引言
在国网公司“三集五大”体系建设的大环境下,信息化全业务覆盖将渗透到县公司各个环节,县公司信息化建设有了重大进展和显著成效,尤其是在省电力公司信息系统全面推广应用后,建立合理、高效地信息安全管理体系显得尤为重要。西平县电业公司结合自己的实际情况,实施了一系列的信息安全方面的建设和管理,有效地保证了我公司的信息安全,提高了公司信息系统整体安全防护水平。
一、工作思路
(一)现状分析
西平县电业公司原来的局域网网络,由于内外网没有隔离,制度制定不全面,管理比较混乱,局域网内的计算机终端可以随意上网,由于没有桌面管理软件,私自接入路由器、交换机的情况比较严重,严重威胁到了公司局域网的网络安全。
(二)工作思路
为进一步加强我公司的信息安全管理,强化日常信息安全的监督、防控及应急处理体系,杜绝发生信息安全事故,有效提升全我公司整体信息安全防护水平,消除安全隐患,解决信息安全短板,强化信息安全建设,重新制定各种信息安全规章制度,明确信息安全责任人,对引起信息安全责任事故的,从严处罚;实施内网物理隔离,局域网内所有计算机终端安装省公司统一部署的北信源桌面管理系统和趋势杀毒软件,配备安全移动存储介质,最大限度消除各类信息安全隐患,确保公司局域网的安全。
二、主要做法
(一)加强组织机构与制度建设
我公司成立信息安全组织,以公司经理为组长,主管副经理为副组长,各部室主任为成员的安全信息管理网络体系,分级负责信息安全工作;信息安全管理实行统一领导、分级管理,各部门主要负责人是本单位信息安全第一责任人,公司信息化领导小组负责本单位信息安全重大事项决策和协调工作。公司负责人与各部室及各单位签订信息安全责任书,全体员工签订信息安全保密承诺书,对员工宣传“八不准、三个不发生”的安全要求,明确“谁使用、谁负责”的信息安全原则。信息安全纳入公司安全管理体系,实行专业管理、归口监督,科技信息部负责管理信息大区(信息内网和信息外网)的安全保障,负责指导、协调和检查各单位信息安全工作,组织落实公司信息系统等级保护制度,统筹开展公司信息系统风险评估和安全检查工作,负责规范公司信息系统安全产品的测评和选型工作。组织本单位信息系统安全的宣传和培训,建立健全信息系统安全管理体系,设立系统管理员、网络管理员、安全管理员等岗位。一是完善制度,制定包括各级信息安全岗位职责、值班制度、巡视检修制度、机房管理制度、业务受理制度、数据备份制度、信息发布与审核制度、信息安全审计制度等在内的各项制度;二是建立健全监督考核机制,严格系统分级权限分配、监督与管理;三是加强流程控制,数据录用前,必须要保证信息系统数据的合法性、安全性以及处理后数据的正确性,更重要的是对各环节人员操作程序进行安全管理,同时还要引进和强化计算机自动控制系统,以保证计算机系统及数据的安全性和数据处理的可靠性。四是建立完善了信息安全责任制度、信息系统日志管理制度、账号与口令管理制度、数据备份制度及应急预案制度等。
(二)加强硬件与软件及信息安全技术建设
为保障信息系统的安全,实施了内外网物理隔离,使互联网和局域网成为两个独立的网络,并配合省、市公司,对县—市—省三级联网通道进行改造,建设成了主通道为100M、备用通道为20M的光纤通道,与省、市公司互联。在各计算机终端安装了北信源桌面管理系统和趋势杀毒软件,启用桌面管理系统的补丁安装功能,对存在漏洞的计算机进行了补丁安装,对于个别无法安装补丁的计算机进行了重新安装操作系统,并实施了弱口令专项治理工作,坚决杜绝弱口令的发生。指派专人实时监控桌面管理系统,确保杀毒软件安装率、桌面管理系统注册率等达到100%。严格执行“涉密不上网、上网不涉密”的纪律要求。在内外网的网络终端上安装安全管理终端,登记内外网终端使用信息,监控网络终端基本信息。严禁违规上国际互联网及其他的信息网的现象;严禁内外网互联现象;严禁使用未登记备案的外网接口;严禁安装、使用未经批准的无线网络等,杜绝违规外联的发生。加强移动存储介质的使用和管理,专门配备了安全移动存储介质,保证了病毒、木马依靠移动存储介质进行传播。在各信息系统服务器上增加软件防火墙,取消不必要的协议及远程登录功能。对于远抄、集抄、智能手机抄表等信息系统,把原来的互联网接入方式更换为APN接入方式,保证了信息系统服务器的安全。对于入网及互联网用户实行严格的审批制度,并对其进行了MAC地址绑定,使局域网安全得以保障。
三、对实践过程的思考和对效果的评价
通过一系列的信息安全的建设和管理,改变了原来公司局域网管理混乱的模式,加强了公司信息安全管理工作,提高了公司信息系统整体安全防护水平,实现信息系统安全的可控、能控、在控。规范了信息安全的主要责任,确保信息系统持续、稳定、可靠的运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故,为国网公司“三集五大”体系建设及省电力公司统推的信息系统建设提供了强有力的安全保障,以信息化建设促进了企业管理水平和经济效益的提高。
作者:王敬刚 王凯丽