二、解決信息安全問題的基本原則

統(tǒng)籌規(guī)劃,分步實施。要建立完整的信息安全防護(hù)體系,絕不能一哄而上,必須分清需求的輕重緩急,根據(jù)信息化建設(shè)的發(fā)展,結(jié)合信息系統(tǒng)建設(shè)和應(yīng)用的步伐,統(tǒng)一規(guī)劃,分步建設(shè),逐步投資。

1、做好安全風(fēng)險的評估。進(jìn)行安全系統(tǒng)的建設(shè),首先必須做好安全狀況評估分析,評估應(yīng)聘請專業(yè)信息安全咨詢公司,并組織企業(yè)內(nèi)部信息人員和專業(yè)人員深度參與,全面進(jìn)行信息安全風(fēng)險評估,找出問題,確定需求,制定策略,再來實施,實施完成后還要定期評估和改進(jìn)。

信息安全系統(tǒng)建設(shè)著重點在安全和穩(wěn)定,應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品,不能過分求全求新。

培養(yǎng)信息安全專門人才和加強(qiáng)信息安全管理工作必須與信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行,才能真正發(fā)揮信息安全防護(hù)系統(tǒng)和設(shè)備的作用。

2、采用信息安全新技術(shù),建立信息安全防護(hù)體系

企業(yè)信息安全面臨的問題很多,我們可以根據(jù)安全需求的輕重緩急,解決相關(guān)安全問題的信息安全技術(shù)的成熟度綜合考慮,分步實施。技術(shù)成熟的,能快速見效的安全系統(tǒng)先實施

3、計算機(jī)防病毒系統(tǒng)

計算機(jī)防病毒系統(tǒng)是發(fā)展時間最長的信息安全技術(shù),從硬件防病毒卡,單機(jī)版防病毒軟件到網(wǎng)絡(luò)版防病毒軟件,到企業(yè)版防病毒軟件,技術(shù)成熟且應(yīng)用效果非常明顯。防病毒軟件系統(tǒng)的應(yīng)用基本上可以防治絕大多數(shù)計算機(jī)病毒,保障信息系統(tǒng)的安全。

在目前的網(wǎng)絡(luò)環(huán)境下,能夠提供集中管理,服務(wù)器自動升級,客戶端病毒定義碼自動更新,支持多種操作系統(tǒng)平臺,多種應(yīng)用平臺殺毒的企業(yè)版殺毒軟件,是電網(wǎng)公司這樣的大型企業(yè)的首選。個人版本的殺毒軟件適合家庭,小規(guī)模用戶。

4、網(wǎng)絡(luò)安全防護(hù)系統(tǒng)

信息資源訪問的安全是信息安全的一個重要內(nèi)容,在信息系統(tǒng)建設(shè)的設(shè)計階段,就必須仔細(xì)分析,設(shè)計出合理的,靈活的用戶管理和權(quán)限控制機(jī)制,明確信息資源的訪問范圍,制定信息資源訪問策略。

對于已經(jīng)投入使用的信息系統(tǒng),可以通過采用增加安全訪問網(wǎng)關(guān)的方法,來增強(qiáng)原有系統(tǒng)的用戶管理和對信息資源訪問的控制,以及實現(xiàn)單點登陸訪問任意系統(tǒng)等功能。這種方式基本上不需要改動原來的系統(tǒng),實施的技術(shù)難度相對小一些。對于新建系統(tǒng),則最好采用統(tǒng)一身份認(rèn)證平臺技術(shù),來實現(xiàn)不同系統(tǒng)通過同一個用戶管理平臺實現(xiàn)用戶管理和訪問控制。

5、開展信息安全專題研究,為將來的應(yīng)用做好準(zhǔn)備

電網(wǎng)實時監(jiān)視與控制系統(tǒng)的安全問題要求更高,技術(shù)難度更大,應(yīng)開展專題研究。

國家有關(guān)部門和電力企業(yè)對電網(wǎng)實時監(jiān)視與控制系統(tǒng)的安全問題高度重視,專門發(fā)文要求確保電網(wǎng)二次系統(tǒng)的計算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全,要實現(xiàn)調(diào)度控制系統(tǒng),數(shù)據(jù)網(wǎng)與其他生產(chǎn)管理系統(tǒng)和網(wǎng)絡(luò)的有效隔離,甚至是物理隔離。

6、電子商務(wù)安全需要深入研究和逐步應(yīng)用

電子商務(wù)的安全牽涉很多方面,包括嚴(yán)格,安全的身份的認(rèn)證技術(shù),對涉及商業(yè)機(jī)密的信息實現(xiàn)加密傳輸,采取數(shù)字簽名技術(shù)保證合同和交易的完整性及不可否認(rèn)性等。這些方面又與信息安全基礎(chǔ)技術(shù)平臺密切相關(guān),因此安全基礎(chǔ)平臺的建設(shè)對于電子商務(wù)的安全應(yīng)用是至關(guān)重要的。目前已經(jīng)有電子商務(wù)的應(yīng)用系統(tǒng)投入在線使用,我們必須加快對電子商務(wù)的安全的研究和應(yīng)用,否則將來會出現(xiàn)因電子在線交易不安全,不可靠的而導(dǎo)致電子商務(wù)系統(tǒng)無人敢用的局面。

7、依據(jù)法規(guī),遵循標(biāo)準(zhǔn),提高安全管理水平

信息安全的管理包括了法律法規(guī)的規(guī)定,責(zé)任的分化,策略的規(guī)劃,政策的制訂,流程的制作,操作的審議等等。雖然信息安全"七分管理,三分技術(shù)"的說法不是很精確,但管理的作用可見一斑。

三、解決信息安全問題的思路與對策

電力企業(yè)的信息安全管理相對來說還是一個較新的話題,國內(nèi)其他電力企業(yè)也在積極研究和探討,以下是一些粗淺的看法。

1、依據(jù)國家法律,法規(guī),建立企業(yè)信息安全管理制度

國家在信息安全方面發(fā)布了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn),對信息網(wǎng)絡(luò)安全進(jìn)行了明確的規(guī)定，并有專門的部門負(fù)責(zé)信息安全的管理和執(zhí)法。企業(yè)首先必須遵守國家發(fā)布的這些法律法規(guī)和技術(shù)標(biāo)準(zhǔn),企業(yè)也必須依據(jù)這些法律法規(guī),來建立自己的管理標(biāo)準(zhǔn),技術(shù)體系,指導(dǎo)信息安全工作。學(xué)習(xí)信息安全管理國際標(biāo)準(zhǔn),提升企業(yè)信息安全管理水平

國際上的信息技術(shù)發(fā)展和應(yīng)用比我們先進(jìn),在信息安全領(lǐng)域的研究起步比我們更早,取得了很多的成果和經(jīng)驗,我們可以充分利用國際標(biāo)準(zhǔn)來指導(dǎo)我們的工作,提高水平,少走彎路。

信息安全是企業(yè)信息化工作中一項重要而且長期的工作,為此必須各單位建立一個信息安全工作的組織體系和常設(shè)機(jī)構(gòu),明確領(lǐng)導(dǎo),設(shè)立專責(zé)人長期負(fù)責(zé)信息安全的管理工作和技術(shù)工作,長能保證信息安全工作長期的,有效的開展,才能取得好的成績。

2、開展全員信息安全教育和培訓(xùn)活動

安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容,信息安全不僅僅是信息部門的事,它牽涉到企業(yè)所有的員工,為了保證安全的成功和有效,應(yīng)當(dāng)對企業(yè)各級管理人員,用戶,技術(shù)人員進(jìn)行安全培訓(xùn),減少人為差錯,失誤造成的安全風(fēng)險。

開展安全教育和培訓(xùn)還應(yīng)該注意安全知識的層次性,主管信息安全工作的負(fù)責(zé)人或各級管理人員,重點是了解,掌握企業(yè)信息安全的整體策略及目標(biāo),信息安全體系的構(gòu)成,安全管理部門的建立和管理制度的制定等;負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護(hù)技術(shù)的合理運(yùn)用等;用戶,重點是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔(dān)的安全職責(zé)等。

3、充分利用企業(yè)網(wǎng)絡(luò)條件,提供全面,及時和快捷的信息安全服務(wù)

山東省電力公司廣域網(wǎng)聯(lián)通了系統(tǒng)內(nèi)的各個二級單位,各單位的局域網(wǎng)全部建成,在這種良好的網(wǎng)絡(luò)條件下,作為省公司一級的信息安全技術(shù)管理部門應(yīng)建立計算機(jī)網(wǎng)絡(luò)應(yīng)急處理的信息發(fā)布與技術(shù)支持平臺,發(fā)布安全公告,安全法規(guī)和技術(shù)標(biāo)準(zhǔn),提供安全軟件下載,搜集安全問題,解答用戶疑問,提供在線的信息安全教育培訓(xùn),并為用戶提供一個相互交流經(jīng)驗的場所。網(wǎng)絡(luò)方式的信息服務(wù)突破了時間,空間和地域的限制,是信息安全管理和服務(wù)的重要方式。

4、在發(fā)展中求安全

沒有百分之百安全的技術(shù)和防護(hù)系統(tǒng)黑客技術(shù),計算機(jī)病毒等信息安全攻擊技術(shù)在不斷發(fā)展的,人們對它們的認(rèn)識,掌握也不是完全的,安全防護(hù)軟件系統(tǒng)由于技術(shù)復(fù)雜,在研制開發(fā)過程中不可避免的會出現(xiàn)這樣或者那樣的問題,這勢必決定了安全防護(hù)系統(tǒng)和設(shè)備不可能百分百的防御各種已知的,未知的信息安全威脅。

不是所有的信息安全問題可以一次解決

人們對信息安全問題的認(rèn)識是隨著技術(shù)和應(yīng)用的發(fā)展而逐步提高的,不可能一次就發(fā)現(xiàn)所有的安全問題。信息安全生產(chǎn)廠家所生產(chǎn)的系統(tǒng)和設(shè)備,也僅僅是滿足某一些方面的安全需求,不是企業(yè)有某一方面的信息安全需求,市場上就有對應(yīng)的成熟產(chǎn)品,因此不是所有的安全問題都可以找到有效的解決方案。

5、解決信息安全問題不可能一勞永逸

企業(yè)的信息化應(yīng)用是隨著企業(yè)的發(fā)展而不斷發(fā)展的,信息技術(shù)更是日新月異的發(fā)展的,安全的需求也是逐步變化的,新的安全問題也不斷產(chǎn)生,原來建設(shè)的防護(hù)系統(tǒng)可能不滿足新形勢下的安全需求,這些都決定了信息安全是一個動態(tài)過程,需要定期對信息網(wǎng)絡(luò)安全狀況進(jìn)行評估,改進(jìn)安全方案,調(diào)整安全策略。信息安全是一個伴隨著企業(yè)信息化應(yīng)用發(fā)展而發(fā)展的永恒課題。