www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • 電力基建企業(yè)信息安全分析及對策

    2018-02-02 14:47:01 大云網(wǎng)  點擊量: 評論 (0)
    本文基于電力基建企業(yè)的現(xiàn)狀,分析了企業(yè)信息安全的若干問題:信息安全機構(gòu)、信息安全管理制度、系統(tǒng)安全風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險、災(zāi)備缺失,并

    本文基于電力基建企業(yè)的現(xiàn)狀,分析了企業(yè)信息安全的若干問題:信息安全機構(gòu)、信息安全管理制度、系統(tǒng)安全風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險、災(zāi)備缺失,并提出了相應(yīng)的對策。

    一、電力基建企業(yè)在信息安全問題上的特點

    近年來,我國的企業(yè)信息化建設(shè)在取得長足進步的同時,企業(yè)信息安全面臨的形式卻日益嚴峻。隨意列舉幾個近兩年的信息安全事件便可略窺一斑:2011年2月,多家全國性的商業(yè)銀行和地方城市銀行客戶遭遇大批量網(wǎng)絡(luò)詐騙;同年,QQ病毒“我的照片”廣泛傳播;同年年末,中國互聯(lián)網(wǎng)發(fā)生大規(guī)模泄密,CSDN、天涯等眾多互聯(lián)網(wǎng)公司的賬戶密碼信息被公開下載;2012年,國內(nèi)幾家大型電力公司遭受網(wǎng)絡(luò)惡性攻擊。

    電力基建企業(yè)在信息安全上同樣面臨諸多問題,但其自身的特點決定其在信息安全上也有與其它電力企業(yè)不同的情況:

    電力基建企業(yè)屬于電力類企業(yè),在信息安全上的標(biāo)準(zhǔn)(參照電監(jiān)會要求)比較高,但其在信息建設(shè)上投入的實際力度又往往弱于電廠類企業(yè)。原因在于:電廠類企業(yè)往往將信息安全設(shè)備作為電廠的必備資產(chǎn)(如發(fā)電機)加以購置,因為任何可能由信息安全而引發(fā)的電力事故都可能產(chǎn)生重大的社會影響,是企業(yè)不可承受的;而在電力基建企業(yè),這方面的影響顯然沒有那么明顯——簡單地理解是,習(xí)慣于使用電力的現(xiàn)代公民會對哪怕是一分鐘的斷電提出強烈的不滿,但對建設(shè)中的電力項目的延期則鮮有質(zhì)疑——電力基建企業(yè)中的信息安全設(shè)備也就變成了可選項。      

    另一方面,基建企業(yè)以項目管理為主,項目部遠離公司總部分布于各地,在信息安全管理上因此產(chǎn)生一系列的新問題:如項目部的信息安全人員的缺失、項目部對總部的大量遠程訪問引發(fā)的安全問題等。

    二、電力基建企業(yè)信息安全的主要問題:

    信息安全機構(gòu)及人員的問題

    信息安全機構(gòu)包括信息安全領(lǐng)導(dǎo)小組和信息安全工作小組。

    在大多數(shù)電力企業(yè),信息安全領(lǐng)導(dǎo)小組通常由企業(yè)的總經(jīng)理或副總領(lǐng)銜,成員是各個部門的負責(zé)人。這樣的安排本身并沒有什么問題,問題在于:大多數(shù)企業(yè)依舊未設(shè)置真正懂信息技術(shù)的CIO(首席信息官),信息安全領(lǐng)導(dǎo)小組的大多數(shù)成員不是信息技術(shù)的專家,這讓信息安全領(lǐng)導(dǎo)小組的能力大打折扣。

    信息安全工作小組中,專職的信息安全管理崗位是必不可少的,對該崗位有不能兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員或數(shù)據(jù)庫管理員的要求。而很多企業(yè)的專職信息人員本來就缺乏,因此很難滿足這一要求。

    在電力基建企業(yè)中,還有一個特別的因素,就是分散在遠離公司本部的各項目部。那里的信息安全人員比較饋乏——在這種情況下,即使有總部信息中心的強力支持,該項目部的信息安全風(fēng)險仍是相當(dāng)大。

    缺乏系統(tǒng)、完整的信息安全管理制度

    “沒有規(guī)矩,不成方圓。”要想做好企業(yè)信息安全工作,系統(tǒng)的、完整的信息安全管理制度是必不可少的。

    一個完整的企業(yè)信息安全管理制度應(yīng)包括從對信息安全的規(guī)劃、設(shè)計、建設(shè)、運維等全過程的支持,涵蓋到對方方面面的信息安全風(fēng)險進行識別、衡量、分析、評價、防范和控制的指導(dǎo)性條款。

     

    比如機房準(zhǔn)入制度。經(jīng)常會有不同廠商的技術(shù)人員帶著設(shè)備進入企業(yè)機房進行維修,必須對其準(zhǔn)入、攜帶設(shè)備、允許操縱的設(shè)備進行全方位的監(jiān)控,如果沒有相應(yīng)的制度來規(guī)范這些步驟,安全風(fēng)險便可能在其中的任何一個環(huán)節(jié)滋生。

     

    對基層企業(yè)而言,這個信息安全管理制度不能生搬硬套國家層面的或集團層面的相關(guān)制度,只能以此為參照,根據(jù)自身企業(yè)的實際情況編制,并在實踐中不斷改正。

     

     中心機房的物理安全風(fēng)險

    中心機房的物理安全涉及到多個內(nèi)容,包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電等。

     

    在電力基建企業(yè),通常會有這樣那樣的缺陷。畢竟,信息安全建設(shè)與企業(yè)整體信息化建設(shè)融而為一,信息安全成為企業(yè)IT建設(shè)的關(guān)鍵環(huán)節(jié)之一,是2010年以后的事。而國內(nèi)大多數(shù)電力基建企業(yè)的中心機房的建設(shè)早于此。

     

    系統(tǒng)的安全風(fēng)險

    系統(tǒng)的安全風(fēng)險主要指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和各種應(yīng)用系統(tǒng)所存在的安全風(fēng)險。

    操作系統(tǒng)風(fēng)險

    使用最廣的Windows 系列操作系統(tǒng)就像一個千瘡百孔的大廈,存在著大量已知和未知的漏洞,這些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限,可以被用來植入木馬,可以被用來實施拒絕服務(wù)攻擊……總之,如果沒有足夠的防備,我們的電腦隨時會發(fā)生泄密、數(shù)據(jù)篡改、系統(tǒng)崩潰等可怕的災(zāi)難。

     

     數(shù)據(jù)庫風(fēng)險

    數(shù)據(jù)庫系統(tǒng)的安全特性主要是針對數(shù)據(jù)而言的,包括數(shù)據(jù)獨立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、并發(fā)控制、故障恢復(fù)等幾個方面。這里不展開進一步討論。值得指出的是,很多電力企業(yè)有許多相對“古老”的應(yīng)用系統(tǒng),使用同樣“古老”的SQL SERVER 2000數(shù)據(jù)庫,而在這個版本早已停止升級補丁后,這種數(shù)據(jù)庫的諸多漏洞成為永遠關(guān)不上的后門——除了升級數(shù)據(jù)庫版本,沒有其它的方法。

    應(yīng)用系統(tǒng)風(fēng)險

    應(yīng)用系統(tǒng)同樣會有各種各樣的安全問題,早期開發(fā)的應(yīng)用系統(tǒng)甚至可能是用明碼存儲用戶名及密碼。這種情況仍然上演于擁有領(lǐng)先IT技術(shù)的互聯(lián)網(wǎng)企業(yè)內(nèi)部,比如2011年中國互聯(lián)網(wǎng)賬號密碼泄露事件中,令人驚詫的一點就是賬戶信息的明文儲存。

    電力基建企業(yè)最重要的業(yè)務(wù)系統(tǒng)是基建MIS,該系統(tǒng)通常是定制開發(fā)的,當(dāng)然也有很多商用的基建MIS供選擇。基建MIS的安全問題很大部分在于用戶的準(zhǔn)入控制:由于需要設(shè)計、監(jiān)理、施工單位填報數(shù)據(jù),軟件的客戶端裝于多處(WEB界面的甚至不需要安裝特定的客戶端),通過MIS系統(tǒng)里的用戶名/密碼的方式進行用戶認證,密碼大多沒有復(fù)雜性要求;在各單位人員頻繁的工作交互中,密碼泄露的可能性相當(dāng)大,由此便造成數(shù)據(jù)泄密風(fēng)險。網(wǎng)絡(luò)的安全風(fēng)險

    來自Internet的風(fēng)險

    1974年ARPA的羅伯特·卡恩和斯坦福的溫登·澤夫提出TCP/IP協(xié)議的時候,只是定義了在電腦網(wǎng)絡(luò)之間傳送報文的方法,而并沒有針對網(wǎng)絡(luò)的安全問題做設(shè)計。今天當(dāng)TCP/IP協(xié)議成為局域網(wǎng)、Internet上最常用的協(xié)議時,網(wǎng)絡(luò)安全問題帶著先天的缺陷依然困擾著我們。

    其中,計算機病毒由于對計算機網(wǎng)絡(luò)的災(zāi)難性影響,成為企業(yè)網(wǎng)絡(luò)最嚴重的安全風(fēng)險之一。網(wǎng)絡(luò)存儲、電子郵件系統(tǒng)、萬維網(wǎng)的廣泛使用,使得計算機病毒的擴散速度大大加快,網(wǎng)絡(luò)成了病毒傳播的最好途徑。

    電力企業(yè)網(wǎng)絡(luò)同樣難以幸免,幾乎所有電力企業(yè)的網(wǎng)絡(luò)通過外網(wǎng)與互聯(lián)網(wǎng)連接。

    然今天的IT廠商們已研制出各種各樣的網(wǎng)絡(luò)安全技術(shù),如何謹慎、合理地使用它們,對很多企業(yè)用戶仍然是個難題。

    來自內(nèi)網(wǎng)的風(fēng)險

    對電力企業(yè)而言,來自內(nèi)網(wǎng)的風(fēng)險和來自互聯(lián)網(wǎng)的風(fēng)險幾乎是同等的。

    內(nèi)網(wǎng)的風(fēng)險在于:內(nèi)部人員不經(jīng)意之間泄露的重要信息,或是不小心從互聯(lián)網(wǎng)上下載的木馬,都將可能成為導(dǎo)致系統(tǒng)受攻擊的最致命的安全威脅。

    在電力基建項目部,通常還會有這樣的問題:為了工作方便,項目部成員與設(shè)計、監(jiān)理、施工等其它單位共享一個局域網(wǎng)。這其中的風(fēng)險是不言而喻的,比如簡單的文件夾共享最后會演變成文件的不可控。

    來自遠程訪問的風(fēng)險

    電力基建單位的諸多項目分布于全國,對遠程訪問的需求比較大。遠程訪問有多種不同的技術(shù)方案,這些方案大多會有不同程度的安全風(fēng)險。以用戶名/密碼的簡單認證方式具有較大的安全隱患。

     災(zāi)備缺失的風(fēng)險

    災(zāi)備是需要經(jīng)濟投入的。信息主管們并非不知道災(zāi)備缺失的風(fēng)險,只是當(dāng)他們考慮用有限的資金來申請購置IT設(shè)備時,權(quán)衡再三的結(jié)果通常是首先購置更能滿足員工需求的IT設(shè)備,比如更寬的帶寬、更快的CPU。   

    在很多企業(yè),災(zāi)備通常是缺失的,由此產(chǎn)生的問題是顯而易見的。災(zāi)備的經(jīng)濟效益在大多數(shù)時候幾乎為零,災(zāi)備的演練總是讓人不勝其煩,它的真正作用也只有當(dāng)災(zāi)難真正來臨的時候才會顯現(xiàn)。

    三、電力基建企業(yè)信息安全的對策

    針對以上提出的六個方面的企業(yè)信息安全問題,結(jié)合實踐工作中的經(jīng)驗,筆者試著給出相應(yīng)的對策。

     信息安全機構(gòu)與人員

    這個其實是最難的部分,因為這事關(guān)人的問題。在一個業(yè)務(wù)繁忙的企業(yè)中,似乎每個部門都在喊“缺人”,但鮮有提及缺CIO的。在具有中國特色的國企中,CIO的缺位其實是很普遍的現(xiàn)象,更多的是由類似信息中心主任、信息部主任、信息主管們的“準(zhǔn)CIO”;反而是一些跨國企業(yè)和采用現(xiàn)代管理制度的民營企業(yè)、合資企業(yè)中,大多有明確的CIO職位。不過慶幸的是,國企的信息部門并非單兵作戰(zhàn),因為在國企的環(huán)境里,往往有更上一級的集團公司的信息部門指導(dǎo)他們的業(yè)務(wù)工作。

    信息安全人員不能兼任網(wǎng)管等其它信息技術(shù)崗位,人們往往會擔(dān)心他們的工作量是否足夠飽滿?其實,當(dāng)信息工作真正按照標(biāo)準(zhǔn)的信息安全流程來進行時,這個問題的答案就顯而易見了。

    即使這樣,在電力基建企業(yè)的項目部的實際環(huán)境中,各項目部的信息安全人員配置仍然是一個繞不開去的問題。為此,位于企業(yè)總部的信息主管們的態(tài)度是明確的:盡可能地為每個項目部配備合適的信息安全專職。

     完善制度

    完善,再完善,當(dāng)然還要嚴格地執(zhí)行制度。

    較好的做法是將信息安全管理制度發(fā)布在ISO文件中,借助于企業(yè)ISO的貫標(biāo)過程,逐步提高信息安全水平。

     

    中心機房的物理安全

    如果正好遇到企業(yè)總部搬遷,新的中心機房可以按照相應(yīng)的安全等級要求建設(shè)。不然,如果仍然只有使用多年的機房可用,也仍有很多技術(shù)措施可以采用,以彌補先天的安全缺陷。

    比如把機房凌亂的網(wǎng)線重新理一下,讓它們?nèi)繌牡匕逑麓┻^;增設(shè)溫濕度計、抽濕器(用于我國南方地區(qū));增設(shè)簡單的視頻監(jiān)控報警設(shè)備,等等。

    當(dāng)然有一些硬傷可能是無法修補的,比如高層建筑中的機房正好不幸位于年久失修的水管的下方,如果你不能找人把水管移位,那只能指望機房早日搬遷了。

     系統(tǒng)安全

    對于操作系統(tǒng)及數(shù)據(jù)庫安全,事情相對會簡單點。可以聘請專業(yè)的信息安全公司對這此進行修補,或進行系統(tǒng)的升級(當(dāng)然可能會有與應(yīng)用軟件不兼容的麻煩)。

    對于應(yīng)用系統(tǒng)的安全問題,如果當(dāng)初購買的是通用的商用軟件,你可以試著去找找其升級版本;不過以筆者的經(jīng)驗,不要報太大的希望——升級版本通常會有BUG的修復(fù)、功能的更新,但很少會在安全方面考慮更多;如果是定制開發(fā)的,則可以去找原開發(fā)商求助。已運行多年的應(yīng)用軟件可能找不到原開發(fā)商,也沒有其它軟件公司愿意來修改古老的代碼,這時候就該考慮重新開發(fā)。

    基建MIS的密碼泄露問題,除了提高使用人員的安全意識,也可以考慮更安全的用戶認證方式,比如智能卡、動態(tài)口令(如手機令牌)、USB KEY、生物識別——雖然某些技術(shù)在基建這一領(lǐng)域看起來有些超前,但仍不失為可考慮的選項之一。

     網(wǎng)絡(luò)安全

    網(wǎng)絡(luò)安全是一個更具專業(yè)意味的命題,因此最好找專業(yè)的網(wǎng)絡(luò)安全服務(wù)公司來幫你做這件事。當(dāng)然你還需要采購防火墻、網(wǎng)絡(luò)版殺毒軟件、入侵防御系統(tǒng)、行為管理系統(tǒng)、日志審記系統(tǒng)等等價值不菲的軟硬件設(shè)備。

    在電力基建企業(yè),網(wǎng)絡(luò)安全的問題有其特殊性。項目部的人員應(yīng)該劃分出自己獨立的局域網(wǎng),而不是與外單位人員共用。至于因此而喪失的無法共享文件夾的便利,完全可以通過設(shè)立簡單的文件服務(wù)器來解決。

    遠程訪問有多種技術(shù),包括基于Internet的WEB、VPN、專線城域網(wǎng)等,不同的技術(shù)方案下,相應(yīng)的信息安全程度、使用的便利性、付出的經(jīng)濟代價都是不同的。必須綜合考慮這幾方面的因素才能最終確定合適的技術(shù)方案,并制定相應(yīng)的制度、流程、實施方案,以確保最大程度的信息安全。

    基于電力基建企事業(yè)的普遍情況,筆者推薦VPN方式。如果暫時只能沿用簡單的用戶名/密碼的認證方式,那就加強管理。比如去掉公共的VPN帳號,一人一號,發(fā)現(xiàn)同一個帳號多個連接的用戶予以堅決制止與糾正。

    災(zāi)備

    根據(jù)電力基建企業(yè)的實際情況,建議至少采用國際標(biāo)準(zhǔn)SHARE78第1級容災(zāi)方案,即將關(guān)鍵數(shù)據(jù)備份到本地磁帶介質(zhì)上,然后送往異地保存。

    此外,關(guān)鍵設(shè)備及線路的冗余與備份也是必不可少的。

    四、結(jié)語

    做好信息安全其實并不難,很久之前,中國人就有著樸素的辯證法的觀點:有矛,就有盾。在企業(yè)信息安全問題上,電力基建企業(yè)有其特殊性,但更多的是共性。本文希望能讓全國的電力基建企業(yè)及其它行業(yè)有所借鑒。

    大云網(wǎng)官方微信售電那點事兒

    責(zé)任編輯:電改觀察員

    免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
    我要收藏
    個贊
    ?
    一本久久精品一区二区| 一区二区三区国产好的精华液| 无码国产精品一区二区免费式影视| 亚洲中文字幕电影在线观看| 无码人妻AⅤ一区二区三区| 久久久久久国产精品免费无码| 中文字幕亚洲精品| 一本久久a久久精品综合麻豆| 午夜欧美精品久久久久久久| 一线二线三线天堂|