基層供電企業(yè)信息安全建設(shè)思考

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了基層供電企業(yè)信息安全建設(shè)思考范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要：信息安全作為國(guó)家安全重要組成部分為各國(guó)共識(shí)，各國(guó)紛紛出臺(tái)自己的信息安全戰(zhàn)略和政策，加強(qiáng)自身信息安全保障體系建設(shè)。新形勢(shì)下我國(guó)提出“以信息化帶動(dòng)工業(yè)化，發(fā)揮后發(fā)優(yōu)勢(shì)，實(shí)現(xiàn)社會(huì)生產(chǎn)力了跨越式發(fā)展”，并將信息安全與政治、經(jīng)濟(jì)、文化、國(guó)防安全作為國(guó)家安全基石。電力企業(yè)事關(guān)國(guó)計(jì)民生基礎(chǔ)性行業(yè)，如何利用現(xiàn)代信息技術(shù)提高供電企業(yè)管理水平和電網(wǎng)穩(wěn)定運(yùn)行顯得尤為重要。基于此，將從制度管理、人員和技術(shù)等方面討論基層供電企業(yè)信息安全建設(shè)的建議。

關(guān)鍵詞：信息安全；管理體系；PKI/CA；MPLSVPN；基線

在供電企業(yè)現(xiàn)代信息技術(shù)廣泛運(yùn)用生產(chǎn)經(jīng)營(yíng)、綜合管理之中，實(shí)現(xiàn)資源和信息共享，為領(lǐng)導(dǎo)提供相關(guān)輔助決策。保障企業(yè)信息安全是企業(yè)領(lǐng)導(dǎo)層、專(zhuān)業(yè)人員及企業(yè)全員共同面對(duì)的。信息安全是集管理、人員、設(shè)備、技術(shù)為一體系統(tǒng)工程，木桶原理可以很好地詮釋信息安全，一個(gè)企業(yè)安全不取決于最強(qiáng)項(xiàng)，而取決最短板。信息安全需從制度建設(shè)、體系架構(gòu)、一體化防控體系、人員意識(shí)、專(zhuān)業(yè)人員技術(shù)水平等多方面共同建設(shè)，才能有效提高企業(yè)信息安全，才能為企業(yè)生產(chǎn)、經(jīng)營(yíng)保駕護(hù)航。

1基層供電信息安全現(xiàn)狀

基層供電企業(yè)信息安全建設(shè)方面，在制度建設(shè)、安全分區(qū)、網(wǎng)絡(luò)架構(gòu)、一體化防護(hù)、人員意識(shí)、專(zhuān)業(yè)人員技術(shù)水平等多方面存在不同程度問(wèn)題。

1.1管理制度不健全，制度多重化

信息安全制度建設(shè)方面較為被動(dòng)，大多數(shù)都是現(xiàn)實(shí)之中出現(xiàn)某一問(wèn)題，然后一個(gè)相關(guān)制度，制度修修補(bǔ)補(bǔ)。同一類(lèi)問(wèn)題有時(shí)出現(xiàn)不同管理規(guī)定里，處理辦法不一，甚至發(fā)生沖突。原有信息安全管理制度寬泛，操作性較差。信息系統(tǒng)建設(shè)渠道不同，未提前進(jìn)行信息安全方面考慮，管理職責(zé)不明，導(dǎo)致部分信息安全工作開(kāi)始不順暢。

1.2安全區(qū)域劃分不明，網(wǎng)絡(luò)架構(gòu)不清晰

基層供電企業(yè)系統(tǒng)建設(shè)主要由上級(jí)推廣系統(tǒng)和自建系統(tǒng)，系統(tǒng)建設(shè)時(shí)候相當(dāng)部分系統(tǒng)未充分考慮系統(tǒng)，特別是業(yè)務(wù)部門(mén)自建系統(tǒng)更甚。網(wǎng)絡(luò)建設(shè)需要什么就連接什么，存在服務(wù)器、終端、外聯(lián)區(qū)域不明顯，網(wǎng)絡(luò)架構(gòu)不清晰。

1.3未建立一體化安全防護(hù)體系

從近些年已經(jīng)發(fā)生的各類(lèi)信息安全事件來(lái)看，內(nèi)部客戶(hù)端問(wèn)題造成超過(guò)將近70%。內(nèi)部終端用戶(hù)網(wǎng)絡(luò)行為控制不足，存在網(wǎng)絡(luò)帶寬濫用；終端接入沒(méi)有相應(yīng)準(zhǔn)入控制，不滿(mǎn)足網(wǎng)絡(luò)安全需求用戶(hù)接入辦公網(wǎng)絡(luò)，網(wǎng)絡(luò)環(huán)境安全構(gòu)成極大風(fēng)險(xiǎn)；內(nèi)部人員對(duì)核心服務(wù)器和網(wǎng)絡(luò)設(shè)備未建立統(tǒng)一內(nèi)部控制機(jī)制；移動(dòng)介質(zhì)未實(shí)施注冊(cè)制管理等問(wèn)題。

1.4未建立行之有效設(shè)備基線標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)等廠家為了某種方便需求，在設(shè)備和系統(tǒng)中常常保留有默認(rèn)缺省安全配置項(xiàng)，這些恰恰是別人利用漏洞?；鶎庸╇娖髽I(yè)在部署設(shè)備和系統(tǒng)時(shí)，沒(méi)有統(tǒng)一基線標(biāo)準(zhǔn)，沒(méi)有對(duì)設(shè)備和系統(tǒng)進(jìn)行相應(yīng)基線加固，企業(yè)存在潛在風(fēng)險(xiǎn)。1.5信息安全意識(shí)較差，技術(shù)水平參差不齊企業(yè)信息安全認(rèn)識(shí)存在認(rèn)識(shí)上誤區(qū)，常常認(rèn)為我們有較強(qiáng)信息安全保護(hù)設(shè)備，外部不易攻破內(nèi)部，事實(shí)上堡壘常常是從內(nèi)部攻破的。比如企業(yè)員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業(yè)機(jī)密泄露等，這恰恰是基層供電企業(yè)全員信息安全意識(shí)較為薄弱表現(xiàn)。專(zhuān)業(yè)技術(shù)人員缺乏必要自我學(xué)習(xí)和知識(shí)主動(dòng)更新，未取得專(zhuān)門(mén)信息安全專(zhuān)業(yè)人員資質(zhì)，處理問(wèn)題能力表現(xiàn)參差不齊。

2必要性

信息安全為國(guó)家安全重要組成部門(mén)，電力企業(yè)信息安全為國(guó)家信息安全的重要元素，電網(wǎng)安全事關(guān)國(guó)計(jì)民生。2014年2月，國(guó)家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，將網(wǎng)絡(luò)信息安全提升前所未有高度。近年發(fā)生的“棱鏡門(mén)”事件，前幾年發(fā)生伊朗核電站“震網(wǎng)”病毒（Stuxnet病毒）網(wǎng)絡(luò)攻擊，其中一個(gè)關(guān)鍵問(wèn)題就是利用移動(dòng)介質(zhì)擺渡來(lái)進(jìn)行攻擊，造成設(shè)備癱瘓，這一系列信息安全事件都事關(guān)國(guó)家安全，因此人人都要有信息安全意識(shí)。首先要防止企業(yè)機(jī)密數(shù)據(jù)（財(cái)務(wù)、人資、投資、客戶(hù)等）泄漏；其次，保持?jǐn)?shù)據(jù)真實(shí)性和完整性，錯(cuò)誤的或被篡改的不當(dāng)信息可能會(huì)導(dǎo)致錯(cuò)誤的決策或商業(yè)機(jī)會(huì)甚至信譽(yù)的喪失；最后，信息的可用性，防止由于人員、流程和技術(shù)服務(wù)的中斷而影響業(yè)務(wù)的正常運(yùn)作，業(yè)務(wù)賴(lài)以生存的關(guān)鍵系統(tǒng)如失效，不能得到及時(shí)有效恢復(fù)，會(huì)造成重大損失。建立嚴(yán)格的訪問(wèn)控制，前面數(shù)據(jù)分級(jí)時(shí)有制定數(shù)據(jù)的“所有者”及給敏感數(shù)據(jù)進(jìn)行分級(jí)，按照分級(jí)的要求制定嚴(yán)格的訪問(wèn)控制策略，基本的思想是最小特權(quán)原則和權(quán)限分離原則。最少特權(quán)是給定使用者最低的只需完成其工作任務(wù)的權(quán)限；權(quán)限分離原則是將不同的工作職能分開(kāi)，只給相關(guān)職能有必要讓其知道的內(nèi)容訪問(wèn)權(quán)限。通過(guò)對(duì)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范內(nèi)部的上網(wǎng)行為，提高工作效率，保護(hù)企業(yè)有限網(wǎng)絡(luò)資源應(yīng)用于主要生產(chǎn)經(jīng)營(yíng)上來(lái)。

3特點(diǎn)探析

通過(guò)我們對(duì)基層供電企業(yè)在信息安全存在問(wèn)題及必要性來(lái)看，主要是管理制度、網(wǎng)絡(luò)信息安全技術(shù)、人員意識(shí)等方面存在問(wèn)題，有以下特點(diǎn)。

3.1管理制度方面

常說(shuō)信息安全“三方技術(shù)、七分管理”，制度建設(shè)對(duì)信息安全保障至關(guān)重要。信息安全管理制度應(yīng)該有上級(jí)主管部門(mén)建立一套統(tǒng)一管理制度，基層供電企業(yè)遵照?qǐng)?zhí)行，可以根據(jù)各單位具體情況進(jìn)一步細(xì)化，讓管理制度落地。從企業(yè)總體信息安全方針到具體專(zhuān)業(yè)制度管理上，實(shí)現(xiàn)全網(wǎng)一體化，規(guī)范化。

3.2網(wǎng)絡(luò)信息安全技術(shù)方面

上級(jí)專(zhuān)業(yè)主管部門(mén)，站在企業(yè)高度，制定專(zhuān)業(yè)技術(shù)標(biāo)準(zhǔn)和技術(shù)細(xì)則。從網(wǎng)絡(luò)安全分區(qū)、網(wǎng)絡(luò)技術(shù)架構(gòu)、互聯(lián)網(wǎng)接入和訪問(wèn)方式、終端安全管理、網(wǎng)絡(luò)準(zhǔn)入控制等方面統(tǒng)一規(guī)劃，分布實(shí)施，最終實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全防控一體化。

3.3信息安全意識(shí)培養(yǎng)方面

企業(yè)員工信息安全意識(shí)培養(yǎng)是個(gè)長(zhǎng)期的過(guò)程，不是通過(guò)一次兩次培訓(xùn)就能解決的，采取形式多樣化方式來(lái)培養(yǎng)員工安全意識(shí)，可以通過(guò)集中培訓(xùn)講課、視頻宣傳、張貼宣傳畫(huà)等方式進(jìn)行。針對(duì)專(zhuān)業(yè)人員，要讓他們養(yǎng)成按照制度辦事習(xí)慣，用戶(hù)需要申請(qǐng)某項(xiàng)資源，嚴(yán)格按照制度執(zhí)行，填寫(xiě)相應(yīng)資源申請(qǐng)，有時(shí)候領(lǐng)導(dǎo)打招呼也要按照制度流程來(lái)執(zhí)行。長(zhǎng)此以往，人人都會(huì)知道自己該做什么，不該做什么，該怎么做，企業(yè)信息安全意識(shí)就會(huì)得到極大提高。

3.4專(zhuān)業(yè)技術(shù)人員水平方面

信息安全技術(shù)日新月異，不學(xué)習(xí)就落后，不斷收集信息安全方面信息，共同討論相關(guān)話題，建立相應(yīng)培訓(xùn)機(jī)制，專(zhuān)業(yè)人員實(shí)行持證上崗，提升專(zhuān)業(yè)人員實(shí)際解決問(wèn)題能力，有效提高人員專(zhuān)業(yè)素養(yǎng)，成為企業(yè)信息安全方面專(zhuān)家。

4實(shí)施和開(kāi)展

從2009年開(kāi)始，先后進(jìn)行一系列信息安全建設(shè)，涉及到信息安全制度建設(shè)、網(wǎng)絡(luò)信息安全體系架構(gòu)、信息安全保障服務(wù)、人員培訓(xùn)等方面，整體提高基層供電企業(yè)信息安全狀況。

4.1信息安全制度建設(shè)

2010年開(kāi)始信息安全體系ISO27001、27002建設(shè)，結(jié)合企業(yè)情況，形成30個(gè)信息安全相關(guān)文件，涵蓋企業(yè)信息安全方針、等級(jí)保護(hù)、人員管理、機(jī)房管理、網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行維護(hù)管理、終端安全、病毒防護(hù)、介質(zhì)管理、數(shù)據(jù)管理、日志管理、教育培訓(xùn)等諸多方面。2013年為進(jìn)一步提示公司信息化管理水平，先后增加修改建設(shè)管理、實(shí)用化管理、項(xiàng)目管理、信息安全管理、運(yùn)維管理、綜合管理5個(gè)方面14個(gè)管理細(xì)則。經(jīng)過(guò)這一系列制度建設(shè)，基層供電企業(yè)有章可循，全網(wǎng)信息安全依據(jù)統(tǒng)一，明確短板情況。

4.2建設(shè)一體化網(wǎng)絡(luò)與信息安全防控

首先依據(jù)電監(jiān)會(huì)5號(hào)文件要求，網(wǎng)絡(luò)架構(gòu)按照三層四區(qū)原則進(jìn)行部署建設(shè)，生產(chǎn)實(shí)時(shí)控制大區(qū)（Ⅰ、Ⅱ區(qū)）與信息管理大區(qū)（Ⅲ、Ⅳ區(qū)）之間采用國(guó)家強(qiáng)制認(rèn)證單向數(shù)據(jù)隔離裝置進(jìn)行強(qiáng)制隔離，網(wǎng)絡(luò)架構(gòu)采用核心、匯聚、接入部署。網(wǎng)絡(luò)接入按照功能劃分服務(wù)器區(qū)、網(wǎng)管區(qū)、核心交換區(qū)、用戶(hù)辦公區(qū)、外聯(lián)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，在綜合數(shù)據(jù)網(wǎng)上，利用MPLSVPN，根據(jù)劃分不同VPN業(yè)務(wù)、隔離相互間數(shù)據(jù)交叉。建立全網(wǎng)PKI/CA系統(tǒng)，構(gòu)建企業(yè)員工在企業(yè)數(shù)字身份認(rèn)證系統(tǒng)，已建成系統(tǒng)進(jìn)行未采用PKI登陸系統(tǒng)，進(jìn)行相應(yīng)改造結(jié)合PKI/CA系統(tǒng)，采用PKI登陸，在建系統(tǒng)用戶(hù)登陸必須集成PKI登陸。根據(jù)企業(yè)信息安全要求，進(jìn)行互聯(lián)網(wǎng)統(tǒng)一出口，部署統(tǒng)一互聯(lián)網(wǎng)防控設(shè)備，建立統(tǒng)一上網(wǎng)行為管理策略，規(guī)范員工上網(wǎng)行為，合理使用有限互聯(lián)網(wǎng)資源，審計(jì)員工上網(wǎng)日志，以備不時(shí)之需。建立企業(yè)統(tǒng)一病毒防護(hù)系統(tǒng)，實(shí)現(xiàn)病毒軟件統(tǒng)一安裝，病毒庫(kù)自動(dòng)更新，防護(hù)策略統(tǒng)一下發(fā)，定期統(tǒng)計(jì)病毒分布情況，同時(shí)作為終端接入內(nèi)網(wǎng)必備選項(xiàng)，對(duì)終端病毒態(tài)勢(shì)比較嚴(yán)重用戶(hù)進(jìn)行督促整改，有效防止病毒在企業(yè)內(nèi)部蔓延，進(jìn)一步進(jìn)化內(nèi)網(wǎng)環(huán)境。建立統(tǒng)一網(wǎng)絡(luò)邊界安全防護(hù)，在企業(yè)內(nèi)網(wǎng)邊界合理部署防火墻、IPS、UTM，并將其產(chǎn)生日志發(fā)送到統(tǒng)一安全管理平臺(tái)，進(jìn)行日志管理分析，展現(xiàn)企業(yè)內(nèi)部信息安全態(tài)勢(shì)，預(yù)警企業(yè)內(nèi)部信息安全存在問(wèn)題。利用AD域或PKI/CA進(jìn)行用戶(hù)身份認(rèn)證，建設(shè)統(tǒng)一桌面管理，所有內(nèi)網(wǎng)用戶(hù)必須滿(mǎn)足最基本防病毒、安全助手、IT監(jiān)控要求方可接入內(nèi)網(wǎng)，系統(tǒng)啟用強(qiáng)制安全策略，終端采用采用DHCP，用戶(hù)不能自動(dòng)修改IP地址，在DHCP服務(wù)器上實(shí)現(xiàn)IP與MAC地址及人員綁定，杜絕用戶(hù)私自更換IP地址引起沖突。安全認(rèn)證方面可以采用NACC或交換機(jī)802.1x方式進(jìn)行，不滿(mǎn)足要求用戶(hù)，自動(dòng)重定向到指定網(wǎng)站進(jìn)行安全合規(guī)性檢查，滿(mǎn)足要求后自動(dòng)接入內(nèi)網(wǎng)，強(qiáng)制所有用戶(hù)采用統(tǒng)一網(wǎng)絡(luò)安全準(zhǔn)入規(guī)則。實(shí)行移動(dòng)介質(zhì)注冊(cè)制，極大提高終端安全性，有效保護(hù)企業(yè)信息資產(chǎn)。建立內(nèi)部運(yùn)維控制機(jī)制，實(shí)現(xiàn)4A統(tǒng)一安全管理，認(rèn)證、賬號(hào)、授權(quán)、審計(jì)集中管控。規(guī)劃統(tǒng)一服務(wù)器、網(wǎng)絡(luò)設(shè)備資源池，按照用戶(hù)需求，提交相應(yīng)申請(qǐng)材料，授權(quán)訪問(wèn)特定設(shè)備和資源，并對(duì)用戶(hù)訪問(wèn)行為全程記錄審計(jì)。

5結(jié)語(yǔ)

上述討論主要針對(duì)傳統(tǒng)信息安全來(lái)說(shuō)的，隨著移動(dòng)智能終端普及，移動(dòng)設(shè)備應(yīng)用在電網(wǎng)企業(yè)不斷深化，傳統(tǒng)信息安全管理存在一定盲區(qū)，無(wú)線網(wǎng)絡(luò)安全和移動(dòng)終端信息安全問(wèn)題突顯，如何在無(wú)線準(zhǔn)入、移動(dòng)終端統(tǒng)一管理、移動(dòng)應(yīng)用安全管理方面進(jìn)一步面臨更大考驗(yàn)。

作者：袁忠軍 單位：貴州電網(wǎng)有限責(zé)任公司都勻供電局