信息安全方针和策略范文

时间:2024-03-06 17:36:15

导语:如何才能写好一篇信息安全方针和策略,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息安全方针和策略

篇1

【关键词】 等级保护 电力调度 管理制度

引言

我单位开展了信息安全等级保护安全建设整改、等级测评等工作。然而,随着整改进程的深入,建立规范、高效、安全的信息系统运行维护和管理体系,如何将等级保护中的管理制度与本单位自身的安全生产、班组文化等制度结合,给管理工作带来了新的挑战,通过建立等级保护管理制度体系能够更全面的提高电力调度系统运维管理层次,实现信息系统、数据资源集成整合和综合高效利用,支撑实现电力调度的信息化发展目标。本文结合笔者在信息安全管理中的实践和理解,对等级保护管理体系在工作中的应用提出一些个人的想法,供读者借鉴。

一、建立等级保护制度体系目的和意义

为更好的提高信息安全保障能力和水平,依据《信息安全等级保护管理办法》(公通字[2007]43号)、国家电网公司《信息系统安全等级保护建设的实施指导意见》(信息运安[2009]27号)、《SG186工程信息系统安全等级保护验收标准(试行)》(信息运安[2009]44号)、《关于加强电力二次系统安全防护和等级保护工作的通知》(调自〔2012〕65号)等要求。进一步加强电力调度系统重要信息系统的安全保护,落实国网公司关于信息安全等级保护和安全防护体系建设的总体要求,我单位开展了信息安全等级测评和整 改工作。

二、等级保护管理制度体系分析

等级保护管理制度体系提供了对组织机构中信息系统全生存周期过程实施符合安全等级责任要求的管理,包括落实安全管理机构及人员,明确角色与职责,制定安全规划、开发安全策略、实施风险管理、进行监控、检查,处理安全事件等,具体落实在要求则体现在等级保护测评指标中,等级保护管理要求如图1所示。

三、等级保护管理体系建设实践

在具体落实管理体系过程中,应结合原有的信息化管理制度,贯彻建立管理制度文件层级化和流程化管理概念,将方针策略、管理制度、操作规程和记录表单等文件科学的管理运作;将信息化安全管理方针策略定义为一层策略文件;将沟通管理、信息化人员管理、授权与审批管理、文件规范性管理、介质管理、资产管理、网络管理、系统管理、安全事件与应急管理、备份与恢复管理等方面定义为二层制度文件,落实一层文件中涉及的各方面运维和安全管理内容;将信息化运维管理的操作指导规范等定义为三层流程文件,支撑二层制度文件的具体操作;将所有信息化运维相关的表格定义为四层表格文件,落实并规范化所有运维操作,融合和动态的管理当前使用的管理制度体系结构,如图2所示。

3.1安全管理的原则

1)基于安全需求原则:组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;

2)主要领导负责原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;

3)全员参与原则:信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;

4)持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的分布变化,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系;

5)分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。

3.2管理制度体系框架构建

3.2.1工作目标

建立安全管理组织并落实各个部门信息安全责任人,明确组织内各机构人员责任和工作职能,确定信息安全管理体系方针策略,编制形成信息安全方针策略文件。

3.2.2建立信息安全管理组织

(1)建立信息安全管理组织架构

信息安全领导机构:供电公司信息化领导小组,主要负责对单位信息安全制定总体安全策略、监督和协调各项安全措施在单位的执行情况、设立落实信息安全责任。由供电公司分管领导担任组长,小组成员为各个部门负责人组成。

(2)明确各相关机构和岗位角色的责任和职能

建立相应的职责文件,明确各相应领导、部门、岗位的职责。调度通信中心应设立信息安全工作的各关键岗位,如安全管理员、网络管理员、操作系统管理员和数据库管理员等,并将之与班组人员结合,并重视信息化人员的培养。

3.2.3确定安全管理总体方针策略

安全管理方针策略是为组织的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资源保护标准,防止员工的不安全行为引入风险。同时,还是进一步制定控制规则、安全程序的必要基础。应当目的明确、内容清楚,能广泛地被组织成员接受与遵守,且要有足够灵活性、适应性,能涵盖较大范围内的各种数据、活动和资源。可以使员工了解与自己相关的信息安全保护责任,强调安全对组织业务目标的实现、业务活动持续运营的重要性。

安全方针策略属于高层管理文件,简要陈述信息安全宏观需求及管理承诺,应该篇幅短小,内容明确。信息安全方针应当简明、扼要,便于理解,至少应包括以下内容:

(1)信息安全的定义,总体目标、范围,安全对信息共享的重要性;

(2)管理层意图、支持目标和信息安全原则的阐述;

(3)信息安全控制的简要说明,以及依从法律、法规要求对组织的重要性;

(4)信息安全管理的一般和具体责任定义,包括报告安全事故;

(5)信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序,定义安全角色赋予管理职责,陈述组织的安全目标,为安全措施在组织的强制执行建立相关舆论与规则的基础。

3.3管理制度体系策略建立

3.3.1工作目标

建立覆盖信息工作的全部文件,包含安全策略、制度、规定规范、表单,完善所有活动流程管理。

3.3.2建立体系策略制度文件

信息安全策略是组织信息安全活动的最高方针,需要根据信息工作的实际情况,分别制订不同的信息安全策略。应该简单明了、通俗易懂,并形成书面文件,发给单位内的所有成员。同时要对所有相关员工进行信息安全策略的培训,以使信息安全方针真正植根于单位内所有员工的脑海并落实到实际工作中。根据本单位实际情况,建立的策略文件,所有文件均需进行论证和评审。

(1)信息安全管理策略

作为所有系统的指导性方针文件,提供信息安全的基本规则、指南、定义。依据本策略应制定各管理制度、操作和使用规范。

(2)系统运维安全管理策略

作为所有系统运行维护的指导性方针文件,提供系统安全运行维护的基本规则、指南、定义。依据本策略应制定系统运行维护中相关的各种管理制度和规定,以及控制各项活动的记录表单和审批流程。应覆盖机房、网络、系统、资产、备份、日常运维等所有运行维护工作的范围。

(3)系统建设安全管理策略

作为所有信息化工作建设的指导性方针文件,提供信息工作相关的建设安全管理的基本规则、指南、定义。依据本策略应形成项目管理、采购管理、工程实施管理、测试及验收管理等建设管理的全过程管理制度,相应的控制表单和审批规定。

(4)人员安全管理策略

由于在系统、运维、建设方面已经对人员在该活动中的行为做了要求,人员安全管理主要需要考虑的问题是录用、离岗、保密、教育培训、考核及外来人员方面的管理,也可以直接制定比较详细的人员安全管理制度。

(5)管理流程

梳理并完善各种活动的详细流程图,任何针对信息系统的活动均有流程可依据进行控制管理。如事件管理流程、变更管理流程等。

(6)其他辅助制度

建立辅助文件,如对以上策略、制度、表单等进行管理的文件管理制度、保密制度、信息规定等。

3.4管理制度体系运作落实

3.4.1工作目标

逐项实施,直至体系全面运行,监督落实安全策略制度,找出体系中的不适用和缺陷。

3.4.2实施

经过第一和第二阶段的工作,理论上单位已初步形成完整的信息安全管理体系,但体系是否能正常运作发挥作用,需要对体系进行验证,验证的方法就是运行体系。

体系的运行分几步进行:

对通过论证评审的文件,通过正规渠道正式发文的方式进行,的文件根据情况决定是否采取“征求意见稿”或“暂行”;

文件前召集相关部门的负责人学习文件,并要求确保落实力度;

的文件要求相关部门组织学习,并依照实施;

各相关部门对运行的文件制度运行情况进行收集,存在实际困难无法落实的报评审组织评审适用性;

对“征求意见稿”的文件,必须从实施的相关部门采集意见。

体系实施阶段可以在体系建立阶段同步开展,建立部门策略制度后,通过论证评审即可进行试运行,不需等全套文件完成。

3.4.3监督

指定或成立跨部门监督机构、人员,对文件实施的过程进行监督管理,制定相应的惩戒措施,对落实情况进行监督检查,对违反文件实施和实施不力的部门或人员进行惩戒,切实落实文件的有效实施。收集监督过程中发现的文件问题、人员实施问题方面资料,反馈到编制组织。

本阶段是系统建立的关键阶段,是信息安全管理体系要分析运行效果,寻求改进机会的阶段。如果发现一个控制措施不合理、不充分,就要采取纠正措施,以防止信息系统处于不可接受风险状态。必须强调相关领导应重视本阶段工作,并且从实际上支持和推动实施工作。且应加大学习培训和监督力度,落实惩戒措施。让文件涉及的相关部门和相关人员熟知该文件并能按要求准确执行。

3.5管理制度体系细化调整

3.5.1工作目标

总结体系运行情况,调整不适用和无法落实的部分,完善体系,使之能高效、有序的运作。

3.5.2评审

评审有两个环节,第一个环节是针对出现的问题进行审核,论证其原因,进行改正完善。第二个环节是在大部分问题解决后、体系正常的情况下全面评审体系文件、组织、活动是否达到预期目标。

首先,信息安全领导小组组织相关部门人员,对体系实施中发现的问题进行审核,对落实不力的部门责成落实;对实际存在的问题进行论证,提出解决办法;对不适用的文件或部分进行论证评审,确实存在不适用的文件则组织相关人员进行修订,转入修订环节,对于不适用且没必要存在的文件进行废止。

而后,对于本阶段计划时间内反馈没发现问题的文件,组织相关部门评审试行效果,达到预期要求则作为正式版运行,并采用持续优化阶段的方式进行管理,未达预期目的则转入重新编制程序。

3.5.3修订

对于存在问题的策略文件,组织该策略文件涉及最多的主体部门和其他相关部门人员成立临时修订机构,针对文件存在问题进行修订。修订后进行新版本的颁布,同时该文件转入落实阶段。

3.5.4测评

经过细化调整,不断地审核修订后,体系应已基本完善,此时转入评审的第二环节。按照符合等级保护要求的预期目标,委托等级保护测评机构进行等级保护测评,在保证客观、合规、公正的前提下,对单位信息安全体系进行全面评审。整体测评后,对不满足要求的部分进行整改,整改完成后转入实施阶段,直至符合要求。

3.6管理制度体系持续优化

通过前四个阶段的工作,信息安全管理体系应基本稳定、成熟,后期的工作在于保持并进行不断地优化。把经过检验的文件作为常态的管理遵循依据,在日常工作中保持,不因试行结束而松懈。部门和人员应把试行期间依照文件要求形成的工作模式进一步完善保持,在未发生异常情况之前,始终按照正式版本执行。定期进行评审,找出不适用部分进行优化调整;结合工作实际,寻求更高效安全的方法优化体系,提高效能。

篇2

 

1 社区卫生服务中心信息安全背景

 

20世纪90年代以来,信息技术不断创新,信息产业持续发展,信息网络广泛普及,特别是原卫生部《卫生信息化发展规划(2011~2015年)》之后,明确了卫生信息化是深化医药卫生体制改革的重要内容。那么作为整个卫生信息化体系的“网底”的社区卫生服务中心,其重要性不言而喻。随着卫生信息化的建设不断扩展和深入,依托于区域卫生信息中心的各类应用系统不断上线推广应用。网络与数据安全已逐步成为各项卫生信息工作开展的重要基础依托。因此社区卫生服务中心作为区域卫生信息中心的重要结点。信息安全管理就显得尤为重要。

 

2 什么是信息安全管理

 

“三分技术,七分管理”是信息安全保障工作中经常提到的。可见,信息安全管理是信息安全保障的至关重要的组成部分。信息安全管理(Information Security Management)指组织中为了完成信息安全目标,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动。作为组织完成的管理体系中的一个重要环节,它构成了信息安全具有能动性的部分,是指导和控制组织相互协调完成关于信息安全风险的活动,其对象就是包括人员在内的各类信息相关资产。在社区卫生服务中心由于信息系统应用较为广泛,基本包含了医疗、护理、医技、行政等所有科室及其人员。

 

长期以来,社区卫生服务中心在信息安全建设方面,存在重技术轻管理、重产品功能轻安全管理、缺乏整体性信息安全体系考虑等各方面的问题。区域卫生信息中心采用集中管理的信息安全技术及产品的应用,一定程度上可以来解决社区卫生服务中心在网络传输时的信息安全问题。但是仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。近年来,由于管理不善、操作失误等原因导致的卫生信息及病患基本信息泄露的安全事件数量不断攀升,更加剧了社区卫生服务中心需要信息安全管理的迫切性。

 

3 社区卫生服务中心信息安全管理作用

 

社区卫生服务中心信息安全管理的作用体现任以下几个方面。

 

3.1信息安全管理是社区卫生服务中心组织整体管理的重要的、固有的组织部分,是组织实现中心业务目标的重要保障。在信息时代的今天,信息安全威胁已经成为社区卫生服务中心等医疗机构业务正常运营和持续发展的最大威胁。如在社区卫生服务中心发生的费用结算85%以上通过医保信息系统来进行,所有的医生工作站都依托中心服务器来提供数据进行操作,医技部门也通过信息系统获取病人信息和传送结果。一旦信息系统发生故障对于社区卫生服务中心来说是灾难性的。因此中心需要信息安全管理,有其必然性。

 

3.2信息安全管理是信息安全技术的融合剂,是各项技术措施能够发挥作用的重要保障。安全技术是信息安全控制的重要手段,许多信息系统的安全性保障都要依靠技术手段来实现,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理程序的支持,否则,安全技术职能趋于僵化和失败。如果说安全技术是信息安全的构筑材料,那么信息安全管理就是融合剂和催化剂,良好的管理可以变废为宝,使现有的各项技术相互配合发挥应有的作用,而糟糕的管理会使技术措施变得毫无用处。实现信息安全,技术和产品是基础,管理才是关键。在信息安全保障工作中必须管理与技术并重,进行综合防范,才能有效保障安全,这也是实现信息安全目标的必由之路

 

3.3信息安全管理是预防、阻止或减少信息安全事件发生的重要保障。早期人们对于信息安全的认识主要侧重在技术措施的开发和利用上,这种技术主导论的思路能够解决信息安全的一部分问题,但却解决不了根本,据权威机构统计表明,信息安全问题大约70%以上是由管理方面原因造成的,大多数信息安全事件的发生,与其说是技术上的原因,不如说是管理不善造成的。因此解决信息安全问题、防止发生信息安全事件不应仅从技术方面着手,同时更应加强信息安全的管理工作。

 

信息安全涉及的范畴非常广,信息安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程。因此,要求社区卫生服务中心的相关人员正确理解信息安全、理解信息安全管理的关键作用,以更好地开展信息安全管理工作。强调信息安全管理的作用,并不是要削弱信息安全技术的作用;开展信息安全管理工作,要处理好管理和技术的关系,要坚持管理与技术并重的原则,这也是信息安全保障工作的主要原则之一。

 

4 社区卫生服务中心信息安全管理控制措施

 

在我国对于信息安全等同采用IS0 27002:2005,命名为《信息技术安全技术信息安全管理实用规则》(GB/T 22081-2008)。信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。可见对于社区卫生服务中心的信息安全来说,安全控制措施是必要且十分重要的。其中比较重要的如下:

 

4.1安全方针 社区卫生服务中心的信息安全方针控制目标,是指中心的信息安全方针能够依据业务的要求和相关法律法规提供管理指导并支持信息安全。社区卫生服务中心信息安全方针文件的内容应包含中心管理者的管理承诺、组织管理信息安全的方法、中心信息安全整体目标和范围的定义、中心管理者意图的声明、控制目标和控制措施的框架、重要安全策略、原则、标准和符合性要求说明、中心信息安全管理的一般和特定职责的定义、支持方针的文件的引用等。

 

4.2信息安全组织 信息安全组织一般分为内部组织和外部组织。社区卫生服务中心内部组织的信息安全控制目标是指在中心内管理信息安全。组织的安全建立在每一位人员不同责任分工的划分,不同的责任会有不同的工作指导原则。其中应当包括信息安全的管理承诺、信息安全协调、信息安全职责的分配、信息处理的授权、保密协议、信息安全的独立评审等。社区卫生服务中心外部组织的信息安全控制目标是保持中心被外部各方访问、处理、管理或与外部进行通信的信息和信息处理的安全。主要包括中心与系统外单位信息通信相关风险的识别、处理相关的安全问题和处理第三方协议中的安全问题等。

 

4.3人力资源安全 人员在中心的信息安全管理中是一个最重要的因素,有资料表明,70%的安全问题是来自人员管理的疏漏,为了对人员有一个有效的管理,需要从任用之前、任用中、任用的终止或变更三项控制目标进行管理。

 

4.3.1任用之前控制是指社区卫生服务中心任用人员之前为了确保人力资源的安全,需考虑到角色是否适合相应岗位,以降低设施被窃、信息泄露和误用的风险,这一目标的实现需通过角色和职责、审查、任用条款和条件三项控制措施的落实来保障。

 

4.3.2任用中社区卫生服务中心的信息安全控制目标就是确保所有的员工、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。

 

4.3.3社区卫生服务中心发生任用的终止或变更时,应确保信息的安全不外泄,确保员工、承包方人员和第三方人员以一个规范的方式退出或改变其任用关系。可以通过终止职责、资产的归还、撤销访问权限等控制措施来实现。

 

4.4物理和环境安全 社区卫生服务中心的物理和环境安全可以从安全区域和设备安全来入手管理。定义安全区域是为了防止对中心场所和信息的未授权物理访问、损坏和干扰。可以通过设置物理安全边界、物理入口控制、办公室房间和设施的安全保护、外部和环境的安全防护、在安全区域工作、公共访问和交接区安全。设备安全是指防止由于资产丢失、损坏、失窃而危及社区卫生服务中心的资产安全以及信息安全。中心可通过设备安置和保护、支持性设施、布缆安全、设备维护、场所外的设备安全、设备的安全处置和再利用,资产的移动等措施来进行保障。

 

4.5通信和操作管理 社区卫生服务中心的通信和操作管理一般可从操作规程和职责、第三方服务交付管理、系统规划和验收、防范恶意和移动代码、备份、网络安全管理、介质处置、信息的交换、电子商务服务、监视等方面入手。

 

4.6访问控制 对于社区卫生服务中心来说,访问控制可从访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作等控制目标来入手。

 

4.7信息安全事件管理 社区卫生服务中心的信息安全事件管理可以从报告信息安全事态和弱点、信息安全事件和改进的管理两个控制目标入手进行管理。

 

4.7.1报告信息安全事态和弱点这项控制目标旨在确保中心与信息系统有关的信息安全事态和弱点能够以某种方式传达,以便及时采取纠正措施。该目标下有报告信息安全事态和报告安全弱点这两项控制措施来保障这一目标的实现。①报告信息安全事态控制措施,是指信息安全事态应该尽可能快地通过适当的管理渠道进行报告。实施过程中应建立正式的信息安全事态报告程序,以及在收到信息安全事态报告后采取措施的事件响应和上报程序。②报告安全弱点控制措施,是指中心应要求信息系统和服务的所有职员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。报告机制应尽可能容易、易理解和方便可用。应告知他们在任何情况下,都不应试图去证明被怀疑的弱点。

 

4.7.2信息安全事件和改进的管理。社区卫生服务中心信息安全事件和改进的管理这一控制目标旨在确保采用一致和有效的方法对信息安全事件进行管理。中心可以用职责和程序的控制措施、对信息安全事件的总结、证据的收集三项控制措施来保障这一目标的实现。①职责和程序的控制措施。它是指中心应当建立管理职责和程序,以确保能对信息安全事件做出快速、有效和有序的响应。该项措施实施时除了对中心的信息安全事态和弱点进行报告外,还应利用对系统、报警和脆弱性的监视来检测中心信息安全事件。遵循严格的信息安全事件管理程序的前提是中心需建立规程以处理不同类型的信息安全事件,如恶意代码、拒绝服务、信息系统故障和服务丢失、违反保密性和完整性、信息系统误用等。中心除了考虑正常的应急计划还要考虑事件原因的分析和确定、遏制事件影响扩大的策略、向合适的机构报告所采取的措施等。②中心对信息安全事件的总结控制措施,是指社区卫生服务中心应有一套机制量化和监视信息安全事件的类型、数量和代价。从信息安全事件评价中获取的信息应用来识别再发生的事件或高影响的事件。③证据的收集。证据的收集对于社区卫生服务中心来说,是指当中心的一个信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。过程有:为应对惩罚措施而收集和提交证据,应制定和遵循内部程序,为了获得被容许的证据,中心应确保其信息系统符合任何公布的标准或实用规则来产生被容许的证据:任何法律取证工作应仅在证据材料的拷贝上进行。

 

4.8业务连续性管理 对于社区卫生服务中心来说业务连续性管理是指防止中心业务中断,保证中心重要业务流程不受重大故障与灾难的影响。业务连续性管理过程中包含信息安全,该控制措施是指应为贯穿于组织的业务连续性开发和保持一个管理过程。解决中心的业务连续性所需的信息安全要求,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保他们的及时恢复。应包含中心的信息安全、业务连续性和风险评估、制定和实施包含信息安全的连续性计划、业务连续性计划框架、测试、维护和再评估业务连续性计划等内容。

 

5 社区卫生服务机构信息安全的展望

 

对于社区卫生服务中心来说信息安全保障不仅仅是一门技术学科,信息安全保障应综合技术、管理和人。在中心的管理上,信息安全保障应考虑建立综合的信息化的组织管理体系,明晰相应的岗位职责、规章制度并严格执行等等。在人员上,应加强所有使用信息系统人员的安全意识和技能,以及中心从事信息系统专业人员的专业技能和能力。社区卫生服务中心的信息安全保障亦不是一种项目性的暂时行为,而是融入信息系统生命周期的全过程的保障。信息安全保障不是一种打补丁,头疼医头、脚疼医脚的临时行为,而是一种系统化、体系化的保障过程。信息安全保障的目的不仅仅是保障信息系统本身,信息安全保障的根本目的是通过保障信息系统进而保障运行于信息系统之上的中心业务系统。信息安全保障应以业务为主导、以社区卫生服务中心的使命、社会职责和社会服务性为出发点和落脚点。社区卫生服务中心的信息安全保障不仅仅是孤立的自身的问题,信息安全保障是一个社会化的、需要各方参与的工作。信息安全保障不仅仅是孤立的自身的问题,信息系统需要电信、电力等基础设施的支持、信息系统需要承担保密、公共安全、国家安全等社会职责,信息安全保障工作是一个社会化的、需要各方参与的综合的工作。社区卫生服务中心的信息安全保障是主观和客观的结合。没有绝对的安全,信息安全保障并不提供绝对的安全,信息安全保障是讨论风险和策略,讨论适度安全。因此,它是一个需要持之以恒和不断完善与发展的工作。

篇3

【关键词】电力企业;信息网络;安全体系

【中图分类号】TP309【文献标识码】A【文章编号】1672-5158(2013)07-0498-02

引言

随着电力企业不断发展,信息化已广泛应用于生产运营管理过程中的各个环节,信息化在为企业带来高效率的同时,也为企业带来了安全风险。一方面企业对信息化依赖性越来越强,尤其是生产监控信息系统及电力二次系统直接关系到电力安全生产;另一方面黑客技术发展迅速,今天行之有效的防火墙或隔离装置也许明天就可能出现漏洞。因此,建设信息安全防护体系建设工作是刻不容缓的。

1 信息安全防护体系的核心思想

电力企业信息安全防护体系的核心思想是“分级、分区、分域”(如图1所示)。分级是将各系统分别确定安全保护级别实现等级化防护;分区是将信息系统划分为生产控制大区和管理信息大区两个相对独立区进行安全防护;分域是依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。

2 信息安全防护系统建设方针

2.1整体规划:在全面调研的基础上,分析信息安全的风险和差距,制订安全目标、安全策略,形成安全整体架构。

2.2分步实施:制定信息安全防护系统建设计划,分阶段组织项目实施。

2.3分级分区分域:根据信息系统的重要程度,确定该系统的安全等级,省级公司的信息系统分为二级和三级系统;根据生产控制大区和管理信息大区,划分为控制区(安全I区)、非控制区(安全II区)、管理信息大区(III区);依据业务系统类型进行安全域划分,二级系统统一成域,三级系统独立成域。

2.4等级防护:按照国家和电力行业等级保护基本要求,进行安全防护措施设计,合理分配资源,做好重点保护和适度保护。

2.5多层防御:在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用、数据层面进行安全防护设计,以实现纵深防御。

2.6持续改进:定期对信息系统进行安全检测,发现潜在的问题和系统可能的脆弱性并进行修正;检查防护系统的运行及安全审计日志,通过策略调整及时防患于未然;定期对信息系统进行安全风险评估,修补安全漏洞、改进安全防护体系。

3 信息安全防护体系建设探索

一个有效的信息安全体系是在信息安全管理、信息安全技术、信息安全运行的整体保障下,构建起来并发挥作用的。

3.1 建立信息安全管理体系

安全管理体系是整个信息安全防护体系的基石,它包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理五个方面,信息安全组织机构的建立尤为重要。

3.1.1建立信息安全管理小组

建立具有管理权的信息安全小组,负责整体信息安全管理工作,审批信息安全方针,分配安全管理职责,支持和推动组织内部信息安全工作的实施,对信息安全重大事项进行决策。处置信息安全事件,对安全管理体系进行评审。

3.1.2分配管理者权限

按照管理者的责、权、利一致的原则,对信息管理人员作级别上的限制;根据管理者的角色分配权限,实现特权用户的权限分离。对工作调动和离职人员及时调整授权,根据管理职责确定使用对象,明确某一设备配置、使用、授权信息的划分,制订相应管理制度。

3.1.3职责明确,层层把关

制订操作规程要根据职责分离和多人负责的原则各负其责,不能超越自己的管辖范围。系统维护时要经信息管理部门审批,有信息安全管理员在场,对故障原因、维护内容和维护前后情况做详细记录。

(1)多人负责制度 每一项与安全有关的活动必须有2人以上在场,签署工作情况记录,以证明安全工作已得到保障。

(2)重要岗位定期轮换制度 应建立重要岗位应定期轮换制度,在工作交接期间必须更换口令,重要技术文件或数据必须移交清楚,明确泄密责任。

(3)在信息管理中实行问责制,各信息系统专人专管。

3.1.5系统应急处理

制定信息安全应急响应管理办法,按照严重性和紧急程度及危害影响的大小来确定全事件的等级,采取措施,防止破坏的蔓延与扩展,使危害降到最低,通过对事件或行为的分析结果,查找事件根源,彻底消除安全隐患。

3.2 建立信息安全技术策略

3.2.1物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;确保计算机系统有一个良好的工作环境;防止非法进入机房和各种偷窃、破坏活动的发生,抑制和防止电磁泄露等采取的安全措施。

3.2.2 网络安全策略

网络安全防护措施主要包括以下几种类型:

(1)防火墙技术。通过防火墙配置,控制内部和外部网络的访问策略,结合上网行为管理,监控网络流量分配,对于重要数据实行加密传输或加密处理,使只有拥有密钥的授权人才能解密获取信息,保证信息在传输过程中的安全。

(2)防病毒技术。根据有关资料统计,对电力信息网络和二次系统的威胁除了黑客以外,很大程度上是计算机病毒造成的。当今计算机病毒技术发展迅速,对计算机网络和信息系统造成很大的损害。采用有效的防病毒软件、恶意代码防护软件,保障升级和更新的时效性,是行之有效的措施。

(3)安全检测系统。通过专用工具,定期查找各种漏洞,监控网络的运行状况。在电力二次系统之间安装IDS入侵检测软件等,确保对网络非法访问、入侵行为做到及时报警,防止非法入侵。

3.2.3安全策略管理

对建的电力二次系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;对已投运且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞;定期分析本系统的安全风险,分析当前黑客非法入侵的特点,及时调整安全策略。

3.2.4 数据库的安全策略

数据库的安全策略包括安全管理策略、访问控制策略和信息控制策略。但数据库的安全问题最主要的仍是访问控制策略。就访问控制策略分类而言,它可以分为以下几种策略。

(1) 最小特权策略: 是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些权限恰好可以让用户完成自己的工作,其余的权利一律不给。

(2) 数据库加密策略: 数据加密是保护数据在存储和传递过程中不被窃取或修改的有效手段。

(3)数据库备份策略:就是保证在数据库系统出故障时,能够将数据库系统还原到正常状态。

(4)审计追踪策略:是指系统设置相应的日志记录,特别是对数据更新、删除、修改的记录,以便日后查证。

篇4

【关键词】信息系统;信息安全;风险评估;评估方法

【中图分类号】C931.6 【文献标识码】A 【文章编号】1672-5158(2012)09-0025-01

一、信息安全风险评估的评估实施流程

信息安全风险评估包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议,在风险评估之后就是要进行安全整改。

网省公司信息系统风险评估的主要内容包括:资产评估、威胁评估、脆弱性评估和现有安全措施评估,一般采用全面风险评估的方法,以安全顾问访谈、管理问卷调查、安全文档分析等方式,并结合了漏洞扫描、人工安全检查等手段,对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估,经过充分的分析后,得到了信息系统的安全现状。

二、信息安全风险评估实施方法

2.1 资产评估

网省公司资产识别主要针对提供特定业务服务能力的应用系统展开,通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。资产赋值是资产评估由定性化判断到定量化赋值的关键环节。

2.2 威胁评估

威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。在实施过程中,根据各单位业务系统的具体系统情况,结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查,下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述:

2.3 脆弱性评估

脆弱性评估内容包括管理、运维和技术三方面的内容,具体实施可参照公司相应的技术或管理标准以及评估发起方的要求,根据评估选择的策略和评估目的的不同进行调整。下表是一套脆弱性识别对象的参考:

管理脆弱性:安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理。

运维脆弱性:信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全。

技术脆弱性:网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施。

管理、运维、技术三方面脆弱性是相互关联的,管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生,运维脆弱性也可能导致技术脆弱性的产生。技术的脆弱性识别主要采用工具扫描和人工审计的方式进行,运维和管理的脆弱性主要通过访谈和调查问卷来发现。此外,对以往的安全事件的统计和分析也是确定脆弱性的主要方法。

三、现有安全措施评估

通过现有安全措施指评估安全措施的部署、使用和管理情况,确定这些措施所保护的资产范围,以及对系统面临风险的消除程度。

3.1 安全技术措施评估

通过对各单位安全设备、防病毒系统的部署、使用和管理情况,对特征库的更新方式、以及最近更新时间,设备自身资源使用率(CPU、MEM、DISK)、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析,并确定级别。

3.2 安全管理措施评估

访谈被评估单位是否成立了信息安全领导小组,并以文件的形式明确了信息安全领导小组成员和相关职责,是否结合实际提出符合自身发展的信息化建设策略,其中包括是否制定了信息安全工作的总体方针和安全策略,建立健全了各类安全管理制度,对日常管理操作建立了规范的操作规程;定期组织全员学习国家有关信息安全政策、法规等。

3.3 物理与环境安全

查看被访谈单位信息机房是否有完善的物理环境保障措施,是否有健全的漏水监测系统,灭火系统是否安全可用,有无温湿度监测及越限报警功能,是否配备精密空调严格调节控制机房内温度及湿度,保障机房设备的良好运行环境。

3.4 应急响应与恢复管理

为正确、有效和快速处理网络信息系统突发事件,最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影响,需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制,应对网络信息系统突发事件的组织指挥能力和应急处置能力,是否及时修订本单位的网络信息系统突发事件应急预案,并进行严格的评审、。

3.5 安全整改

被评估单位根据信息安全风险评估结果,对本单位存在的安全风险进行整改消除,从安全技术及安全管理两方面,落实信息安全风险控制及管理,确保信息系统安全稳定运行。

四、结语

公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施,各单位结合风险评估实践情况,以技术促安全、以管理保安全,确保公司信息系统稳定运行,为公司发展提供有力信息支撑。

参考文献

篇5

所谓的“当局者迷,旁观者清”、“外来和尚好念经”,

在ISMS建设及认证项目上也是这个道理。

无论是选择自我实施,还是请外部的咨询机构和顾问,组织都应该知道,

实施ISMS认证项目,必须要有一套行之有效的方法,事先要对整个过程做好计划。

信息安全管理体系(Information Security Management System,ISMS)是组织整体管理体系的一个部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。

外来和尚好念经

组织在确定实施ISMS建设及ISO27001认证项目之后,通常有两种途径可以去操作,一种是自己做,在组织内部成立专人专项工作组,按照计划自我实施。另一种就是选择有实力的咨询机构,帮助组织完成此项目。两种途径各有所长,关键是看组织自身特点和看问题的角度。如果组织规模不大、业务模式简单、信息系统也不复杂,而且自身对信息安全的认识和运作已经达到了一定高度,有胜任的人员,选择自我实施就是比较经济快捷的途径。不过,如果组织规模较大、组织结构相互关联、对IT的依赖广泛,更重要的是,组织本身对信息安全的意识和运作还处于较低水平,或者发展并不均衡,这就需要有外部力量来进行引导,他们以公正独立的姿态,把一些成熟的经验移植过来,以最直接快速的方式发现组织现有问题并对症下药。此外,有经验的咨询机构和顾问通常都能比较好地把握认证机构的“偏好”和习惯,这一点尤其对最终应对审核很重要。一般来说,咨询机构可以在人员培训、全程辅导、后续支持等方面给予组织大力的支持。所谓的“当局者迷,旁观者清”、“外来和尚好念经”,在ISMS建设及认证项目上也是这个道理。

当然,无论是选择自我实施,还是请外部的咨询机构和顾问,组织都应该知道,实施ISMS认证项目,必须要有一套行之有效的方法,事先要对整个过程做好计划。

完善计划渠自成

在建设信息安全管理体系的方法上,ISO27001标准为我们提供了指导性建议,即基于PDCA的持续改进的管理模式。PDCA是一种通用的管理模式,适用于任何管理活动,体现了一种持续改进、维持平衡的思想,但具体到ISMS建立及认证项目上,就显得不够明确和细致,组织必须还要有一套切实可行的方法论,以符合项目过程实施的要求。在这方面,ISMS实施及认证项目可以借鉴很多成熟的管理体系实施方法,比如ISO9001、ISO14001、TS16949等,大致上说,这些管理体系都遵循所谓的PROC过程方法。

PROC过程模型(Preparation-Realization-Operation-Certification)是对PDCA管理模式的一种细化,它更富有针对性和实效性,并且更贴近认证审核自身的特点。

PROC模式将整个信息安全管理体系建设项目划分成四个阶段,共包含15项关键的活动,如果每项具有前后关联关系的活动都能很好地完整,最终就能建立起有效的ISMS,实现信息安全建设整体蓝图,接受ISO27001认证并获得认可更是水到渠成的事情。

准备阶段(Preparation):在准备阶段,项目小组要对ISMS实施及认证做好预备工作,明确ISMS实施范围,提供相关资源,建立总体的安全管理方针,进行前期培训和预先评估,分析了解业务状况,进行详细的风险评估,发掘安全需求。这一阶段包括以下五项关键活动:

・项目启动:前期沟通,实施计划,项目小组,资源支持,启动会议。

・前期培训:信息安全管理基础,风险评估方法。

・预先审核:初步了解信息安全现状,分析与ISO27001标准要求的差距。

・业务分析:访谈调查,核心与支持业务,业务对资源的需求,业务影响分析。

・风险评估:资产、威胁、弱点、风险识别与评估。

实现阶段(Realization):在实现阶段,项目小组要组织相关资源,依据风险评估结果选择控制措施,为实施有效的风险处理做好计划,同时编写、测试、修订并完善ISMS运行和认证所需的文档体系,管理者需要正式ISMS体系并要求开始实施,通过普遍的培训活动来推广执行。此阶段包括四项关键活动:

・风险处理:针对风险问题,做文件编写规划、BCP规划和技术方案规划。

・文件编写:编写ISMS各级文件,多次Review及修订,管理层讨论确认。

・实施:ISMS实施计划,体系文件,控制措施实施。

・中期培训:全员安全意识培训,ISMS实施推广培训,必要的考核。

运行阶段(Operation):ISMS建立起来(体系文件正式实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。在此阶段,应该培训专门人员,建立起内部审查机制,通过内部审计、管理评审和模拟认证,来检查已建立的ISMS是否符合ISO27001标准以及企业自己规范的要求。此阶段的关键活动有四项:

・认证申请:与认证机构磋商,准备材料申请认证,制定认证计划,预审核。

・后期培训:审核员等角色的专业技能培训。

・内部审核:审核计划,Checklist,内部审核,不符合项整改。

・管理评审:信息安全管理委员会组织ISMS整体评审,纠正预防。

认证阶段(Certification):经过一定时间运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。此阶段的关键活动就是为认证做好准备:

・认证准备:准备送审文件,安排部署审核事项。

篇6

 

1美国电力行业信息安全的战略框架

 

为响应奥巴马政府关于加强丨Kj家能源坫础设施安全(13636行政令,即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求,美国能源部出资,能源行业控制系统工作组(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保护能源行业控制系统路线图》(RoadmaptoSecureControlSystemsintheEnergySector)的基础上,于2011年了《实现能源传输系统信息安全路线阁》。2011路线图为电力行业未来丨0年的信息安全制定了战略框架和行动计划,体现了美国加强国家电网持续安全和可靠性的承诺和努力路线图基于风险管理原则,明确了至2020年美国能源传输系统网络安全目标、实施策略及里程碑计划,指导行业、政府、学术界为共丨司愿景投入并协同合作。2011路线图指出:至2020年,要设计、安装、运行、维护坚韧的能源传输系统(resilientenergydeliverysystems)。美国能源彳了业的网络安全目标已从安全防护转向系统坚韧。路线图提出了实现目标的5个策略,为行业、政府、学术界指明了发展方向和工作思路。(1)建立安全文化。定期回顾和完善风险管理实践,确保建立的安全控制有效。网络安全实践成为能源行业所有相关者的习惯,,(2)评估和监测风险。实现对能源输送系统的所有架构层次、信息物理融合领域的连续安全状态监测,持续评估新的网络威胁、漏洞、风险及其应对措施。(3)制定和实施新的保施。新一代能源传输系统结构实现“深度防御”,在网络安全事件中能连续运行。(4)开展事件管理。开展网络事件的监测、补救、恢复,减少对能源传输系统的影响。开展事件后续的分析、取证以及总结,促进能源输送系统环境的改进。(5)持续安全改进。保持强大的资源保障、明确的激励机制及利益相关者密切合作,确保持续积极主动的能源传输系统安全提升。为及时跟踪2011路线图实施情况,能源行业控制系统工作组(ESCSWG)提供了ieRoadmap交互式平台。通过该平台共享各方的努力成果,掌握里程碑进展情况,使能源利益相关者为路线图的实现作一致努力。

 

2美国电力行业信息安全的管理结构

 

承担美国电力行业信息安全相关职责的主要政府机构和组织包括:国土安全部(DHS)、能源部(1)0£)、联邦能源管理委员会(FEUC)、北美电力可靠性公司(NERC)以及各州公共事业委员会(PUC)。2.1国土安全部美国国土安全部是美国联邦政府指定的基础设施信息安全领导部I'j'负责监督保护政府网络安全,为私营企业提供专业援助。2009年DHS建立了国家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),负责与联邦相关部门、各州、各行业以及国际社会共享网络威胁发展趋势,组织协调事件响应w。

 

2.2能源部

 

美国能源部不直接承担电网信息安全的管理职责,而是通过指导技术研发和协助项目开发促进私营企业发展和技术进步能源部的电力传输和能源可靠性办公室(Office(>fElectricityDelivery<&EnergyReliability)承担加强国家能源基础设施的可靠性和坚韧性的职责,提供技术研究和发展的资金,推进风险管理策略和信息安全标准研发,促进威胁信息的及时共享,为电网信息安全战略性综合方案提供支撑。

 

能源部2012年与美国国家标准技术研究院、北美电力可靠性公司合作编制了《电力安全风险管理过程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年与国土安全部等共同协作编制完成了《电力行业信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨,以支撑电力行业的信息安全能力评估和提升;2014年资助能源行业控制系统工作组(ESCSWG)形成了《能源传输系统网络安全采购用语指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加强供应链的信息安全风险管理。

 

在201丨路线图的指导下,能源部启动了能源传输系统的信息安全项目,资助爱达荷国家实验室建立SCADA安全测试平台,发现并解决行业面临的关键安全漏洞和威胁;资助伊利诺伊大学等开展值得信赖的电网网络基础结构研究。

 

2.3联邦能源管理委员会

 

联邦能源管理委员会负责依法制定联邦政府职责范围内的能源监管政策并实施监管,是独立监管机构。2005年能源政策法案(EnergyPolicyActof2005)授权FERC监督包括信息安全标准在内的主干电网强制可靠性标准的实施。2007年能源独立与安全法案(EnergyIndependenceandSecurityActof2007(EISA))赋予FERC和国家标准与技术研究所(National丨nstituteofStandardsan<丨Technology,NIST)相关责任以协调智能电网指导方针和标准的编制和落实。2011年的电网网络安全法案(GridCyberSecurityAct)要求FKRC建立关键电力基础设施的信息安全标准。

 

2007年FERC批准由北美电力可靠性公司制定的《关键基础设施保护》(criticalinfrastructureprotection,CIPW标准为北美电力可靠性标准之中的强制标准,要求各相关企业执行,旨在保护电网,预防信息系统攻击事件的发生。

 

2.4北美电力可靠性公司

 

北美电力可靠性公司是非盈利的国际电力可靠性组织。NERC在FERC的监管下,制定并强制执行包括信息安全标准在内的大电力系统可靠性标准,开展可靠性监测、分析、评估、信息共享,确保大电力系统的可靠性。

 

NERC了一系列的关键基础设施保护(CIP)标准181作为北美电力系统的强制性标准;与美国能源部和NIST编制了《电力行业信息安全风险管理过程指南》,提供了网络安全风险管理的指导方针。

 

归属NERC的电力行业协凋委员会(ESCC)是联邦政府与电力行业的主要联络者,其主要使命是促进和支持行业政策和战略的协调,以提高电力行业的可靠性和坚韧性'NERC通过其电力行业信息共享和分析中心(ES-ISAC)的态势感知、事件管理以及协调和沟通的能力,与电力企业进行及时、可靠和安全的信息共享和沟通。通过电网安全年会(GridSecCon)、简报,提供威胁应对策略、最佳实践的讨论共享和培训机会;组织电网安全演练(GridEx)检查整个行业应对物理和网络事件的响应能力,促2.5州公共事业委员会美国联邦政府对地方电力公司供电系统的可靠性没有直接的监管职责。各州公共事业委员会负责监管地方电力公司的信息安全,大多数州的PUC没有网络安全标准的制定职责。PUC通过监管权力,成为地方电力系统和配电系统网络安全措施的重要决策者。全国公用事业监管委员协会(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作为PUC的一■个联盟协会,也采取措施促进PUC的电力网络安全工作,呼吁PUC密切监控网络安全威胁,定期审查各自的政策和程序,以确保与适用标准、最佳实践的一致性%

 

3美国电力行业信息安全的硏究资源

 

参与美国电力行业信息安全研究的机构和组织主要有商务部所属的国家标准技术研究院及其领导下的智能电网网络安全委员会、国土安全部所属的能源行业控制系统工作组,重点幵展电力行业信息安全发展路线图、框架以及标准、指南的研究。同时,能源部所属的多个国家实验室提供网络安全测试、网络威胁分析、具体防御措施指导以及新技术研究等。

 

3.1国家标准技术研究院(NIST)

 

根据2007能源独立与安全法令,美_国家标准技术研究院负责包括信息安全协议在内的智能电网协议和标准的自愿框架的研发。NISTf20102014发#了《®能电网互操作标准的框架和路线图》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本,明确了智能电网的网络安全原则以及标准等。2011年3月,NIST了信息安全标准和指导方针系列中的旗舰文档《NISTSP800-39,信息安全风险管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk),提供了一系列有意义的信息安全改进建议。2014年2月,根据13636行政令,了《提高关键基础设施网络安全框架》第一版,以帮助组织识别、评估和管理关键基础设施信息安全风险。

 

NIST正在开发工业控制系统(ICS)网络安全实验平台用于检测符合网络安全保护指导方针和标准的_「.业控制系统的性能,以指导工业控制系统安全策略最佳实践的实施。

 

3.2智能电网网络安全委员会

 

智能电网网络安全委员会其前身是智能电网互操作组网络安全工作组(SGIP-CSWG)ra。SGCC一直专注于智能电网安全架构、风险管理流程、安全测试和认证等研究,致力于推进智能电网网络安全的发展和标准化。在NIST的领导下,SGCC编制并进一步修订了《智能电网信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能电网信息安全分析框架,为组织级研究、设计、研发和实施智能电网技术提供了指导性T.具。

 

3.3国家电力行业信息安全组织(NESC0)

 

能源部组建的国家电力行业信息安全组织(NationalElectricSectorCybersecurityOrganization,NESCO),集结了美国国内外致力于电力行业网络安全的专家、开发商以及用户,致力于网络威胁的数据分析和取证工作⑴。美国电力科学研究院(EPRI)作为NESC0成员之一提供研究和分析资源,开展信息安全要求、标准和结果的评估和分析。NESCO与能源部、联邦政府其他机构等共同合作补充和完善了2011路线图的关键里程碑和目标。

 

3.4能源行业控制系统工作组(ESCSWG)

 

隶属国土安全部的能源行业控制系统工作组由能源领域安全专家组成,在关键基础设施合作咨询委员会框架下运作。在能源部的资助下,ESCSWG编制了《实现能源传输系统信息安全路线图》、《能源传输系统网络安全釆购用语指南》。3.5能源部所属的国家实验室

 

3.5.1爱达荷国家实验室(INL)

 

爱达荷W家实验室成立于1949年,是为美国能源部在能源研究、国家防御等方面提供支撑的应用工程实验室。近十年来,INL与电力行业合作,加强了电网可靠性、控制系统安全研究。

 

在美国能源部的资助下,INL建立了包含美国国内和国际上多种控制系统的SCADA安全测试平台以及无线测试平台等资源,目的对SCADA进行全面、彻底的评估,识別控制系统脆弱点,并提供脆弱点的消减方法113】。通过能源部的能源传输系统信息安全项目,INL提出了采用数据压缩技术检测恶意流量对SCADA实时网络保护的方法hi。为支持美国国土安全部控制系统安全项目,INL开发并实施了培训课程以增强控制系统专家的安全意识和防御能力。1NL的相关研究报告有《SCADA网络安全评估方法》、《控制系统十大漏洞及其补救措施》、《控制系统网络安全:深度防御战略》、《控制系统评估中常见网络安全漏洞》%、《能源传输控制系统漏洞分析>严|等。

 

3.5.2太平洋西北国家实验室(PNNL)

 

太平洋西北国家实验室是美国能源部所属的阔家综合性实验室,研究解决美国在能源、环境和国家安全等方面最紧迫的问题。

 

PNNL提出的安全SCADA通信协议(secureserialcommunicationsprotocol,SSCP)的概念,有助于实现远程访问设备与控制中心之间的安全通信。的相关研究报告有《工业控制和SCADA的安全数据传输指南》等。PNNL目前正在开展仿生技术提高能源领域网络安全的研究项。

 

3.5.3桑迪亚国家实验室(SNL)

 

桑迪亚国家实验室是能源部所属的多学科国家实验室,也是联邦政府资助的研究和发展中心。SNL的研究报告有《关键基础设施保护网络漏洞评估指南》、《控制系统数据分析和保护安全框架》、《过程控制系统的安全指标》I1'《高级计量基础设施安全考虑》、《微电网网络安全参考结构》等。在能源部的资助下,SNL开展了关于供应链威胁的研究项目,形成的威胁模型有助于指导安全解决方案的选择以及新投资的决策hi。

 

4美国电力行业信息安全的运作策略

 

4.1标准只作为网络安全的基线

 

NERC的关键基础设施保护标准(CIP)作为强制性标准,是电力行业整体网络安全策略的重要内容。CIP标准与电网规划准则、系统有功平衡与调频、无功平衡与调压、安全稳定运行等系列标准相并列,成为北美大电网可靠性标准的重要组成部分。目前强制执行的是CIP-002至C⑴-009共8个标准的第3版。文献1丨6]提供了CIP-002至CIP-009主要内容的描述列表。C〖P第5版近期已通过FERC批准即将于2016年实施。第5版新增了CIP-010配置变更管理和漏洞评估、C1P-011信息保护2个强制标准。

 

目前配电系统没有强制标准,但NIST将C1P标准融入了智能电网互操作框架中。智能电网互操作框架虽然是自愿标准,但为配电系统提供了信息安全措施指导为系统性的指导智能电网信息安全工作,NIST组织编制了《美国智能电网信息安全指南》,提出了一个普适性的智能电网信息安全分析框架,为智能电网的各相关方提供了风险评估、风险识别以及安全要求的实施方法。DOE编制的《电力行业信息安全风险管理过程指南》提供了电力行业信息安全风险管理的方法[5】。DOE与DHS合作编制的《信息安全能力成熟度模型》(ES-C2M2)i6i,通过行业实践帮助组织评估、优化和改善网络安全功能,促进网络安全行动和投资的有序开展以及信息安全能力的持续提升。2014年NIST了《提高关键基础设施网络安全框架》也作为电力行业网络安全自愿标准。文献f17]提到只有21%的公用事业采取了NERC推荐的预防震网措施,可见自愿标准的执行率偏低强制执行的CIP标准在大电力系统网络安全方面确实发挥了基础作用,然而网络威胁的快速变化以及每个组织面对的风险的独特性,强制性标准在某种程度上影响企业采取超过但不同于最低标准的合适的防护措施。文献丨3]提出目前将强制性的解决方案扩展到配电网不是有效的方法,联邦政府也在考虑缩小强制性范围。持续提升网络安全水平不能仅仅依赖于标准的符合度,监督管理不能保证安全。电力行业的网络安全需要整体的网络安全战略,包括安全文化建设、共享与协作、风险管理等。无论是强制性的标准还是非强制性的标准都只是信息安全的最低要求'4.2安全文化建设成为信息安全路线图首要策略

 

对能源传输系统安全风险的认知缺失或识别能力的不足,缺少有效的安全策略和技术环境训练的人员,将阻碍能源行业的持续安全。安全文化建设已成为201丨路线图的首要策略,以提升电力行业网络安全运作的主动性。2011路线图提出重点从最佳实践、教育、认证等方面加强信息安全文化建设,以实现能源传输系统的最佳实践被广泛使用、具备能源传输和网络安全技能的行业人员明显增长等中长期目标'最佳实践传递的目标效果是网络安全实践成为能源行业所有相关者的习惯。相关国家实验室围绕各自研究方向总结了评估方法、漏洞补救措施、操作指南等一系列最佳实践。如INL根据其多年SCADA漏洞评估经验,编制了《能源传输系统漏洞分析》、《SCADA网络安全评估方法》等。PNNL编制的《丁业控制和SCADA系统的安全数据传输指南》,为工业控制系统提供了能及时发现并阻止人侵的数据传输结构。NIST将最佳实践融入了安全框架、指南和导则中,如《提高关键基础设施网络安全框架》、《工业控制系统网络安全指南》等。NESCO、NERC等通过电网安全年会等多种方式提供了最佳实践的交流机会。

篇7

[关键词]电子政务;信息安全;发展研究

中图分类号:TP39 文献标识码:A 文章编号:1006-0278(2013)02-104-02

一、引言

根据电子政务的开放性、虚拟性以及网络化的复杂性等可以看出,电子政务是一项复杂的系统工程。因此,对电子政务系统安全提出了严峻的挑战。其中,安全性是电子政务正常发展的首要前提。电子政务建设作为网络应用的一个特殊领域,既要考虑一般性的网络安全问题,还要对政府的安全标准、系统的安全性和便利性的兼容、政府内部的安全管理问题等提出了特殊的要求。为了达到适应电子政务系统网络动态变化的特点,发展适合电子政务系统的安全技术和产品,就需做到保证技术的先进性和可扩展性;还要制定相关的电子安全法规和安全标准,通过法律保障,加强安全管理。电子政务的发展很大程度上基于网络信息技术的发展,只有网络安全有保障,才能保证电子政务信息传输的安全性,从而保障电子政务的信息安全。所以,要对电子政务的安全建设统一考虑,长远规划,从制度和技术上加以保障。

二、电子政务信息安全的技术建设

(一)电子政务安全信息系统方面建设

电子政务信息安全技术建设,首先要保证系统中信息共享与保密性、完整性的关系,开放性与保护隐私的关系,互联性与局部隔离的关系。其主要包括:信息技术安全和系统技术安全。

加强电子政务信息安全技术建设主要方面为:

1.隔离网闸技术整合网络结构

电子政务实践中往往产生内网与专网、外网间的信息交换需求,然而基于内网数据保密性的考虑,我们又不希望内网暴露在对外环境中。解决该问题的有效方式是设置安全岛,通过安全岛来实现信息的过滤和两个网络间的物理隔离,从而实现安全的数据交换。

2.使用漏洞扫描系统技术弥补缺陷

我国尚未突破CPU等核心技术,信息安全产业还依靠外国技术。通过漏洞扫描工具采取时间策略定时扫描整个网络地址网段,对多种来自通讯、服务、设备、系统等的漏洞进行扫描。就是为弥补操作系统无自主产权的缺陷,操作系统安全设计方面必须布置漏洞扫描系统。为了有效检查网络系统的可靠性和安全性,就采用模拟攻击的手段去检测网络上隐藏的漏洞,且对网络不做任何修改或造成任何危害,并能够提供漏洞检测报告和解决方案。

3.网页防篡改系统技术进行安全网站建设

选用网页防篡改系统来构建安全网站,来满足政府机关Web安全性的要求。做好服务器的安全策略配置,及时升级补丁程序;通过以防火墙为政府网站的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上,对网络存取和访问进行监控审计,以此达到正确配置防火墙、入侵检测设备策略。在政务内网与外网之间采用物理方式隔离,政务外网与互联网之间采用逻辑方式隔离,这里就是既要注重外部防范,又要加强内部管理的双重举措。

4.使用PKI技术进行加密认证技术

PKI是公钥基础设施(Public Key In-frastructure),是用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施。在电子政务和电子商务的建设中,PKI实际上是提供了一整套的、遵循标准的密钥管理基础平台。PKI技术通过第三方的可信任机构认证中心CA把用户的公钥和用户的其他标识信息(如名称、E-mail、身份证号等)捆绑在一起,通过数字身份证、数据签名、用户名及其访问口令,进行身份鉴别及访问权限的控制,防止非法人员对网络的登录,保证网络资源的使用安全性。

5.入侵检测技术入侵检测系统技术

入侵检测技术入侵检测系统(Intrusion Detection System,IDS)是一种识别面向计算机资源和网络资源的恶意行为的系统。一个完善的入侵检测系统可以对计算机网络进行自主地、实时地攻击检测和响应,在不影响网络上数据传输的前提下,对可疑的数据进行实时监控、分析,为用户提供了最大限度的安全保障。

6.数据备份技术

备份是一种数据安全策略,通过备份软件把数据备份到介质上,在原始数据遭到破坏或丢失的情况下,利用备份数据恢复原始数据,保证系统的正常工作。

备份策略可分为以下几种:

(1)全备份(Full Backup),即每天都用一盘磁带对整个系统进行完全备份,包括系统和数据。

(2)增量备份(Incremental Backup),即每次备份的数据只是相当于上一次备份后新增加的和修改过的数据。

(3)差分备份(Differential Backup),即每次备份的数据是相对于上一次全备份之后增加的和修改过的数据。

从备份的形式分可分为物理备份和逻辑备份:

1.物理备份:实际物理数据库文件从一处拷贝到另一处(通常从磁盘到磁带)的备份,主要用于数据库的全恢复。

2.逻辑备份:用导入导出工具通过导入导出数据对象来达到对数据进行备份的目的。它主要用于不完全恢复。

除了以上技术外,还包括公共服务器的安全保护、防止黑客从外部攻击、入侵检测与监控、信息审计与记录、病毒防护、数据安全、数据恢复、加密技术、访问控制技术、安全体系结构等技术来进行保障。

三、电子政务信息安全的管理建设

一方面应积极筹建国家信息安全组织管理机构,并加强国家信息安全机构的管理职能,落实国家制定的“兴利除弊,集中监控,分级管理,保障国家安全”这一信息安全系统管理的基本方针。另一方面,政府部门组织内部应制定严格的规章制度,实行有效的上网信息审批以及有关的人员管理与系统管理制度等。

(一)完善我国信息安全基础设施

国家应大力扶持国有信息安全产业建设的发展。自主的信息产业或信息产品国产化是保证电子政务信息安全的根本,国家应对其发展予以充分的政策和财政支持。对于安全产品评测认证中心、病毒检测和防治中心、关键网络系统灾难恢复中心、系统攻击和反攻击中心、信息战防御研究中心等当前迫切需要建立的国家信息安全基础设施进行建设。与此同时,还要重视技术及系统的综合集成,以确保电子政务信息系统的安全可靠。

(二)建立政府部门内部安全管理制度

应该建立一定的安全责任制度,比如:系统运行维护管理制度、计算机处理控制管理制度、电子文档资料管理制度、非计算机的各种凭证、单据、账簿、报表和文字资料制定妥善保管和严格控制的规章制度、操作和管理人员管理制度等。部门内只有具备相对完善的安全管理制度,加上严格的执行,工作人员才能各司其职,减少差错,防止由于人为因素导致的安全问题。为了使电子政务安全管理工作日趋程序化,还需要根据实际工作情况,在日常工作中不断修正、完善各项规章制度。

(三)进行电子政务信息安全方面的教育

我国各级政府部门要利用多种途径对公务员进行电子政务信息安全方面的教育,增强工作人员的责任感,提高工作人员的业务技能,丰富安全知识。强化电子政务环境下公务员的信息安全意识,树立正确的安全观念强化公务员的信息安全意识,就是要让公务员认识到电子政务信息安全是电子政务正常而高效运转的基础,是保障国家信息安全甚至国家安全的重要前提,从而牢固树立信息安全第一的思想。主要方式为:一、通过大众传播媒介,增强公务员信息安全意识,普及信息安全知识I二、积极组织各种专题讲座和培训班,培养信息安全人才,并确保防范手段和技术措施的先进性和主动性:三、积极开展安全策略研究,明确安全责任,增强公务员的责任心。

(四)健全法律,严格执法

法律是保障电子政务信息安全的最有力手段,发达国家巳经在政府信息安全立法方面积累了成功经验,我国立法部门应加快立法进程,吸取和借鉴国外网络信息安全立法的先进经验,尽快制定和颁布个人隐私保护法、数据库振兴法、信息网络安全性法规、预防和打击计算机犯罪法规、网上知识产权法等,以完善我国的网络信息安全法律体系,使电子政务信息安全管理走上法制轨道。另外,执法部门还要进一步严格执法,提高执法水平,确保各项法律法规落到实处。

篇8

北京圣博润高新技术股份有限公司(简称:圣博润)董事长兼总经理孟岗就是这样一位信息安全领域知行合一的开拓者和实践者。

刚刚喜获“08年度中国软件行业十大领军人物”称号的孟岗解释说,“圣搏润也是在不断尝试和不断磨练中慢慢成长起来的,思想要慢慢积累才能转化为能力,同样,也只有实践才能出真知。”

初涉信息安全领域

坦率地讲,从传统行业转战信息安全领域,孟岗感到肩负的责任更加重大,这片新领域绝非用“重视程度提升,前景美好”之类的话语就能简单概括。孟岗深刻意识到,能够在信息安全行业做大做强,更需要的是企业不懈的自主创新和突出的核心竞争力。

2000年的中国,信息安全领域正越来越受到国家的重视,孟岗表示:“国家当时先后出台了系列文件对信息安全领域相关问题进行明确界定,要求必须加强对国内自主知识产权信息安全产品的采购,这里边并没有提到国外产品。这表明国家对于自主知识产权产品的扶植,以及对国内企业自主创新的重视。”

“我当时相信,国产信息安全产品是有机会的,而且是大有机会。而一系列国家相关政策的出台,也不断加强了我们扎根该领域的信心。”谈起过往,孟岗眼中熠熠生辉。

正是这种灵敏的嗅觉和自信的判断,使得圣博润从最初安全产品,到安全项目集成,以及到后来的自主产品研发过程中,能够始终将自己最精锐的力量投入到内网信息安全产品的研究开发中,并且在前进的道路上始终保持这个方向。

在谈话中,孟岗认为好的市场环境、好的国家政策对自主创新企业的大力扶植给圣博润的发展带来了“幸运”。但是,在软件行业有多少产品、技术和团队都很不错的公司都最终在市场的洗礼中倒下了?毕竟,软件行业既是缔造传奇的福地,也是破灭神话的领域。

国家扶持很重要

所谓“天时地利人和”,能够在行业内取得成绩,仅靠单个企业的单打独斗实在难成气候,面对这个话题,孟岗很认真的说,“这要感谢近年来国家对信息安全行业持续地加大投入和政策扶植。”

“我们为什么能够存活下来,并能大大发展,这首先得益于国家对信息安全这一块的扶持,国内其他具有自主知识产权的信息安全企业也是如此。”孟岗如是说。

客观来说,国内IT技术积累与国外相比在某些方面仍然存在一些差距,信息安全要想做到自主、可信、可控,国家对于这一块的扶持是必不可少的。据了解,目前在信息安全产品的政府采购中,国内具备自主知识产权的产品获得的空间正在不断扩大和提升。

“经过几年的国家支持和市场发展,现在正是内网信息安全行业千载难逢的好机会。”谈到国家近年对于信息安全的投入和政策,孟岗加重的语气中透出兴奋。

“由最初的安全产品,到承接安全集成项目,再到自主安全产品研发,从最初看不清前方的道路,到现在被更广泛的市场和用户认可接受,圣博润的成长之路走的曲折,但并不漫长。”

目前,圣博润的业务主要有两个,一个是内网安全管理,即桌面安全管理,另外一个是信息安全的服务,包括信息安全的评估、信息安全体系的管理咨询、信息安全服务外包等。“圣博润要利用好这一千载难逢的机会,一旦顺风顺水就要加足马力!”孟岗强调。

依靠“产品和服务”两条腿走路的方针,不仅仅局限于产品的提供,圣博润的愿景是为用户构建安全的信息体系,这是圣博润作为一个信息安全厂商想要做的事情。在当今SaaS大行其道的背景下,圣博润将会使服务的比例从30%提高到40%。

“这是一个趋势。但是,服务的比例就目前预期来说不会超过50%。”孟岗坦言。

深挖用户需求

俗话说,“创业容易守业难。”在孟岗看来,创业和守业一样不易,尤其是在这个日新月异、创业求变的软件行业。

“圣博润不是靠研发起来的公司,认识过程要比别人慢一点,走的时间要比别人长一些,只有耐心、坚持才能保住创业。”孟岗说,“我们要能坚守住自己的方向,坚守住自己的客户,不断深入了解行业,不断洞悉他们的新需求,这是我们每个圣博润人内心的想法。”

前几年,信息安全主要解决的是边界防护的问题,网络管理、防火墙等成了那时间出现频率最高的安全防护词。实际上,经过近几年的发展,越来越多的用户发现,来自内部的威胁也同样不可小觑。

无论内网或局域网有多大,内部用户的行为完全是自由状态的,这种各自为战的自由行为给局域网的运行带来了很多问题,另外还可能引起重要信息泄露。

“现阶段,信息安全方面用户最迫切的需求是什么?”

“内网安全!”曾经一位用户如此干练的回答给了孟岗很大的触动。

事实上,信息安全的问题在任何时候任何一个层面都很重要。在早期,大家争相“建围墙、装防盗门、安窗户”,要把安全问题御之门外,这个阶段过后,人们逐步意识到来自内部的安全问题如果不加防范,同样会给用户带来不可估量的损失。

那么,是不是所有的企业都要“关上门好好处理自己的家务”?“这要取决于用户对自己信息资产的关注程度。”孟岗说。

举例来说,如果是一个普通的农户,对自己内部的资产并不太在意,那么他装一扇木门或铁门就可以了,而对于比较富裕的家庭可能就得装高级的防盗门。同样的道理,如果用户对自己内部信息资产的关注程度或认识程度非常高的话,他就会对自己的内网安全问题格外关注,反之则相应程度的降低。

信息安全的核心在于用户需求,用户采取什么样的防护措施取决于用户需要保护的是什么。

2008年2月18日,圣博润公司因其良好的业务发展态势受到中关村园区支持,在深交所挂牌OTC。当被记者问到,上市前后的圣博润是否会在企业方向或策略方面做一些调整,或者实现多元化运作时,孟岗说,“我们会将精力继续放在内网安全和安全服务方面,坚守我们的优势行业,至少近10年,我们不会考虑在方向或策略上做大的调整。”

篇9

一、采购电子化过程中存在的安全隐患

采购改革起步晚,编制体制还在不断完善,电子化采购也是近来提出的话题,管理思想、规章制度、管理技术、人才建设等都存在着一些不足,导致电子化采购在运行中存在很多安全隐患。

1、管理思想上的问题。一是缺乏系统的管理思想。随着采购工作的规范化、信息化运行,采购机构为信息安全做了大量的工作,制定了一些安全管理制度,但基本上还是静态的、局部的、少数人负责的、突击式的、事后纠正式的传统管理方式,而不是建立在风险评估基础上的动态的持续改进管理的方法。结果不能从根本上避免、降低各类风险,也不能降低采购电子化中由信息安全故障引起的综合效益损失。二是缺乏信息安全意识和信息安全方针。部分采购机构领导对电子化进程中信息资产所面临的威胁认识不足,或者只局限于IT方面的安全,没有形成一个合理的电子化采购方针来指导组织信息安全管理工作。表现为缺乏完整的信息安全管理制度,缺乏对网络工作人员进行必要的安全法律法规和防范安全风险的教育与培训,对现有的安全制度不能完全实施等。三是重视安全技术,轻视安全管理。目前,各级采购机构正处于信息化建设的关键时期,为此,各级都配备先进的计算机、网络等技术,用以提高采购效率及服务水平。但是,相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的情况,造成安全隐患。

2、规章制度上的问题。网上采购作为采购信息化建设的产物,对传统的采购模式已经构成挑战。对于这样的新生事物,相关的法律、制度至今还很不完善,即便在最近颁布实施的一些采购法规中提及的也很少。关于哪些方面信息应当公布、如何公布,网上采购程序的合法性如何界定,电子采购合同法律效力的确定,采购电子化的应急管理等,都是相关部门必须面对的问题。应尽快以法律方式来认可和保护电子签章,建立采购信息公开规定,以实现采购信息的开放性与安全性之间的平衡。通过各项配套法律的完善,使在建立一整套行之有效的措施的同时,落实各项安全保障制度。

3、管理技术上的问题。电子化采购所依托的是路由器、交换机、工作站、网络服务器,以及各类支持软件,其安全性能、技术标准等对信息系统的安全有着重要影响。电子化管理技术上的缺陷来自三个方面:一是硬件缺陷。由于采购事业经费较少的原因,部分采购机构计算机配置较低,一些先进的安全硬件,如现代化的采购网络中心还没有建立。二是软件缺陷。采购信息平台正处于研发、试用阶段,很多软件技术还不成熟,如确认客户身份真实性的技术、保证数据传输安全的技术等。三是先进的测试技术应用不够,如网络反病毒、网络入侵检测、网络安全扫描等技术。

4、采购人才的问题。电子化采购专业人才的缺乏是当前采购电子化进程中安全隐患的重要原因。系统安全管理人员是复合型人才,电子化采购的发展需要大批既熟悉物资采购业务,又精通计算机网络技术,具有丰富网络工程建设经验的工程技术人员、管理人员。由于电子化采购事业刚刚起步,现有采购工作人员长期从事的都是传统采购工作,所以在一时间内难以适应新的采购方式的要求。

二、采购电子化进程中的安全策略

采购电子化改变了传统采购业务的处理方式,优化了采购过程,提高了采购效率,降低了采购成本,使采购真正达到了公开、公平、公正。实施采购电子化,将推动整个“采购管理信息化”的建设和发展,并将促使采购经济效益的整体提高。但是,这些优越性要通过良好的采购网络运行平台才能实现,因此,必须通过有效方式营造一个安全可靠的电子化采购网络环境。

1、更新观念,强化管理,深化科学的电子化采购管理理念。树立系统管理思想。在考察、分析和解决电子化采购安全管理问题时要着眼于整个电子化采购安全系统,要以合作的精神从整个电子化采购事业全局出发,把一组具有特定目的、相互联系、相互制约的安全因素组合起来,根据轻重缓急,予以通盘考虑,逐次解决。影响电子化安全的因素是多方面的、复杂的,同时又是相互联系、相互制约的,一个安全隐患的存在通常会影响到整个电子化采购系统的有效运行。要确实树立系统管理思想还需把电子化安全隐患当做动态的、发展的、持续的,把握其发展规律。

加强内部管理。安全的最高境界不是产品,也不是服务,而是管理。要想保证网络的安全,在做好边界防护的同时,更要做好内部网络的管理。网络的内部安全管理策略包括:确定安全管理等级和安全管理范围;严格控制人员进出入机房;监督工作人员操作过程,理顺信息安全工作与其他工作的区别。

确定安全管理原则。采购机构网络中心的安全管理要本着多人负责、任期有限、职责分离的原则,将下列每组内的两项信息处理工作分开:计算机操作与计算机编程;机密资料的接收和传送;安全管理和系统管理;应用程序和系统程序的编制;访问证件的管理与其他工作;计算机操作与信息系统使用媒介的保管。

2、建章立制,力促规范,加快电子化采购法规建设。安全的基石是社会法律、法规与手段,缺少法律、法规支持的安全是没有保障、不能持久的。采购电子化是对传统采购的一个突破,对采购工作人员的工作习惯和思维方式产生了一定的冲击,法规支持的缺位,不利于统一规范用户和采购机构的思想认识,不利于规范采购环节的当事各方。

借鉴《电子签名法》、《电子商务示范法》,建立符合采购实际的电子签名方法、电子合同保护方法。要实现真正意义上的电子化采购,电子合同、电子签名是关键的一环,但从地方政府及企业的运行来看,这一环容易出现签名无效或者采购当事人拒不承认采购合同的合法性等问题,为采购行为增添了不明朗的前景,颁布签名及电子合同保护方法极为重要。

制定安全管理制度。信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作包括:根据工作重要程度,确定系统安全等级;根据安全等级,确定安全管理的范围;制订相应的机房出入管理制度;制订严格的操作规程;制订完备的系统维护制度;制定应急等级转换规定以及应急管理措施等。此外还包括电子化采购中的人员培训制度、专业电子化采购人员选择办法等。

篇10

在全球信息化的推动下,计算机信息网络作用不断扩大的同时,信息网络的安全也变得日益重要,一旦遭受破坏,其影响或损失也十分巨大,电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。应结合电力工业特点,深入分析电力系统信息安全存在的问题,探讨建立电力系统信息安全体系,保证电网安全稳定运行,提高电力企业社会效益和经济效益,更好地为国民经济高速发展和满足人民生活需要服务。

研究电力系统信息安全问题、制定电力系统信息遭受内部外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。

关键词:电力系统;计算机网络;可靠供电;安全体系;信息安全战略

中图分类号:TM715文献标识码: A 文章编号:

一、电力系统的信息安全体系

信息安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。包括保密性、完雅性、可用性、真实性、可靠性、责任性等几个方面。

信息安全涉及的因素有,物理安全、信息安全、网络安全、文化安全。

作为全方位的、整体的信息安全体系是分层次的,不同层次反映了不同的安全问题。

信息安全应该实行分层保护措施,有以下五个方面,

①物理层面安全,环境安全、设备安全、介质安全,②网络层面安全,网络运行安全,网络传输安全,网络边界安全,③系统层面安全,操作系统安全,数据库管理系统安全,④应用层面安全,办公系统安全,业务系统安全,服务系统安全,⑤管理层面安全,安全管理制度,部门与人员的组织规则。

二、电力系统的信息安全策略

电力系统的信息安全具有访问方式多样,用户群庞大、网络行为突发性较高等特点。信息安全问题需从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为了保障信息安全,采取的策略如下:

(一)设备安全策略

这是在企业网规划设计阶段就应充分考虑安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止意外损坏。对于终端设备,如工作站、小型交挟机、集线器和其它转接设备要落实到人,进行严格管理。

(二)安全技术策略

为了达到保障信息安全的目的,要采取各种安全技术,其不可缺少的技术层措施如下:

1.防火墙技术。防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实糟相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。

2.病毒防护技术。为免受病毒造成的损失,要采用的多层防病毒体系。即在每台Pc机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件,在网关上安装基于网关的防病毒软件。必须在信息系统的各个环节采用全网全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理,建立较完善的管理制度,才能有效的防止和控制病毒的侵害。

3.虚拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含1组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分,所以同一个LAN内的各工作站无须放置在同一物理空间里,既这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。

4.数据与系统备份技术。电力企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立企业数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统,从而保证信息系统的可用性和可靠性。

5.安全审计技术。随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计,及时自动分析系统安全事件,实现系统安全运行管理。

6.建立信息安全身份认证体系。CA是Certificate Authority的缩写,即证书授权。在电子商务系统中,所有实体的证书都是由证书授权中心(CA中心)分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。电力市场交易系统就其实质来说,是一个典型的电子商务系统,它必须保证交易数据安全。在电力市场技术支持系统中,作为市场成员交易各方的身份确认、物流控制、财务结算、实时数据交换系统中,均需要权威、安全的身份认证系统。在电力系统中,电子商务逐步扩展到电力营销系统、电力物质采购系统、电力燃料供应系统等许多方面。因此,建立全国和网、省公司的cA机构,对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中关键业务进行安全审计,并开展与银行之间、上下级CA机构之间、其他需要CA机构之间的交叉认证的技术研究及试点工作。

(三)组织管理策略

信息安全是技术措施和组织管理措施的统一,“三分技术、七分管理”。没有管理,就没有安全。再好的第三方安全技术和产品,如果没有科学的组织管理配合,都会形同虚设。

1.安全意识与安全技能。通过普及安全知识的培训,可以提高电力企业职员安全知识和安全意识,使他们具备一些基本的安全防护意识和发现解决某些常见安全问题的能力。通过专业安全培训提高操作维护者的安全操作技能,然后再配合第三方安全技术和产品,将使信息安全保障工作得到提升。

2.安全策略与制度。应该从企业发展角度对整体的信息安全工作提供方针性指导,制定一套指导性的、统一的安全策略和制度。没有标准,无法衡量信息的安全,没有法规,无从遵循信息安全的制度,没有策略,无法形成安全防护体系。安全策略和制度管理是法律管理的形式化、具体化,是法规与管理的接口和信息安全得以实现的重要保证。

3.安全组织与岗位。企业的组织体系应实行“统一组织、分散管理”的方式,建立以信息中心作为企业的信息安全管理机构,全面负责企业范围内的信息安全管理和维护工作。安全岗位是信息系统安全管理机构,根据系统安全需要设定的负责某一个或某几个安全事务的职位,岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列。这样在全企业范围内形成信息安全管理的专一工作,使各级信息技术部门也因此会很好配合信息安全推行工作。