信息安全就是數(shù)據(jù)的安全

2014-09-26 11:29:42 EP電力信息化網(wǎng)　點擊量：評論 (0)

信息安全就是數(shù)據(jù)的安全文國家電網(wǎng)重慶電力涪陵公司唐振勇唐湉湉我國電力工業(yè)體制開始向市場經(jīng)營模式轉變。各級供電企業(yè)紛紛建立數(shù)據(jù)中心，信息存儲系統(tǒng)和基于云計算的大集中管理應用，已成為提高生產(chǎn)效率、

文/國家電網(wǎng)重慶電力涪陵公司唐振勇唐湉湉

我國電力工業(yè)體制開始向市場經(jīng)營模式轉變。各級供電企業(yè)紛紛建立數(shù)據(jù)中心，信息存儲系統(tǒng)和基于云計算的大集中管理應用，已成為提高生產(chǎn)效率、管理水平、加強信息反饋和提高企業(yè)經(jīng)營決策以及綜合競爭力的科學手段。隨著電力信息網(wǎng)絡的互聯(lián)互通，電力信息網(wǎng)絡面臨日益突出的信息系統(tǒng)安全問題。

怎樣才能保證我們信息的保密、完整和可用性呢？眾所紛云的口頭禪 “信息安全”到底是什么？我們曾經(jīng)作過調查：70%的人認為“信息安全太廣義了，包含的內(nèi)容太多。如果指定哪方面的安全，我們加強重視和防范不就行了”，30%的人認為“信息安全問題，國家有專門的保障體系，我們只是在技術上采取策略和措施，將對信息的危害降到最低的程度。這是我們應盡的職責。”如表1所示。

表1 “IT運維網(wǎng)”注冊用戶對信息安全的調查報告

大集中云技術讓我們感覺到數(shù)據(jù)中心近在眼前，而且越來越近，我們獲取數(shù)據(jù)信息猶如撐手摘云。但前提是首先要加固網(wǎng)絡安全，包括信息系統(tǒng)自身的安全，信息網(wǎng)絡的安全和信息人員的安全。

確實，信息安全包含內(nèi)容較多，分信息安全保障和信息安全技術兩大類，正如“積極防御，綜合防范，管理與技術并重”的方針，即在信息系統(tǒng)的整個生命周期中，通過對信息系統(tǒng)的風險分析，制定并執(zhí)行相應的安全保障策略，從技術、管理、工程和人員等方面提高安全保障要求，確保信息的機密性、完整性和可用性，降低安全風險到可接受的程度，從而保障系統(tǒng)實現(xiàn)組織機構的使命。

安全策略又分組織措施和技術措施。組織措施包括成立信息安全管理機構即信息安全領導小組；制定信息安全的目標，確保業(yè)務的連續(xù)性，并通過一系列預防措施將業(yè)務可能受到的損害降到最低，將安全事故產(chǎn)生的影響降到最小；實施信息安全管理辦法，在確保信息系統(tǒng)資產(chǎn)受到保護的同時，確保信息能夠在允許的范圍內(nèi)正常使用，保護每種資產(chǎn)的機密性、完整性、可用性等三個基本要素；頒布信息安全管理制度，如數(shù)據(jù)中心機房出入；門禁、視頻監(jiān)控、巡視、防護、檢測、跟蹤、響應、缺陷處理、恢復、終結以及人員管理和培訓計劃等等。技術措施包含很多綜合的技術，如加解密技術、訪問控制技術、審計和監(jiān)控、入侵檢測、深度防御、設備監(jiān)控、網(wǎng)絡架構以及攻防兼?zhèn)浼夹g。

信息安全就是數(shù)據(jù)的安全。在沒有數(shù)據(jù)中心集中備份的條件下，管理層不考慮信息數(shù)據(jù)的安全問題，而片面追求系統(tǒng)運行速度，以最小的投入達到應用目的。這種理念在中、小型企業(yè)中普遍存在。信息系統(tǒng)自身的安全，包括硬件和軟件系統(tǒng)，關鍵是磁盤陣列設備和架構的安全。

電力信息網(wǎng)絡與互聯(lián)網(wǎng)實行物理隔離，但仍要防止意外破壞或者內(nèi)部人員的安全控制，也要面對如網(wǎng)絡病毒、蠕蟲、木馬和電腦“黑客”等的各種攻擊。電力企業(yè)信息傳輸基本上是明文方式，不具有信息安全所要求的保密、完整和發(fā)送方不可抵賴的要求。在數(shù)據(jù)庫或操作系統(tǒng)文件中以明文形式存儲的信息也存在泄露的可能，因為拿到存儲介質的人可以讀出這些信息；黑客可以繞過操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的控制獲取這些信息；系統(tǒng)后門使軟硬件系統(tǒng)制造商也很容易得到這些信息。

要加強信息人員的安全教育，保持信息人員特別是網(wǎng)絡管理員和安全管理員的相對穩(wěn)定，防止網(wǎng)絡機密泄露，特別注意人員調離時的網(wǎng)絡機密的泄露。對網(wǎng)絡設備、服務器、存儲設備的操作要履行簽字許可制度和操作監(jiān)護制度，杜絕誤修改和非法修改。主管信息安全工作的高級負責人或各級管理人員，重點了解、掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制定。負責信息安全運行管理及維護的技術人員，重點理解信息安全管理策略，掌握安全評估的基本方法，合理運用安全操作和維護技術。信息用戶人員，重點學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責。對特定的人員要進行特定的安全培訓。安全教育應當定期的、持續(xù)的進行。

國家電網(wǎng)吹響了推行“三集五大” 的戰(zhàn)斗號角，南方電網(wǎng)也全面推行信息系統(tǒng)一體化平臺應用。大集中模式已經(jīng)形成，數(shù)據(jù)中心近在眼前，猶如電力信息網(wǎng)絡的一朵朵云彩。電力信息安全已經(jīng)成為電力企業(yè)生產(chǎn)、經(jīng)營和管理的重要組成部分，并被提高到新的高度。電力企業(yè)的綜合信息管理系統(tǒng)中，必須從網(wǎng)絡、操作系統(tǒng)、應用程序和業(yè)務需求等各方面來保證系統(tǒng)的安全，研究電力信息網(wǎng)絡安全問題、制訂切實可行的防范措施與系統(tǒng)災難恢復等安全防護策略勢在必行，信息安全應急預案是當前信息化工作的重要內(nèi)容。在企業(yè)中建立安全文化并容納到整個企業(yè)文化體系中才是最根本的解決辦法。