朱凌廷
【摘要】 近年來大規(guī)模的網(wǎng)絡(luò)安全事件接連發(fā)生,導(dǎo)致的泄密、數(shù)據(jù)破壞、業(yè)務(wù)無法正常進(jìn)行等事件屢屢發(fā)生,甚至導(dǎo)致大規(guī)模互聯(lián)網(wǎng)癱瘓,造成的經(jīng)濟(jì)損失無法估計(jì)。為切實(shí)加強(qiáng)信息安全工作,確保信息安全技術(shù)措施和管理要求落實(shí)到位,開展信息安全技術(shù)督查工作,承擔(dān)起信息安全技術(shù)指導(dǎo)、監(jiān)督、檢查、督促整改等工作。
【關(guān)鍵詞】 信息安全 技術(shù)督查
信息安全技術(shù)督查的主要目的是監(jiān)督、檢查、督促信息安全技術(shù)要求和保障措施落實(shí),健全信息安全防護(hù)體系,全面提高信息安全防護(hù)水平,實(shí)現(xiàn)對(duì)信息安全的可控、能控、在控,實(shí)現(xiàn)全面、全員、全過程、全方位的安全管理。
信息安全技術(shù)督查的主要任務(wù)是督促執(zhí)行國(guó)家與公司信息安全政策與策略,不斷完善有關(guān)技術(shù)標(biāo)準(zhǔn)與規(guī)程、規(guī)范,并通過對(duì)信息系統(tǒng)生命周期各階段督查對(duì)象安全性的監(jiān)督、檢查、跟蹤、分析,確保網(wǎng)絡(luò)與信息系統(tǒng)各項(xiàng)措施的落實(shí),持續(xù)提升信息安全防護(hù)能力。
信息安全技術(shù)督查的目標(biāo)是以保障信息系統(tǒng)安全運(yùn)行為中心,以標(biāo)準(zhǔn)規(guī)程與規(guī)范為依據(jù),以定期、定點(diǎn)的技術(shù)檢查、過程跟蹤、指標(biāo)監(jiān)測(cè)、評(píng)價(jià)與分析等為工作手段,確保公司安全策略與措施的落實(shí),把信息安全督查隊(duì)伍建設(shè)成技術(shù)與管理水平達(dá)到國(guó)網(wǎng)信息安全標(biāo)準(zhǔn)的,能夠帶動(dòng)信息安全水平的,完整、完善的督查隊(duì)伍。
日常督查工作主要以月報(bào)的形式開展。月報(bào)主要包括本月重要工作情況和督查指標(biāo)參數(shù)。月報(bào)督查指標(biāo)參數(shù)包括:本地網(wǎng)絡(luò)系統(tǒng)運(yùn)行率、服務(wù)器安全故障宕機(jī)率、安全存儲(chǔ)介質(zhì)應(yīng)用覆蓋率、使用弱口令主機(jī)率、病毒率排名等關(guān)于信息安全的指標(biāo)參數(shù),還包括各單位每月的缺陷統(tǒng)計(jì)和解決情況。每月最后一個(gè)工作日前各單位信息安全員把本單位信息安全月報(bào)如實(shí)填報(bào)后報(bào)送給信息調(diào)度中心,由信息調(diào)度中心整體分析、匯總,并與每月把分析結(jié)果匯報(bào)給科信部。另外信息調(diào)度中心每月對(duì)各單位上報(bào)的月報(bào)進(jìn)行打分并記入年度評(píng)分表中。
通過日常督查的開展,不僅了解了各單位日常內(nèi)容的具體情況,還不斷提升了各單位信息安全工作的水平,為信息安全的整體水平做出了推進(jìn)作用。
專項(xiàng)督查工作主要以現(xiàn)場(chǎng)檢查的方式開展。每次現(xiàn)場(chǎng)檢查前擬定檢查計(jì)劃、檢查內(nèi)容、檢查手段、檢查日程,網(wǎng)上提前10天通知被檢查單位。并把檢查內(nèi)容提前發(fā)放給各基層單位,要求自查、自改、自評(píng)分。自查結(jié)束后進(jìn)行現(xiàn)場(chǎng)檢查,并對(duì)檢查過程中發(fā)現(xiàn)的問題以情況通報(bào)形式發(fā)送給具體單位。
各單位根據(jù)問題情況進(jìn)行整改,并制定整改措施和整改完成時(shí)間反饋信息調(diào)度中心,信息調(diào)度中心針對(duì)此問題進(jìn)行復(fù)查工作。復(fù)查時(shí)如發(fā)現(xiàn)此問題整改不利,受檢單位進(jìn)行再次整改,再次整改后信息調(diào)度中心進(jìn)行復(fù)查發(fā)現(xiàn)此問題依舊整改不利對(duì)此問題上報(bào)科信部,科信部按情況對(duì)此問題給予告警。
通過SG186工程實(shí)施后,信息化建設(shè)已貫穿于電力企業(yè)生產(chǎn)、運(yùn)行、營(yíng)銷等各個(gè)環(huán)節(jié),各個(gè)龐大的信息系統(tǒng)如營(yíng)銷系統(tǒng)、ERP系統(tǒng)、生產(chǎn)系統(tǒng)支撐著電力企業(yè)的運(yùn)作,管理電力企業(yè)的核心數(shù)據(jù)。
為了有效保障系統(tǒng)的信息安全,避免發(fā)生破壞性的安全事件,應(yīng)建立專業(yè)的信息安全實(shí)驗(yàn)室。實(shí)驗(yàn)室主要以信息安全評(píng)估、系統(tǒng)測(cè)評(píng)為主,結(jié)合科研項(xiàng)目和自身研發(fā)實(shí)力,對(duì)前沿的信息安全技術(shù)進(jìn)行跟蹤和應(yīng)用,為信息化建設(shè)做好技術(shù)服務(wù)和技術(shù)支持。
實(shí)驗(yàn)室還提供“技術(shù)支撐”功能和“技術(shù)研究”功能,其中技術(shù)支撐功能包括對(duì)危險(xiǎn)點(diǎn)提供預(yù)警、對(duì)出現(xiàn)事故追查原因追溯來源分析過程總結(jié)教訓(xùn)。技術(shù)研究功能包括研究前沿重點(diǎn)課題,如蜜罐技術(shù)、網(wǎng)絡(luò)攻防、加密解密、滲透測(cè)試、代碼審計(jì)等。
信息安全是一門知識(shí)更新快、技術(shù)水準(zhǔn)高的學(xué)科,單靠小范圍人群的鉆研和努力很難達(dá)到一個(gè)高水平,只有不斷向?qū)iL(zhǎng)人員和專業(yè)公司合作與學(xué)習(xí),才能更好的提高專業(yè)技術(shù)水平,為電力系統(tǒng)的安全性做出更好保障。
參 考 文 獻(xiàn)
[1]余萍.電力企業(yè)信息安全技術(shù)督查管理系統(tǒng)研究.計(jì)算機(jī)安全技術(shù),2010(20)
[2]陳秋園.淺談電力系統(tǒng)信息安全的防護(hù)措施,科技資訊,2011(14)