“三分技術(shù),七分管理”是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言，網(wǎng)絡(luò)安全中的30%依靠計(jì)算機(jī)系統(tǒng)信息安全設(shè)備和技術(shù)保障，而70%則依靠用戶(hù)安全管理意識(shí)的提高以及管理模式的更新。安全管理是網(wǎng)絡(luò)安全中非常重要又常被忽視的一項(xiàng)內(nèi)容，需要‘管理’到位、‘技術(shù)’到位、‘觀念’到位，更需要管理、技術(shù)和觀念不斷更新，而且三者要有機(jī)地結(jié)合起來(lái)，才能真正地為電力企業(yè)信息安全服務(wù)。

 

本人在企業(yè)從事信息化工作多年，深刻體會(huì)到企業(yè)信息化給企業(yè)帶來(lái)的巨大變革，同時(shí)也深刻體會(huì)到企業(yè)信息安全管理工作的重要性。隨著信息技術(shù)和網(wǎng)絡(luò)的不斷發(fā)展,企業(yè)信息安全問(wèn)題也日益突出，如果防范不當(dāng)可能給企業(yè)帶來(lái)災(zāi)難性的后果。做好網(wǎng)絡(luò)信息安全工作，除了采用技術(shù)手段外，必須建立安全管理機(jī)制。因?yàn)橹T多不安全因素恰恰反映在組織管理等方面。良好的管理有助于增強(qiáng)網(wǎng)絡(luò)信息的安全性。只有切實(shí)提高網(wǎng)絡(luò)意識(shí)，建立完善的管理制度，才能保證電力企業(yè)網(wǎng)絡(luò)信息的整體安全性。

 

網(wǎng)絡(luò)信息安全管理的內(nèi)容

信息安全管理包括風(fēng)險(xiǎn)管理、安全策略和安全教育三個(gè)部分，是電力企業(yè)進(jìn)行安全規(guī)劃的基礎(chǔ)。信息安全管理通過(guò)適當(dāng)?shù)刈R(shí)別企業(yè)的信息資產(chǎn)，評(píng)估信息資產(chǎn)的價(jià)值，制定、實(shí)施安全策略、安全標(biāo)準(zhǔn)、安全方針、安全措施來(lái)保證企業(yè)信息資產(chǎn)的完整性、機(jī)密性、可用性，通過(guò)安全教育形成企業(yè)安全文化的重要組成部分，保障企業(yè)安全管理的順利實(shí)現(xiàn)。

 

風(fēng)險(xiǎn)管理

識(shí)別企業(yè)的信息資產(chǎn)，評(píng)估所有威脅這些信息資產(chǎn)的風(fēng)險(xiǎn)，并估算這些風(fēng)險(xiǎn)成為現(xiàn)實(shí)時(shí)企業(yè)所承受的災(zāi)難和損失。通過(guò)降低風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)、轉(zhuǎn)嫁風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)等多種風(fēng)險(xiǎn)管理方式來(lái)協(xié)助信息管理部門(mén)制定企業(yè)信息安全策略。

 

安全策略

隨著電力企業(yè)規(guī)模的擴(kuò)大、業(yè)務(wù)的發(fā)展，安全需求的不同，信息安全策略的制定也會(huì)有所不同。但是安全策略都應(yīng)該簡(jiǎn)單清晰、通俗易懂并直接反映主題，避免含糊不清的情況出現(xiàn)。信息安全策略是企業(yè)信息安全的最高方針，必須由高級(jí)管理部門(mén)支持，并形成書(shū)面文檔，廣泛發(fā)布到企業(yè)的所有員工手中。

 

安全教育

信息安全意識(shí)和相關(guān)技能的教育是企業(yè)信息安全管理中重要的內(nèi)容，其實(shí)施力度將直接關(guān)系到電力企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證信息安全的成功和有效，高級(jí)管理部門(mén)應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員、用戶(hù)、技術(shù)人員等進(jìn)行安全培訓(xùn)，所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)信息安全策略。

 

建立安全長(zhǎng)效機(jī)制

解決網(wǎng)絡(luò)信息安全問(wèn)題，技術(shù)是安全的主體，管理是安全的靈魂。加強(qiáng)信息安全管理，建立安全長(zhǎng)效機(jī)制，成為電力企業(yè)安全文化的重要組成部分，其必然性由以下因素決定：

 

（1）電網(wǎng)企業(yè)安全文化對(duì)社會(huì)具有輻射作用。

（2）新形勢(shì)下安全生產(chǎn)要求的重大舉措。

（3）電網(wǎng)科學(xué)技術(shù)發(fā)展的需要。

（4）人本管理是電力企業(yè)先進(jìn)安全文化的核心。

（5）實(shí)現(xiàn)高效的安全生產(chǎn)管理。

 

電力企業(yè)應(yīng)建立先進(jìn)的企業(yè)安全文化。企業(yè)安全文化對(duì)企業(yè)安全生產(chǎn)工作起到凝聚、協(xié)調(diào)和控制的作用。只有將有效的安全管理實(shí)踐自始至終貫徹落實(shí)于信息安全當(dāng)中，網(wǎng)絡(luò)安全的長(zhǎng)期性和穩(wěn)定性才能有所保證。在企業(yè)中建立安全文化，并將網(wǎng)絡(luò)信息安全管理容納到整個(gè)企業(yè)文化體系中才是最根本的解決辦法。

 

加強(qiáng)電力企業(yè)網(wǎng)絡(luò)信息安全管理的建議

 

重視安全規(guī)劃

電力企業(yè)網(wǎng)絡(luò)信息安全規(guī)劃的目的就是要對(duì)網(wǎng)絡(luò)信息安全問(wèn)題有一個(gè)全面的思考，要以系統(tǒng)的觀點(diǎn)去考慮信息安全問(wèn)題。

 

要進(jìn)行有效的安全管理，必須建立起一套系統(tǒng)而全面的信息安全管理體系。這可以參照國(guó)際上通行的一些標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)，如：BS7799、ISO17799、ISO15408等。

 

合理劃分安全域

電力企業(yè)由于其應(yīng)用的需要，大部份都需要接入互聯(lián)網(wǎng)，在內(nèi)網(wǎng)上需要合理劃分安全域。要根據(jù)整體的安全規(guī)劃和信息安全密級(jí)，從邏輯上劃分核心重點(diǎn)防范區(qū)域、一般防范區(qū)域和開(kāi)放區(qū)域。重點(diǎn)防范的區(qū)域是網(wǎng)絡(luò)安全的核心，這部分區(qū)域是一般用戶(hù)不能直接訪問(wèn)的區(qū)域，有很高的安全級(jí)別，各種重要數(shù)據(jù)、服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器應(yīng)當(dāng)放置在該區(qū)域。各種應(yīng)用系統(tǒng)、OA系統(tǒng)等由于用戶(hù)需要經(jīng)常訪問(wèn)，放在一般防范區(qū)域運(yùn)行。開(kāi)放區(qū)域的級(jí)別比較低，但必須與防范區(qū)域做到物理上的隔離。

 

加強(qiáng)安全管理，重視制度建設(shè)

為保證企業(yè)網(wǎng)絡(luò)信息安全，要把企業(yè)網(wǎng)絡(luò)信息安全作為一個(gè)系統(tǒng)工程來(lái)考慮。因此，企業(yè)網(wǎng)絡(luò)的安全問(wèn)題，安全管理和制度建設(shè)非常重要（特別是內(nèi)網(wǎng)）。現(xiàn)提出如下建議：

 

加強(qiáng)日志管理與安全審計(jì)

一般的防火墻與入侵檢測(cè)系統(tǒng)都具備審計(jì)功能，要充分利用它們的審計(jì)功能，作好網(wǎng)絡(luò)的日志管理和安全審計(jì)工作。對(duì)審計(jì)數(shù)據(jù)要嚴(yán)格管理，不允許任何人修改、刪除審計(jì)記錄。

 

建立內(nèi)網(wǎng)的統(tǒng)一認(rèn)證系統(tǒng)

認(rèn)證是網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)之一，其目的是實(shí)現(xiàn)身份鑒別服務(wù)、訪問(wèn)控制服務(wù)、機(jī)密性服務(wù)和不可否認(rèn)服務(wù)等。

 

建立病毒防護(hù)體系

在企業(yè)網(wǎng)絡(luò)上安裝防病毒體系。防病毒軟件系統(tǒng)要具有遠(yuǎn)程安裝、遠(yuǎn)程報(bào)警、集中管理等多種功能。其次，要建立防病毒的管理制度。不能隨意將互聯(lián)網(wǎng)上下載的數(shù)據(jù)往內(nèi)網(wǎng)主機(jī)上拷貝，來(lái)歷不明的移動(dòng)存儲(chǔ)設(shè)備不能隨意在聯(lián)網(wǎng)計(jì)算機(jī)上使用，職員應(yīng)熟練掌握發(fā)現(xiàn)病毒后的處置辦法。

重視網(wǎng)絡(luò)管理制度建設(shè)

 

嚴(yán)格的管理制度，是保證企業(yè)信息網(wǎng)絡(luò)安全的重要措施之一。

 

（1）企業(yè)領(lǐng)導(dǎo)應(yīng)當(dāng)高度重視網(wǎng)絡(luò)信息安全問(wèn)題。企業(yè)領(lǐng)導(dǎo)要高度重視安全管理和安全制度建設(shè)問(wèn)題，不能把安全管理和制度建設(shè)看成是技術(shù)部門(mén)的事。企業(yè)應(yīng)當(dāng)成立信息安全領(lǐng)導(dǎo)小組，由分管領(lǐng)導(dǎo)抓網(wǎng)絡(luò)安全工作，并明確其職責(zé)和工作制度。要制訂安全事故處理程序、應(yīng)急計(jì)劃等。

 

（2）加強(qiáng)基礎(chǔ)設(shè)施和運(yùn)行環(huán)境的管理建設(shè)。企業(yè)網(wǎng)絡(luò)的管理機(jī)構(gòu)（信息中心）的機(jī)房、配電房等計(jì)算機(jī)系統(tǒng)重要基礎(chǔ)設(shè)施應(yīng)嚴(yán)格管理，配備防盜、防火、防水等設(shè)施，應(yīng)當(dāng)安裝監(jiān)控系統(tǒng)、報(bào)警裝置等。建立嚴(yán)格的設(shè)備運(yùn)行日志，記錄設(shè)備運(yùn)行狀況。要規(guī)范操作規(guī)程，確保計(jì)算機(jī)系統(tǒng)的安全、可靠運(yùn)行。

 

（3）建立必要的安全管理制度。企業(yè)網(wǎng)絡(luò)的中心機(jī)房和各業(yè)務(wù)部門(mén)計(jì)算機(jī)系統(tǒng)都要建立計(jì)算機(jī)系統(tǒng)使用管理制度，網(wǎng)絡(luò)系統(tǒng)管理員、安全員、各業(yè)務(wù)部門(mén)主管和計(jì)算機(jī)操作人員的計(jì)算機(jī)密碼管理規(guī)定等內(nèi)控管理制度，對(duì)應(yīng)用系統(tǒng)重要數(shù)據(jù)的修改要經(jīng)過(guò)授權(quán)并由專(zhuān)人負(fù)責(zé)，登記日志。建立健全數(shù)據(jù)備份制度，核心程序及數(shù)據(jù)要嚴(yán)格保密，實(shí)行專(zhuān)人保管。

 

（4）堅(jiān)持安全管理原則。多人負(fù)責(zé)原則：兩人或多人互相配合、互相制約。從事每項(xiàng)安全活動(dòng)，應(yīng)至少兩人在場(chǎng)，做好工作情況記錄。任期有限原則：任何人不長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)。當(dāng)人員離任時(shí)，應(yīng)立即對(duì)系統(tǒng)進(jìn)行授權(quán)調(diào)整。職責(zé)分離原則：不要打聽(tīng)、了解或參與職責(zé)以外的任何與安全相關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。最小權(quán)限原則：只授予用戶(hù)和系統(tǒng)管理員所需要的最基本權(quán)限，并且超級(jí)用戶(hù)的權(quán)限也應(yīng)該越小越好。

 

（5）制度的定期督導(dǎo)檢查。管理制度具有嚴(yán)肅性、權(quán)威性、強(qiáng)制性，管理制度一旦形成，就要嚴(yán)格執(zhí)行。企業(yè)應(yīng)組織有關(guān)人員對(duì)管理制度進(jìn)行定期督導(dǎo)檢查，保證制度的落實(shí)。

 

加強(qiáng)企業(yè)員工和網(wǎng)絡(luò)管理人員安全意識(shí)教育

 

對(duì)于網(wǎng)絡(luò)信息安全，企業(yè)員工和網(wǎng)絡(luò)管理人員的素質(zhì)非常重要，應(yīng)加強(qiáng)企業(yè)員工和網(wǎng)絡(luò)管理人員安全意識(shí)教育，對(duì)其進(jìn)行特定的安全培訓(xùn)，以增強(qiáng)其安全技能。

 

在安全教育具體實(shí)施過(guò)程中應(yīng)該有一定的層次性

 

（1）對(duì)主管信息安全工作的高級(jí)負(fù)責(zé)人或各級(jí)管理人員，重點(diǎn)是熟悉、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部門(mén)的建立和管理制度的制訂等。

 

（2）對(duì)負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員，重點(diǎn)是充分理解信息安全管理策略，掌握安全評(píng)估的基本方法，對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等。

 

（3）對(duì)企業(yè)全體職員，重點(diǎn)是學(xué)習(xí)各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等。

 

對(duì)于特定的人員要進(jìn)行特定的安全培訓(xùn)

 

對(duì)于關(guān)鍵崗位和特殊崗位的工作人員，通過(guò)送往專(zhuān)業(yè)機(jī)構(gòu)學(xué)習(xí)和培訓(xùn)，使其獲得特定的安全方面的知識(shí)和技能。通過(guò)安全培訓(xùn)，確保在電力信息安全保障體系逐步建立的過(guò)程中，各類(lèi)人員的安全意識(shí)和技術(shù)能力獲得提高，各崗位人員的技術(shù)能力和管理能力與安全保障體系的運(yùn)行和維護(hù)相適應(yīng)。

 

 

參考文獻(xiàn)：

[1] 孟洛明,亓峰·《現(xiàn)代網(wǎng)絡(luò)管理技術(shù)》，北京郵電大學(xué)出版社2001

[2] 柳純錄·《信息系統(tǒng)項(xiàng)目管理師教程》，清華大學(xué)出版社2009  

[3] 黃傳河·《網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師教程》清華大學(xué)出版社2009