鄭雪菲

[摘? ? 要] 隨著信息系統(tǒng)在火力發(fā)電企業(yè)的應(yīng)用范圍不斷增大，信息安全越來越得到重視，火力發(fā)電企業(yè)作為國民經(jīng)濟(jì)支撐力量，一旦在網(wǎng)絡(luò)、信息安全方面出現(xiàn)問題，所造成的損失將無法估量。本文將以火力發(fā)電企業(yè)信息安全為研究對象，結(jié)合企業(yè)逐年開展信息安全等級保護(hù)工作，對其信息安全管理常見問題進(jìn)行分析，從而提出改善措施，最終達(dá)到企業(yè)生產(chǎn)經(jīng)營業(yè)務(wù)安全運(yùn)行的目的。

[關(guān)鍵詞] 火力發(fā)電企業(yè);信息安全管理;問題與措施

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2020. 17. 075

[中圖分類號] C931.6? ? [文獻(xiàn)標(biāo)識碼]? A? ? ? [文章編號]? 1673 - 0194（2020）17- 0174- 03

0? ? ? 前? ? 言

信息安全管理是管理體系中的一個重要部分，企業(yè)要積極地加強(qiáng)信息安全環(huán)境建設(shè)，逐步建立統(tǒng)一的信息安全管理體系，解決信息安全隱患，發(fā)揮信息系統(tǒng)的效率，通過逐年加強(qiáng)等級保護(hù)的建設(shè)，建立科學(xué)地從“防護(hù)”到“檢測”再到信息安全管控體系，不斷識別企業(yè)在信息安全技術(shù)層面和管理層面的不足和差距，設(shè)計更加合理的符合發(fā)電企業(yè)特點的安全管理措施和技術(shù)措施，才能進(jìn)一步保障企業(yè)信息安全，提高和抵御外部非法的竊聽和攻擊行為，因此，研究火力發(fā)電企業(yè)網(wǎng)絡(luò)安全管理問題與措施具有一定的現(xiàn)實意義。

1? ? ? 信息安全管理存在的問題

火力發(fā)電企業(yè)主要依靠安裝、升級信息安全的產(chǎn)品和技術(shù)、等級保護(hù)測評等解決信息安全初期的問題，一定程度上解決了部分信息安全問題，即使采購和使用了通過國家認(rèn)證的信息安全產(chǎn)品，如防病毒、防火墻、入侵檢測、安全審計等，仍然無法避免一些安全事件的發(fā)生。例如發(fā)電機(jī)組工業(yè)控制類系統(tǒng)按國家發(fā)改委第14號令要求每年開展三級信息系統(tǒng)等級保護(hù)測評，有些工控系統(tǒng)因開發(fā)平臺是國外產(chǎn)品，國產(chǎn)化推進(jìn)進(jìn)程緩慢，整改的措施及效果并不理想。

由于管理、人員的復(fù)雜性，即便是熟悉信息技術(shù)的人根據(jù)國家標(biāo)準(zhǔn)制定管理制度，很難系統(tǒng)、全面地概括信息安全管理的方方面面。如依據(jù)電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求，信息載體的物理平臺、系統(tǒng)平臺、通信平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺的安全管理要求在日常管理中難快速達(dá)標(biāo)。

據(jù)統(tǒng)計，人為因素造成的信息安全問題達(dá)70%以上，但這些問題大部分可以通過有效的管理方法來避免，因此，管理已成為安全保障能力的重要基礎(chǔ)。

2? ? ? 信息安全管理目的、系統(tǒng)設(shè)計規(guī)劃與管理的基本原則

2.1? ?信息安全管理目的

具體來說，火力發(fā)電企業(yè)信息安全管理目的有：

（1）將制度、技術(shù)規(guī)范、軟件設(shè)置等方法結(jié)合起來，構(gòu)成嚴(yán)密的安全策略，阻擊非法用戶進(jìn)入，減少計算機(jī)系統(tǒng)受破壞的可能。

（2）通過審計非法登錄、使用的記錄，信息系統(tǒng)管理者將系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，減少損失。

（3）分析安全設(shè)備的審計、日志等，完善信息安全技術(shù)層面和管理層面的不足。

2.2? ?系統(tǒng)設(shè)計規(guī)劃與管理的基本原則

（1）規(guī)范設(shè)計、預(yù)防為主原則

針對企業(yè)不同業(yè)務(wù)領(lǐng)域的信息系統(tǒng)，設(shè)計多個安全方案時，盡可能保持各種方案的整體性與一致性，信息系統(tǒng)的規(guī)劃、設(shè)計、實現(xiàn)、運(yùn)行要有安全規(guī)范要求，選用必要的安全設(shè)備，不盲目開發(fā)、自由設(shè)計;安裝中同步考慮安全策略的可行性，對待信息安全問題，不存僥幸心理，預(yù)防為主，需要涉及監(jiān)測、防護(hù)以及恢復(fù)等各種機(jī)制。

（2）均衡保護(hù)、分權(quán)制衡原則

有必要根據(jù)企業(yè)實際情況、經(jīng)營特點、實際經(jīng)營能力等方面，在信息系統(tǒng)的規(guī)劃、設(shè)計過程中努力消除安全保護(hù)的薄弱環(huán)節(jié);重要環(huán)節(jié)涉及的管理權(quán)限，人員使用A、B角，避免權(quán)限集中，分權(quán)可以相互制約，提高系統(tǒng)安全性。

（3）應(yīng)急響應(yīng)、災(zāi)難恢復(fù)原則

越是重要的信息系統(tǒng)，越要重視災(zāi)難恢復(fù)。建立信息安全應(yīng)急響應(yīng)預(yù)案，按半年或年進(jìn)行應(yīng)急演練。有條件的企業(yè)，可以在本地場外、異地設(shè)立災(zāi)備中心，保持重要系統(tǒng)本地和異地災(zāi)備中心數(shù)據(jù)一致性，一旦遇到災(zāi)難，立即恢復(fù)數(shù)據(jù)，或啟動備份系統(tǒng)，保證系統(tǒng)的連續(xù)工作。

（4）動態(tài)調(diào)整、簡化易操原則

企業(yè)信息安全管理并非一成不變，需要結(jié)合企業(yè)生產(chǎn)規(guī)模、信息業(yè)務(wù)不斷變化的實際情況，對信息安全管理進(jìn)行及時更新與調(diào)整，從而滿足新需求。更新與調(diào)整時，注重簡化復(fù)雜的安全操作過程，結(jié)合操作人員實際技能，外聘專家指導(dǎo)信息安全管理，提高安全管理的有效性。

（5）定期評價、持續(xù)改進(jìn)原則

建立信息安全風(fēng)險評估制度，定期對各種威脅和薄弱方面開展自評價和第三方評估工作，同時對已存在的安全策略進(jìn)行評估，分析潛在后果做好正確的防范措施。

3? ? ? 信息安全管理的措施

3.1? ?梳理技術(shù)層面的信息安全策略并實施

（1）完善信息系統(tǒng)安全要求。企業(yè)在開發(fā)信息系統(tǒng)中建立安全機(jī)制，明確身份驗證、數(shù)據(jù)驗證等方面的安全措施，采取有效的密碼、密鑰管理、數(shù)字簽名等技術(shù)，保護(hù)信息系統(tǒng)數(shù)據(jù)庫的安全，在發(fā)生變更后，對系統(tǒng)漏洞進(jìn)行充分的測試，避免后門程序。

（2）設(shè)立網(wǎng)絡(luò)“安全區(qū)域”，同時做好域邊界防護(hù)。設(shè)立“安全區(qū)域”的目的是防止信息系統(tǒng)受到未經(jīng)授權(quán)的物理訪問、損害和干擾?；诎踩珔^(qū)域的劃分，實現(xiàn)域與域之間的安全隔離，同時做好域自身內(nèi)部的安全加固，使得域無論內(nèi)外的非法攻擊都不可能打破域的安全設(shè)計，可在網(wǎng)絡(luò)結(jié)構(gòu)上劃分為幾個安全域：核心接入域、終端接入域和應(yīng)用管理域，在各個域的邊界加入防火墻來實現(xiàn)基于硬件角度上的區(qū)域劃分和安全管理以及控制。

（3）加裝硬件、軟件安全平臺，強(qiáng)化內(nèi)網(wǎng)安全。安裝安全控制、檢查和防御設(shè)備，如入侵檢測設(shè)備、防病毒網(wǎng)關(guān)、綜合審計設(shè)備和堡壘機(jī)設(shè)備;部署安全管理平臺、日志審計軟件實現(xiàn)信息安全控制處理。

防病毒網(wǎng)關(guān)能夠?qū)⑿枰獨⑺赖牟《緮?shù)據(jù)進(jìn)行有效檢測與刪除，提升病毒防御的效率，從而降低清除病毒的難度。設(shè)置VPN網(wǎng)關(guān)對用戶通過遠(yuǎn)程登錄身份合法性進(jìn)行明確，保護(hù)企業(yè)的網(wǎng)絡(luò)安全。入侵防御網(wǎng)關(guān)能夠?qū)︽溌飞纤鶄鬏數(shù)臄?shù)據(jù)進(jìn)行不間斷的分析，實現(xiàn)深度防御以及準(zhǔn)確阻塞。反垃圾郵件網(wǎng)關(guān)能夠?qū)Σ《距]件與垃圾郵件進(jìn)行快速識別，將這類郵件進(jìn)行快速隔離，并保障正常的郵件能夠及時進(jìn)入到郵件系統(tǒng)之中。

加強(qiáng)對入侵威脅的監(jiān)測與管理，對企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)量進(jìn)行實時監(jiān)測，及時防御以及發(fā)現(xiàn)黑客的攻擊，從而及時提出解決措施，防止數(shù)據(jù)被破壞或者是篡改;對企業(yè)非正常的活動進(jìn)行統(tǒng)計與分析，幫助企業(yè)網(wǎng)絡(luò)管理人員對入侵行為的規(guī)律進(jìn)行總結(jié)，并為制定防范措施提供有效的參考依據(jù);當(dāng)檢測到入侵行為之后會及時發(fā)出預(yù)警，并進(jìn)行阻斷;可以詳細(xì)記錄非正常行為以及正常的關(guān)鍵事件，對其進(jìn)行跟蹤管理。

通過內(nèi)網(wǎng)安全軟件以及相關(guān)技術(shù)從而解決內(nèi)網(wǎng)存在的安全問題。第一，采用內(nèi)網(wǎng)安全軟件，及時提示并及時打好補(bǔ)丁。第二，通過內(nèi)網(wǎng)安全軟件進(jìn)行過濾檢查，并設(shè)定機(jī)制，未經(jīng)允許的設(shè)備不能隨意接入內(nèi)網(wǎng)，有效消除非法接入威脅。第三，當(dāng)網(wǎng)絡(luò)出現(xiàn)入侵等安全事件后，無法快速找到起源及定位時，可通過內(nèi)網(wǎng)軟件產(chǎn)品進(jìn)行阻斷隔離操作。同時，借助內(nèi)網(wǎng)軟件設(shè)置安全預(yù)警機(jī)制，從而及時發(fā)現(xiàn)問題及時提出預(yù)警，并制定解決對策。

3.2? ?整理管理層面的信息安全制度并落實

（1）建立制度成為信息安全的“憲法”。企業(yè)要高度重視網(wǎng)絡(luò)安全管理，根據(jù)企業(yè)特點與實際需求構(gòu)建信息安全體系，建立信息系統(tǒng)的建設(shè)、使用、管控的制度;制訂操作規(guī)程，包括權(quán)限申請單、操作票、變更記錄、保密協(xié)議等。

制度和操作規(guī)程、實施細(xì)則在企業(yè)內(nèi)正式頒布實施，讓員工充分了解和接受，并將制度納入正式的制度變更、配置和發(fā)布管理過程中，定期的、持續(xù)性的評審的檢查，與其他的各種規(guī)定制度不沖突，確保在安全管理制度被獲知的同時，處于良好的管理維護(hù)之下。

（2）落實分級管控機(jī)制中的安全責(zé)任。信息系統(tǒng)分級設(shè)置管理人員、運(yùn)維人員、專職安全管理人員，取得國家相應(yīng)資質(zhì)持證上崗。管理人員對信息系統(tǒng)規(guī)劃、設(shè)計進(jìn)行管理，降低系統(tǒng)故障的風(fēng)險;運(yùn)維人員采取有效措施減少人員失誤、盜竊、欺詐以及對設(shè)施的濫用，對安全事件和故障造成的損害降低到最低水平;專職安全管理人員是保衛(wèi)網(wǎng)絡(luò)中的信息，防止信息在交流過程中丟失、被修改或者被誤用，防止資產(chǎn)受到破壞，防止企業(yè)經(jīng)濟(jì)利益受損。不斷提高專職安全管理人員能識別信息系統(tǒng)開發(fā)、運(yùn)行、維護(hù)中的安全風(fēng)險，或與信息安全專業(yè)指導(dǎo)團(tuán)隊合作，發(fā)現(xiàn)隱患及時整改、控制安全風(fēng)險。

信息系統(tǒng)的最終用戶是員工，通過宣傳發(fā)動、員工參與培訓(xùn)等多種方式，加強(qiáng)各級員工網(wǎng)絡(luò)安全保護(hù)意識，提升員工個人信息保護(hù)能力，牢固樹立“預(yù)防為主、安全第一”的思想，理解安全策略、制度等，明確濫用信息的安全責(zé)任，確保信息安全防護(hù)體系能夠在企業(yè)內(nèi)部能夠全面執(zhí)行。

（3）建立監(jiān)管制度強(qiáng)化信息安全監(jiān)管。建立用戶身份注冊、權(quán)限管理、口令管理以及訪問控制審查手段，分別從網(wǎng)絡(luò)層、應(yīng)用層提出要求，建立安全保護(hù)手段，保證企業(yè)信息可以被記錄、追蹤，防止信息設(shè)施濫用、證據(jù)收集等，保護(hù)各種關(guān)鍵敏感數(shù)據(jù)。

（4）定期開展信息安全風(fēng)險評估。風(fēng)險的評估是信息安全管理的基礎(chǔ)，可以說，信息安全管理實際上是風(fēng)險管理的過程。通過定期開展信息安全風(fēng)險評估，可全面地了解信息系統(tǒng)的安全現(xiàn)狀，找出正在使用的安全策略和現(xiàn)狀的差距;建立良好的評價風(fēng)險、處置風(fēng)險的工作流程，為決策者制定安全策略，選擇可靠的安全產(chǎn)品、設(shè)計積極防御的技術(shù)體系，針對性地采取安全措施，將風(fēng)險控制在可接受的范圍內(nèi)。

信息安全建設(shè)是一項系統(tǒng)工程，需要完善的信息安全管理體系推動火力發(fā)電企業(yè)管理流程信息化。第一，完善頂層設(shè)計，明確信息安全建設(shè)的總體思路，細(xì)化信息安全的標(biāo)準(zhǔn)、規(guī)范，建立信息安全框架。第二，構(gòu)建科學(xué)規(guī)劃，理順技術(shù)和管理的關(guān)系，明確各級人員信息安全職責(zé)，確保全員參與。

4? ? ? 結(jié)? ? 語

綜上所述，本文以火力發(fā)電企業(yè)信息安全管理為研究對象，基于企業(yè)信息安全現(xiàn)狀，對信息安全管理問題進(jìn)行了深入分析，并結(jié)合企業(yè)網(wǎng)絡(luò)安全管理的基本原則，提出了加強(qiáng)火力發(fā)電企業(yè)信息安全管理的對策。通過理論與實踐相結(jié)合的方式，以期望能夠幫助火力發(fā)電企業(yè)提升信息安全管理的整體水平。

主要參考文獻(xiàn)

[1]國家能源局.電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求[M].北京：電子工業(yè)出版社，2014.

[2]張澤虹，趙冬梅.信息安全管理與風(fēng)險評估[M].北京：電子工業(yè)出版社，2010.