浅谈信息安全保障体系的建立——广东电网公司生技部蔡徽信息安全的思考——安徽省电力公司科技信息部何鸣.pdfVIP

电力僧息陀 ■安全思考 浅谈信息安全保障体系的建立 ——广东电网公司生技部蔡徽 信息安全是一个多方面、复杂的 手段和实现，是在整体一体 问题，涉及到物理(硬设备)安全、网 化保障体系架构下，统一部 络安全、平台安全、数据存储／传输 署在公司本部和各地、市 安全、应用安全和管理等多方面的问 局，从而保障公司各信息系 题，互相之间都有很深的关联，一定 统安全、可靠地运行。信息 要建立企业一体化的安全保障体系， 安全保障体系应包括以下 才能保证信息安全取得实效，这就要 的具体内容：安全策略、组 求我们精心规划，深入研究，努力建 织安全、信息资产分类及控 立整个企业一体化的信息安全保证 制、人员安全、实际和环境 体系。 安全、通信与操作安全、访问控制、系 字证书系统(PKJ／cA)是整个信息安 “十一五”期间广东电网公司信 统开发和维护。 全体系的重要设施。以PKI技术为核心 息安全保障体系建立包括管理、组 “十一五”期间广东电网公司一 的数字证书系统覆盖了全佘司的各 织、人员、策略和技术等多方面内容， 体化信息安全保障体系中的具体技 个下属单位，形成全公司统一的数字 是一个从公司本部到各下属单位的 术实现，主要采用全公司统一的防病 身份认证体系。数字证书系统通过其 完整统一整体，需统一规划、统一实 毒体系、防入侵、防火墙、域管理、数 他应用系统的接口，直接为各个应用 施，不能存在安全隐患。具体的技术 字证书系统(PKI／cA)等。其中，数系统服务。 信息安全的思考 ——安徽省电力公司科技信息部何鸣 安全产品就逊色很多。这里有 (2)管理为主。现在流行的说法 一个误区，往往有些人认为网 是三分技术、七分管理、十二分数据。 络安全了，应用系统就安全 可见管理远在技术之上，买来再好的 了，其实并非如此，就像在高 设备，如果没有管理，也没有办法发挥 速公路上跑的货车并不能保 作用．即使没有最先进的设备，但在管 证其货物不丢失一样。 理上做到位，也会起到很好的效果； 安全问题决不是孤立的， (5)安全有价。解决任何网络上 解决这些问题的同时也会引发一些 的安全问题都是要付出代价的。而且 信息化建设涉及到很多方面，最 别的问题，如开发软件的复杂度、软 代价也是多方面的，如增加费用、用 直接的有2个方面——网络和应用系 件的执行效率、费用以及用户使用的 户使用困难、软件系统执行效率差、 统。信息安全也往往围绕这2个方面 复杂度和方便性。所以应综合考虑， 运行速度慢、软件维护困难等。所以 进行，即网络安全和应用系统安全， 主要有以下几点体会： 不能一味追求安全； 也就是应用系统的数据安全。不过这 (1)安全第一。在建立一个网络 (4)服从应用。每一个应用系统 么多年来这2方面发展得很不平衡。 环境下的应用系统时，必须要考虑安 对安全的要求是不尽相同的，而且有 网络安全的软硬件产品层出不穷，也 全问题，一个网络应用系统如果没有 的差别是非常大的，要根据具体的应用