電力企業(yè)信息安全建設(shè)的重要性

1 信息安全建設(shè)的目標(biāo)

    呂梁供電公司信息安全建設(shè)的目標(biāo)是：基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo)，提供全面的安全服務(wù)內(nèi)容，覆蓋從物理、網(wǎng)絡(luò)、系統(tǒng)、直至數(shù)據(jù)和應(yīng)用平臺(tái)各個(gè)層面，構(gòu)建全面、完整、高效的信息安全體系，從而提高公司信息系統(tǒng)的整體安全等級(jí)。為公司的業(yè)務(wù)發(fā)展提供堅(jiān)實(shí)的信息安全保障。

    1．1信息安全管理的理念或策略

    從宏觀的、整體的角度出發(fā)，系統(tǒng)的建設(shè)公司信息安全體系，不僅僅局限于技術(shù)層面，而是全面構(gòu)架信息安全技術(shù)體系，覆蓋從物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、到數(shù)據(jù)和應(yīng)用系統(tǒng)安全各個(gè)層面。同時(shí)，建立全面有效的安全管理體系和運(yùn)行保障體系。技術(shù)和管理并重，突出安全管理在信息安全體系中的重要性，僅僅憑借安全技術(shù)體系，無(wú)法解決所有的安全問(wèn)題，安全管理體系和技術(shù)防護(hù)相互配合，增強(qiáng)技術(shù)防護(hù)體系的效率和效果，同時(shí)也彌補(bǔ)當(dāng)前技術(shù)無(wú)法完全解決的安全缺陷，使得安全技術(shù)體系發(fā)揮最佳的保障效果。

    1．2信息安全管理的范圍和目標(biāo)

    呂梁供電公司信息安全防護(hù)的總體目標(biāo)是為了貫徹和落實(shí)公安部、國(guó)家保密局、國(guó)家密碼管理局、電監(jiān)會(huì)等國(guó)家有關(guān)部門信息安全工作要求，全面完善公司信息安全防護(hù)體系，落實(shí)國(guó)網(wǎng)公司“雙網(wǎng)雙機(jī)、分區(qū)分域、等級(jí)防護(hù)、多層防御”的安全防護(hù)策略，確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行，確保信息內(nèi)容的機(jī)密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能使用和系統(tǒng)崩潰，抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止公司對(duì)外服務(wù)中斷和由此造成的一次系統(tǒng)事故。確保信息安全工作在公司的順利開展，逐步提高公司信息安全整體防護(hù)水平。對(duì)呂梁供電公司信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，涵蓋管理與技術(shù)兩部分，其中管理包括管理機(jī)構(gòu)、管理制度、系統(tǒng)運(yùn)維、人員安全和系統(tǒng)建設(shè)五個(gè)方面，技術(shù)則包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)方面。通過(guò)評(píng)估的實(shí)施，不僅可以進(jìn)一步提高信息系統(tǒng)安全保護(hù)符合性要求，而且可以將整個(gè)信息系統(tǒng)的安全狀況提升到一個(gè)較高的水平，并盡可能地消除或降低信息系統(tǒng)的安全風(fēng)險(xiǎn)。

    1．3信息安全管理的指標(biāo)體系及目標(biāo)值

    1．3．1分區(qū)分域

    依據(jù)國(guó)家電網(wǎng)公司安全分區(qū)、分級(jí)、分域及分層防護(hù)的原則，呂梁供電公司信息網(wǎng)絡(luò)已劃分為信息內(nèi)網(wǎng)和信息外網(wǎng)。

    信息內(nèi)網(wǎng)依據(jù)總體方案“二級(jí)系統(tǒng)統(tǒng)一成域，三級(jí)系統(tǒng)獨(dú)立分域”方法，結(jié)合公司實(shí)際，信息內(nèi)網(wǎng)系統(tǒng)可分為：營(yíng)銷系統(tǒng)二級(jí)域；財(cái)務(wù)系統(tǒng)二級(jí)域；公共服務(wù)域(WWW 、DNS、辦公自動(dòng)化系統(tǒng)等)；桌面終端域。

    信息外網(wǎng)的系統(tǒng)可分為：對(duì)外應(yīng)用系統(tǒng)域：桌面終端域。安全域的具體實(shí)現(xiàn)采用物理防火墻、虛擬防火墻或VLAN、VPN等隔離方法。基本實(shí)現(xiàn)目標(biāo)為劃分的各域邊界可進(jìn)行訪問(wèn)控制。

    進(jìn)行安全域劃分后，公司內(nèi)網(wǎng)二級(jí)域3個(gè)，桌面終端域1個(gè)：外網(wǎng)服務(wù)域1個(gè)，桌面終端域1個(gè)。

    1．3．2控制指標(biāo)

    公司同業(yè)對(duì)標(biāo)指標(biāo)目標(biāo)值：信息安全次數(shù)為0次，信息系統(tǒng)可用率為100％ ，信息系統(tǒng)應(yīng)用指標(biāo)為100％。

2專業(yè)管理的主要做法

    2．1主要做法說(shuō)明

    2．1．1物理安全

    物理安全主要是網(wǎng)絡(luò)設(shè)備及主機(jī)安全，呂梁供電公司網(wǎng)絡(luò)設(shè)備及系統(tǒng)服務(wù)器存放在專門的計(jì)算機(jī)機(jī)房，首先通過(guò)門禁系統(tǒng)保證這些設(shè)備自身的安全性，并建立了專門的人員出入訪問(wèn)控制機(jī)制，嚴(yán)格控制人員出入計(jì)算機(jī)機(jī)房和其他重要安全區(qū)域，便于檢查和分析。其次，指定專門的人員，負(fù)責(zé)計(jì)算機(jī)機(jī)房地建設(shè)和管理工作，建立了計(jì)算機(jī)機(jī)房管理制度，對(duì)設(shè)備安全管理、介質(zhì)安全管理、人員出入訪問(wèn)控制管理等作出了詳細(xì)的規(guī)定，并定期對(duì)計(jì)算機(jī)機(jī)房各項(xiàng)安全措施和安全管理制度的有效性和實(shí)施狀況進(jìn)行檢查，發(fā)現(xiàn)問(wèn)題，及時(shí)整改。

    2．1．2運(yùn)行安全

    為了保證信息網(wǎng)絡(luò)的安全運(yùn)行，呂梁供電公司開展了雙網(wǎng)雙機(jī)建設(shè)，也就是內(nèi)網(wǎng)和外網(wǎng)物理邏輯隔離，內(nèi)網(wǎng)用計(jì)算機(jī)與外網(wǎng)用計(jì)算機(jī)物理分開的建設(shè)。

    2．1．3信息安全

    呂梁供電公司要求每位員工有效利用各種口令，每臺(tái)機(jī)器都設(shè)置有開機(jī)口令，確保口令長(zhǎng)度至少8個(gè)字符，并且是大小寫字母、數(shù)字和特殊字符中的三種組合，并要求至少3個(gè)月更換一次口令。

    關(guān)于信息加密方面，公司要求重要信息、文件等不能在外網(wǎng)傳送，必須在內(nèi)網(wǎng)發(fā)送，并且要加密發(fā)送，并要求關(guān)閉計(jì)算機(jī)文件共享，確保信息不會(huì)泄露。

    每臺(tái)計(jì)算機(jī)必須安裝省公司統(tǒng)一推廣的趨勢(shì)殺毒軟件及啟用防火墻，發(fā)現(xiàn)有未安裝殺毒軟件的機(jī)器立即短網(wǎng)，防止外部用戶非法進(jìn)入。

    2．2確保流程正常運(yùn)行的人力資源保證

    根據(jù)省公司對(duì)于信息安全的總體部署，為切實(shí)做好信息系統(tǒng)安全工作，我公司成立了以公司經(jīng)理為組長(zhǎng)，分管科技信息工作的副經(jīng)理為常務(wù)副組長(zhǎng)，各部門和所屬單位一把手為成員的“網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組”，全面負(fù)責(zé)公司的信息安全工作。領(lǐng)導(dǎo)組下設(shè)辦公室，由科信部全體成員和所屬各單位專責(zé)人共同組成，負(fù)責(zé)信息安全方面的有關(guān)技術(shù)保障、事故應(yīng)急處理以及信息風(fēng)險(xiǎn)和事故評(píng)估等具體工作。

    公司要求所屬各單位、各部門要認(rèn)真按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”和屬地化管理的要求，認(rèn)真履行信息系統(tǒng)安全職責(zé)，嚴(yán)格按照“三個(gè)百分之百”要求，落實(shí)公司信息系統(tǒng)與保密工作的制度和規(guī)定，執(zhí)行“雙網(wǎng)雙機(jī)、分區(qū)分域、等級(jí)防護(hù)、多層防御”的信息安全總體防護(hù)策略，切實(shí)抓好信息系統(tǒng)安全責(zé)任和制度的落實(shí)，確保完成了雙網(wǎng)隔離、等級(jí)保護(hù)，確保了信息系統(tǒng)安全建設(shè)，安全運(yùn)行，安全應(yīng)用。

    組織所屬各單位的信息專責(zé)人進(jìn)行了信息安全學(xué)習(xí)和警示教育，組織學(xué)習(xí)公司信息化規(guī)章制度，重點(diǎn)學(xué)習(xí)電監(jiān)會(huì)《關(guān)于開展電網(wǎng)企業(yè)信息安全檢查的通知》(電監(jiān)信息[2009]3號(hào)，國(guó)網(wǎng)公司《關(guān)于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)和信息系統(tǒng)安全的緊急通知》(辦信息[2009]3號(hào))，以及《信息化“SG186”工程安全防護(hù)總體方案(試行)》(國(guó)家電網(wǎng)信息f20081316號(hào))，深入了解公司面臨的嚴(yán)峻的信息系統(tǒng)安全形勢(shì)，全面掌握公司部署的應(yīng)對(duì)措施，結(jié)合工作實(shí)際，借鑒信息安全保電經(jīng)驗(yàn)，對(duì)曾經(jīng)出現(xiàn)的信息系統(tǒng)安全事件與薄弱環(huán)節(jié)進(jìn)行匯總、分析，普及信息系統(tǒng)安全警示教育，整肅安全管理作風(fēng)。

    整理完成了包括電監(jiān)辦、國(guó)網(wǎng)公司、省公司、公司規(guī)章制度在內(nèi)的《網(wǎng)絡(luò)與信息系統(tǒng)規(guī)章制度匯編》，修訂下發(fā)了《呂梁供電公司信息系統(tǒng)安全管理辦法》、《呂梁供電公司信息安全總體防護(hù)方案》。進(jìn)一步完善了專項(xiàng)應(yīng)急預(yù)案的制訂和審查備案等工作。

3 評(píng)估與改進(jìn)

    通過(guò)在管理方面和技術(shù)方面采取的有效措施，使公司同業(yè)對(duì)標(biāo)信息化指標(biāo)上半年完成情況：信息安全次數(shù)為為0次，信息系統(tǒng)可用率為100％，信息系統(tǒng)應(yīng)用指標(biāo)為100％。

    但在信息中心機(jī)房的物理安全等方面仍存在一些問(wèn)題，比如電源室空調(diào)制冷效果，監(jiān)控等問(wèn)題，我們?nèi)匀灰�不斷加�?qiáng)管理，在網(wǎng)省公司的指導(dǎo)下采取有效措施，進(jìn)行整改，把呂梁供電公司的信息安全防護(hù)水平提高到一個(gè)新的階段。

4 結(jié)束語(yǔ)

    信息安全是一個(gè)相對(duì)的概念，我們只能使系統(tǒng)越來(lái)越安全，而做不到絕對(duì)的安全。為了保護(hù)計(jì)算機(jī)系統(tǒng)里各種信息，我們必須時(shí)刻保持高度的警惕，做到對(duì)自己的系統(tǒng)安全情況始終有一個(gè)清醒的認(rèn)識(shí)。只有這樣才能使你的信息系統(tǒng)受到最大程度的保護(hù)，從而保障單位及個(gè)人信息的安全。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標(biāo)題：電力企業(yè)信息安全建設(shè)的重要性

本文網(wǎng)址：http://m.hanmeixuan.com/html/consultation/1083952655.html