论文部分内容阅读
【摘要】 本文阐述了电力施工企业如何通过组织、管理、运行、技术等各类手段,全方位保障企业信息系统安全的过程。
【关键词】 电力施工 信息系统 安全
笔者就职于四川电力建设三公司(以下简称为“公司”),从事企业信息化管理工作。四川电力建设三公司是一家典型的电力施工企业,拥有众多的施工项目,分散在国内外各地。随着信息技术的飞速发展,公司也紧跟时代的脚步,开发并使用了一系列信息系统,包括公司OA办公系统、数据报表系统、人事管理系统、财务资金管理系统、资产管理系统、邮件系统等。由于公司是一家大型电力施工企业,主营业务为电源建设,项目投资金额大、项目周期长、生产环节繁杂、参与人员较多,因此信息系统的数据流链条较长、信息采集点较多,且包含大量公司商业秘密,信息系统的安全保障是公司异常关注的重点工作。本人在多年的工作实践中,积累了一定的信息系统保障工作经验,现对此项工作进行全面总结。信息系统安全保障工作,从宏观角度可以分为信息安全管理体系建设、信息安全组织与管理、信息安全法规与标准化工作、信息安全技术工程几个方面。
信息安全体系建设主要指信息安全管理体系ISMS的建立与运行。信息安全管理体系ISMS是目前国际上使用较广泛的信息安全管理方法,其认证标准对企业进行信息安全保障工作具有较强的指导意义。公司作为一家大型电力施工企业,未雨绸缪,在本世纪初就开始了相关的体系建设工作。信息安全管理体系ISMS的相关标准有ISO/IEC27001和GB/ T22080,主要有规划建立、实施运行、监视评审、保持改进四个过程。
1、在规划建立阶段,公司参照国际国内先进企业经验,确定了公司ISMS组织结构范围、业务范围、信息系统范围和物理范围,制订了ISMS方针,确定了风险评估方法。2、在实施运行阶段,公司制定了风险处理计划、实施风险处理计划、开发有效测量程序、实施培训和意识教育计划、管理ISMS运行。其中,工作重点是对具体风险的有效应对与控制。公司针对面临的各项风险制定了专门的风险管理计划,对每一项风险的处理优先顺序、处理措施、所需资源、责任人、验证方式进行了详细定义,确保风险管理的可执行性。3、在监视评审阶段,公司通过日常监视与检查、内部审核、风险评估、管理评审等活动确保整体监控水平。4、保持改进阶段,公司主要活动为实施纠正和预防措施,消除各个管理不符合项,确保在发生信息安全事件时,能够从容应对、科学分析,并采取最优的处理措施。
信息安全组织与管理是对公司信息系统参与者的针对性管理,主要分为内部组织管理与外部管理两个方面。其中,内部组织管理是该项工作的核心。公司的信息系统由于信息采集点较为分散,信息传送路径较长,因此信息安全的潜在威胁也较大。如何保证信息系统中大量的商业秘密数据不被泄漏、不被窃取、不被篡改,是公司信息安全组织管理的核心目标。为此,公司进行了业务梳理,将各项数据的报送流程进行了明确规定,将数据的处理权限同公司组织架构有效结合、综合考虑,做好了合理分配。比如,工程进度报表,就被限定了填报人员为各项目部工程部进度管理专责人员,审核者被限定为各项目部工程部经理,签发者为各项目部项目经理,汇总者为公司总部工程管理专责。这样,不管具体人员如何变动,信息处理参与者都只与限定的岗位有关联,确保了数据信息的保密性、可用性和有效性。信息安全法规与标准化工作对于信息系统安全保障具有较大的指导意义。只有严格遵从国家信息安全法律法规、行业规定及相关标准,才能确保企业信息安全保障工作有法可依、有章可循。我国相关的法律法规有《中华人民共和国保守国家秘密法》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《信息安全等级保护管理办法》、《计算机信息系统国际互联网保密管理规定》、《计算机病毒防治管理办法》、《电子签名法》等。我国制定的信息安全相关标准有GB 17859-1999《计算机信息系统安全保护等级划分准则》、GB/T 25058-2010《信息系统安全等级保护实施指南》、GB/ T 20269-2006《信息系统安全管理要求》、GB/T 21052-2007《信息系统物理安全技术要求》等。这些标准从工作、管理、技术方面对企业信息安全保护活动进行了标准化约束,为公司进行信息系统安全保护工作提供了文件支持。
信息安全技术工程是公司进行信息系统安全保障工作的基础性活动。也是公司信息系统安全保障工作的具体落脚点,其实施效果的好坏直接关系到公司信息系统安全保障工作的最终效果。公司将该项活动分为了访问鉴别技术、操作系统安全技术、数据库安全技术、网络安全技术等几个方面,逐一落实。其中,访问鉴别技术,主要根据信息系统的重要性和角色权限的分配,使用了诸如口令加密技术、密码工具、数字证书技术。比如,对于一般的信息系统及普通用户,公司对密码口令进行了一定的复杂性设置,确保难以被暴力破解。而对于重要信息系统及重要用户角色,则配备了密码加密狗,保证身份鉴别有效性。公司机关局域网统一配备了安全防护软件,实行统一后台管理,确保操作系统的运行安全。为了应对DDOS攻击、SQL注入攻击,公司为数据库与网络区域边界配备了新型防火墙及防篡改系统,并针对异常流量部署了安全防护策略,最大限度保证数据环境安全。
公司始终将信息系统安全保障工作视为综合性工程,无论是组织管理、制度管理、技术应用还是体系建设,都保持谨小慎微的心态,将每项工作落实到位。多年来,公司未发生一起信息安全事件,信息安全保障工作收到了良好效果。
【关键词】 电力施工 信息系统 安全
笔者就职于四川电力建设三公司(以下简称为“公司”),从事企业信息化管理工作。四川电力建设三公司是一家典型的电力施工企业,拥有众多的施工项目,分散在国内外各地。随着信息技术的飞速发展,公司也紧跟时代的脚步,开发并使用了一系列信息系统,包括公司OA办公系统、数据报表系统、人事管理系统、财务资金管理系统、资产管理系统、邮件系统等。由于公司是一家大型电力施工企业,主营业务为电源建设,项目投资金额大、项目周期长、生产环节繁杂、参与人员较多,因此信息系统的数据流链条较长、信息采集点较多,且包含大量公司商业秘密,信息系统的安全保障是公司异常关注的重点工作。本人在多年的工作实践中,积累了一定的信息系统保障工作经验,现对此项工作进行全面总结。信息系统安全保障工作,从宏观角度可以分为信息安全管理体系建设、信息安全组织与管理、信息安全法规与标准化工作、信息安全技术工程几个方面。
信息安全体系建设主要指信息安全管理体系ISMS的建立与运行。信息安全管理体系ISMS是目前国际上使用较广泛的信息安全管理方法,其认证标准对企业进行信息安全保障工作具有较强的指导意义。公司作为一家大型电力施工企业,未雨绸缪,在本世纪初就开始了相关的体系建设工作。信息安全管理体系ISMS的相关标准有ISO/IEC27001和GB/ T22080,主要有规划建立、实施运行、监视评审、保持改进四个过程。
1、在规划建立阶段,公司参照国际国内先进企业经验,确定了公司ISMS组织结构范围、业务范围、信息系统范围和物理范围,制订了ISMS方针,确定了风险评估方法。2、在实施运行阶段,公司制定了风险处理计划、实施风险处理计划、开发有效测量程序、实施培训和意识教育计划、管理ISMS运行。其中,工作重点是对具体风险的有效应对与控制。公司针对面临的各项风险制定了专门的风险管理计划,对每一项风险的处理优先顺序、处理措施、所需资源、责任人、验证方式进行了详细定义,确保风险管理的可执行性。3、在监视评审阶段,公司通过日常监视与检查、内部审核、风险评估、管理评审等活动确保整体监控水平。4、保持改进阶段,公司主要活动为实施纠正和预防措施,消除各个管理不符合项,确保在发生信息安全事件时,能够从容应对、科学分析,并采取最优的处理措施。
信息安全组织与管理是对公司信息系统参与者的针对性管理,主要分为内部组织管理与外部管理两个方面。其中,内部组织管理是该项工作的核心。公司的信息系统由于信息采集点较为分散,信息传送路径较长,因此信息安全的潜在威胁也较大。如何保证信息系统中大量的商业秘密数据不被泄漏、不被窃取、不被篡改,是公司信息安全组织管理的核心目标。为此,公司进行了业务梳理,将各项数据的报送流程进行了明确规定,将数据的处理权限同公司组织架构有效结合、综合考虑,做好了合理分配。比如,工程进度报表,就被限定了填报人员为各项目部工程部进度管理专责人员,审核者被限定为各项目部工程部经理,签发者为各项目部项目经理,汇总者为公司总部工程管理专责。这样,不管具体人员如何变动,信息处理参与者都只与限定的岗位有关联,确保了数据信息的保密性、可用性和有效性。信息安全法规与标准化工作对于信息系统安全保障具有较大的指导意义。只有严格遵从国家信息安全法律法规、行业规定及相关标准,才能确保企业信息安全保障工作有法可依、有章可循。我国相关的法律法规有《中华人民共和国保守国家秘密法》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《信息安全等级保护管理办法》、《计算机信息系统国际互联网保密管理规定》、《计算机病毒防治管理办法》、《电子签名法》等。我国制定的信息安全相关标准有GB 17859-1999《计算机信息系统安全保护等级划分准则》、GB/T 25058-2010《信息系统安全等级保护实施指南》、GB/ T 20269-2006《信息系统安全管理要求》、GB/T 21052-2007《信息系统物理安全技术要求》等。这些标准从工作、管理、技术方面对企业信息安全保护活动进行了标准化约束,为公司进行信息系统安全保护工作提供了文件支持。
信息安全技术工程是公司进行信息系统安全保障工作的基础性活动。也是公司信息系统安全保障工作的具体落脚点,其实施效果的好坏直接关系到公司信息系统安全保障工作的最终效果。公司将该项活动分为了访问鉴别技术、操作系统安全技术、数据库安全技术、网络安全技术等几个方面,逐一落实。其中,访问鉴别技术,主要根据信息系统的重要性和角色权限的分配,使用了诸如口令加密技术、密码工具、数字证书技术。比如,对于一般的信息系统及普通用户,公司对密码口令进行了一定的复杂性设置,确保难以被暴力破解。而对于重要信息系统及重要用户角色,则配备了密码加密狗,保证身份鉴别有效性。公司机关局域网统一配备了安全防护软件,实行统一后台管理,确保操作系统的运行安全。为了应对DDOS攻击、SQL注入攻击,公司为数据库与网络区域边界配备了新型防火墙及防篡改系统,并针对异常流量部署了安全防护策略,最大限度保证数据环境安全。
公司始终将信息系统安全保障工作视为综合性工程,无论是组织管理、制度管理、技术应用还是体系建设,都保持谨小慎微的心态,将每项工作落实到位。多年来,公司未发生一起信息安全事件,信息安全保障工作收到了良好效果。