络与信息安全领导小组”,全面负责公司的信息安全工作。领导组下设办公室,由科信部全体成员和所属各单位专责人共同组成,负责信息安全方面的有关技术保障、事故应急处理以及信息风险和事故评估等具体工作。
公司要求所属各单位、各部门要认真按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”和属地化管理的要求,认真履行信息系统安全职责,严格按照“三个百分之百”要求,落实公司信息系统与保密工作的制度和规定,执行“双网双机、分区分域、等级防护、多层防御”的信息安全总体防护策略,切实抓好信息系统安全责任和制度的落实,确保完成了双网隔离、等级保护,确保了信息系统安全建设,安全运行,安全应用。
组织所属各单位的信息专责人进行了信息安全学习和警示教育,组织学习公司信息化规章制度,重点学习电监会《关于开展电网企业信息安全检查的通知》(电监信息[2009]3号,国网公司《关于进一步加强网络和信息系统安全的紧急通知》(办信息[2009]3号),以及《信息化“SG186”工程安全防护总体方案(试行)》(国家电网信息[2008]316号),深入了解公司面临的严峻的信息系统安全形势,全面掌握公司部署的应对措施,结合工作实际,借鉴信息安全保电经验,对曾经出现的信息系统安全事件与薄弱环节进行汇总、分析,普及信息系统安全警示教育,整肃安全管理作风。
整理完成了包括电监办、国网公司、省公司、公司规章制度在内的《网络与信息系统规章制度汇编》,修订下发了《吕梁供电公司信息系统安全管理办法》、《吕梁供电公司信息安全总体防护方案》。进一步完善了专项应急预案的制订和审查备案等工作。
3 评估与改进
通过在管理方面和技术方面采取的有效措施,使公司同业对标信息化指标上半年完成情况:信息安全次数为为0次,信息系统可用率为100%,信息系统应用指标为100%。
但在信息中心机房的物理安全等方面仍存在一些问题,比如电源室空调制冷效果,监控等问题,我们仍然要不断加强管理,在网省公司的指导下采取有效措施,进行整改,把吕梁供电公司的信息安全防护水平提高到一个新的阶段。
4 结束语
信息安全是一个相对的概念,我们只能使系统越来越安全,而做不到绝对的安全。为了保护计算机系统里各种信息,我们必须时刻保持高度的警惕,做到对自己的系统安全情况始终有一个清醒的认识。只有这样才能使你的信息系统受到最大程度的保护,从而保障单位及个人信息的安全。
关键词:电力企业信息安全重要性
1 信息安全建设的目标
吕梁供电公司信息安全建设的目标是:基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统、直至数据和应用平台各个层面,构建全面、完整、高效的信息安全体系,从而提高公司信息系统的整体安全等级,为公司的业务发展提供坚实的信息安全保障。
1.1 信息安全管理的理念或策略 从宏观的、整体的角度出发,系统的建设公司信息安全体系,不仅仅局限于技术层面,而是全面构架信息安全技术体系,覆盖从物理安全、网络安全、主机系统安全、到数据和应用系统安全各个层面。同时,建立全面有效的安全管理体系和运行保障体系。技术和管理并重,突出安全管理在信息安全体系中的重要性,仅仅凭借安全技术体系,无法解决所有的安全问题,安全管理体系和技术防护相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷,使得安全技术体系发挥最佳的保障效果。
1.2 信息安全管理的范围和目标 吕梁供电公司信息安全防护的总体目标是为了贯彻和落实公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息安全工作要求,全面完善公司信息安全防护体系,落实国网公司“双网双机、分区分域、等级防护、多层防御”的安全防护策略,确保信息系统持续、稳定、可靠运行,确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的一次系统事故。确保信息安全工作在公司的顺利开展,逐步提高公司信息安全整体防护水平。
对吕梁供电公司信息系统进行安全风险评估,涵盖管理与技术两部分,其中管理包括管理机构、管理制度、系统运维、人员安全和系统建设五个方面,技术则包括物理安全、网络安全、主机安全、应用安全和数据安全五个方面。通过评估的实施,不仅可以进一步提高信息系统安全保护符合性要求,而且可以将整个信息系统的安全状况提升到一个较高的水平,并尽可能地消除或降低信息系统的安全风险。
1.3 信息安全管理的指标体系及目标值
1.3.1 分区分域 依据国家电网公司安全分区、分级、分域及分层防护的原则,吕梁供电公司信息网络已划分为信息内网和信息外网。
信息内网依据总体方案“二级系统统一成域,三级系统独立分域”方法,结合公司实际,信息内网系统可分为:营销系统二级域;财务系统二级域;公共服务域(WWW、DNS、办公自动化系统等);桌面终端域。
信息外网的系统可分为:对外应用系统域;桌面终端域。
安全域的具体实现采用物理防火墙、虚拟防火墙或VLAN、VPN等隔离方法。基本实现目标为划分的各域边界可进行访问控制。
进行安全域划分后,公司内网二级域3个,桌面终端域1个;外网服务域1个,桌面终端域1个。
1.3.2 控制指标 公司同业对标指标目标值:信息安全次数为0次,信息系统可用率为100%,信息系统应用指标为100%。
2 专业管理的主要做法
2.1 主要做法说明
2.1.1 物理安全 物理安全主要是网络设备及主机安全,吕梁供电公司网络设备及系统服务器存放在专门的计算机机房,首先通过门禁系统保证这些设备自身的安全性,并建立了专门的人员出入访问控制机制,严格控制人员出入计算机机房和其他重要安全区域,便于检查和分析。其次,指定专门的人员,负责计算机机房地建设和管理工作,建立了计算机机房管理制度,对设备安全管理、介质安全管理、人员出入访问控制管理等作出了详细的规定,并定期对计算机机房各项安全措施和安全管理制度的有效性和实施状况进行检查,发现问题,及时整改。
2.1.2 运行安全 为了保证信息网络的安全运行,吕梁供电公司开展了双网双机建设,也就是内网和外网物理逻辑隔离,内网用计算机与外网用计算机物理分开的建设。
2.1.3 信息安全 吕梁供电公司要求每位员工有效利用各种口令,每台机器都设置有开机口令,确保口令长度至少8个字符,并且是大小写字母、数字和特殊字符中的三种组合,并要求至少3个月更换一次口令。
关于信息加密方面,公司要求重要信息、文件等不能在外网传送,必须在内网发送,并且要加密发送,并要求关闭计算机文件共享,确保信息不会泄露。
每台计算机必须安装省公司统一推广的趋势杀毒软件及启用防火墙,发现有未安装杀毒软件的机器立即短网,防止外部用户非法进入。
2.2 确保流程正常运行的人力资源保证 根据省公司对于信息安全的总体部署,为切实做好信息系统安全工作,我公司成立了以公司经理为组长,分管科技信息工作的副经理为常务副组长,各部门和所属单位一把手为成员的“网络与信息安全领导小组”,全面负责公司的信息安全工作。领导组下设办公室,由科信部全体成员和所属各单位专责人共同组成,负责信息安全方面的有关技术保障、事故应急处理以及信息风险和事故评估等具体工作。
公司要求所属各单位、各部门要认真按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”和属地化管理的要求,认真履行信息系统安全职责,严格按照“三个百分之百”要求,落实公司信息系统与保密工作的制度和规定,执行“双网双机、分区分域、等级防护、多层防御”的信息安全总体防护策略,切实抓好信息系统安全责任和制度的落实,确保完成了双网隔离、等级保护,确保了信息系统安全建设,安全运行,安全应用。
组织所属各单位的信息专责人进行了信息安全学习和警示教育,组织学习公司信息化规章制度,重点学习电监会《关于开展电网企业信息安全检查的通知》(电监信息[2009]3号,国网公司《关于进一步加强网络和信息系统安全的紧急通知》(办信息[2009]3号),以及《信息化“SG186”工程安全防护总体方案(试行)》(国家电网信息[2008]316号),深入了解公司面临的严峻的信息系统安全形势,全面掌握公司部署的应对措施,结合工作实际,借鉴信息安全保电经验,对曾经出现的信息系统安全事件与薄弱环节进行汇总、分析,普及信息系统安全警示教育,整肃安全管理作风。
整理完成了包括电监办、国网公司、省公司、公司规章制度在内的《网络与信息系统规章制度汇编》,修订下发了《吕梁供电公司信息系统安全管理办法》、《吕梁供电公司信息安全总体防护方案》。进一步完善了专项应急预案的制订和审查备案等工作。
3 评估与改进
通过在管理方面和技术方面采取的有效措施,使公司同业对标信息化指标上半年完成情况:信息安全次数为为0次,信息系统可用率为100%,信息系统应用指标为100%。
但在信息中心机房的物理安全等方面仍存在一些问题,比如电源室空调制冷效果,监控等问题,我们仍然要不断加强管理,在网省公司的指导下采取有效措施,进行整改,把吕梁供电公司的信息安全防护水平提高到一个新的阶段。
4 结束语
信息安全是一个相对的概念,我们只能使系统越来越安全,而做不到绝对的安全。为了保护计算机系统里各种信息,我们必须时刻保持高度的警惕,做到对自己的系统安全情况始终有一个清醒的认识。只有这样才能使你的信息系统受到最大程度的保护,从而保障单位及个人信息的安全。