電力企業(yè)信息安全防護(hù)體系建設(shè)探索

2014-07-29 22:33:55

大云網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

【摘要】本文概述了電力企業(yè)信息安全防護(hù)工作的核心思想，分析了企業(yè)信息安全存在的問(wèn)題，結(jié)合行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求，從安全管理體系和安全技術(shù)體系兩個(gè)大方面，探討了電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)系

【關(guān)鍵詞】電力企業(yè)；信息網(wǎng)絡(luò)；安全體系

【中圖分類(lèi)號(hào)】TP309【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1672-5158（2013）07-0498-02

引言

隨著電力企業(yè)不斷發(fā)展，信息化已廣泛應(yīng)用于生產(chǎn)運(yùn)營(yíng)管理過(guò)程中的各個(gè)環(huán)節(jié)，信息化在為企業(yè)帶來(lái)高效率的同時(shí)，也為企業(yè)帶來(lái)了安全風(fēng)險(xiǎn)。一方面企業(yè)對(duì)信息化依賴(lài)性越來(lái)越強(qiáng)，尤其是生產(chǎn)監(jiān)控信息系統(tǒng)及電力二次系統(tǒng)直接關(guān)系到電力安全生產(chǎn)；另一方面黑客技術(shù)發(fā)展迅速，今天行之有效的防火墻或隔離裝置也許明天就可能出現(xiàn)漏洞。因此，建設(shè)信息安全防護(hù)體系建設(shè)工作是刻不容緩的。

1 信息安全防護(hù)體系的核心思想

電力企業(yè)信息安全防護(hù)體系的核心思想是“分級(jí)、分區(qū)、分域”（如圖1所示）。分級(jí)是將各系統(tǒng)分別確定安全保護(hù)級(jí)別實(shí)現(xiàn)等級(jí)化防護(hù)；分區(qū)是將信息系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)兩個(gè)相對(duì)獨(dú)立區(qū)進(jìn)行安全防護(hù)；分域是依據(jù)系統(tǒng)級(jí)別及業(yè)務(wù)系統(tǒng)類(lèi)型劃分不同的安全域，實(shí)現(xiàn)不同安全域的獨(dú)立化、差異化防護(hù)。

2 信息安全防護(hù)系統(tǒng)建設(shè)方針

2.1整體規(guī)劃：在全面調(diào)研的基礎(chǔ)上，分析信息安全的風(fēng)險(xiǎn)和差距，制訂安全目標(biāo)、安全策略，形成安全整體架構(gòu)。

2.2分步實(shí)施：制定信息安全防護(hù)系統(tǒng)建設(shè)計(jì)劃，分階段組織項(xiàng)目實(shí)施。

2.3分級(jí)分區(qū)分域：根據(jù)信息系統(tǒng)的重要程度，確定該系統(tǒng)的安全等級(jí)，省級(jí)公司的信息系統(tǒng)分為二級(jí)和三級(jí)系統(tǒng)；根據(jù)生產(chǎn)控制大區(qū)和管理信息大區(qū)，劃分為控制區(qū)（安全I(xiàn)區(qū)）、非控制區(qū)（安全I(xiàn)I區(qū)）、管理信息大區(qū)（III區(qū)）；依據(jù)業(yè)務(wù)系統(tǒng)類(lèi)型進(jìn)行安全域劃分，二級(jí)系統(tǒng)統(tǒng)一成域，三級(jí)系統(tǒng)獨(dú)立成域。

2.4等級(jí)防護(hù)：按照國(guó)家和電力行業(yè)等級(jí)保護(hù)基本要求，進(jìn)行安全防護(hù)措施設(shè)計(jì)，合理分配資源，做好重點(diǎn)保護(hù)和適度保護(hù)。

2.5多層防御：在分域防護(hù)的基礎(chǔ)上，將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)層面進(jìn)行安全防護(hù)設(shè)計(jì)，以實(shí)現(xiàn)縱深防御。

2.6持續(xù)改進(jìn)：定期對(duì)信息系統(tǒng)進(jìn)行安全檢測(cè)，發(fā)現(xiàn)潛在的問(wèn)題和系統(tǒng)可能的脆弱性并進(jìn)行修正；檢查防護(hù)系統(tǒng)的運(yùn)行及安全審計(jì)日志，通過(guò)策略調(diào)整及時(shí)防患于未然；定期對(duì)信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，修補(bǔ)安全漏洞、改進(jìn)安全防護(hù)體系。

3 信息安全防護(hù)體系建設(shè)探索

一個(gè)有效的信息安全體系是在信息安全管理、信息安全技術(shù)、信息安全運(yùn)行的整體保障下，構(gòu)建起來(lái)并發(fā)揮作用的。

3.1 建立信息安全管理體系

安全管理體系是整個(gè)信息安全防護(hù)體系的基石，它包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面，信息安全組織機(jī)構(gòu)的建立尤為重要。

3.1.1建立信息安全管理小組

建立具有管理權(quán)的信息安全小組，負(fù)責(zé)整體信息安全管理工作，審批信息安全方針，分配安全管理職責(zé)，支持和推動(dòng)組織內(nèi)部信息安全工作的實(shí)施，對(duì)信息安全重大事項(xiàng)進(jìn)行決策。處置信息安全事件，對(duì)安全管理體系進(jìn)行評(píng)審。

3.1.2分配管理者權(quán)限

按照管理者的責(zé)、權(quán)、利一致的原則，對(duì)信息管理人員作級(jí)別上的限制；根據(jù)管理者的角色分配權(quán)限，實(shí)現(xiàn)特權(quán)用戶(hù)的權(quán)限分離。對(duì)工作調(diào)動(dòng)和離職人員及時(shí)調(diào)整授權(quán)，根據(jù)管理職責(zé)確定使用對(duì)象，明確某一設(shè)備配置、使用、授權(quán)信息的劃分，制訂相應(yīng)管理制度。

3.1.3職責(zé)明確，層層把關(guān)

制訂操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則各負(fù)其責(zé)，不能超越自己的管轄范圍。系統(tǒng)維護(hù)時(shí)要經(jīng)信息管理部門(mén)審批，有信息安全管理員在場(chǎng)，對(duì)故障原因、維護(hù)內(nèi)容和維護(hù)前后情況做詳細(xì)記錄。

（1）多人負(fù)責(zé)制度每一項(xiàng)與安全有關(guān)的活動(dòng)必須有2人以上在場(chǎng)，簽署工作情況記錄，以證明安全工作已得到保障。

（2）重要崗位定期輪換制度應(yīng)建立重要崗位應(yīng)定期輪換制度，在工作交接期間必須更換口令，重要技術(shù)文件或數(shù)據(jù)必須移交清楚，明確泄密責(zé)任。

（3）在信息管理中實(shí)行問(wèn)責(zé)制，各信息系統(tǒng)專(zhuān)人專(zhuān)管。

3.1.5系統(tǒng)應(yīng)急處理

制定信息安全應(yīng)急響應(yīng)管理辦法，按照嚴(yán)重性和緊急程度及危害影響的大小來(lái)確定全事件的等級(jí)，采取措施，防止破壞的蔓延與擴(kuò)展，使危害降到最低，通過(guò)對(duì)事件或行為的分析結(jié)果，查找事件根源，徹底消除安全隱患。

3.2 建立信息安全技術(shù)策略

3.2.1物理安全策略

物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線(xiàn)攻擊；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的工作環(huán)境；防止非法進(jìn)入機(jī)房和各種偷竊、破壞活動(dòng)的發(fā)生，抑制和防止電磁泄露等采取的安全措施。

3.2.2 網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全防護(hù)措施主要包括以下幾種類(lèi)型：

（1）防火墻技術(shù)。通過(guò)防火墻配置，控制內(nèi)部和外部網(wǎng)絡(luò)的訪(fǎng)問(wèn)策略，結(jié)合上網(wǎng)行為管理，監(jiān)控網(wǎng)絡(luò)流量分配，對(duì)于重要數(shù)據(jù)實(shí)行加密傳輸或加密處理，使只有擁有密鑰的授權(quán)人才能解密獲取信息，保證信息在傳輸過(guò)程中的安全。

（2）防病毒技術(shù)。根據(jù)有關(guān)資料統(tǒng)計(jì)，對(duì)電力信息網(wǎng)絡(luò)和二次系統(tǒng)的威脅除了黑客以外，很大程度上是計(jì)算機(jī)病毒造成的。當(dāng)今計(jì)算機(jī)病毒技術(shù)發(fā)展迅速，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)造成很大的損害。采用有效的防病毒軟件、惡意代碼防護(hù)軟件，保障升級(jí)和更新的時(shí)效性，是行之有效的措施。

（3）安全檢測(cè)系統(tǒng)。通過(guò)專(zhuān)用工具，定期查找各種漏洞，監(jiān)控網(wǎng)絡(luò)的運(yùn)行狀況。在電力二次系統(tǒng)之間安裝IDS入侵檢測(cè)軟件等，確保對(duì)網(wǎng)絡(luò)非法訪(fǎng)問(wèn)、入侵行為做到及時(shí)報(bào)警，防止非法入侵。

3.2.3安全策略管理

對(duì)建的電力二次系統(tǒng)必須在建設(shè)過(guò)程中進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，并根據(jù)評(píng)估結(jié)果制定安全策略；對(duì)已投運(yùn)且已建立安全體系的系統(tǒng)定期進(jìn)行漏洞掃描，以便及時(shí)發(fā)現(xiàn)系統(tǒng)的安全漏洞；定期分析本系統(tǒng)的安全風(fēng)險(xiǎn)，分析當(dāng)前黑客非法入侵的特點(diǎn)，及時(shí)調(diào)整安全策略。

3.2.4 數(shù)據(jù)庫(kù)的安全策略

數(shù)據(jù)庫(kù)的安全策略包括安全管理策略、訪(fǎng)問(wèn)控制策略和信息控制策略。但數(shù)據(jù)庫(kù)的安全問(wèn)題最主要的仍是訪(fǎng)問(wèn)控制策略。就訪(fǎng)問(wèn)控制策略分類(lèi)而言，它可以分為以下幾種策略。

（1）最小特權(quán)策略：是讓用戶(hù)可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下，分配最小的特權(quán)，使得這些權(quán)限恰好可以讓用戶(hù)完成自己的工作，其余的權(quán)利一律不給。

（2）數(shù)據(jù)庫(kù)加密策略：數(shù)據(jù)加密是保護(hù)數(shù)據(jù)在存儲(chǔ)和傳遞過(guò)程中不被竊取或修改的有效手段。

（3）數(shù)據(jù)庫(kù)備份策略：就是保證在數(shù)據(jù)庫(kù)系統(tǒng)出故障時(shí)，能夠?qū)?shù)據(jù)庫(kù)系統(tǒng)還原到正常狀態(tài)。

（4）審計(jì)追蹤策略：是指系統(tǒng)設(shè)置相應(yīng)的日志記錄，特別是對(duì)數(shù)據(jù)更新、刪除、修改的記錄，以便日后查證。

4、結(jié)束語(yǔ)

電力企業(yè)在全面落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度的同時(shí)，結(jié)合電力企業(yè)信息化的特點(diǎn)，建立主動(dòng)防御機(jī)制，形成安全防護(hù)動(dòng)態(tài)的體系，安全防護(hù)建設(shè)不是一次性任務(wù)，而是一項(xiàng)長(zhǎng)期不懈的工作。

（本文作者：于石蒙）

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊