摘要:本文主要研究了电力企业信息安全建设中的重点和难点,论文主要内容如下:
①客观地分析了电力企业信息安全存在的主要问题。
②提出了电力企业信息安全建设中的重点内容,包括:信息安全意识、重视信息安全建设、信息安全管理工作和打造企业专业信息安全队伍。
③提出了新形势下信息安全面对的难点和其处置关键。
关键词:信息安全;管理;信息安全保障
1、企业信息安全建设的情况
在信息技术飞速发展的今天,我们的社会已经是一个信息化社会,信息无处不在。而对电力企业来说,智能电网建设发展的需求和新技术的应用又处处闪耀着信息化的身影,信息化对电力企业的意义已经上升到了战略层面。
在电力企业信息化建设如火如荼的同时,企业信息安全建设却成为了信息化建设过程中常常被忽略的一环,而这一环节对企业的信息化建设和对企业战略目标的实现却是至关重要的。当今,信息安全问题具有广泛性、全球性、隐蔽性等许多特点,从大环境上来说,做好信息安全工作已经上升为国家层面的大事。2014年2月27日中央网络安全和信息化领导小组宣告成立,国家最高领导人亲自挂帅网络安全建设,网络安全上升为国家战略,信息安全建设的高速航程正式开启,国家的信息安全和政治安全、经济安全、文化安全一样成为国家安全的四大范畴之一[1]。
对于企业来说,一个很重要的观点是需要认识到信息安全的建设是保障企业核心利益的一个重要手段,信息安全的建设虽然不能为企业带来一般意义上的盈利,但对企业有效保护信息资产、维护企业核心利益、实现企业战略目标都是至关重要的。
2、电力企业信息安全建设存在的主要问题
信息安全主要指信息的保密性、完整性和可用性的保持,即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,信息的保密性、完整性和可用性不被破坏。电力企业是国民经济链条上核心的一环,电力企业一般都存在规模大、设备多、数据量大、实时性要求高的特点,因此电力企业的信息安全建设工作需要在遵循一般性的通用框架下也必须关注自身的“个性问题”。在电力企业信息安全建设的过程中,主要存在以下几方面的问题。
2.1 信息安全意识不足
有统计结果表明,在所有信息安全事故中,只有20%--30%是由于黑客入侵或其他外部原因造成的,70%--80%是由于内部员工的疏忽或有意泄密造成的。管理的本质问题是人的问题,任何的问题归根结底也是人的意识问题。在电力企业信息安全意识方面,有很多人的理解还不够深入。一方面,专业技术人员在面对来自建设、维护工作的压力时往往无暇顾及信息安全方面的工作,有一小部分人甚至认为信息安全事故、事件只是小概率事件,不会发生在自己身上,没有引起足够的重视。殊不知,电力企业关系着国家的经济命脉也肩负着社会责任,电力企业的信息安全一旦出问题就都是大问题,将带来巨大的损失。另一方面,一般的业务人员往往缺乏基本的信息安全意识,认为信息安全的工作都是信息部门的事,业务人员的整体信息安全意识不平衡常常导致一些信息安全制度或信息安全流程流于形式。但事实是,一般业务人员在每一次使用终端上网、每一次应用信息系统、每一次使用移动存储设备时都可能因为缺乏信息安全意识给“别有用心”的人可乘之机。
2.2 重建设、轻安全
在信息化建设过程中,业务的快速发展与信息安全建设的滞后是常见的一个问题。在实际工作中,由于业务急需要开通,实际建设时常常是"业务优先,安全靠边",在抓建设进度、建设质量时往往没有对系统安全、应用安全进行规划和整体设计,应付了事、留下安全隐患。信息安全建设常常只能是"亡羊补牢",没有做到事前预防,出了安全事故、事件后才去补救。这样的情况在中小企业和私营企业中表现得更为突出。市场环境的瞬息万变使得小企业必须更快地变化以求得生存,业务模式不断地更新,业务变化超过了其现有安全保障能力,信息安全风险加大。
2.3 重技术、轻管理
实际工作中还存在一种情况,很多企业已经具备了信息安全的意识,也投入了大量的资源,但整体上收效甚微,这主要有几面的误区:
1、信息安全建设欠缺整体规划,造成信息安全设备、软件的重复、过度投入。面对形形色色的信息安全产品,企业如在前期没有经过测评而盲目地上马一堆信息安全产品,不仅会因缺少统一规划而造成投入与产出不相符,还会加大后期的运维成本。
2、信息安全建设偏重技术投入,忽视了后续的收尾、资料归档等工作,文档不足以对后续的运维进行有效地支撑。在实际工作中,有一些信息安全建设人员偏重于建设过程的调试和应用但忽略了配置管理,造成后续维护困难甚至大批量返工的情况。比如,一台服务器做完了信息安全加固的配置后运行一段时间出了故障,在重装后如没有历史的主机安全配置文档作参考,其主机安全加固工作又会耗费多余的人力成本。
3、信息安全建设工作欠缺科学的管理制度保障,存在人员职责不明、流程不清晰等情况。有了技术手段,但如没有相应的制度保障,再昂贵的安全设备没有人员按时地维护、没有配套地文档管理,最终的结果也只能是沦为一堆废铁。
2.4 缺乏企业信息安全专业人才
一些企业下了决心来做信息安全,但真正实施起来的时候又无从下手,这中间人员存在着两方面问题。第一,企业内部缺乏专业的信息安全方面的技术人员,很多实际操作的工作人员“知其然不知其所以然”,在计划或者实施时找不准方向,心有余而力不足。第二,企业信息安全管理的知识沉淀不够,比如通过专业化的学习或者培训,企业拥有了信息安全方面的专业技术人员,但因为知识管理和内部培训做得不到位,没有相应的信息安全文档和组织过程资产留存下来,一旦这些人员因工作原因调离信息安全岗位而又缺乏有效地交接,该企业的信息安全管理可能又“回到了原点”。
总体来说,很多企业都存在信息安全意识不足、“重建设、轻安全”、“重技术、轻管理”、人才匮乏等情况,但一旦忽视信息安全建设,信息最基本的保密性、完整性、可用性则无法保障。企业只有具备了完善的信息安全保障体系才能够为更高级的应用提供保障,作为电力企业来说,广大的电力企业的信息安全更是关乎国家基础建设、国家战略部署和调控的大事,必须谨慎对待、把信息安全的工作做全、做细。
3、电力企业信息安全建设的重点
3.1 多层次的信息安全认识
电力企业的信息安全认识是多层次的。
对于决策层来说,信息安全认识的关键主要在于是否有改革的决心。信息安全的建设是需要付出代价的,也是需要有革命精神的。比如,在企业推行内、外网隔离,对于确实需要上外网的地方需要增加相应的软硬件,而对于不需要上外网的地方把人家的外网断掉势必会引起强烈的反弹,当革命性的改变发生时,必须要做好事前的思想准备,一旦决策意见形成就要坚定不移地贯彻到底。
对于管理层来说,信息安全认识的关键主要集中在操作层面,投什么样的产品、达到什么样的效果、可能会出现什么样的问题、以什么样的制度来保障都需要管理层仔细研究、优化配置。在实际工作中,管理层起到了承上启下的作用,管理层需要带着“风险”、“信息安全”的意识去进行工作,系统思考。
期刊文章分类查询,尽在期刊图书馆
对于基层来说,信息安全认识包括两个方面:专业技术人员需要上升高度去理解电力企业信息安全工作对整个社会稳定的重要性,强化自身责任感和使命感,在工作中将“风险评估”、“安全基线”、“等级保护”等分内事扎实做到位;对于一般业务人员来说,安全认识的建立主要是依靠循序渐进地信息安全意识灌输、周期性的培训和行之有效的信息安全类的指导手册来实现。
3.2 系统建设和信息安全建设两手抓
在信息化项目的建设和运维过程中,电力企业更好时刻警觉头上悬着的一把利剑----信息安全,信息安全建设是信息化建设中不可或缺的一环,在实际操作中要注意:
1、信息系统建设的顶层设计中包含信息安全规划、设计,周密考量、科学指导实施。
2、在信息系统建设的各个评审关键节点引入信息安全评审的内容,及早发现问题、解决问题。
3、在信息系统投运后的运维过程中,要定期进行信息安全风险评估,找到潜在的脆弱性,弄清自身薄弱环节,尽量做到事前预防。
4、对于不同等级的系统、不同运行环境的应用要分类制定策略,通过合理选择信息安全产品、制定信息安全策略,用有限的人力、物力实现信息安全效益的最大化。没有绝对的安全,只有相对的安全。
5、对部署的信息安全产品、实施的安全策略定期抽样检查,做好监控工作。
3.3 三分技术、七分管理
俗话说:“三分技术、七分管理”。站在较高的层面看,信息安全的问题实际上是人的问题,而人的问题最终需要依靠管理手段来解决,单凭技术手段是无法解决信息安全的问题,要结合管理手段才能取得较好的效果。在具体的信息安全管理工作中,需要注意以下几点:
1、企业要建立信息安全管理的组织机构,明确权责。
2、企业要建立较完善的信息安全管理制度、流程。
3、企业要定期检查信息安全制度的执行情况,及时反馈、优化。
总体来说,信息安全的有效开展需要行之有效的管理制度和组织保障作为支撑。
3.4 打造信息安全专业队伍
所有的问题本质上都是人的问题,企业信息安全建设成功与否,人的因素占了很大的比重。对于信息化专业从业人员来说,人员的专业技术水平、人员的职业精神、人员的持续培训和提升都是十分重要的,再好的信息安全产品如果交给没有专业技术水平和工作责任心的人维护,其结果也只能是提早结束生命周期。要做好企业的信息安全,持续打造、用好信息安全专业技术队伍是核心。
对企业内部信息安全专业人员通过培训、硬性取证、持证上岗、实操仿真等方法来提升人员的个人技术能力,实现“不知”到“知道”的跨越。
做好企业内部信息安全的专业技术培训,做好信息安全的知识管理和文档管理,实现“个人知道”到“众人知道”的跨越。
当遇到“疑难杂症”时及时求助第三方信息安全专业机构,以更专业的视角指导企业内部的信息安全工作。
4、电力企业信息安全建设的难点
4.1 大数据、云计算背景下的信息安全建设
电力企业因为自身负荷预测、客户管理、设备管理等方面精益化管理的需求越来越需要大数据技术的应用。因传统“单机作战”的计算模式无法满足大数据应用的要求,与大数据相适应的云计算技术就成为了电力企业下一阶段发展的主流。
在云计算时代,大量信息系统在虚拟的统一资源池上构建,形成大型服务器集群,成为企业级的云计算平台。[2]云计算平台下聚集了大量的服务器,除了云计算本身应用软件的信息安全之外,每一台服务器的安全基线也必须把握好,不要让“木桶效应”的短板在云计算平台上蔓延。在企业级的云计算平台上,电力企业的负荷、电量、电费等涉及企业机密、秘密的信息都有可能会泄露,需要信息安全专业人员持续的关注。
在云计算平台的信息安全建设上,重点要关注:
1、平台整体架构的设计,如网络设计、存储设计、虚拟服务器和物理服务器的配比等。
2、建立容错机制、冗余机制。
3、持续关注新技术的发展,紧跟信息安全技术发展的步伐,做到有选择、不盲从。
4.2 移动互联网应用的信息安全建设
2013年、2014年,连续两年的央视315晚会都曝光了一些开发商、广告商等利用手机等无线智能终端盗取个人信息牟利的事件,移动互联网的信息安全态势越发不乐观。移动互联网应用的智能终端具有使用范围广、终端数量多、品类型号复杂、操作系统安全性差、漏洞隐蔽性强、使用者信息安全意识薄弱等许多特点,存在着很大的隐患。
电力企业在建设智能电网的进程中不断引入新技术,智能手机、智能平板在电力企业业务中的应用已屡见不鲜,出现了“配网移动作业”、“电力移动营业厅”等一大批的应用,在电力企业移动互联网应用的同时,需要特别注意以下几点:
1、科学规划智能终端的选型、采购,尽量统一型号,如有条件使用安全初始配置完善的专用定制机型,尽量使安全配置项简化,减少工作量。
2、持续关注新技术的发展,如一旦出现新的可靠性高的加密/解密算法应适时推广应用。
3、关注应用层的信息安全设计,减少漏洞。
4、及时更新移动智能终端和服务器后台的补丁。
5、结语
企业的信息安全主要包括了物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、终端安全和相应的管理规范等,内容多、范围广。[3]维护企业的信息安全需要大量信息安全专业技术人员和一般业务人员的共同努力,共同建立集技术、管理、人员三位一体的信息安全保障体系。现今,信息安全的建设已经进入了“高速”模式,国家要实现跨越式发展离不开电网企业和电网信息化的大力支持,电力企业信息安全建设对于电网企业稳定运行、实现盈利、承担社会责任都有着实战的意义。小到电力企业的信息安全建设,大到国家的信息化战略,信息安全建设工作都意义深远,做好信息安全建设工作和做好信息化建设工作一样,都将助力电力企业信息化水平的提升和整个国家信息化战略的实现。
参考文献:
[1] 李文武,游文霞,王先培.电力系统信息安全研究综述[J].电力系统保护与控制,2011(10)
[2] 王燕,王煦.云计算时代对我国信息安全的思考[J].现代管理科学,2011(2)
[3] 卢仁猛.电力行业信息安全体系建设初探[C].2008年电力信息化高级论坛论文集,2008
作者简介:杨箴(1983),女,本科,高级工程师,现从事信息系统建设、IT服务管理等相关技术工作。
论文作者:杨箴
论文发表刊物:《电力设备》2019年第19期
论文发表时间:2020/1/15
标签:信息安全论文; 电力企业论文; 企业论文; 工作论文; 信息论文; 人员论文; 技术论文; 《电力设备》2019年第19期论文;