信息安全随着信息技术的发展而产生,并且其重要性日益凸现出来,信息安全的内涵也随着计算机技术的发展而不断变化。进入二十一世纪以来,计算机技术给我们带来很大的方便,同时也带来了许多的信息安全隐患,诸如陷们、网络数据窃密、木马挂马、黑客侵扰、病毒攻击之类的网络安全隐患一直都威胁着我们。因而信息安全的重点放在了保护信息、确保信息在存储、处理、传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击措施。
一、电力企业信息安全强调机密性、完整性、可用性、可控性、不可抵赖行、可审性。
一个全面、合理的电力信息系统安全体系和模型,应该满足下列安全要求:
(1)机密性
即确保信息仅对被授权者可用。信息的保护通过确保数据被限制于授权者(这里通过可审性来配合)使用,另外还应考虑信息所处的形式和状态,是物理的纸面形式、电子文档形式,还是传输中的介质形式。
(2)完整性
是指数据不以未经授权的方式进行改变或损坏的特性。电力企业的许多开放系统应用都有依赖于数据完整性的安全需求。完整性同样应考虑信息所在的形式和形态。
(3)可用性
指确保被授权用户在需要时可以访问系统中的信息和相关资产,不会因自然或人为原因使系统中信息的存储、传输或处理延迟,或者系统服务被破坏、被拒绝大到不能容忍的程度。
(4)可控性
指授权机构对信息的内容及传播具有控制能力,可以控制授权访问内的信息流向以及方式。
(5)不可抵赖性
也称信息的可确认性,是传统社会的不可否认需求在信息社会的延伸。不可抵赖性包括证据的生产、验证和记录,以及在解决纠纷时随即进行的证据恢复和再次验证。
(6)可审性
可审性不是信息自身的安全需求,不能针对攻击提供保护,但具有信息的责任需求,和他安全需求相结合使之更加有效。虽然可审性需求会增加系统的复杂性,降低系统的使用能力,但是其拥有可追查这一特性,在电力信息系统安全中是重要的。
以上六个方面是保证信息系统的信息安全最基本的需求,他们互不能蕴含。
二、电力企业信息安全风险分析
信息安全风险和信息化应用情况密切相关,与采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:
(1)计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
(2)网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等;
(3)信息传递的安全不容忽视:随着办公自动化、财务管理系统、用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。同时电力公司和外部的政府、研究院所,以及国外有关公司都有着许多的工作联系,日常许多信息、数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。
(4)用户身份认证和信息系统的访问控制继续加强:企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开发,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定程度上加强了系统的安全性。但在实际应用中仍然存在一些问题。一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统汇总都要建立用户账号、口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了。
三、解决信息安全问题的基本原则
包括入侵检测系统、安全访问控制、漏洞扫描、病毒防护、防火墙、接入认证、电子文档保护和网络行为监控。
(1)入侵检测系统。在企业局域网中构建一套完整立体的主动防御体系,需要同时采用基于网络和基于主机的入侵检测系统优先。在企业内网比较重要的网段中放置基于网络的入侵检测产品。不停地监视网段中的各种数据包,如果数据包与入侵检测系统中的某些规则吻合,就会发出警报或者直接切断网络的链接。其次在重要的主机上安装基于主机的入侵检测系统,对该主机的网络实时连接以及系统审计日志进行智能分析和判断,如果其中主题活动十分可疑,入侵检测系统就会采取相应措施;
(2)安全访问控制系统针对企业局域网络系统的安全威胁。必须建立整体的、卓有成效的安全策略,尤其是在访问控制的管理与技术方面需要制定相应的策略,以保护系统内的各种资源不遭到自然与认为的破坏,维护局域网的安全;
(3)漏洞扫描系统。解决网络层安全问题的方法是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式,最大可能地弥补最新的安全漏洞并消除安全隐患;
(4)病毒防护系统。企业局域网防病毒工作主要包括预防计算机病毒入侵、检测入侵系统的计算机病毒、定位已入侵系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。企业内网需建立统一集中的病毒防范体系,特别是针对重要的网段和服务器,要进行彻底堵截;
(5)防火墙系统。防火墙在企业局域网与Internet之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受非法用户的入侵,在外部路由器上设置一个过滤防火墙,它只让与屏蔽子网中的代理服务器、E-mail服务器、信息服务器有关的数据包通过。其他所有类型的数据包都被丢弃,从而把外界Internet对屏蔽子网的访问限制在特定的服务器的范围内;
(6)接入认证系统对计算机终端实行实名制度,固定IP、绑定MAC地址,结合企业门户、办公系统等管理业务系统的实施实行终端接入准入制度,未经过安全认证的计算机不能接入企业局域网络。
(7)网络行为监控系统是指系统管理员根据网络安全要求和企业的有关行政管理规定,对内网用户进行管理的一种技术手段,主要用于监控企业内部敏感文件访问情况和敏感文件操作情况以及禁止工作人员在上班时间网上聊天、玩游戏、浏览违规网站等。
四、解决信息安全问题的对策
1、加强电力信息网安全教育
安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全教育的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性。
主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部分的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
信息用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。当然,对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。
2、电力信息网安全防护管理措施
技术是安全的主题,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。
(1)要加强信息人员的安全教育,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网路机密泄露,特别是注意人员调离时的网络机密的泄露;
(2)对各类密码要妥善管理,杜绝默认密码、出厂密码、无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新;
(3)技术管理,主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际;
(4)数据的备份策略要合理,备份要及时,备份截至保管要安全,要注意备份截至的异地保存;
(5)加强信息设备的物理安全,注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等;
(6)注意信息截至的安全管理,备份的截至要防止丢失和被盗。报废的介质要及时清除和销毁,特别要注意送出修理的设备上存储信息的安全。
结束语
电力企业信息安全是一个很严肃的话题,它是电力企业各种部门之间工作的纽带,这就要求作为信息安全管理人员加强自己的安全意识,工作中严格要求自己,电力企业也要建立清晰简明的信息安全规则,确保信息安全等级与业务安全要求相符。让信息安全问题随着技术和应用的发展而发展,在发展中求安全。
电力生产无小事,信息安全大于天。鹏锐技术自主研发的WIZ PLANT是工厂全生命周期信息资产管理平台。WIZ PLANT以流程工厂全生命周期数据模型和3D等可视对象信息技术为基础,集成来自工程全生命周期不同来源的数据,包括:设计阶段的一维文件、二维图纸、三维模型、智能流程图等图纸文件数据资料、建造阶段的施工文件、设备文档等静态数据。运维阶段来自MIS、ERP/EAM、SIS/SCADA、工业大数据、现场总线、ESB、门禁、工业视频、人员定位、OA等动态信息。
WIZ PLANT围绕两个关键目标而设计:
工程数据中心
提供统一工程信息管理平台,基于标准或项目规范和文控最佳工程实践,有序采集/移交和集成工程建设各个阶段产生的图纸文件、逻辑和三维模型,从而提高执行能力,更高效、更快捷地交付高品质的工程项目,实现数字化移交。
运维数据中心
作为运维阶段各系统的中心,提供一个永久的、独立于应用系统的、符合国际标准的信息集成和应用平台,为关键业务需求提供可靠的信息支持。在整个工厂全生命周期过程中,实现以对象为核心的数字化信息资产的关联、集成化管理,和基于数据的各项信息化应用,为实现智能工厂提供准确、及时的数字化信息服务。通过使用流程工厂全生命周期数据模型和领先的以对象为中心的信息管理技术,及可扩展技术框架,WIZ PLANT使资产数据独立于源程序,提供一个中立的数据中心,真正实现信息对资产的终身支持,从而极大地保护工程设计和建造过程中投入大量物力和人力所产生的信息。
系统架构
WIZ PLANT以3D对象化信息技术为基础,集成来自工程全生命周期不同来源的数据,包括:
运维阶段来自MIS、ERP/EAM、SIS/SCADA、工业大数据、现场总线、ESB、门禁系统、工业视频、人员定位、OA等动态信息;
设计阶段的一维文件、二维图纸、三维模型、智能流程图等资料;
建造阶段的施工文件、设备文档等静态数据。
构建智能的数据中心平台,实现工厂的智能化运营。在信息安全方面,鹏锐技术已通过ISO27001信息安全管理体系认证,研发的WIZ PLANT、WIZ DATA等软件产品完全复合ISO27001信息安全管理的要求,同时鹏锐技术对于信息安全管理十分重视,在研发环节严格履行安全规范,保证产品符合要求,牢固树立安全意识,不断强化信息安全的重要性,力争为客户在信息安全管理工作上提供良好助力。
您可以通过以下方式了解更多鹏锐技术详情:
☆请登录鹏锐技术公司官网:www.wiz.top
☆请致电鹏锐技术热线电话:0755-82776311
☆请扫描上方的二维码,关注鹏锐技术公众号
☆请微信公众号查找“鹏锐”关注鹏锐技术