电力企业里管理业务系统信息安全.doc

摘要：本文主要是对电力企业里管理业务系统信息安全的管理信息区对其所制定的措施做一定程度的探讨。借助当前业务系统安全方面的现状并对其做分析，然后遵照我国在此方面所制定的规定和要求，综合考究并对电力企业当前的管理信息区的业务系统安全提出必要的改进和具体的执行方案，其改进的思路主要是信息等级保护下的“登报评级、分级防护”，进而实现电力企业管理信息大区内部业务系统的信息安全防护。 关键词：等级保护；信息安全；信息安全防护 电力企业在我国所占据的地位非常重要，是重点工业之一，这其中最为重要的一项工作当属信息安全，而在当前出现问题做多的也正是此部门，据有关人员的研究，导致出现问题的原因主要有如下内容，首先是人为原因，如恶意的黑客攻击、内部人员的信息外泄、低级错误的操作等，其次是自然灾害所引发的安全问题，最后就是系统自身存在不足，如网络协议存在问题。对此，需要对电力企业中信息系统做必要的防护，降低信息安全事故的发生几率，这也是本文需要研究的任务。 1当前的现状和存在的问题 伴随着科技的不断发展，电力企业的信息化建设也得到了很大的发展，主要是从深度和广度两个层面做进一步拓展，这也从侧面体现出其所具有的重要性日渐突出。目前，威胁到电力企业信息安全的因素主要分为三个方面，第一是人为，如黑客攻击、人员外泄、低级错误，第二是自然因素，如意外事故、自然灾害，第三是系统自身，如网络协议存在不足。种种因素都对作为我国重点工业之一的电力企业的信息安全产生重要影响，改善我国的信息安全方面的措施，志在必得。 目前，由电力监督委员会所制定并颁布实施的《电力二次系统安全防护规定》是仅有一部法律，众多电力企业都是遵照此部法律，管理企业内部那些借助计算机和网络技术设定好的业务系统，其所设定的区主要有生产控制和信息管理两大区。 在仅有的这部法律中，针对电力企业管理信息区内部信息安全防护建设方面的规定非常模糊，这就导致诸多安全问题出现： （1）无分级防护，掌管单一业务系统的服务器为分开； （2）分管业务系统的服务器没有一定程度的对基本信息安全做防护； （3）同一个局域网内，未将正式投入使用的业务系统服务器与测试服务器分隔使用； （4）业务系统数据安全等级低易被盗； （5）系统编码存在漏洞。 2 防护实施步骤 提升电力企业信息管理区内的业务系统信息安全防护，需要遵照“等保评级、分级防护”这样的路子执行。信息安全等级保护制度，在伴随着信息化社会的不断发展和国民经济的不断提升的过程中，在加强信息安全保障能力上，在保障国家、社会和公共利益上，以及关乎现代化信息化建设发展上，都是具有一定的保障作用，是一项最为基本的制度。 2.1 对业务系统进行等级保护评级 依据我国的一项法律（《信息安全等级保护管理办法》）中的第14条的规定，建设完成并投入使用的信息系统，其有关使用此系统的单位要严格按照本办法中的规定要求，选用符合要求的测评机构，遵照《信息系统安全等级保护测评要求》中的一些技术准则，需要对其系统的等级状况做定期的测评。所有的测评要送当地公安部门做备案处理。在聘请方面，电力企业要遵照要求选择具有资质的测评机构来对管理信息区的业务系统做等保测评工作。其所得到的结果如下表1损失： 表1 电力企业管理信息大区内部各业务系统等保测评结果 业务系统 等保评级结果 财务管理系统 第三级 调度生产管理系统 第三级 OA系统 第二级 营销管理系统 第二级 生产管理信息系统 第二级 人力资源管理系统 第二级 工程管理系统 第二级 企业对外网站 第二级 企业内部网站 第二级 邮件系统 第二级 录音系统 第一级 通常情况下，电力企业信息系统中不会出现第四级和第五级的系统。 2.2 对机房局域网划分安全区域 系统化的整改电力企业内的局域网是非常有必要的，具体的整改内容是，对业务系统服务器所处的位置坐细化，按照需求设置信息安全区域，主要有等级为一、二、三的三个业务区域，外加一个公共业务区域和一个测评业务区域。对于机房的划分，也需要按照上述样式做物理划分。见图1。 图1 局域网和机房业务系统服务器分区图 不同信息安全区域有不同等级的系统服务器所掌管着，等级为一、二、三的业务区域分别安装着对应的服务器，而公共业务区域的服务器主要是DNS或者是Windows域服务器，此类服务器是不存在保护分级，其功能主要为基础服务提供非业务系统服务，对于测评业务区主要的服务器是投入使用前的测试系统服务器。 2.3 按等级保护测评结果放置业务系统 不同信息安全区域内放置对应的等级保护的服务器的主要依据是等级保护测评结果，这种放置方式为后期的分级保护有一定程度上的促进作用。遵照其测评结果，表2所示的就是企业管理信息区，其主要业务系统对安全区域存放问题的展示。 表2 电力企业管理信息大区内部各业务系统和