[論文關(guān)鍵詞] 信息安全 管理 對(duì)策

　　[論文摘要] 根據(jù)電力企業(yè)面臨的安全風(fēng)險(xiǎn)和問題，提出信息安全工作開展的一般原則，從信息安全技術(shù)上和安全管理上提出解決安全問題的思路和方法，最后闡述信息安全問題隨技術(shù)和應(yīng)用的發(fā)展而發(fā)展，應(yīng)在發(fā)展中求安全的觀點(diǎn)。

　　　信息安全隨著信息技術(shù)的發(fā)展而產(chǎn)生，并且其重要性日益凸現(xiàn)出來，信息安全的內(nèi)涵也隨著計(jì)算機(jī)技術(shù)的發(fā)展而不斷變化，進(jìn)入二十一世紀(jì)以來，信息安全的重點(diǎn)放在了保護(hù)信息，確保信息在存儲(chǔ)，處理，傳輸過程中及信息系統(tǒng)不被破壞，確保對(duì)合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù)，以及必要的防御攻擊的措施。即強(qiáng)調(diào)信息的保密性、完整性、可用性、可控性。

　　一、電力企業(yè)信息安全風(fēng)險(xiǎn)分析
　　
　　信息安全風(fēng)險(xiǎn)和信息化應(yīng)用情況密切相關(guān)，和采用的信息技術(shù)也密切相關(guān)，電力公司信息系統(tǒng)面臨的主要風(fēng)險(xiǎn)存在于如下幾個(gè)方面：

（1）計(jì)算機(jī)病毒的威脅最為廣泛：計(jì)算機(jī)病毒自產(chǎn)生以來，一直就是計(jì)算機(jī)系統(tǒng)的頭號(hào)敵人，在電力企業(yè)信息安全問題中，計(jì)算機(jī)病毒發(fā)生的頻度大，影響的面寬，并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡(luò)通信阻塞，系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞，系統(tǒng)無(wú)法提供服務(wù)甚至破壞后無(wú)法恢復(fù)，特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的丟失，損失是災(zāi)難性的；

（2）網(wǎng)絡(luò)安全問題日益突出：企業(yè)網(wǎng)絡(luò)的聯(lián)通為信息傳遞提供了方便的途徑。企業(yè)有許多應(yīng)用系統(tǒng)如:辦公自動(dòng)化系統(tǒng)，用電營(yíng)銷系統(tǒng)，遠(yuǎn)程教育培訓(xùn)系統(tǒng)等，通過廣域網(wǎng)傳遞數(shù)據(jù)。企業(yè)開通了互聯(lián)網(wǎng)專線寬帶上網(wǎng)，企業(yè)內(nèi)部職工可以通過互聯(lián)網(wǎng)方便地收集獲取信息，發(fā)送電子郵件等；

（3）信息傳遞的安全不容忽視：隨著辦公自動(dòng)化，財(cái)務(wù)管理系統(tǒng)，用電營(yíng)銷系統(tǒng)等生產(chǎn)，經(jīng)營(yíng)方面的重要系統(tǒng)投入在線運(yùn)行，越來越多的重要數(shù)據(jù)和機(jī)密信息都通過企業(yè)的內(nèi)部廣域網(wǎng)來傳輸。同時(shí)電力公司和外部的政府，研究院所，以及國(guó)外有關(guān)公司都有著許多的工作聯(lián)系，日常許多信息，數(shù)據(jù)都需要通過互聯(lián)網(wǎng)來傳輸。網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險(xiǎn)，例如被非法用戶截取從而泄露企業(yè)機(jī)密；被非法篡改，造成數(shù)據(jù)混亂，信息錯(cuò)誤從而造成工作失誤。非法用戶還有可能假冒合法身份，發(fā)送虛假信息，給正常的生產(chǎn)經(jīng)營(yíng)秩序帶來混亂，造成破壞和損失。因此，信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)；

（4）用戶身份認(rèn)證和信息系統(tǒng)的訪問控制急需加強(qiáng)：企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶使用，信息系統(tǒng)中包含的信息和數(shù)據(jù)，也只對(duì)一定范圍的用戶開放，沒有得到授權(quán)的用戶不能訪問。為此各個(gè)信息系統(tǒng)中都設(shè)計(jì)了用戶管理功能，在系統(tǒng)中建立用戶，設(shè)置權(quán)限，管理和控制用戶對(duì)信息系統(tǒng)的訪問。這些措施在一定能夠程度上加強(qiáng)系統(tǒng)的安全性。但在實(shí)際應(yīng)用中仍然存在一些問題。一是部分應(yīng)用系統(tǒng)的用戶權(quán)限管理功能過于簡(jiǎn)單，不能靈活實(shí)現(xiàn)更細(xì)的權(quán)限控制，甚至簡(jiǎn)單到要么都能看，要么都不能看。二是各應(yīng)用系統(tǒng)沒有一個(gè)統(tǒng)一的用戶管理，企業(yè)的一個(gè)員工要使用到好幾個(gè)系統(tǒng)時(shí)，在每個(gè)應(yīng)用系統(tǒng)中都要建立用戶賬號(hào)，口令和設(shè)置權(quán)限，用戶自己都記不住眾多的賬號(hào)和口令，使用起來非常不方便，更不用說賬號(hào)的有效管理和安全了；

（5）實(shí)時(shí)控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全至關(guān)重要：電網(wǎng)的調(diào)度指揮，自動(dòng)控制，微機(jī)保護(hù)等領(lǐng)域的計(jì)算機(jī)應(yīng)用在電力企業(yè)中起步早，應(yīng)用水平高，不但實(shí)現(xiàn)了對(duì)電網(wǎng)運(yùn)行狀況的實(shí)時(shí)監(jiān)視，還實(shí)現(xiàn)了對(duì)電網(wǎng)一次設(shè)備的遙控，遙調(diào)以及保護(hù)設(shè)備的遠(yuǎn)方管理。隨著數(shù)據(jù)網(wǎng)的建設(shè)和應(yīng)用，這些電網(wǎng)監(jiān)視和控制方面的系統(tǒng)逐步從采用專線通道傳輸數(shù)據(jù)轉(zhuǎn)移到通過數(shù)據(jù)網(wǎng)絡(luò)來傳送數(shù)據(jù)和下發(fā)控制指控令。由于這些計(jì)算機(jī)系統(tǒng)可以直接管理和操作控制電網(wǎng)一次設(shè)備，系統(tǒng)的安全可靠，數(shù)據(jù)網(wǎng)的安全可靠，信息指令傳輸?shù)膶?shí)時(shí)性等直接關(guān)系著電網(wǎng)的安全，其安全等級(jí)要求高于一般的廣域網(wǎng)系統(tǒng)。隨著電子商務(wù)在電力企業(yè)中的應(yīng)用逐步推廣和深入，如何保障電子交易的安全，可靠，即電子商務(wù)安全問題也會(huì)越來越突出。

        二、解決信息安全問題的基本原則
　　
　　（一）采用信息安全新技術(shù)，建立信息安全防護(hù)體系。企業(yè)信息安全面臨的問題很多，我們可以根據(jù)安全需求的輕重緩急，解決相關(guān)安全問題的信息安全技術(shù)的成熟度綜合考慮，分步實(shí)施。技術(shù)成熟的，能快速見效的安全系統(tǒng)先實(shí)施。

　　（二）計(jì)算機(jī)防病毒系統(tǒng)。計(jì)算機(jī)防病毒系統(tǒng)是發(fā)展時(shí)間最長(zhǎng)的信息安全技術(shù)，從硬件防病毒卡，單機(jī)版防病毒軟件到網(wǎng)絡(luò)版防病毒軟件，到企業(yè)版防病毒軟件，技術(shù)成熟且應(yīng)用效果非常明顯。防病毒軟件系統(tǒng)的應(yīng)用基本上可以防治絕大多數(shù)計(jì)算機(jī)病毒，保障信息系統(tǒng)的安全。在目前的網(wǎng)絡(luò)環(huán)境下，能夠提供集中管理，服務(wù)器自動(dòng)升級(jí)，客戶端病毒定義碼自動(dòng)更新，支持多種操作系統(tǒng)平臺(tái)，多種應(yīng)用平臺(tái)殺毒的企業(yè)版殺毒軟件，是電網(wǎng)公司這樣的大型企業(yè)的首選。個(gè)人版本的殺毒軟件適合家庭，小規(guī)模用戶。

　　（三）網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。信息資源訪問的安全是信息安全的一個(gè)重要內(nèi)容，在信息系統(tǒng)建設(shè)的設(shè)計(jì)階段，就必須仔細(xì)分析，設(shè)計(jì)出合理的，靈活的用戶管理和權(quán)限控制機(jī)制，明確信息資源的訪問范圍，制定信息資源訪問策略。 對(duì)于已經(jīng)投入使用的信息系統(tǒng)，可以通過采用增加安全訪問網(wǎng)關(guān)的方法，來增強(qiáng)原有系統(tǒng)的用戶管理和對(duì)信息資源訪問的控制，以及實(shí)現(xiàn)單點(diǎn)登陸訪問任意系統(tǒng)等功能。這種方式基本上不需要改動(dòng)原來的系統(tǒng)，實(shí)施的技術(shù)難度相對(duì)小一些。對(duì)于新建系統(tǒng)，則最好采用統(tǒng)一身份認(rèn)證平臺(tái)技術(shù)，來實(shí)現(xiàn)不同系統(tǒng)通過同一個(gè)用戶管理平臺(tái)實(shí)現(xiàn)用戶管理和訪問控制。

　　三、解決信息安全問題的對(duì)策
　　
　　（一）依據(jù)國(guó)家法律，法規(guī)，建立企業(yè)信息安全管理制度。國(guó)家在信息安全方面發(fā)布了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，對(duì)信息網(wǎng)絡(luò)安全進(jìn)行了明確的規(guī)定，并有專門的部門負(fù)責(zé)信息安全的管理和執(zhí)法。企業(yè)首先必須遵守國(guó)家發(fā)布的這些法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，企業(yè)也必須依據(jù)這些法律法規(guī)，來建立自己的管理標(biāo)準(zhǔn)，技術(shù)體系，指導(dǎo)信息安全工作。學(xué)習(xí)信息安全管理國(guó)際標(biāo)準(zhǔn)，提升企業(yè)信息安全管理水平。信息安全是企業(yè)信息化工作中一項(xiàng)重要而且長(zhǎng)期的工作，為此必須各單位建立一個(gè)信息安全工作的組織體系和常設(shè)機(jī)構(gòu)，明確領(lǐng)導(dǎo)，設(shè)立專責(zé)人長(zhǎng)期負(fù)責(zé)信息安全的管理工作和技術(shù)工作，長(zhǎng)能保證信息安全工作長(zhǎng)期的，有效的開展，才能取得好的成績(jī)。

　　（二）開展全員信息安全教育和培訓(xùn)活動(dòng)。安全意識(shí)和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容，信息安全不僅僅是信息部門的事，它牽涉到企業(yè)所有的員工，為了保證安全的成功和有效，應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員，用戶，技術(shù)人員進(jìn)行安全培訓(xùn)，減少人為差錯(cuò)，失誤造成的安全風(fēng)險(xiǎn)。開展安全教育和培訓(xùn)還應(yīng)該注意安全知識(shí)的層次性，主管信息安全工作的負(fù)責(zé)人或各級(jí)管理人員，重點(diǎn)是了解，掌握企業(yè)信息安全的整體策略及目標(biāo)，信息安全體系的構(gòu)成，安全管理部門的建立和管理制度的制定等；負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員，重點(diǎn)是充分理解信息安全管理策略，掌握安全評(píng)估的基本方法，對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等；用戶，重點(diǎn)是學(xué)習(xí)各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等。

　　（三）充分利用企業(yè)網(wǎng)絡(luò)條件，提供全面，及時(shí)和快捷的信息安全服務(wù)。我省電力公司廣域網(wǎng)聯(lián)通了系統(tǒng)內(nèi)的各個(gè)二級(jí)單位，各單位的局域網(wǎng)全部建成，在這種良好的網(wǎng)絡(luò)條件下，作為省公司一級(jí)的信息安全技術(shù)管理部門應(yīng)建立計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理的信息發(fā)布與技術(shù)支持平臺(tái)，發(fā)布安全公告，安全法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供安全軟件下載，搜集安全問題，解答用戶疑問，提供在線的信息安全教育培訓(xùn)，并為用戶提供一個(gè)相互交流經(jīng)驗(yàn)的場(chǎng)所。網(wǎng)絡(luò)方式的信息服務(wù)突破了時(shí)間，空間和地域的限制，是信息安全管理和服務(wù)的重要方式。