引言
电力系统是一项涉及电网调度自动化、继电保护、厂站自动化、配电网自动化、电力负荷控制、电力市场交易、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。随着电力企业信息化的不断发展,信息安全所面临的危险同时渗透到电力企业生产、经营的各个方面,信息安全问题已成为影响电力安全生产的重大问题。
1 电力企业信息安全管理现状
1.1电力企业信息安全形势严峻
电力企业内部各业务数据在网络流转,一旦出现信息泄密或篡改数据的情况,将给国家造成难以估量的损失。电力企业网络每天遭受恶意试探式攻击达数万次,如此庞大的信息网络和高频率的网络攻击,使电力企业信息安全的局势尤为严峻。同时电力企业各种信息在业务流程的参与者之间流动,如果系统关键数据被窃取和篡改,信息系统的非正常停运和瘫痪,将会严重影响电力企业和电力系统的正常运行。
1.2电力企业信息安全防护困难
电力企业信息系统是由众多复杂的子系统(如广泛分布于各级调度中心、发电厂、变电站的业务系统)所组成的超大规模、广域分布和分级递阶的大系统,各种业务系统之间需要进行复杂的信息交换和相互协作。如何确保电力系统不同企业之间及其内部在进行方便、高效信息交换和相互协作的同时,防止来自于内外域各种用户非法或无意的攻击、误操作,防止信息泄漏等,就成为一个极为关键的瓶颈问题。
1.3电力企业信息安全防护相关规程
2005年国家电力监管委员会颁布了《电力二次系统安全防护规定》用以指导电力部门在信息化和安全方面的建设。国际电工委员会的IEC 27001标准规定了信息安全管理体系(ISMS)要求与信息安全控制要求,与之配套的IEC 17799标准提供了一套综合的、由信息安全最佳惯例组成的实施规则。IEC 27001和IEC 17799标准已在我国电网企业广泛应用。国际大电网会议(CIGRE)于2006年至2009年成立了工作组,并发布了适用于电力公司信息安全框架、风险评估和安全技术的规范,将基线控制、逻辑图等引入电力公司信息安全管理中。
2 电力企业信息安全管理风险分析
2.1信息安全体系层面
2.1.1信息网络结构和边界风险
电力企业在信息网络结构上存在核心交换机选型不合理等问题,如核心交换机是一台二层交换机,网络的安全问题只有通过应用系统去解决。另外,电力企业的信息大多以各种方式与互联网连接,由于不同安全域之间的网络连接没有有效的访问控制措施,来自互联网的访问存在潜在的扫描攻击、DOS攻击、非法侵入等。
2.1.2病毒侵害和网络攻击
电子邮件系统的广泛使用,使计算机病毒扩散速度大大加快,网络成了病毒传播的最好途径,计算机病毒已成为电力企业网络最严重的安全风险之一。目前网络攻击手法已经融合了多种技术,部分电力企业中的防病毒软件只能查杀病毒,却不能有效地阻止病毒的传播;入侵检测系统可以检查出蠕虫在网络上传播,却不能清除蠕虫;补丁管理可以防止蠕虫的感染,却不能查杀蠕虫。企业各个安全产品单独工作,无法系统地查杀病毒并防止病毒传播。
2.1.3系统安全风险
系统安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。目前不少电力企业网络使用的操作系统仍然是以Windows系列操作系统为主。不管使用哪一种操作系统都存在大量已知和未知的漏洞,这些漏洞可以导致人侵者获得管理员的权限,可以被用来实施拒绝服务等攻击。
2.1.4信息日常传递风险
电力企业和外部的单位都有着许多工作联系,日常许多信息数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险,例如被非法用户截取,从而泄露企业机密;被非法篡改,造成数据混乱、信息错误从而造成工作失误等。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来棍乱,造成企业损失。
2.2信息安全管理层面
2.2.1信息安全管理措施不到位
电力企业因配置不当或使用过时的操作系统、邮件程序等,造成企业内部网络存在入侵者可利用的缺陷。当厂商通过发布补丁或升级软件来解决安全问题时,许多用户系统不进行同步升级,原因是管理者未充分意识到网络不安全的风险所在,未引起重视。有些信息系统采用开放的操作系统,安全级别低,又没有附加安全措施,难以抵御黑客和信息炸弹的攻击。
2.2.2企业信息管理革新明显滞后技术发展
相对于信息技术的发展与应用,电力企业管理革新处于落后状况。有的企业引入了先进的业务系统、管理系统,而管理模式未能实施有效革新,最终导致了信息系统未能发挥预期的、应有的作用。由于信息安全工作具有专业性强,知识面广的特点,目前电力企业从事信息安全管理工作的技术人才显得相对缺乏。
2.2.3用户身份认证和访问控制不够
在实际应用中,电力企业部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制;部分应用系统没有一个统一的用户管理,无法保证账号的有效管理和安全;同时因缺乏严格的验证机制,导致非法用户使用关键业务系统;不同业务系统之间缺少较细粒度的访问控制。
2.2.4企业工作人员安全意识淡薄
企业人员忙于利用网络工作学习,对网络信息的安全性无暇顾及,安全意识淡薄。电力企业注重的是网络效应,对安全领域的投入和管理不能满足安全防范的要求,网络信息安全处于被动的封堵漏捌状态。工作人员安全意识不强,如共用口令、随意复制及传播企业内部信息等,增加了黑客进攻的机会和信息泄露的风险,这都将给企业网络信息安全埋下隐患。
2.2.5企业信息资产管理风险较高
信息资产的高风险性源自于信息资产传播的低成本性。在激烈竞争的市场环境中信息资产的安全风险较高。一般来说,信息资产经常处于公共的介质中或处于流动状态,这就使信息资产的复制成本较低,从而导致企业拥有和控制的信息资产的安全性很差。没有安全保障的信息资产,谈不上资产价值。信息资产具有工程性和社会性的软硬属性,短期无法量化,价值的确认存在风险,管理的过程中也存在类似风险。
3 电力企业信息安全管理对策
3.1建立信息安全管理组织架构
电力企业信息安全管理可按照“谁主管谁负责,谁运营谁负责”原则,实行统一领导、分级管理。信息安全领导小组由企业的决策层组成。信息安全工作小组由企业各部门管理成员组成,是企业信息安全工作的管理层。信息安全执行层包含信息安全规划、信息安全监督审计、信息安全运行保障等职能小组和企业各业务支撑部门。企业信息安全实行专业化管理,进行监督。图1是一个典型的电力企业信息安全管理组织架构。
图1 典型电力企业信息安全管理组织架构
3.2构建信息安全管理体系框架
电力企业信息安全管理体系可建立在信息安全模型与电力信息化的基础上,分为信息安全策略、安全管理、安全运行、安全技术措施4个模块,信息安全管理通过安全运行实现,安全技术作为信息安全的基础支撑,可辅助实现安全管理和运行安全。典型电力企业信息安全管理体系框架如图2所示。
3.3确立企业信息安全防护策略
在管理信息系统安全防护策略方面:进行双网双机管理,将信息网划分为信息内网和信息外网,内外网间采用逻辑强隔离装置进行隔离,内外网分别采用独立的服务器及桌面终端;根据业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护;将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行纵深防御的安全防护措施设计。
图2 典型电力企业信息安全保陈体系框架
在电力二次系统安全防护策略方面:将电力企业内部基于计算机和网络技术的应用系统,原则上划分为生产控制区和管理信息区;建立电力调度数据网专用网络,承载电力实时控制、在线生产交易等业务;采用不同强度的安全设备隔离各安全区,在生产控制区与管理信息区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。
3.4加强信息安全管理制度建设
3.4.1信息安全管理基本制度
建立计算机系统使用管理制度,对应用系统重要数据的修改,需要经过授权并由专人负责并登记日志。建立资产管理制度,根据资产重要程度对资产进行标识和管理。建立健全变更管理制度,保证所有与外部系统的连接均得到授权和批准。建立和执行密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。
3.4.2分等级信息安全保护措施
严格按照国家有关部门要求,开展企业网络信息系统定级、审批、备案工作。针对确定的网络信息系统安全等级,根据等级保护有关要求,落实必要的管理和技术措施,严格执行等级保护制度。对于核心程序和数据严格保密,实行专人保管。
3.4.3信息安全运行保障管理
对信息系统软硬件设备选型、采购、使用等实行规范化管理。强化存储介质存放、使用、维护和销毁等各项措施。及时升级防病毒软件,加强全员防病毒木马的意识。严格系统变更、系统重要操作、物理访问和系统接人申报和审批程序。及时报告信息系统事故情况,认真开展信息系统事故原因分析,坚持“四不放过”原则,有效落实整改。
3.5信息安全技术保障措施
依据“分区、分级、分域”总体防护策略,切实执行信息安全等级保护制度要求,有效落实信息安全防护方案,做好各区之间安全隔离,落实管理信息内、外网之间实施强逻辑隔离的措施。根据信息系统定级水平,科学合理地做好安全域划分和安全域之间隔离工作。
3.6加强企业工作人员的规范管理
加强企业高管的管理,实施更加严格的信息安全管理制度。一方面,高管是公司的核心力量,也是信息安全管理推行的主要支持者,只有以身作则,方可让全体员工有遵循信息安全要求的动力。另一方面,高管掌握的信息资产多,密级也高,无论是故意或者过失导致这些资产的丧失,都会给企业造成重大的影响。
加强对离职人员的信息安全审查,在其提出离职倾向之后,必须立即着手其信息资源访问权限的变更,对其己经持有的信息资产进行清点,并要对其在公司剩余的时间内,实施更加严格的监控,避免异常事件的发生。
加强关键岗位员工信息安全管理。对于直接接触开发源代码的人员、直接接触企业核心商业机密的人员,当然还包括直接从事信息安全管理的人员等等,需要实施特殊的信息安全管理制度,检查频率也应该更加频繁,以减少“堡垒从内部突破”的机会。
加强供应商和合作伙伴信息安全管理。有必要对于供应商和合作伙伴制定一定的信息安全管理规定,避免对方在有意的收集我方的商业情报以做他用。在日常的交流中要严格遵守相关规定,除了必须公开的内容,一律不得随意公开和透露其他信息。
3.7加强企业信息资产的分析和管理
按照信息资产的载体性质不同、价值实现形式不同、来源不同,对信息资产进行识别。强化信息资产观念,树立信息资产的资产观、商品观、素质观,提高企业劳动生产率、管理效率和经营利润,树立企业良好形象。
健全信息资产管理组织体系,建立健全信息资产管理制度,完善信息资产管理手段,对信息资产进行全面、系统、科学的管理,提高有效运用信息资产创造效益和参与市场竞争的能力。
加强信息资产运营管理,利用信息资产资源与其他生产力要素的组合,使生产力要素保值增值并获取最佳经济效益。
推动信息资产共享共建,创造条件使信息资源实现在管理权限内的有效共享,实现信息资产再创新,产生企业的内源信息资产,实现外源信息资产的再增值。
3.8建立信息安全应急保障机制
对于电力企业来说,在不断完善应急预案,加强培训和演练,确保人力、设备、技术和财务等应急保障资源可用的同时,还需要建立备份与恢复管理相关安全管理制度,严格控制数据备份和恢复过程,妥善保存备份记录,执行定期恢复程序。认真做好容灾方案可行性研究,切实根据需要开展容灾系统建设。
4 结束语
电力信息安全与企业生产经营管理密切相关。电力企业应该充分认识到信息安全管理工作是一个系统性、整体性的管理工作,用系统工程的观点、方法,来分析电力企业信息安全问题及具体管理对策。管理过程中的任何一个漏洞,都会导致信息安全问题。电力企业需要统筹兼顾,统一规划并建立一套完善的信息安全管理体系,规避企业信息安全管理的风险,解决电力企业信息安全管理间题,提升电力企业信息安全管理水平,以确保电力信息系统安全、可靠、稳定、高效地运行。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:电力企业信息安全现状分析及管理对策
相关文章
