浅谈地区级供电企业信息安全保障体系建设.docVIP

浅谈地区级供电企业信息安全保障体系建设 　　摘要:文章简要论述了地区级供电企业构建企业信息安全保障体系的必要性,从组织体系、管理体系、技术保障等方面着手分析了当前地区级供电企业信息安全的现状和目前存在的一些问题,并提出了信息安全保障体系的建设原则、建设内容以及要采取的措施。 　　关键词:地区;供电企业;信息安全;保障体系 　　中图分类号:TP393.08 文献标识码:A文章编号:1006-8937(2010)12-0085-02 　　 　　近年来,随着电力企业信息化建设的不断深入和“信息化登高”计划在全网的推行,地区级供电企业的信息化进程显示了空前未有的规模和速度。然而,伴随着电力信息化的不断推进,信息安全问题也日益突出。在贵州全省信息化建设统一推广模式下,地区供电局近年来在信息安全建设方面相继投入了大量的安全防护措施,但目前的主要工作仍集中在网络基础安全防御方面。文章探讨了地区级供电企业如何建立起一个完整的、强有力的信息安全保障体系。 　　1地区级供电企业信息安全管理现状和存在的问 　　 题 　　近年来,电力企业实施“信息化登高”计划,省网公司在地区级供电企业的信息安全防御措施方面进行了大量的投入,信息安全管理标准和组织体系初步形成,通过开展信息安全全员意识教育培训,企业员工和“信息安全”有了第一次“亲密接触”。 　　1.1技术防御措施 　　网络防火墙是地区供电局应用较早的信息安全技术防御措施之一。防火墙是企业局域网到外网的唯一出口,包括到不同安全层次的电力网、其他信息网络如银行网络、Internet,所有的访问都将通过防火墙进行。 　　网络平台按照信息系统担当的业务功能和重要程度的不同,将网络划分为了不同的安全区域,在不同区域之间部署边界防火墙,通过边界防火墙对不同区域间的通信进行安全访问控制。 　　2008年,经过奥运前夕的信息安全大检查之后,近两年地区供电局通过全省推广建设模式,在信息安全建设方面取得了长足进步,主要建设项目有:上网行为监控管理系统、网络防病毒系统、主机安全基线加固、网页防篡改系统、互联网统一出口和身份认证系统PKI/CA等。 　　对于地区局来说,信息安全技术防御措施已较为全面,但在应用程度上还不够深入,主要体现在:网络访问控制策略上还有些粗糙、网络区域的划分还不够彻底、主机还存在着一些安全漏洞、PKI/CA应用还不广泛等。 　　1.2 管理和技术标准 　　随着信息安全技术防御手段的建设,相应的管理制度、技术规范和标准也由省网公司相继出台并下发到地区供电局,涉及到信息安全的组织机构、人员管理、数据安全管理、运行维护管理、网络安全管理、设备管理等各个方面共三十多种。大体来说,地区局在信息系统运行维护方面已逐步在遵照省网公司下发的管理制度照章执行,加强了第三方人员管理、系统运行维护管理、信息系统口令管理等。此外,在省网公司的统一安排下,地区局已开始陆续开展信息安全风险测评工作。 　　从现状看,管理标准和技术规范对于地区局来说也已经较为全面,但贯彻执行的力度较弱,由于标准较多,许多还未完全了解和熟悉。 　　1.3组织机构 　　根据省网公司对下属单位的信息安全组织结构体系要求,地区供电企业信息安全组织机构包含信息安全领导小组和信息安全工作小组、信息安全应急指挥机构。目前,各地区供电局都已按要求成立了相应的组织机构,在生产技术管理部门设立有信息主管(兼任信息安全专职),在信息部门班组设立了由网络管理员兼职的信息安全管理员。 　　组织体系虽已建立,但一些信息安全的工作依然采用的是“信息班组―信息部门主任―分管信息局领导”的工作汇报流程,信息安全专职(专责)也基本是兼职,信息安全机构所应承担的监督、管理与执行的职责没有很好的发挥出来。 　　2信息安全保障体系的建设 　　2.1建设的必要性 　　从地区级供电企业信息安全现状及存在的问题看,信息安全的保障必须要依赖于体系的建设与健全,从人员、机构的组织保障体系到管理制度及标准的制定及有力执行的管理保障体系,再从技术措施上加以管控的技术保障体系,通过建立多层次的信息安全应急和防御体系,开展定期的信息安全风险评估,完善各级安全防护措施,从而建设有效的基于风险管理的信息安全保障体系。 　　2.2建设原则 　　以风险管理为基础,充分考虑项目的运行维护过程中的安全风险,同步规划落实相应的风险管控措施。实行“安全第一、预防为主、管理和技术并重、综合防范”的方针,坚持信息安全技术措施与管理措施并重和互补,各项技术措施平衡并重的建设原则。同时遵循“信息系统安全与信息化同步规划、同步建设、同步投入运行”的三同步原则,在技术措施建设上坚持评估先导的原则,使这些原则贯穿于信息系统的全生命周期,随着需求逐步完善。 　　2.3建设内容及采取的措施