步入二十一世纪,信息技术发展日新月异,信息的交流与汇总越来越频繁和迅速,谁拥有最前沿的一手信息就把握住了最好的市场时机,就会在竞争中取得优势。在信息化带动工业化,促进现代化的企业发展大潮中,信息安全建设已经成为企业管理中重中之重,但有些企业对信息安全管理没有提高到重视地位,造成信息泄漏而遭受巨大的经济损失,那么下面就结合电力企业信息泄漏情况和采取怎样的保护措施阐述一下个人观点。
1.信息安全的重要性
信息在现代经济生活中的作用越来越大,已经成为市场竞争的重要手段。对于电力企业来说,信息的重要性更是不言而喻。缺乏信息,即使有了资金、物资和能源,要把电力企业管理好也是十分困难的。信息化时代的到来,信息已经成为最重要的资源,企业占有的信息多、掌握的信息准确,谁就在行业中占有主动权,有了制胜的先机。
中国电子信息产业发展研究院曾经做过预测,针对中国电力企业调查他们对信息安全需求,企业对于信息安全的认知也跨出了一大步,有相当一部分电力企业担心信息安全问题,而网络问题则是他们关心的第一位,调查还显示只有五分之一的电力企业没有信息泄密的事实,却也足以让人心惊胆战。电力企业的正常运作离不开信息资源的支持,包括经营计划、知识产权、生产工艺、方案图纸、客户资源以及各种重要数据等,这些都是电力企业全体员工努力拼搏、刻苦钻研、殚精竭虑、长期积累下来的智慧结晶,是企业发展的方向和动力,关乎着我国电力事业的健康快速发展,如果企业的重要信息一旦被泄露,就会使企业失去市场竞争优势,甚至会遭受灭顶之灾。
2.当前电力企业信息安全保护中存在的问题
据有关资料统计,当前我国电力企业的信息安全管理才刚刚起步,而60%以上的企业存在的信息安全问题来自于内部的电子信息系统,如木马、内部人员有意、无意攻击、泄密、病毒传播、内部资源滥用等。而国内信息产业长期桎梏:“重硬轻软”,始终制约着信息系统监管体系的建立与完善。在防火墙、入侵检测等传统网络安全产品占据信息安全市场半壁江山的同时,电力企业内部审计、信息安全监管类技术仍处于起步阶段,电力企业信息安全还有许多问题需要解决。
在信息化飞速发展的今天,电力企业信息安全水平也在不断随着各种信息安全产品的产生、应用而不断得到提升。随着未来信息化不断发展,信息安全防护要求不断增加,安全设备系统将不断增多。与此同时,电力企业在安全管理中也逐渐显露出一些难点问题。
安全管理人员少、安全分析技术水平参差不齐。电力企业早期信息安全管理工作随着信息化发展得到了很大的提高,因此在电力企业内部,早期安全管理人员主要由之前网络运维人员转化而来,早期安全管理任务主要集中在对少数的安全设备系统进行运行管理、以及通过安全设备监视发电、输变电等安全预警,及时发现电力运营中的安全问题。但是一直以来电力企业存在信息专业安全管理人员少、安全分析技术水平参差不齐。随着电力投入的不断增加,安全设备系统不断增多,运行管理工作量大增,安全预警数量海量增加,分析预警发现问题的技术要求越来越高,这些对信息安全管理人员的数量和技术水平提出了越来越高的要求。
没有一个综合平台支持。在众多电力安全设备系统预警中分析发现的安全问题越来越多,需要在多个安全管理人员之间进行协同处理从而提高安全问题处理效率和专业性,但是缺乏有效的协同平台进行支撑。随着电力安全设备系统不断增多,安全数据分析不再是单独的安全设备系统的数据分析,需要通过对所有涉及电力运营的安全设备系统数据综合分析来展示安全域的指标状态和趋势。没有一个综合平台支持,靠安全管理人员很难完成。
电力企业员工信息安全防护意识差。当前在电力企业运行过程中出现信心安全问题的里另一个重要原因就是员工上网安全防护意识差,没有深刻认识到信息安全对电力企业,对自己发展的重要性,只是一成不变,按部就班的完成自己的工作,并不把信息安作为对自己工作的特殊要求来重视,没有通过每天重复的工作加深电力安全意识,反思检查工作中存在的漏洞,因此一些事关电力企业正常运作的信息就在工作人员的疏忽大意中泄漏,从而给电力企业带来莫大的危机。
2.4企业信息安全管理制度不健全
信息安全管理在国内各个行业中还是处于相当弱势的地位,从电力企业管理者对信息安全的认识上来说,有很多的管理层领导还没有建立这方面的意识和理念,其认识也刚刚从单机用户到局域网,虽然国家各部委也都在提倡提高信息化的水平,而在实际的工作中实施信息系统的层次比较低,技术管理还没有跟上,所以在目前的电力企业中,有很大一部分是没有专门的团队负责内部信息技术相关事宜或者只是管理日常的应用,缺乏应对信息系统安全漏洞的侦测修补以及突发事故的应急对策。因此,当新破坏力强的病毒传播开来时,电力企业受到的影响也较大。而且对于自身系统中存在的问题也难以主动发现,使得信息数据有被入侵,窃取和破坏的隐患。所以很多电力企业都在遭受信息安全事故带来的损失时,缺乏可行的应对办法和有效的手段来改变这一状况。关键是信息安全管理系统没有建立,或者没有在电力企业的信息化战略中加以足够的重视。
3.解决信息安全问题对的措施
信息管理采用集中化管理。电力企业信息安全管理人员不用再去为了获取电力运营安全设备系统状态而去登录各个设备系统,不用再去为了将多个设备系统的监视指标进行综合监视分析而发愁.定时自动巡检协助运维安全管理人员不用再花更多的时间去效率低下的检查每个需要被巡检设备的指标状况,每天定时去查看一下集中化管理平台给出的巡检结果就可以完成巡检。该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http://www.ems86.com总第543期2014年第11期-----转载须注名来源通过信息化管理平台,及时进行通报发布、预警发布、多级机构协同、电力安全事故处置等等业务流程。安全数据综合分析通过自动发现机制从海量的安全设备系统预警信息中挑拣出需要安全管理人员跟踪处理的安全事件。
降低电力企业核心应用系统遭受攻击的风险。为了有效地降低电力企业核心应用系统遭受攻击的风险,电力运营信息网络应分为物理隔离的信息内网和信息外网。黑客可以通过Internet公共信息网采用木马、蠕虫和病毒等攻击手段,破坏电力企业办公系统、窃取核心系统机密数据、篡改公司网站信息、截获公司邮件等等。所有这些攻击行为都会对电力企业运行造成损失。为了保障机密数据的安全,电力企业应分别建立两套独立的信息网络。信息内网承载电力企业核心业务系统、财务系统、OA办公系统、人力资源管理系统、投资管理系统、呼叫中心系统、内部视频会议系统以及保险企业与上级机构、保监会、行业协会、银行等国家金融机构的专线互联系统。信息外网承载电子商务系统、企业邮箱系统、企业门户系统、人力资源招聘系统以及员工对Internet公共信息网的访问等等。电力系统信息内外网分离的方式有效地降低了来自Internet公共信息网对企业机密数据的攻击风险。
一、桌面终端操作系统安全。大部分PC所使用的操作系统是微软公司的Windows XP或者Windows Vista,针对黑客攻击行为,微软公司会定期发布系统安全补丁包。信息内外网应各部署一套微软WSUS补丁服务器,定期统一下载操作系统安全补丁。
二、系统防病毒策略。计算机病毒是电脑系统瘫痪的元凶。防病毒策略由部署在信息内外网的防病毒服务器来实现。在信息内外网各部署一套防病毒服务器,信息内外网PC设备安装防病毒客户端,定期自动从防病毒服务器更新防病毒库。
三、移动存储介质安全。缺乏有效保护的移动介质是传播病毒的有效载体,是泄露电力企业机密和国家机密的罪魁祸首。电力企业应部署安全移动存储系统,对U盘进行加密处理。所有员工均使用安全U盘,规避移动介质风险。
提高工作人员的信息安全保护意识。目前,许多电力企业员工对信息安全存在着误区。应该尽量使用复杂的密码做为保护,而不是只要随便设置个简单的密码,例如“123456”不同的账号和文件,设置不一样的密码,才不会让入侵者或“泄密者”有机可乘。而许多电力企业对入职员工培训并没有涉及到信息安全、保密这一方面。员工对信息安全、保密意识的缺失,企业也有一定的责任。员工安全上网行为对于企业数据信息安全来说越来越重要,这也正是步入信息时代上网行为管理产品市场需求逐步扩大的重要原因。上网行为管理产品已经成为企业用户最喜欢的网络增值类产品之一,例如在中央政府招标网上可以看到,上网行为管理类产品的厂商有41家之多,一些传统的国内安全厂商也纷纷加入该领域。电力企业使用适合的上网行为管理产品、引导员工安全上网,势必会大大保障了电力企业信息的安全。 要安装防火墙、杀毒软件,当今互联网的发展,使得电力企业不能够不使用网络进行各个方面的洽谈,正是由于互联网的开放性,导致了电力企业信息无时无刻都可能暴露在广大网民面前。所以,在管理好内网的同时,还需要对外网的行为进行管控,及时的更新防火墙、杀毒软件的版本,做好计算机网络的防护,也是防止电力企业信息失窃的重要手段。
要使用加密软件,对文档进行加密。保密和泄密只在一念之间, 在全球范围内信息化浪潮不断推进的今天,企业只有建立科学完善的保密意识、培养专业的信息安全管理人才,才能在激烈的信息竞争中占据一席之地,维护好自己的切身利益。做好电力企业内部网的防毒作用,网络用机严禁私接光软驱,私自安装软件,尤其是游戏软件。严禁拆换网络计算机及相关设备的零件部。信息中心搞好网络管理工作,电力企业内部网必须把好用户及密码的关,合理分配IP地址,搞好虚网划分及管理。
建立健全企业信息安全保护体制。随着电力企业电子信息化进程的加快,使用的电脑也越来越多,现在电脑安装部位普遍存在防范措施薄弱,安全隐患突出。为安全使用电脑,加强信息化管理,凡是配有电脑部门的员工要从思想上重视电脑和信息的安全管理,必须建立健全必要的安全管理制度,认真落实安全防范措施;必须保持高度的警惕性,严格执行各项管理制度,完善电脑台帐,电脑软件未经领导批准,不得擅自带出和外借,自觉做好保密、防盗和防病毒工作,更不得用电脑从事任何违法活动。有电脑的室内必须加强对火种、电源的管理,不得擅自明火,禁止存放易燃易爆物品,使用电源必须保证安全,人员离开后应切断电源。外来人员未经同意不得擅自操作电脑。
加强电力企业信息技术安全人员的技能培训。电力企业信息系统的开发由信息中心主持进行,尽量减少信息化孤岛,开发的平台应结合网络系统实际来定,避免孤立行事,将开发纳入信息化发展正常渠道,对于有难度的开发由信息中心确认后可派专人进行。信息中心人员应指导、教授业务部门人员有关系统的应用,保证生产部门人员能正确使用系统。IT人员做好自己理论学习工作,多看书,多交流,做好学习总结。
随着信息化的发展,越来越多地电力企业信息被置放于企业内外部网络环境中,如何保护企业机密,保障电力企业信息安全,被越来越多地摆上了议事日程。电力企业信息安全建设已经成为电力系统信息化发展过程中面临和解决的问题,成为当前电力信息化发展中的一个焦点。
作者:张丽 来源:环球市场信息导报 2014年3期