信息安全的内涵也随着计算机技术的发展而不断变化,进入二十一世纪以来,信息安全的重点放在了保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。观看CIO访谈请点击:戈友会 CIO百家讲坛
电力作为周民经济的基础设施行业。在国内较早开始了信息化建设工作。随着电力信息化建没和应用高潮的到来,信息安全问题已日益突出,并成为国家安全战略的重要组成部分。信息安全的内涵也随着计算机技术的发展而不断变化,进入二十一世纪以来,信息安全的重点放在了保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。即强调信息的保密性、完整性、可用性、可控性。
一、电力企业信息安全风险分析
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力企业信息系统面临的主要风险存在于如下几个方面:
1、计算机病毒的威胁最为广泛。随着Internet技术的发展、企业网络环境的R趋成熟和企业网络应用的增多,病毒的感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。
2、黑客攻击已经成为近年来经常发生的事情,网络中服务器被攻击的事件层出不穷。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用破解口令(password cracking)、天窗(trapdoor)、后门(backdoor)、特洛伊木马(Trojan horse)等于段侵入计算机系统,进行信息破坏或占用系统资源,使得用户无法使用自己的机器。
3、网络安全问题日益突出。计算机系统本身的脆弱性和通信设施的脆弱性共同构成了计算机网络的潜在威胁。信息网络化使信息公开化、信息利用自由化,其结果是信息资源的共享和瓦动,任何人都可以在网上发布信息和获取信息。内部网,外部网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力企业网络上连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业商、业秘密和机密信息,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。是目前一个热门的安全课题,是电力企业面临的一个非常突出的安全问题。
4、信息传递的安全不容忽视。电力企业和外部的单位,以及凶外有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。
网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户、还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。
5、用户身份认证和信息系统的访问控制急需加强。企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立甩户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。
一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制。二是各应用系统没有一个统一的用户管理,使用起来非常不方便,更不用说账号的有效管理和安全了。
如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。
二、解决信息安全问题的基本原则
统筹规划,分步实施,要建立完整的信息安全防护体系,绝不能一哄而上,必须分清需求的轻重缓急,根据信息化建设的发展,结合信息系统建设和应用的步伐,统一规划,分步建设,逐步投资。
1、做好信息安全风险的评估。解决信息安全问题不能仅仅只从技术上考虑,技术是安全的主体,管理是安全的灵魂。信息安全离不开安全技术的实施,安全产品的部署,但现在的安全技术、安全产品让人眼花缭乱,难以选择,这时就需要进行风险分析,可行性分析等,分析现在我们网络面临的风险在哪些方面,解决问题或最大程度降低风险的可行性,收益与付出的比较,哪些产品可使我们以最小的代价满足我们的安全需求,安全与效率的权衡等。对于一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,将是企业实施安全建设必,须首先解决的问题,也是制定安全策略的基础与依据。
2、采用信息安全新技术,建立信息安全防护体系。提到信息安全技术,我们会想到很多:防火墙、入侵检测系统、防病毒系统、VPN、多层交换、加密/解密算法等等。但是我们要记住安全并不是复杂的代名词,安全也不是要包揽一切,安全应尽可能简单,安全要以业务和相关的应用为中心,安全防御不仅仅在边界而应是多层次的,安全需要不断的实践和有效的管理,安全体系结构的设计开发技术应该更加开放。纵观目前各大安全技术公司的新技术和新产品,无不体现了“智能、整合、管理”这几个趋势。
3、计算机防病毒系统。电力企业防病毒系统应该具有系统性与主动性的特点,能够实现全方位多级防护。考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样,相应地在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施集中控制、以防为主、防杀结合的策略。
4、网络安全防护系统。信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。
对于已经投入使用的信息系统,可以通过采用增加安全访问网父的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
三、解决信息安全问题的思路和对策
电力企业的信息安全管理相对来说还是一个较新的话题,国内其它电力企业也在积极研究和探讨。这里我结合自己的工作经验淡一谈对如何保证企业信息安全的一些看法。