1电力企业信息系统风险
电力企业信息系统是基于电脑和网络,实现电力制造、管理等信息的收集、存储、分析及传输的综合性的有机系统。[1]信息作为一种重要的企业资源必须要对其进行全面的安全管理,企业信息安全管理是引导和协调组织的关于信息化安全风险的互相协调的活动,即企业管理层对企业相关信息和活动安排进行合理的规划和协调。一直以来,很多人特别是对于信息行业出身的工作人员,都受环境影响而陷入“技术就是一切”的误区中,即人们把企业信息安全的全部希望都寄托在加密技术上,他们认为只要通过加密技术,任何信息安全问题都能够解决。随着网络防火墙技术的诞生,我们又常听到“防火墙是网络安全的有力保障”的论调。经此之后,入侵检测、VPN等更多新的概念及技术纷至沓来,但无论技术怎样变化,终究还是突破不了技术统领信息安全的枷锁。实际上,对企业信息安全技术的选择及应用只是企业信息系统安全化的一部分,它只是实现企业安全运营的一个方法而己。大家之所以产生这样的误区,其原因是多方面的,站在企业安全技术提供商的角度来说,其侧重点在于销售,因此向相关客户输送的大多都是以技术为核心的理念和信息。站在客户角度来说,只有企业的产品才是真实的、有形的,对投资方来说,这是十分重要的。因此,正是对于企业信息系统的错误认识,导致一些极端现象的产生,比如:许多企业的信息化设备使用了防火墙、网络云扫描等技术,但却没有设定出一套以安全策略为核心的合理的安全管理方案,从而造成安全技术及企业的产品生产十分混乱,不能做到技术及相关产品的及时、有效的更新。还有一些电力企业即使设定了一些安全管理措施,却没有使用有效的实施、监督机制来执行,这让安全管理措施徒有其表,名存实亡。经过研究及调查,现阶段我国电力企业信息系统面临的风险主要有:(1)信息系统缺陷。随着信息化的不断发展,电力企业信息系统也一直在不断完善中,目前,我国的电力企业在设计、制造及产品装配中仍存在着许多安全隐患与风险,比如来自软硬件组件的安全隐患等,这些信息系统固有的缺陷对电力企业信息系统的安全造成了严重的威胁。(2)信息系统安全管理不规范。现阶段,我国电力企业对电力信息系统的安全愈来愈重视,很多电力企业都采取了各种风险管理及预防措施,但是由于系统数据备份设备的不完善、数据丢失等信息系统安全管理不规范现象的出现,建立一套完善、合理的电力企业信息系统安全管理体系尤为重要。(3)网络安全意识薄弱。由于电力企业的安全宣传力度不够,相关技术人员的安全意识薄弱而导致的信息系统安全问题时有发生,比如不能及时修补信息系统漏洞及补丁,相关人员不正确的操作、或通过U盘导致重要信息泄露等,处理不好都很有可能造成整个电力系统的不稳定甚至系统瘫痪。(4)恶意人为破坏。随着网络共享度的提高,我国的电力企业信息系统逐渐向开放型及共享型发展,这使得一些不法分子有机可乘,他们为了自己的利益,通过各种手段非法入侵电力企业的信息系统,如植入病毒、窃听、干扰阻断等,这对我国电力企业信息系统的安全构成了极大的威胁。
2电力企业信息系统安全管理研究
信息安全是一个复杂的、不断变化的动态过程,如果电力企业只根据一时需要而忽略了信息安全的动态性,只是主观的来制定一些风险管理措施,就会造成在企业信息管理中顾此失彼,进而导致企业的安全管理水平止步不前甚至有失偏颇。[2]其正确的做法是,电力企业要遵守相关信息安全标准及实践总结,结合企业自身对信息系统安全的实际需求,在进行完善的风险分析及风险管理的基础上,通过一些合理的、可行的安全风险管理措施来使电力企业信息系统一直处于安全状态。除此之外,不断更新的过程是电力企业进行信息安全管理的最基本出发点,该过程还应该是动态的、变化的,即安全措施要随着环境的变化及信息技术的提高而不断改进和完善,坚决拒绝一成不变,这可以将信息系统的风险降到最低。[3]所以说,基于风险的评估及控制角度来说,电力企业信息系统的安全风险与其他领域的风险具有相似性,与此同时,电力系统信息系统安全风险又具有其独特性。将其他领域内的风险控制过程引入电力企业的信息风险管理领域,需要同时考虑到其共性和个性。安全管理主要分为网络级、系统级和应用级3个部分:(1)网络级安全管理。电力企业信息系统的网络级安全管理主要是指解决企业信息系统与网络互联而产生的安全风险问题,其主要从网络防火墙及网络结构两个方面采取安全管理措施。网络防火墙对企业内部网络及外部网络起到安全隔离作用,它可以有效预防潜在的破坏性入侵,同时可以对即将进入企业内部网络的数据进行严格的检测,并对非法、错误的网络信息进行隔离,从而保护电力企业内部网络的安全。对于网络结构,根据电力企业信息系统的实际情况,相关技术人员结合网络结构,设计出一种介于混合型和网状型结构之间的分布式网络结构,该分布式网络系统具有较高的可靠性及容错能力,从而对已有的网络结构进行了优化。(2)系统级安全管理。在企业信息系统风险管理中,系统级安全设计与用户的具体应用具有密切的联系,具体而言,其分为操作系统与数据处理两个方面。在操作系统方面,利用有效的网络安全扫描对信息系统的安全风险进行合理评估,及时分析操作系统已有的漏洞,同时结合信息系统的漏洞自动修补技术,实现定期为相关用户消除网络中的安全隐患。在数据处理方面,企业要善于利用信息系统平台再次对数据库进行数据安全加密,从而将信息系统的数据库风险降到最低。(3)应用级安全管理。应用级安全设计具有直观、具体的特点,它是在设计电力企业的信息系统时,通过技术手段将相应的安全技术加入到信息系统中,从而有效保证系统的安全稳定运行。具体来说,电力企业信息系统的应用系统访问控制是根据访问信息性质的不同,分别进行公开信息和私密信息的传送、存储及管理,从而实现在应用层次上的访问控制;而数字签名技术可以通过对文件签发者、日期等提供准确的不可更改的历史记录,来保证系统所有文件的完整性。因此,我们得知,为了确保电力企业信息系统的安全,要采取合理、有效的管理手段来最大程度地降低风险,即相关人员不仅要从技术层面来进行安全管理的设计,还要从管理层面进行安全管理设置。[4]具体来说可以从以下方面着手:(1)定期对企业系统的技术人员进行安全教育,增强其信息系统的安全意识;(2)保持相关人员特别是管理层的人员稳定,若有人员调离,需及时更换系统密码,避免企业机密泄露;(3)设置合理的电力企业信息系统安全标准及企业制度等。
3结语
电力企业信息系统的信息安全性在现有的信息安全技术下并不能很好地解决相关安全问题。因此,只有建立完善的、可行的企业信息系统安全管理模式,并及时更新安全技术及设备,制定合理的安全管理方案,才能使电力企业的信息系统安全性一直处于良好状态。电力企业信息系统安全是电力企业正常运营的重要保证,企业信息系统安全不仅关系着我国电力企业的信息化水平,还关系着我国经济发展的前途命运。因此,只有结合我国电力企业的实际情况,采取合理、完善的风险管理措施,才能保证电力企业信息系统的安全性及平稳性。现阶段,大量事实表明,如今电力企业的信息系统安全问题不仅仅是技术层面的问题,更大程度取决于相关人员的管理水平。因此,只有将电力企业的信息系统安全风险有效进行识别及分析并采取有效的风险管理及预防方案,才能保证电力企业信息系统的安全性及可靠性。
作者:洪杰 段成铎 单位:国网浙江桐庐县供电公司
相关专题:婴幼儿营养与保健心得 品牌策略
