隨着供電公司將計算機網絡系統納入到業務執行領域,使得其執行效率和 質量得以提升的同時,同時也帶來了不可避免的安全隱患問題。因此,做好供電企業資訊安全隱患排查和治理工作,已經成爲供電企業普遍關注的問題。本文對供電公司資訊安全隱患進行了分析,並探討了供電公司資訊安全隱患排查方法和治理策略。
隨着資訊科技的高度發展,越來越多的企業引進了基於計算機網絡的資訊管理系統,資訊系統的引入提高了企業的工作效率,同時也帶來了不可避免的安全問題,做爲國家重要基礎設施行業之一的電力企業,資訊安全尤爲重要,不可忽視。
資訊安全隱患不僅是一 個技術問題,也不單是一個管理問題,它不光涉及到資訊從業人員,更多的是覆蓋所有使用計算機的終端用戶。因此,明確資訊安 全隱患排查治理的內涵,確立資訊安全隱患排查治理的方法和流程,是做好隱患排查工作的重點。
一、供電公司資訊安全隱患分析
引起資訊安全造成危害的因素是多方面的,從某種角度來講,資訊安全隱患存在的過程就是資訊安全管理的過程,而資訊安全管理過程中,涉及到人和物兩個方面的因素。因此,我們可從以下幾個角度來進行探析:
(1)由人引起的安全隱患
參與到供電公司資訊安全系統操作過程的職位有:操作人員,維護人員,開發人員,網管和用戶等。如果在此環節中,容易導致出現安全隱患的原因有:其一,工作人員資訊安全管理知識不夯實,技能掌握不全面,難以將切實的資訊安全管理工作落實下去;其二,資訊安全管理制度不完善,各個部門之間的權責劃分不明確,難以做到有重點,有層次的進行資訊安全管理 工作;其三,資訊安全管理系統配套設施管理不善,尤其是交換機,路由器和防火牆的配置存在不合理的地方,由此也會出現資訊安全隱患;其四,慣性違章的行爲,如病毒軟件卸載,系統補丁不全,資訊安全隱患不斷出現。
(2)由物引起的安全隱患
用戶資訊安全管理意識淡薄,常常出現習檔案權限管理不善等,由此使得供電企業其一,從通信線路可靠性的角度來看,主要涉及到物理設備安全,機房安全和通信線路安全等內容,如果此方面出現執行狀態不佳的情況,勢必會造成比較嚴重的資訊安全問題;其二,軟硬件由於質量,使用期限的問題,出現了各種各樣的故障,從而難以滿足資訊安全系統的執行需求,由此也會造成嚴重的資訊安全隱患;其三,網絡設備不安全隱患,也會帶來諸多安全隱患;其四,軟件本身的安全漏洞隱患和病毒帶來的不安全隱患。
二、供電公司資訊安全隱患的排查
1.隱患排查目的和範圍
(1)隱患排查目的。排查目的旨在排除重點部位、關鍵環節、關鍵部位的隱患,將檢查工作落到實處,透過資訊安全檢查,提高網絡和資訊系統的可靠性。
(2)隱患排查範圍。按照作用對象分類分爲設備質量、資訊技術管理、資訊安全行爲性3類確立資訊安全隱患的排查和治理範圍。其中設備質量範圍對象包括:資訊基礎設施質量隱患:網絡設備、主機以及其他資訊設備質量隱患。資訊技術管理範圍對象包括:軟、硬件設備安全性測試技術和方法欠缺:資訊技術管理和設備執行管理的制度 不完善。資訊安全行爲性範圍對象包括個人終端計算機使用管理、移動設備丟 失和濫用、非法外聯等違規行爲導致的數據泄密和病毒氾濫安全隱患。
2. 資訊安全隱患排查的方法
針對於不同的資訊安全隱患,應該採用不同的資訊安全隱患排查方法,以保證做到具體問題具體分析。具體包括:
(1)隱患排查方法。資訊安全隱患排查,需按照資訊專業所轄設備和技術管理職能進行分工,採取資訊隱患排查表法和資訊安全督查方法進行。一是資訊隱患排查表法。它把資訊安全隱患所涉及的安全元素和檢查項目用表格系統的方式羅列出來,逐項對照檢查評審的'方式,是隱患排查最常用的方法。
(2)資訊安全督查法。主要採取日常督查、專項督查和年度督查相結合的方式。利用安全監控、內容審計、安全掃描等多種技術手段開展隱患排查。
①日常督查。 結合日常開展督查工作進行資訊安全隱患排查工作。
②專項督查。根據特定時段、特定事件而發起的資訊安全隱患排查。
③年度督查。年度排查結合日常督查、專 項督查,由公司督查組組織專人,按照國網公司《資訊安全年度督查方案》透過 訪談、檢視文檔、技術檢查以及工具掃描等方式進行現場督查。督查結束後,督 查組將督查結果和整改建議形成《資訊安全技術督查整改通知單》,並於當月底,透過《資訊安全技術督查通報》對督查結果及整改情況進行通報。
三、供電公司資訊安全隱患的治理
1.執行中的設備隱患治理
(1)資訊網非常態執行況下(設備檢修、新主幹設備接入資訊網、技術改造、受災等)可能存在的動態隱患,由資訊部門組織資訊專業人員,在設備調整前進行認真分析,制定隱患預控方案,實施預控措施。
(2)資訊網正常執行況下存在的執行方式隱患。由資訊安全技術監督組成員提出事 故預想,加強資訊網執行監視,使隱患可控、能控、在控。
(3)對在特殊條件下可能出現設備、線路超限額執行的隱患。資訊安全技術監督 組成員應提前進行分析,提出備用控制預案,由當值執行值班員進行控制。
2.系統安全隱患治理
(1)對於操作系統漏洞存在的隱患,由資訊部門利用技術手段,桌面管理系統實時 向各客戶端機器進行推裝,並不定期組織相關技術人員進行抽檢,預防隱患發生。
(2)結合資訊安全日常督查的工作對於服務器端操作系統的安全策略進行檢查並 優化,對策略的調整上報資訊主管部門備案。
(3)對於各業務應用系統的隱患,由相關業務部門負責治理,應用系統相關權限的設定以及廢棄用戶的處理,由相關 業務部門進行治理,上報資訊主管部門備案。
3.對用戶行爲性而引起的隱患治理
此類活動是由用戶習慣性違章而造成的安全隱患,由資訊部門督促用戶進行整改。具體包括:1)採取多種方式開展用戶資訊安全知識的培訓,透過公司主頁進行宣傳、發放資訊安全知識手冊、及時轉發上級下發的有關資訊違規通報,提高終端用戶 的資訊安全意識。2)透過桌面系統對用戶弱口令情況進行不定期檢查,由資訊主管部門進行通 報,對違規用戶由公司對所在部門進行考覈。3)不定期對自行安裝操作系統、卸載防病毒軟件、不安裝桌面管理客戶端的用戶進行抽查,如發現一例要進行嚴肅處理。由公司進行通報。對違規用戶由供電公司對所在部門進行考覈。
4.重視資訊安全隱患排查人才培養
供電公司資訊安全隱患排查和治理工作的開展,需要重視企業資訊安全隱患排查和治理人才的培養,以保證其有效性和安全性。
具體來講,我們可從以下角度入手:其一,嚴格把握資訊安全管理人員的招聘和選拔過程,從根本上控制企業資訊安全管理隊伍的綜合素質;其二,積極組織開展全面的資訊安全隱患排查人員的培訓和教育,實現其綜合排查技能的提升,以保證切實的將各項工作落實下 去;其三,給予公司資訊安全隱患排查工作人員合理的待遇和薪酬,並且建立高效的績效考覈制度,以此激發資訊安全隱患排查人員的工作積極性。
綜上所述,供電公司資訊安全隱患排查和治理工作,不僅僅關係到供電企業資訊系統的正常執行,而且還關係到供電公司經濟效益的提高。雖然現階段在資訊安全隱患排查和治理方面還存在很多的缺陷和不足,但是相信隨着經驗的積累,供電企業資訊安全隱患排查和治理工作質量一定會得以全面提升。