电力安全管理论文电力企业网络信息安全防护体系的建立.doc

电力安全管理论文：电力企业网络信息安全防护体系的建立 摘　要:结合温州电力局实际情况,探讨架构企业网络信息的安全防护体系,体系分为安全管理和安全技术2条框架线,形成整体安全框架。安全管理框架包括安全策略、安全组织管理和安全运作管理3个层面;安全技术框架覆盖鉴别和认证、访问控制、内容安全、冗余和恢复以及审计响应等部分。 关键词:电力企业;网络信息;安全防护 1　电力企业网络信息安全防护系统原则 (1)分级保护 根据信息网中资产的重要程度以及资产面临的风险大小等因素决定各类资产的安全保护级别,制订各类信息网系统的安全保护等级表明确资产类别,同时确定对何种类别的资产应达到何种级别的安全。 (2)适度安全 安全没有绝对性,增加安全性往往意味着更大的成本投入和操作的复杂化。因此,在进行信息网安全规划、建设和管理时,应在投资、安全回报和可用技术之间找到最佳的平衡点。 (3)管理与技术并重 在采用安全技术和产品的同时应重视管理,不断积累完善针对网络实际情况的各类安全管理章程或规定,全面提高网络的安全管理水平。 (4)全过程 信息网安全应落实在信息网建设、运行、维护、管理的全过程中,任何一个环节的疏忽都可能给信息系统带来危害。安全不仅仅是增加部分防火墙等软硬件,同样是为了降低风险和减少成本。根据信息安全的生命周期特征,信息安全的生命周期可分为:策略制订、评估分析、方案设计、工程实施、运行管理、安全教育培训等阶段。 (5)动态调整 及时检测环境或系统中的变化,分析这些变化可能带来的风险,并在必要时调整修改原有安全保护及管理措施或增加新的措施,以控制或防范风险。 电力企业信息安全防护系统安全管理框架　　 安全问题的特点为“三分技术、七分管理”。除了各种技术手段外,安全管理的落实是解决安全问题、提高安全水平的基石。面对网络与信息安全的脆弱性,除了完善系统的安全防御措施外,还须加强网络与信息安全的日常工作管理。 (1)信息网安全策略为信息网安全提供管理指导和支持 制定指导方针并通过在组织内对网络安全策略的发布和保持来证明对信息网安全的支持与承诺。信息网安全管理策略是指一个信息网中关于安全问题采取的原则,对安全使用的要求,以及如何保护信息网的安全运行。 根据管理职责确定使用对象,明确确定某一设备配置、使用、授权信息的划分,定制网络信息资源的互访;确定每个管理者对用户授予的权限。说明网络使用的类型限制,定义可否接受网络应用,对信息网管理人员作级别上的限制。所有违反安全策略、破环系统安全的行为都是禁止的; 增加管理员的用户口令、密码的强度,管理授权范围尽可能小;信息网安全管理数据信息的必威体育官网网址性必须以制度的形式明确规定;在信息网管理中实行责权利的界定,实现专人专管;制定安全策略被破坏时的策略,首先保障对安全问题的隔离和限制,防止破坏的蔓延与扩展,其次对安全问题跟踪的书面文档纪录; 信息网安全策略作为向使用者发放的手册,应注明解释权归属何方,以免出现不必要的争端。 综上所述,安全策略的制定是一般性指导原则,关系到一个安全网络的最终功能的实现。必须建立安全体系,编写安全策略手册,并不断更新。 (2)建立信息网安全管理组织框架,开展和控制信息网安全的实施建立具有管理权的信息网安全小组以批准信息网安全方针,分配安全职责并协调组织内部网络安全的实施,提供信息网安全建议的专家小组并使其有效。多与安全专家联系,以跟踪行业趋势,监督安全标准和评估方法,并在处理安全事故时提供联络渠道。安全管理部门应根据原则和处理数据的必威体育官网网址性,制订相应的管理制度或规范。 根据工作的重要程度,确定该系统的安全等级;根据安全等级,确定安全管理的范围;制订机房出入管理制度,对于安全等级要求较高的系统实行分区控制,限制工作人员出入与己无关的区域。出入可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段对人员进行识别和登记管理; 制订操作规程要根据职责分离和多人负责的原则各负其责,不能超越自己的管辖范围;制订系统维护制度进行维护时,应采取数据保护如数据备份等措施。维护时要经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录;制订系统在紧急情况下尽快恢复的应急措施,使损失减少至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授理。同时需要对工作人员、系统管理员、下载软件、程序开发人员、密码内容、登录策略等进行管理。 (3)信息网安全运作管理是整个信息网安全框架的驱动和执行环节 一个有效的网络安全组织应在网络安全策略指导、网络安全技术的保障下,实施网络安全运作。 1)多人负责制度　每一项与安全有关的活动,都必须有2人以上在场。这些人应是系统主管指派、忠诚可靠、能胜任此项工作;签署工作情况记录以证明安全工作已得到保障。 2)任期有限制度　重要岗位