国产91免费_国产精品电影一区_日本s色大片在线观看_中文在线免费看视频

　　進入廿一世紀的中國電力正在經歷著前所未有的巨大變革，政府在電力體制改革方面陸續出臺的各項政策對電力企業的運營提出了日益嚴格的要求，電力企業所處的客觀環境也將變得越來越錯綜復雜。廠網分離及繼之出現的輸配獨立運營等重大舉措，都直接影響電力企業的生產和經營。從未來的發展態勢看，供電企業將向獨立運作的配電公司發展，而現代化的信息系統的支撐是確保順利完成這一轉變的戰略性支撐手段。然而，信息化的日益深入的同時卻逐漸顯現出信息系統在某種意義上的脆弱性，由于信息系統遭受攻擊所發生的企業運營受負面影響的事件不斷出現。

　　供電企業建立和維護的是關系到國計民生的基礎性設施，其信息安全的水平不僅僅是企業本身需要重點關注的，而且也是社會和政府所關心的。因此，在電力體制改革和信息化的新形勢下，明確信息安全的戰略地位，樹立信息安全的正確認識，建立信息安全體系的總體框架，并在企業中進行堅決、有力的人員、技術、政策等諸方面部署，是確保供電企業向適應時代要求的現代化配電公司轉變的有力支撐。筆者將依據自身在供電企業信息安全領域的工作經驗和認識，對供電企業信息安全的有關重大問題簡要分析。由于水平和能力的限制，文中的不足肯定很多，只是希望能夠拋磚引玉，引起相關企業的領導和業務人員對信息安全工作的重視。

一、信息安全的定義

　　按照國際上的標準定義，信息安全是信息系統或者安全產品的安全策略、安全功能、管理、開發、維護、檢測、恢復和安全評測等概念的簡稱。依據ISO74982中的開放系統互聯安全體系結構(如下圖所示)描述，信息安全應包括：
　　●五類安全服務鑒別、訪問控制、數據完整性、數據保密性、抗抵賴
　　●能夠對這五類安全服務提供支持的八類安全機制和普遍安全機制加密、數字簽名、訪問控制、數據完整性、數據交換、業務流填充、路由控制、公證
　　●需要進行的三種OSI安全管理方式

二、信息安全環境的演變及衍生要求

　　信息安全是一個社會技術系統，其與所處的環境有重大而密切的聯系。環境的變化必然會導致對信息全的要求的調整，而信息安全的水平也能反動于周邊的環境，以下試舉數例說明:
　　●2001年中發生的911事件，不但是國際政治、經濟領域的一大沖擊，而且對信息安全也意義深遠。入駐于世界貿易中心的跨國集團中由于此前信息安全體系的水準不一而形成了業務恢復時間的極大差異，平素重視信息安全工作的企業可以在數小時內通過異地數據中心快速恢復業務的運營，而信息安全基礎差的企業則由于恐怖襲擊而陷入業務停頓和紛繁的糾紛當中，兩相比較，高低立現，也充分證明了信息安全與環境的互動性及信息安全的重要性。目前，在美國企業的IT投資中信息系統安全部分已占12%的分額，預期在今后5年中還將有平均15%的年增長率。
　　●2001年的中國九運會網站在運行期間受到將近90萬次的攻擊，而2001年上半年的中美黑客大戰除輕微的政治影響外，倒是對雙方的信息系統的安全進行了真實的考驗，然而事實證明，大家的信息系統在黑客的攻擊下，顯得風雨飄搖，暴露出許多的安全漏洞。
　　●自2002年起，連續發生的鑫諾衛星信息干擾、北京機場和上海市第一人民醫院信息系統癱瘓等事件在社會上產生了極其惡劣的影響，也說明了信息安全的對手絕不僅僅是一般的網絡黑客，而是包括以法輪功為代表的國內外反動勢力在內的敵對力量，他們利用高新技術手段發動的攻擊較之以前的方式更加隱蔽，破壞程度也更加嚴重。
　　●從政府對信息系統安全等級的劃分標準看，一般將電力企業作為公用事業的一部分放置于與銀行、證券等行業相同的級別上，國家和地方政府已經或即將出臺的各項政策法規也正在逐步加強對重要企業的信息系統安全的監管。僅在2002年,就有國家經委第30號令、上海市信息化辦公室的《關于保障重要信息系統安全運行的通知》（滬信息辦安[2002]223號文）等重要文件對電力企業的信息安全工作進行了指示和布置。因此，建立和完善企業信息系統安全體系，不但是企業自身的需求，而且也逐漸成為政府和社會對企業的迫切要求。
　　從動態變化的周邊環境看，信息安全的對手可能來源于道德、意識形態、政治、經濟等各個領域，應對的難度也更高，從因此對企業信息安全的衍生要求看，主要包括以下幾個方面：
　　●對信息安全的認識必須上升到“講政治”的高度，信息安全不但關系企業的正常運營，也同時對國計民生會產生重大影響，如果忽視這一點，將可能造成對人民、社會甚至是國家安全的不利影響。
　　●信息安全必須標準化，保證縱向和橫向的統一和規范化，做到標準由上而下的逐層貫徹和細化，以政府標準為綱，以行業標準為目，在此基礎上結合企業的實際狀況與要求，制訂兼具適用性、先進性的企業信息安全準則，并結合該準則的內容進行分解，確立各領域和模塊的實施細則。
　　●信息安全體系要具有開放性和適應性，由于企業內外部環境的變化致使對企業的信息安全體系的要求也有持續不斷的變化，如果信息安全體系不具備動態適應能力，則其必然不能適應多變的環境，隨之而來的就是信息系統的整體脆弱性和易受攻擊性。
.
三、信息安全的認識誤區

　　信息安全體系的建立和完善是一項長期的系統工程，它牽涉到企業內外各方面的資源的優化和整合，而做好這項工作的重要前提就是大家對信息安全能有統一、明確的認識。在上文中，我們多次論述到信息安全的系統性、整體性、重要性和緊迫性，但在實踐工作中還是容易產生認識上的誤區，因此有必要在本節中進行專門的論述：
　　●提供全面解決方案（totalsolution）從實際狀況看，對于動態變化的信息安全問題，人們還沒有一個全面的、完整的認識和解決方法，因此不存在一個能夠覆蓋信息安全的所有領域和方面的全面解決方案，說白了，TotalSolution只不過是用戶的美好愿望和廠家的廣告說詞而已。
　　●確保100%的安全性–就如電網不可能達成100%的可靠性一樣，再完善、可靠的信息系統也不能確保100%的安全系數，只是我們能通過各方面的管理和技術手段去努力加強安全，進而逐步逼近100%，但也永遠只能是接近，而并不能達到。
　　●外防重于內防–實際情況恰恰相反，企業信息系統遭受的攻擊90%以上來自于內部，而這些攻擊中90%以上能取得不同程度的效果，對信息系統造成損害。
　　●信息安全就是網絡安全–事實上，信息系統安全的范圍要廣泛的多，除網絡安全外，信息安全和系統安全都具有同等或更高的重要性，僅僅通過架設Firewall就能實現信息系統安全的想法有些幼稚。
　　●技術措施解決一切問題–誠然，利用各種先進技術手段可以幫助加強和鞏固信息系統安全，但信息系統安全工作的成功關鍵在于建立一套完整的信息系統安全體系，以管理、制度、人員、技術等全方位的要素配合推動，偏廢任何一項都不可能成功。
　　●信息系統安全純粹是信息部門的工作–就如真正成功的信息系統必定是信息部門與業務部門良好協作的結晶一樣，信息系統安全工作的成功也無法脫離業務部門的配合和支持，從廣義的角度看，信息系統安全必須考慮業務的需要和企業文化，并贏得企業各級人員的支持才能見效。
　　以上列出的是在信息安全領域最容易產生的思想上的誤區，可以說，消除上述的誤區并不能確保信息安全工作的順暢進行，但存在上述誤區必定會實實在在地產生阻礙。

四、信息安全標準

　　信息安全標準是我國信息安全保障體系的重要組成部分，是政府進行宏觀管理的重要依據。信息安全標準化是一項艱巨、長期的基礎性工作。我國國家標準化管理委員會已批準成立全國信息安全標準化技術委員會，它將協調各有關部門，本著平等、公開、協商的原則組織提出一套系統、全面、分布合理的信息安全標準體系，以信息安全標準體系為工作依據有步驟、有計劃地進行信息安全標準的制定工作。
　　在國家標準的基礎上，國家電力公司有關部門正在逐步制訂和完善行業內標準，對電力企業信息系統進行了安全層次的劃分，明確了不同的防護級別和防護策略，尤其強調要以管理和技術為抓手，掌握“三七”原則（三分技術，七分管理），逐步完善企業信息安全體系。各網級、省級電力公司也依據上級有關標準進行了細化和分解，制訂了實施細則。供電企業作為電力公司下屬單位，將嚴格遵循國家、行業和上級單位的相關標準。同時，供電企業也將結合本企業的實際狀況制訂和豐富具體相關的標準，形成縱橫貫通、完整有序的標準體系，以更科學和合理地指導企業信息安全工作。

五、信息安全框架

　　我們考慮用WPDRRC這六個環節和人、政策（包括法律、法規、制度、管理）和技術三大要素來構成宏觀的信息網絡安全保障體系結構的框架。該框架反映六項能力：預警能力、保護能力、檢測能力、反應能力、恢復能力、反擊能力，其核心是實現企業信息安全資源的綜合管理，即EISRM(EnterpriseInformationSecurityResourceManagement)。EISRM的重點是兩大主要特征：其一，信息安全是非常重要的企業基礎資源，信息安全得不到保障，企業的信息化管理就是空中樓閣，從而影響到整個企業管理水平的提升，甚至是對生產經營造成危害，對國民經濟具有重要意義的企業更是帶來極其嚴重的社會影響。其二，信息安全是一種綜合資源，而非單一的技術系統，包括企業能力、人、技術、政策都是其密不可分的組成部分，只有將這些相關資源整合成一套體系，才是真正意義上的信息安全。以上兩點是區分傳統信息安全觀念的根本特征，也是本問描述的信息安全體系框架的基石。

六、信息安全策略

　　根據企業信息安全資源管理的體系框架，企業可以結合WPDRRC能力模型，從人員、技術、政策幾方面考慮信息安全資源管理的實施，主要包括組織機構的建立、人員的配備、管理制度的制定、安全流程的明確等，并切實做好物理安全管理、中心機房管理、主機安全管理、數據庫安全管理、網絡安全管理、網絡終端管理、軟件安全管理，確保日常和異常情況下的信息安全工作持續、有序地開展。為便于實施，筆者總結了以下一般性安全策略供參考：
　　1、各部門(單位)樣采用共享的、可靠且可信的系統運行環境來保護個人隱私和業務交易數據的安全。部門(單位)不應損害本企業或經由本企業信息系統所保存、處理和傳送的數據的機密性、完整性和可靠性，并以關鍵性業務為基礎，與企業業務持續性計劃相結合。
　　2、各部門(單位)采用已制定的企業信息安全策略，標準、過程和程序，加強培育信息安全文化，加強員工的安全意識，確保員工在信息安全程序中具備正確態度，使員工意識到信息安全的必要性，并進行必要的培訓，以便于實行責任范圍內的安全程序。
　　3、各部門(單位)應定期(每年至少一次)地對信息安全的處理、程序及實施進行評價，或在商業、計算或通信環境有重大變動后進行評價，并進行正確的調整。企業信息安全主管部門和人員必須提供適當的指導和檢查列表以幫助完成評價，各部門應提供相應的評價文檔。首次評價應在評價指南和檢查列表公布后的半年內，而審計和考核則應在其他主管主持下進行。
　　4、各部門(單位)要遵守安全審計，以與其它企業策略、標準、過程和程序相符。
　　5、各部門(單位)要定期(每年至少一次)對信息系統進行系統風險評估。評估結果應用于識別、優先級區分、計劃以及實施附加的安全防護措施。信息技術部門安全人員可進行隨機的抽查來作出評價，并對評估和建議修正后的安全風險負責。
　　6、各信息系統在投運前須通過企業信息安全的認證和鑒定,而對信息系統的監測由信息技術部門來進行。
　　7、企業在信息安全方面的舉措應嚴格遵守政府的法規，尤其注意根據保護個人隱私。
　　8、企業信息安全策略的制訂并非一勞永逸，在未來應根據內外部環境的變化進行動態調整，以具備良好的適應性。 正成功的信息系統必定是信息部門與業務部門良好協作的結晶一樣，信息系統安全工作的成功也無法脫離業務部門的配合和支持，從廣義的角度看，信息系統安全必須考慮業務的需要和企業文化，并贏得企業各級人員的支持才能見效。