基层供电企业信息安全建设论文.docVIP

基层供电企业信息安全建设论文 摘要：信息安全作为国家安全重要组成部分为各国共识，各国纷纷出台自己的信息安全战略和政策，加强自身信息安全保障体系建设。新形势下我国提出“以信息化带动工业化，发挥后发优势，实现社会生产力了跨越式发展”，并将信息安全与政治、经济、文化、国防安全作为国家安全基石。电力企业事关国计民生基础性行业，如何利用现代信息技术提高供电企业管理水平和电网稳定运行显得尤为重要。基于此，将从制度管理、人员和技术等方面讨论基层供电企业信息安全建设的建议。 关键词：信息安全；管理体系；PKI/CA；MPLS?VPN；基线 在供电企业现代信息技术广泛运用生产经营、综合管理之中，实现资源和信息共享，为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程，木桶原理可以很好地诠释信息安全，一个企业安全不取决于最强项，而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设，才能有效提高企业信息安全，才能为企业生产、经营保驾护航。 1基层供电信息安全现状 基层供电企业信息安全建设方面，在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。 1.1管理制度不健全，制度多重化 信息安全制度建设方面较为被动，大多数都是现实之中出现某一问题，然后发布一个相关制度，制度修修补补。同一类问题有时出现不同管理规定里，处理办法不一，甚至发生冲突。原有信息安全管理制度宽泛，操作性较差。信息系统建设渠道不同，未提前进行信息安全方面考虑，管理职责不明，导致部分信息安全工作开始不顺畅。 1.2安全区域划分不明，网络架构不清晰 基层供电企业系统建设主要由上级推广系统和自建系统，系统建设时候相当部分系统未充分考虑系统，特别是业务部门自建系统更甚。网络建设需要什么就连接什么，存在服务器、终端、外联区域不明显，网络架构不清晰。 1.3未建立一体化安全防护体系 从近些年已经发生的各类信息安全事件来看，内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足，存在网络带宽滥用；终端接入没有相应准入控制，不满足网络安全需求用户接入办公网络，网络环境安全构成极大风险；内部人员对核心服务器和网络设备未建立统一内部控制机制；移动介质未实施注册制管理等问题。 1.4未建立行之有效设备基线标准 网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求，在设备和系统中常常保留有默认缺省安全配置项，这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时，没有统一基线标准，没有对设备和系统进行相应基线加固，企业存在潜在风险。 1.5信息安全意识较差，技术水平参差不齐 企业信息安全认识存在认识上误区，常常认为我们有较强信息安全保护设备，外部不易攻破内部，事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等，这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新，未取得专门信息安全专业人员资质，处理问题能力表现参差不齐。 2必要性 信息安全为国家安全重要组成部门，电力企业信息安全为国家信息安全的重要元素，电网安全事关国计民生。2014年2月，国家成立中央网络安全和信息化领导小组，将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件，前几年发生伊朗核电站“震网”病毒（Stuxnet病毒）网络攻击，其中一个关键问题就是利用移动介质摆渡来进行攻击，造成设备瘫痪，这一系列信息安全事件都事关国家安全，因此人人都要有信息安全意识。首先要防止企业机密数据（财务、人资、投资、客户等）泄漏；其次，保持数据真实性和完整性，错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失；最后，信息的可用性，防止由于人员、流程和技术服务的中断而影响业务的正常运作，业务赖以生存的关键系统如失效，不能得到及时有效恢复，会造成重大损失。建立严格的访问控制，前面数据分级时有制定数据的“所有者”及给敏感数据进行分级，按照分级的要求制定严格的访问控制策略，基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限；权限分离原则是将不同的工作职能分开，只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为，提高工作效率，保护企业有限网络资源应用于主要生产经营上来。 3特点探析 通过我们对基层供电