供电企业信息化建设安全常见问题探讨
2011-08-10 17:27:26 来源:田光辉
A-
A+
电力18讯: 随着“三集五大”营销信息建设纵深发展,供电营销业务和信息技术的融合程度越来越高,信息化科技手段广泛、深入地渗透到各个业务环节,供电营销业务对信息化设备的依赖越来越强,基层供电企业人员计算机的正常运行已经成为顺利开展供电营销工作的重要保证。面对日益增多且不断更新的计算机设备,各级供电企业对计算机系统安全管理相对滞后,计算机病毒、木马和系统蓝屏等一系列的计算机常见故障在一定程度上影响了日常供电营销工作的开展。如何规范计算机安全管理,保障计算机安全稳定运行,已经成为保障供电营销业务正常、高效运转的一项重要任务。
管理和技术作为信息安全保障是供电企业信息化建设的两大部分内容。缺乏管理,技术就会“无的放矢”;缺乏技术,管理就是“空口说白话”。目前很多基层供电企业的信息安全保障工作中仍然存在管理制度不够健全、管理目的不够明确,管理责任不能落实、管理效果缺乏监督等问题。内部调查显示,其70―80%的安全问题源自于内部的疏漏,比如计算机系统配置不合理,没有遵守操作规程等最基本的问题。
一、基层供电企业计算机信息安全现状
据调查,仅2010年我国电子政务网络安全方面暴露问题比较突出的有五个方面:计算机病毒泛滥;木马程序带来安全保密方面的隐患;易受黑客攻击特别是洪流攻击;垃圾邮件阻塞网络;网络安全的威胁蔓延到应用的环节,其中Windows占70%。国家在“十五”国民经济发展计划中就决定了要强化信息网络的安全保障体系,加速信息安全的研发。这说明,当前加强信息安全保障能力已成为我国信息化发展的当务之急。
根据供电企业系统信息技术应用不断扩展和深化的需要,各级供电企业积极筹集资金,对计算机等基础设施进行了购置、扩建和改造,使计算机设备广泛应用于供电企业生产经营工作的各个层面,从供电企业财务核算统到营销管理,从日常办公到信息交换,以计算机网络为依托的经营格局初步形成,计算机应用已经渗透到供电企业业务各个环节。随着供电企业生产经营工作信息化建设步伐的加快,信息化基础设施的数量日益增多。
与信息化基础设施数量直线上升形成鲜明对比的是,计算机安全防范体系建设相对滞后,这使得各种计算机安全问题在信息管理工作中逐一浮上水面。以某供电企业为例,累计各类计算机达86台,去年7月组织的一次计算机信息系统安全状况调查,发现了一系列令人担忧的计算机安全问题:计算机系统使用空密码登录占52%,存在系统安全漏洞占56%,其他安全问题占22%。
二、基层供电企业计算机信息安全的主要风险
(一)工作人员普遍缺乏信息安全防范意识。在当前供电企业信息化应用加快向业务环节渗透的过程中,“重应用、轻管理”的思想仍然根深蒂固地影响着基层干部职工,这从他们经常提及的问题可以看得出来:“系统功能运行正常了吗?电费发票开出来没有?收入统计出来没有?”很少有人关心“系统存在什么安全漏洞吗?这对系统安全存在什么风险吗?这样操作会对系统造成什么危害吗?”等安全隐患。除此之外,还可以从客服大厅的前台操作看得出来:前台操作员在登录系统前的密码输入环节中大都采取系统初始化默认密码,尚不能自觉采取安全档板等密码保护措施。
细节虽小,却反映出了基层操作员信息安全意识的缺失。其不懂得安全与效率的辨证关系,极少能认识到网络与信息安全的相对性、动态性,大部分基层干部职工甚至认为网络与信息安全系统像盖大楼,装好防盗门就一劳永逸,终身受用。
由于认识上的误区,网络与信息安全一直处于十分被动的状态。究其原因:一是多数人缺乏网络与信息安全知识培训,安全素质较差。因此,虽然了解网络与信息安全的重要意义,却不懂得如何防范,确保网络与信息安全;二是安全防范意识淡薄。没有充分意识到信息安全的严重危害性,部分人存在侥幸心理,系统不设防,密码不设置或设置过于简单,病毒防火墙不用,计算机数据不备份,文件随意共享,网络与信息安全危机重重;三是部分人认为网络与信息安全仅仅是技术部门的事,网络与信息安全是一项综合性跨部门联合协作的工作在基层中未能得到广泛认可。
(二)缺乏必要信息安全防范管理和技术保障手段。1.技术人员安全知识储备不足。基层供电企业信息系统安全防范力量薄弱,大多数基层供电所未配备专职技术人员,县级供电企业技术人员也仅有1―2人,虽有网络安全管理的分工,但因为一人多岗,大多不能做到网络安全防范全天候监控,不能对非法入侵的攻击系统进行实时检测,且防范知识更新慢,基层维护员平时外出参加业务培训的机会少,不能有效地补充新的网络安全管理知识。对信息系统出现的问题,维护员往往只能充当系统“消防员”角色,疲于奔波,穷于应付,很容易因主观和客观原因而导致计算机安全隐患和事故。随着计算机设备的不断增多,保障网络与信息安全的重任更是成为维护员的难以承受之重。2.信息安全管理缺位,管理职责难落实。技术是基础,管理是手段,如果没有完善的管理体制,再好的安全防御系统也将是形同虚设。有些操作人员由于保密意识不强,为“方便”工作,让人代为操作,或者将自己的账号、密码转借他人或与别人共享使用的情况时有发生;职责分工也有待进一步明确,操作人员擅自修改计算机软、硬件设置,在计算机上安装使用与业务无关软件,造成操作系统、业务程序崩溃、瘫痪,业务数据丢失;监督机制检验制度贯彻执行的“缺席”,造成虽有制度明确规定操作规程,但安全问题仍然频频发生,屡见不鲜。3.病毒防治渠道单一、管理松弛。网络病毒是供电企业内网最大的威胁之一。目前不可能今后也不可能存在对所有病毒均具防护功能的病毒防治系统,而基层供电企业绝大部分都只采用单一的网络版杀毒软件,缺乏防范病毒入侵的预案。所以,当所使用的杀毒软件不能查杀某些病毒或木马时,往往是再由当地技术人员自己上网搜寻其他解决方案。而在外网计算机上,有不少工作人员在未经系统管理员查毒、杀毒的情况下就擅自在业务用机上使用下载软件、盗版软件,或者来历不明的软件。这样的后果是一旦感染上计算机病毒,必将导致重要数据丢失,严重的造成业务系统瘫痪,日常工作难以为继。
(三)缺乏控制移动存储介质成为传播木马病毒的主要途径。近年来,移动存储介质以其轻巧易用和存储稳定而在供电企业系统各部门实际工作中被广泛运用。而随着木马病毒的不断升级演变,移动存储介质已经成为木马病毒的主要传播途径。“小存储,大隐患”。很多干部职工不知道其风险性,只图方便、实用、快捷,不重视感染木马病毒和数据泄漏的预防。一旦使用不当,病毒的快速传播无异于“如虎添翼”。据调查,某供电企业干部职工移动储存设备拥有率达79%以上,对移动存储的不规范使用会给信息安全影响调查结果显示,45%的人认为不会带来危害,有25%的人不了解是否会带来危害,只有30%的人认为危害较大。可见基层干部职工对移动存储使用的风险认识是相当薄弱的,如果不彻底解决移动存储的安全使用问题,“内外网隔离”及“双机双网”没有任何安全意义。
(四)缺乏自动更新操作系统和软件漏洞补丁手段。所谓系统漏洞是计算机的设计人员在设计软件、硬件、网络的过程中, 产品往往会出现各种各样的缺陷, 这些缺陷就是人们常说的漏洞。就好像一幢楼房,大门很结实, 但某个窗户安装时忘了上螺丝,窃贼就可能利用这个漏洞破窗而入。例如,一种名为“熊猫烧香”的蠕虫病毒曾在全球互联网+和部分专用信息网络上传播。其就是利用微软公司公布的操作系统中漏洞进行传播,使遭受攻击的系统崩溃,并通过网络向仍有此漏洞的计算机传播。操作系统和软件漏洞是造成木马入侵、病毒肆虐的罪魁祸首。而供电企业局域网与互联网是物理隔离的,普通用户不可能连上微软网站更新补丁。系统漏洞成为基层供电企业信息安全的“软肋”。
(五)缺乏重要系统备份恢复应用经验。目前维护员对公文等重要数据基本上都能做到“每周一备”,做到每周刻录数据备份光盘,而在实际工作中,备份数据的有效性只有也仅有通过实战恢复演练才能检验。但由于数据恢复演练需要搭建系统运行环境,其操作复杂性远远大于数据备份过程。因此,很多维护员宁可“天天做备份、月月做拷贝”,也不愿尝试做一次数据恢复演练。更有甚者,连一年一次数据恢复演练都无法实现。数据备份就像为汽车配备用车钥匙一样,钥匙配好了,如果不去检验用车钥匙是否能正常使用,那么下次紧急要用的时候非常有可能新配的车钥匙没法启动车。
三、基层供电企业信息系统常见安全问题对策探析
我们应该紧盯住世界信息安全防护技术的发展突破趋势,有明确的安全策略和制度防范等管理措施。根据木桶原理,系统最薄弱的环节决定了整体的安全性。按照信息安全管理现状和发展需要,应尽快建立起高效的综合性的信息安全管理防范体系。
(一)健全信息安全管理和考评机制。“三分技术七分管理”一直是信息安全领域的至理名言。三分技术,防治的更多的是已知的各种安全威胁;七分管理,则主要针对人,无论是通过各种安全制度约束,还是利用各项技术对人进行管理,目的都是约束“人”的行为,不给安全威胁可乘之机。应包括建立一套包括引进标准、风险评估、技术应用等规范的技术管理机制,通过落实岗位安全责任制,明确各级的安全责任,按法律规定和安全等级标准的要求进行信息系统的建设和管理,在信息系统生命周期内进行自管、自查、自评,把信息安全责任落实到岗到人,确保切实落实各项信息化安全管理制度和安全责任制。同时有计划地开展供电企业的信息化安全建设专项检查,可以提高全系统对信息化安全建设的重视程度,强化信息安全意识,关注基础设施和重要信息系统中存在的安全隐患,不断改进管理中的薄弱环节,促进信息化安全建设。并通过技术主管部门的直接年度考评,提高基层供电企业技术部门的信息安全操作技能。
(二)建立“长治之制”,抓好信息安全教育培训。安全意识和相关技能的培训,是安全管理中一项很重要的内容,其实施力度,将直接关系到安全策略被理解的程度和被执行的效果。当然,接受安全培训和教育的人员,并不能只限于直接从事信息安全工作并承担责任的人,而应注重全员参与共同投入的效果,这包括各级供电管理人员、前台营业人员及技术人员。对于培训和教育的实施途径,也不应该是单方面的,比如过于强调产品培训或者技术培训,而轻视甚至忽略管理和意识培训,应该建立一套完整的信息安全培训体系,制定周密的培训计划,以此推动全员信息安全意识的技能的持续增长。总之,应该通过持续有效、层次分明、专业领先的安全培训来提升人员的整体安全意识和技能,并且逐渐形成一种关注信息安全的氛围。
(三)规范移动存储设备使用。由于移动存储设备应用已经普及,各级计算机信息管理部门应根据本行实际情况制定培训规划,分期进行培训。培训的内容应包括:移动存储设备的插拔要领、读写开关及加密功能的使用、定期查杀病毒、相关的管理制度等基础知识。通过培训使每个人都熟练掌握移动存储设备的基础知识和使用操作方法,不断提高安全保密意识和使用水平,养成对移动存储设备要养成良好的使用习惯:一是妥善保管;二是规范插拔操作;三是严禁外借;四是及时查杀病毒;五是坚持“双备份”原则;六是避免间接非法外联。
供电企业信息系统安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。可见供电企业信息系统的安全建设不是一朝一夕的工作,而是一项长期的、需要全体供电企业人员共同参与和努力的艰巨任务。( 田光辉)
管理和技术作为信息安全保障是供电企业信息化建设的两大部分内容。缺乏管理,技术就会“无的放矢”;缺乏技术,管理就是“空口说白话”。目前很多基层供电企业的信息安全保障工作中仍然存在管理制度不够健全、管理目的不够明确,管理责任不能落实、管理效果缺乏监督等问题。内部调查显示,其70―80%的安全问题源自于内部的疏漏,比如计算机系统配置不合理,没有遵守操作规程等最基本的问题。
一、基层供电企业计算机信息安全现状
据调查,仅2010年我国电子政务网络安全方面暴露问题比较突出的有五个方面:计算机病毒泛滥;木马程序带来安全保密方面的隐患;易受黑客攻击特别是洪流攻击;垃圾邮件阻塞网络;网络安全的威胁蔓延到应用的环节,其中Windows占70%。国家在“十五”国民经济发展计划中就决定了要强化信息网络的安全保障体系,加速信息安全的研发。这说明,当前加强信息安全保障能力已成为我国信息化发展的当务之急。
根据供电企业系统信息技术应用不断扩展和深化的需要,各级供电企业积极筹集资金,对计算机等基础设施进行了购置、扩建和改造,使计算机设备广泛应用于供电企业生产经营工作的各个层面,从供电企业财务核算统到营销管理,从日常办公到信息交换,以计算机网络为依托的经营格局初步形成,计算机应用已经渗透到供电企业业务各个环节。随着供电企业生产经营工作信息化建设步伐的加快,信息化基础设施的数量日益增多。
与信息化基础设施数量直线上升形成鲜明对比的是,计算机安全防范体系建设相对滞后,这使得各种计算机安全问题在信息管理工作中逐一浮上水面。以某供电企业为例,累计各类计算机达86台,去年7月组织的一次计算机信息系统安全状况调查,发现了一系列令人担忧的计算机安全问题:计算机系统使用空密码登录占52%,存在系统安全漏洞占56%,其他安全问题占22%。
二、基层供电企业计算机信息安全的主要风险
(一)工作人员普遍缺乏信息安全防范意识。在当前供电企业信息化应用加快向业务环节渗透的过程中,“重应用、轻管理”的思想仍然根深蒂固地影响着基层干部职工,这从他们经常提及的问题可以看得出来:“系统功能运行正常了吗?电费发票开出来没有?收入统计出来没有?”很少有人关心“系统存在什么安全漏洞吗?这对系统安全存在什么风险吗?这样操作会对系统造成什么危害吗?”等安全隐患。除此之外,还可以从客服大厅的前台操作看得出来:前台操作员在登录系统前的密码输入环节中大都采取系统初始化默认密码,尚不能自觉采取安全档板等密码保护措施。
细节虽小,却反映出了基层操作员信息安全意识的缺失。其不懂得安全与效率的辨证关系,极少能认识到网络与信息安全的相对性、动态性,大部分基层干部职工甚至认为网络与信息安全系统像盖大楼,装好防盗门就一劳永逸,终身受用。
由于认识上的误区,网络与信息安全一直处于十分被动的状态。究其原因:一是多数人缺乏网络与信息安全知识培训,安全素质较差。因此,虽然了解网络与信息安全的重要意义,却不懂得如何防范,确保网络与信息安全;二是安全防范意识淡薄。没有充分意识到信息安全的严重危害性,部分人存在侥幸心理,系统不设防,密码不设置或设置过于简单,病毒防火墙不用,计算机数据不备份,文件随意共享,网络与信息安全危机重重;三是部分人认为网络与信息安全仅仅是技术部门的事,网络与信息安全是一项综合性跨部门联合协作的工作在基层中未能得到广泛认可。
(二)缺乏必要信息安全防范管理和技术保障手段。1.技术人员安全知识储备不足。基层供电企业信息系统安全防范力量薄弱,大多数基层供电所未配备专职技术人员,县级供电企业技术人员也仅有1―2人,虽有网络安全管理的分工,但因为一人多岗,大多不能做到网络安全防范全天候监控,不能对非法入侵的攻击系统进行实时检测,且防范知识更新慢,基层维护员平时外出参加业务培训的机会少,不能有效地补充新的网络安全管理知识。对信息系统出现的问题,维护员往往只能充当系统“消防员”角色,疲于奔波,穷于应付,很容易因主观和客观原因而导致计算机安全隐患和事故。随着计算机设备的不断增多,保障网络与信息安全的重任更是成为维护员的难以承受之重。2.信息安全管理缺位,管理职责难落实。技术是基础,管理是手段,如果没有完善的管理体制,再好的安全防御系统也将是形同虚设。有些操作人员由于保密意识不强,为“方便”工作,让人代为操作,或者将自己的账号、密码转借他人或与别人共享使用的情况时有发生;职责分工也有待进一步明确,操作人员擅自修改计算机软、硬件设置,在计算机上安装使用与业务无关软件,造成操作系统、业务程序崩溃、瘫痪,业务数据丢失;监督机制检验制度贯彻执行的“缺席”,造成虽有制度明确规定操作规程,但安全问题仍然频频发生,屡见不鲜。3.病毒防治渠道单一、管理松弛。网络病毒是供电企业内网最大的威胁之一。目前不可能今后也不可能存在对所有病毒均具防护功能的病毒防治系统,而基层供电企业绝大部分都只采用单一的网络版杀毒软件,缺乏防范病毒入侵的预案。所以,当所使用的杀毒软件不能查杀某些病毒或木马时,往往是再由当地技术人员自己上网搜寻其他解决方案。而在外网计算机上,有不少工作人员在未经系统管理员查毒、杀毒的情况下就擅自在业务用机上使用下载软件、盗版软件,或者来历不明的软件。这样的后果是一旦感染上计算机病毒,必将导致重要数据丢失,严重的造成业务系统瘫痪,日常工作难以为继。
(三)缺乏控制移动存储介质成为传播木马病毒的主要途径。近年来,移动存储介质以其轻巧易用和存储稳定而在供电企业系统各部门实际工作中被广泛运用。而随着木马病毒的不断升级演变,移动存储介质已经成为木马病毒的主要传播途径。“小存储,大隐患”。很多干部职工不知道其风险性,只图方便、实用、快捷,不重视感染木马病毒和数据泄漏的预防。一旦使用不当,病毒的快速传播无异于“如虎添翼”。据调查,某供电企业干部职工移动储存设备拥有率达79%以上,对移动存储的不规范使用会给信息安全影响调查结果显示,45%的人认为不会带来危害,有25%的人不了解是否会带来危害,只有30%的人认为危害较大。可见基层干部职工对移动存储使用的风险认识是相当薄弱的,如果不彻底解决移动存储的安全使用问题,“内外网隔离”及“双机双网”没有任何安全意义。
(四)缺乏自动更新操作系统和软件漏洞补丁手段。所谓系统漏洞是计算机的设计人员在设计软件、硬件、网络的过程中, 产品往往会出现各种各样的缺陷, 这些缺陷就是人们常说的漏洞。就好像一幢楼房,大门很结实, 但某个窗户安装时忘了上螺丝,窃贼就可能利用这个漏洞破窗而入。例如,一种名为“熊猫烧香”的蠕虫病毒曾在全球互联网+和部分专用信息网络上传播。其就是利用微软公司公布的操作系统中漏洞进行传播,使遭受攻击的系统崩溃,并通过网络向仍有此漏洞的计算机传播。操作系统和软件漏洞是造成木马入侵、病毒肆虐的罪魁祸首。而供电企业局域网与互联网是物理隔离的,普通用户不可能连上微软网站更新补丁。系统漏洞成为基层供电企业信息安全的“软肋”。
(五)缺乏重要系统备份恢复应用经验。目前维护员对公文等重要数据基本上都能做到“每周一备”,做到每周刻录数据备份光盘,而在实际工作中,备份数据的有效性只有也仅有通过实战恢复演练才能检验。但由于数据恢复演练需要搭建系统运行环境,其操作复杂性远远大于数据备份过程。因此,很多维护员宁可“天天做备份、月月做拷贝”,也不愿尝试做一次数据恢复演练。更有甚者,连一年一次数据恢复演练都无法实现。数据备份就像为汽车配备用车钥匙一样,钥匙配好了,如果不去检验用车钥匙是否能正常使用,那么下次紧急要用的时候非常有可能新配的车钥匙没法启动车。
三、基层供电企业信息系统常见安全问题对策探析
我们应该紧盯住世界信息安全防护技术的发展突破趋势,有明确的安全策略和制度防范等管理措施。根据木桶原理,系统最薄弱的环节决定了整体的安全性。按照信息安全管理现状和发展需要,应尽快建立起高效的综合性的信息安全管理防范体系。
(一)健全信息安全管理和考评机制。“三分技术七分管理”一直是信息安全领域的至理名言。三分技术,防治的更多的是已知的各种安全威胁;七分管理,则主要针对人,无论是通过各种安全制度约束,还是利用各项技术对人进行管理,目的都是约束“人”的行为,不给安全威胁可乘之机。应包括建立一套包括引进标准、风险评估、技术应用等规范的技术管理机制,通过落实岗位安全责任制,明确各级的安全责任,按法律规定和安全等级标准的要求进行信息系统的建设和管理,在信息系统生命周期内进行自管、自查、自评,把信息安全责任落实到岗到人,确保切实落实各项信息化安全管理制度和安全责任制。同时有计划地开展供电企业的信息化安全建设专项检查,可以提高全系统对信息化安全建设的重视程度,强化信息安全意识,关注基础设施和重要信息系统中存在的安全隐患,不断改进管理中的薄弱环节,促进信息化安全建设。并通过技术主管部门的直接年度考评,提高基层供电企业技术部门的信息安全操作技能。
(二)建立“长治之制”,抓好信息安全教育培训。安全意识和相关技能的培训,是安全管理中一项很重要的内容,其实施力度,将直接关系到安全策略被理解的程度和被执行的效果。当然,接受安全培训和教育的人员,并不能只限于直接从事信息安全工作并承担责任的人,而应注重全员参与共同投入的效果,这包括各级供电管理人员、前台营业人员及技术人员。对于培训和教育的实施途径,也不应该是单方面的,比如过于强调产品培训或者技术培训,而轻视甚至忽略管理和意识培训,应该建立一套完整的信息安全培训体系,制定周密的培训计划,以此推动全员信息安全意识的技能的持续增长。总之,应该通过持续有效、层次分明、专业领先的安全培训来提升人员的整体安全意识和技能,并且逐渐形成一种关注信息安全的氛围。
(三)规范移动存储设备使用。由于移动存储设备应用已经普及,各级计算机信息管理部门应根据本行实际情况制定培训规划,分期进行培训。培训的内容应包括:移动存储设备的插拔要领、读写开关及加密功能的使用、定期查杀病毒、相关的管理制度等基础知识。通过培训使每个人都熟练掌握移动存储设备的基础知识和使用操作方法,不断提高安全保密意识和使用水平,养成对移动存储设备要养成良好的使用习惯:一是妥善保管;二是规范插拔操作;三是严禁外借;四是及时查杀病毒;五是坚持“双备份”原则;六是避免间接非法外联。
供电企业信息系统安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。可见供电企业信息系统的安全建设不是一朝一夕的工作,而是一项长期的、需要全体供电企业人员共同参与和努力的艰巨任务。( 田光辉)
评论
最新评论(0)
相关新闻:
-
无相关信息
编辑推荐
热点排行
推荐阅读