县级供电公司信息安全管理研究

(整期优先)网络出版时间:2016-12-22
/ 2

县级供电公司信息安全管理研究

张鉴楠

张鉴楠

(国网长春供电公司信息通信分公司130021)

摘要:随着电力系统信息化的全面推进,信息化已经成长为增强供电企业核心竞争力的重要驱动力。目前,“SG186”信息化工程不断完善,国家电网资源计划系统(ERP)上线运行,相继接入企业信息网络平台的应用系统越来越多,各应用系统间的数据交换日益频繁。因此确保供电企业内部网络信息系统的安全稳定运行,适应当前建设智能电网和“三集五大”体系建设新的工作要求,成为摆在我们面前的一个艰巨任务。

关键词:县级供电公司;信息安全管理

1.电力系统的安全指标

电力系统为各产业的发展提供电力资源,建立信息数据网有利于保障电力控制系统的安全。信息系统主要负责数据信息的传输,同时在运行效率、管理控制方面发挥着不可忽视的作用。信息系统的安全不仅局限于信息的保护,还包括对信息系统的保护、检测和恢复等。为保证信息系统的稳定传输,电力企业应制定相应的安全指标。

1.1使用指标

系统中存储的信息必须具有使用价值,否则就没有必要存储进信息系统。因此,电力企业应确定采取安全保护措施的信息的可用性。如果用户有需要,系统应为其提供相应的访问服务,避免因服务功能不及时等问题造成系统信息的异常存储、传输和处理,给系统功能的正常发挥带来影响。

1.2保密指标

电力企业信息系统所用的数据信息必须进行保密,只允许授权使用的人员查看,并不得透露给其他人员。目前,多数电力企业采用“授权、认证”的方式进行信息的保密,只允许授权使用的用户使用信息系统。执行保密指标,必须确保信息不被损坏、篡改和窃取。

1.3存储指标

实现网络化控制是地理企业的改革创新,在网络系统的运行期间必须保证信息存储的完整性。首先要确定纸质、电子档等信息存储的形式,然后再根据实际需要进行合适的存储指标选择,保证使每项信息都能得到有效存储和维护。

1.4审核指标

对数据信息进行定期审核有助于信息的安全管理。电力企业管理人员应在的科学指导下进行审核工作,给管理人员提供正确的决策和指示。此外,进行信息审核能够及时发现系统中存在的问题,提醒网络控制人员对异常情况进行及时处理,防止给信息系统的安全运行带来安全隐患。

1.5人员指标

人是电力网络信息系统中最关键的因素,系统最终需要技术人员的操作控制,如果专业人员技能不足,会给信息安全系统带来很大风险。如:操作人员随意安装操作系统、随意更改计算机代码、随意更新升级各类软件等,都会给网络信息系统带来安全隐患,破坏网络信息传输的正常进行。

2、工作思路

2.1现状分析

西平县电业公司原来的局域网网络,由于内外网没有隔离,制度制定不全面,管理比较混乱,局域网内的计算机终端可以随意上网,由于没有桌面管理软件,私自接入路由器、交换机的情况比较严重,严重威胁到了公司局域网的网络安全。

2.2工作思路

为进一步加强我公司的信息安全管理,强化日常信息安全的监督、防控及应急处理体系,杜绝发生信息安全事故,有效提升全我公司整体信息安全防护水平,消除安全隐患,解决信息安全短板,强化信息安全建设,重新制定各种信息安全规章制度,明确信息安全责任人,对引起信息安全责任事故的,从严处罚;实施内网物理隔离,局域网内所有计算机终端安装省公司统一部署的北信源桌面管理系统和趋势杀毒软件,配备安全移动存储介质,最大限度消除各类信息安全隐患,确保公司局域网的安全。

3主要做法

3.1加强组织机构与制度建设

我公司成立信息安全组织,以公司经理为组长,主管副经理为副组长,各部室主任为成员的安全信息管理网络体系,分级负责信息安全工作;信息安全管理实行统一领导、分级管理,各部门主要负责人是本单位信息安全第一责任人,公司信息化领导小组负责本单位信息安全重大事项决策和协调工作。公司负责人与各部室及各单位签订信息安全责任书,全体员工签订信息安全保密承诺书,对员工宣传“八不准、三个不发生”的安全要求,明确“谁使用、谁负责”的信息安全原则。信息安全纳入公司安全管理体系,实行专业管理、归口监督,科技信息部负责管理信息大区(信息内网和信息外网)的安全保障,负责指导、协调和检查各单位信息安全工作,组织落实公司信息系统等级保护制度,统筹开展公司信息系统风险评估和安全检查工作,负责规范公司信息系统安全产品的测评和选型工作。组织本单位信息系统安全的宣传和培训,建立健全信息系统安全管理体系,设立系统管理员、网络管理员、安全管理员等岗位。

一是完善制度,制定包括各级信息安全岗位职责、值班制度、巡视检修制度、机房管理制度、业务受理制度、数据备份制度、信息发布与审核制度、信息安全审计制度等在内的各项制度;二是建立健全监督考核机制,严格系统分级权限分配、监督与管理;三是加强流程控制,数据录用前,必须要保证信息系统数据的合法性、安全性以及处理后数据的正确性,更重要的是对各环节人员操作程序进行安全管理,同时还要引进和强化计算机自动控制系统,以保证计算机系统及数据的安全性和数据处理的可靠性。四是建立完善了信息安全责任制度、信息系统日志管理制度、账号与口令管理制度、数据备份制度及应急预案制度等。

3.2加强硬件与软件及信息安全技术建设

为保障信息系统的安全,实施了内外网物理隔离,使互联网和局域网成为两个独立的网络,并配合省、市公司,对县—市—省三级联网通道进行改造,建设成了主通道为100M、备用通道为20M的光纤通道,与省、市公司互联。在各计算机终端安装了北信源桌面管理系统和趋势杀毒软件,启用桌面管理系统的补丁安装功能,对存在漏洞的计算机进行了补丁安装,对于个别无法安装补丁的计算机进行了重新安装操作系统,并实施了弱口令专项治理工作,坚决杜绝弱口令的发生。指派专人实时监控桌面管理系统,确保杀毒软件安装率、桌面管理系统注册率等达到100%。严格执行“涉密不上网、上网不涉密”的纪律要求。在内外网的网络终端上安装安全管理终端,登记内外网终端使用信息,监控网络终端基本信息。严禁违规上国际互联网及其他的信息网的现象;严禁内外网互联现象;严禁使用未登记备案的外网接口;严禁安装、使用未经批准的无线网络等,杜绝违规外联的发生。加强移动存储介质的使用和管理,专门配备了安全移动存储介质,保证了病毒、木马依靠移动存储介质进行传播。在各信息系统服务器上增加软件防火墙,取消不必要的协议及远程登录功能。对于远抄、集抄、智能手机抄表等信息系统,把原来的互联网接入方式更换为APN接入方式,保证了信息系统服务器的安全。对于入网及互联网用户实行严格的审批制度,并对其进行了MAC地址绑定,使局域网安全得以保障。

4对实践过程的思考和对效果的评价

通过一系列的信息安全的建设和管理,改变了原来公司局域网管理混乱的模式,加强了公司信息安全管理工作,提高了公司信息系统整体安全防护水平,实现信息系统安全的可控、能控、在控。规范了信息安全的主要责任,确保信息系统持续、稳定、可靠的运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故,为国网公司“三集五大”体系建设及省电力公司统推的信息系统建设提供了强有力的安全保障,以信息化建设促进了企业管理水平和经济效益的提高。

参考文献

[1]赵慧岩.对计算机网络信息安全建设的探究[J].中国电子商务,2010(1):54.

[2]徐伟锋、张虹、李莉.构建电力企业的网络信息安全[J].陕西电力,2013(10):75-77.

[3]王迎新、牛东晓.电力企业网络信息安全管理研究[J].中国管理信息化(综合版),2013,10(3):15-18.