引言
電力系統是一項涉及電網調度自動化、繼電保護、廠站自動化、配電網自動化、電力負荷控制、電力市場交易、信息網絡系統等有關生產、經營和管理方面的多領域、復雜的大型系統工程。隨著電力企業信息化的不斷發展,信息安全所面臨的危險同時滲透到電力企業生產、經營的各個方面,信息安全問題已成為影響電力安全生產的重大問題。
1 電力企業信息安全管理現狀
1.1電力企業信息安全形勢嚴峻
電力企業內部各業務數據在網絡流轉,一旦出現信息泄密或篡改數據的情況,將給國家造成難以估量的損失。電力企業網絡每天遭受惡意試探式攻擊達數萬次,如此龐大的信息網絡和高頻率的網絡攻擊,使電力企業信息安全的局勢尤為嚴峻。同時電力企業各種信息在業務流程的參與者之間流動,如果系統關鍵數據被竊取和篡改,信息系統的非正常停運和癱瘓,將會嚴重影響電力企業和電力系統的正常運行。
1.2電力企業信息安全防護困難
電力企業信息系統是由眾多復雜的子系統(如廣泛分布于各級調度中心、發電廠、變電站的業務系統)所組成的超大規模、廣域分布和分級遞階的大系統,各種業務系統之間需要進行復雜的信息交換和相互協作。如何確保電力系統不同企業之間及其內部在進行方便、高效信息交換和相互協作的同時,防止來自于內外域各種用戶非法或無意的攻擊、誤操作,防止信息泄漏等,就成為一個極為關鍵的瓶頸問題。
1.3電力企業信息安全防護相關規程
2005年國家電力監管委員會頒布了《電力二次系統安全防護規定》用以指導電力部門在信息化和安全方面的建設。國際電工委員會的IEC 27001標準規定了信息安全管理體系(ISMS)要求與信息安全控制要求,與之配套的IEC 17799標準提供了一套綜合的、由信息安全最佳慣例組成的實施規則。IEC 27001和IEC 17799標準已在我國電網企業廣泛應用。國際大電網會議(CIGRE)于2006年至2009年成立了工作組,并發布了適用于電力公司信息安全框架、風險評估和安全技術的規范,將基線控制、邏輯圖等引入電力公司信息安全管理中。
2 電力企業信息安全管理風險分析
2.1信息安全體系層面
2.1.1信息網絡結構和邊界風險
電力企業在信息網絡結構上存在核心交換機選型不合理等問題,如核心交換機是一臺二層交換機,網絡的安全問題只有通過應用系統去解決。另外,電力企業的信息大多以各種方式與互聯網連接,由于不同安全域之間的網絡連接沒有有效的訪問控制措施,來自互聯網的訪問存在潛在的掃描攻擊、DOS攻擊、非法侵入等。
2.1.2病毒侵害和網絡攻擊
電子郵件系統的廣泛使用,使計算機病毒擴散速度大大加快,網絡成了病毒傳播的最好途徑,計算機病毒已成為電力企業網絡最嚴重的安全風險之一。目前網絡攻擊手法已經融合了多種技術,部分電力企業中的防病毒軟件只能查殺病毒,卻不能有效地阻止病毒的傳播;入侵檢測系統可以檢查出蠕蟲在網絡上傳播,卻不能清除蠕蟲;補丁管理可以防止蠕蟲的感染,卻不能查殺蠕蟲。企業各個安全產品單獨工作,無法系統地查殺病毒并防止病毒傳播。
2.1.3系統安全風險
系統安全風險主要指操作系統、數據庫系統和各種應用系統所存在的安全風險。目前不少電力企業網絡使用的操作系統仍然是以Windows系列操作系統為主。不管使用哪一種操作系統都存在大量已知和未知的漏洞,這些漏洞可以導致人侵者獲得管理員的權限,可以被用來實施拒絕服務等攻擊。
2.1.4信息日常傳遞風險
電力企業和外部的單位都有著許多工作聯系,日常許多信息數據都需要通過互聯網來傳輸。網絡中傳輸的這些信息面臨著各種安全風險,例如被非法用戶截取,從而泄露企業機密;被非法篡改,造成數據混亂、信息錯誤從而造成工作失誤等。非法用戶還有可能假冒合法身份,發送虛假信息,給正常的生產經營秩序帶來棍亂,造成企業損失。
2.2信息安全管理層面
2.2.1信息安全管理措施不到位
電力企業因配置不當或使用過時的操作系統、郵件程序等,造成企業內部網絡存在入侵者可利用的缺陷。當廠商通過發布補丁或升級軟件來解決安全問題時,許多用戶系統不進行同步升級,原因是管理者未充分意識到網絡不安全的風險所在,未引起重視。有些信息系統采用開放的操作系統,安全級別低,又沒有附加安全措施,難以抵御黑客和信息炸彈的攻擊。
2.2.2企業信息管理革新明顯滯后技術發展
相對于信息技術的發展與應用,電力企業管理革新處于落后狀況。有的企業引入了先進的業務系統、管理系統,而管理模式未能實施有效革新,最終導致了信息系統未能發揮預期的、應有的作用。由于信息安全工作具有專業性強,知識面廣的特點,目前電力企業從事信息安全管理工作的技術人才顯得相對缺乏。
2.2.3用戶身份認證和訪問控制不夠
在實際應用中,電力企業部分應用系統的用戶權限管理功能過于簡單,不能靈活實現更細的權限控制;部分應用系統沒有一個統一的用戶管理,無法保證賬號的有效管理和安全;同時因缺乏嚴格的驗證機制,導致非法用戶使用關鍵業務系統;不同業務系統之間缺少較細粒度的訪問控制。
2.2.4企業工作人員安全意識淡薄
企業人員忙于利用網絡工作學習,對網絡信息的安全性無暇顧及,安全意識淡薄。電力企業注重的是網絡效應,對安全領域的投入和管理不能滿足安全防范的要求,網絡信息安全處于被動的封堵漏捌狀態。工作人員安全意識不強,如共用口令、隨意復制及傳播企業內部信息等,增加了黑客進攻的機會和信息泄露的風險,這都將給企業網絡信息安全埋下隱患。
2.2.5企業信息資產管理風險較高
信息資產的高風險性源自于信息資產傳播的低成本性。在激烈競爭的市場環境中信息資產的安全風險較高。一般來說,信息資產經常處于公共的介質中或處于流動狀態,這就使信息資產的復制成本較低,從而導致企業擁有和控制的信息資產的安全性很差。沒有安全保障的信息資產,談不上資產價值。信息資產具有工程性和社會性的軟硬屬性,短期無法量化,價值的確認存在風險,管理的過程中也存在類似風險。
3 電力企業信息安全管理對策
3.1建立信息安全管理組織架構
電力企業信息安全管理可按照“誰主管誰負責,誰運營誰負責”原則,實行統一領導、分級管理。信息安全領導小組由企業的決策層組成。信息安全工作小組由企業各部門管理成員組成,是企業信息安全工作的管理層。信息安全執行層包含信息安全規劃、信息安全監督審計、信息安全運行保障等職能小組和企業各業務支撐部門。企業信息安全實行專業化管理,進行監督。圖1是一個典型的電力企業信息安全管理組織架構。
圖1 典型電力企業信息安全管理組織架構
3.2構建信息安全管理體系框架
電力企業信息安全管理體系可建立在信息安全模型與電力信息化的基礎上,分為信息安全策略、安全管理、安全運行、安全技術措施4個模塊,信息安全管理通過安全運行實現,安全技術作為信息安全的基礎支撐,可輔助實現安全管理和運行安全。典型電力企業信息安全管理體系框架如圖2所示。
3.3確立企業信息安全防護策略
在管理信息系統安全防護策略方面:進行雙網雙機管理,將信息網劃分為信息內網和信息外網,內外網間采用邏輯強隔離裝置進行隔離,內外網分別采用獨立的服務器及桌面終端;根據業務系統類型,進行安全域劃分,以實現不同安全域的獨立化、差異化防護;將各安全域的信息系統劃分為邊界、網絡、主機、應用四個層次進行縱深防御的安全防護措施設計。
圖2 典型電力企業信息安全保陳體系框架
在電力二次系統安全防護策略方面:將電力企業內部基于計算機和網絡技術的應用系統,原則上劃分為生產控制區和管理信息區;建立電力調度數據網專用網絡,承載電力實時控制、在線生產交易等業務;采用不同強度的安全設備隔離各安全區,在生產控制區與管理信息區之間設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。采用認證、加密、訪問控制等技術措施實現數據的遠方安全傳輸以及縱向邊界的安全防護。
3.4加強信息安全管理制度建設
3.4.1信息安全管理基本制度
建立計算機系統使用管理制度,對應用系統重要數據的修改,需要經過授權并由專人負責并登記日志。建立資產管理制度,根據資產重要程度對資產進行標識和管理。建立健全變更管理制度,保證所有與外部系統的連接均得到授權和批準。建立和執行密碼使用管理制度,使用符合國家密碼管理規定的密碼技術和產品。
3.4.2分等級信息安全保護措施
嚴格按照國家有關部門要求,開展企業網絡信息系統定級、審批、備案工作。針對確定的網絡信息系統安全等級,根據等級保護有關要求,落實必要的管理和技術措施,嚴格執行等級保護制度。對于核心程序和數據嚴格保密,實行專人保管。
3.4.3信息安全運行保障管理
對信息系統軟硬件設備選型、采購、使用等實行規范化管理。強化存儲介質存放、使用、維護和銷毀等各項措施。及時升級防病毒軟件,加強全員防病毒木馬的意識。嚴格系統變更、系統重要操作、物理訪問和系統接人申報和審批程序。及時報告信息系統事故情況,認真開展信息系統事故原因分析,堅持“四不放過”原則,有效落實整改。
3.5信息安全技術保障措施
依據“分區、分級、分域”總體防護策略,切實執行信息安全等級保護制度要求,有效落實信息安全防護方案,做好各區之間安全隔離,落實管理信息內、外網之間實施強邏輯隔離的措施。根據信息系統定級水平,科學合理地做好安全域劃分和安全域之間隔離工作。
3.6加強企業工作人員的規范管理
加強企業高管的管理,實施更加嚴格的信息安全管理制度。一方面,高管是公司的核心力量,也是信息安全管理推行的主要支持者,只有以身作則,方可讓全體員工有遵循信息安全要求的動力。另一方面,高管掌握的信息資產多,密級也高,無論是故意或者過失導致這些資產的喪失,都會給企業造成重大的影響。
加強對離職人員的信息安全審查,在其提出離職傾向之后,必須立即著手其信息資源訪問權限的變更,對其己經持有的信息資產進行清點,并要對其在公司剩余的時間內,實施更加嚴格的監控,避免異常事件的發生。
加強關鍵崗位員工信息安全管理。對于直接接觸開發源代碼的人員、直接接觸企業核心商業機密的人員,當然還包括直接從事信息安全管理的人員等等,需要實施特殊的信息安全管理制度,檢查頻率也應該更加頻繁,以減少“堡壘從內部突破”的機會。
加強供應商和合作伙伴信息安全管理。有必要對于供應商和合作伙伴制定一定的信息安全管理規定,避免對方在有意的收集我方的商業情報以做他用。在日常的交流中要嚴格遵守相關規定,除了必須公開的內容,一律不得隨意公開和透露其他信息。
3.7加強企業信息資產的分析和管理
按照信息資產的載體性質不同、價值實現形式不同、來源不同,對信息資產進行識別。強化信息資產觀念,樹立信息資產的資產觀、商品觀、素質觀,提高企業勞動生產率、管理效率和經營利潤,樹立企業良好形象。
健全信息資產管理組織體系,建立健全信息資產管理制度,完善信息資產管理手段,對信息資產進行全面、系統、科學的管理,提高有效運用信息資產創造效益和參與市場競爭的能力。
加強信息資產運營管理,利用信息資產資源與其他生產力要素的組合,使生產力要素保值增值并獲取最佳經濟效益。
推動信息資產共享共建,創造條件使信息資源實現在管理權限內的有效共享,實現信息資產再創新,產生企業的內源信息資產,實現外源信息資產的再增值。
3.8建立信息安全應急保障機制
對于電力企業來說,在不斷完善應急預案,加強培訓和演練,確保人力、設備、技術和財務等應急保障資源可用的同時,還需要建立備份與恢復管理相關安全管理制度,嚴格控制數據備份和恢復過程,妥善保存備份記錄,執行定期恢復程序。認真做好容災方案可行性研究,切實根據需要開展容災系統建設。
4 結束語
電力信息安全與企業生產經營管理密切相關。電力企業應該充分認識到信息安全管理工作是一個系統性、整體性的管理工作,用系統工程的觀點、方法,來分析電力企業信息安全問題及具體管理對策。管理過程中的任何一個漏洞,都會導致信息安全問題。電力企業需要統籌兼顧,統一規劃并建立一套完善的信息安全管理體系,規避企業信息安全管理的風險,解決電力企業信息安全管理間題,提升電力企業信息安全管理水平,以確保電力信息系統安全、可靠、穩定、高效地運行。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:電力企業信息安全現狀分析及管理對策
相關文章
