王彬
【摘要】? ? 隨著電力泛在物聯(lián)網(wǎng)的快速發(fā)展,需進一步加強網(wǎng)絡信息基礎設施安全防護,提升配網(wǎng)和用電側(cè)、重要網(wǎng)站和互聯(lián)網(wǎng)等系統(tǒng)安全防護水平。以1+3工作法,形成一種優(yōu)良的網(wǎng)絡信息安全氛圍,最終實現(xiàn)零泄漏、零篡改、零入侵、零漏洞、零違規(guī)等網(wǎng)絡信息安全事件。
【關鍵字】? ? 1+3工作法? ? 網(wǎng)絡信息安全
一、網(wǎng)絡信息安全的背景與管理目標
1、網(wǎng)絡信息安全的理念 。網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡服務不中斷。網(wǎng)絡安全不僅包括web安全,還包括了局域網(wǎng)、廣域網(wǎng)、專網(wǎng)等網(wǎng)絡。2、網(wǎng)絡信息安全的范圍和目標。通過廣泛宣傳,提高每位員工的網(wǎng)絡安全意識。同時,制訂安全警示卡內(nèi)外網(wǎng)電腦標識,粘貼在每臺電腦終端上,封堵營業(yè)廳內(nèi)網(wǎng)專用電腦USB接口等,實現(xiàn)目標:內(nèi)網(wǎng)終端和服務器實現(xiàn)零泄漏、零篡改、零入侵、零漏洞、零違規(guī),注冊率和殺毒軟件安裝率實現(xiàn)了100%。
二、1+3工作法的內(nèi)涵和主要做法
2.1 1指的是完善制度,從管理上提高網(wǎng)絡信息安全
1、信息內(nèi)外網(wǎng)網(wǎng)站統(tǒng)一發(fā)布與管控、內(nèi)外網(wǎng)郵件統(tǒng)一管理與監(jiān)控。1) 對外門戶網(wǎng)站要求統(tǒng)一管理,進行統(tǒng)一備案。嚴禁任何單位、個人在信息內(nèi)網(wǎng)設立與工作無關的娛樂、論壇、視頻等網(wǎng)站。嚴禁利用公司資源在互聯(lián)網(wǎng)上設立網(wǎng)站。嚴禁將承擔安全責任的對外網(wǎng)站托管于我公司的外部單位。2)? 嚴禁用戶使用弱口令,默認口令要強制清除;嚴禁開啟自動轉(zhuǎn)發(fā)功能;嚴禁使用社會電子郵箱處理我公司辦公業(yè)務的行為;要及時清理注銷廢舊郵件帳號。
2、桌面計算機與信息設備的安全保密。1)嚴禁將涉及我公司秘密的計算機、存儲設備與信息內(nèi)外網(wǎng)和其他公共信息網(wǎng)絡連接,嚴禁在連接互聯(lián)網(wǎng)的計算機上處理、存儲涉及我公司秘密信息;嚴禁信息內(nèi)網(wǎng)辦公計算機配置使用無線上網(wǎng)卡等無線設備;嚴禁信息內(nèi)網(wǎng)和信息外網(wǎng)計算機交叉使用;嚴禁普通移動存儲介質(zhì)和掃描儀、打印機等計算機外設在信息內(nèi)網(wǎng)和信息外網(wǎng)上交叉使用。2) 加強對內(nèi)網(wǎng)桌面終端管理系統(tǒng)應用,確保桌面終端計算機注冊率達到100%并與總部級聯(lián)暢通,要加強桌面終端管理系統(tǒng)實時監(jiān)測、終端安全情況分析與問題處置,嚴禁基線策略不全;關閉默認共享,杜絕終端空口令、弱口令和非法外聯(lián)的情況,嚴禁私自卸載桌面終端管理系統(tǒng)客戶端。
3、建立電子辦公設備全壽命周期管理制度。從設備的領取到報廢,建立一機一檔案,實行全壽命管理制度。設備出現(xiàn)故障時,由使用人向信通中心報修。維護人員按照以下維修流程進行維修。設備不得私自拿到外部維修點維修,以免造成違規(guī)接入和信息泄露。
4、賬號與口令必須規(guī)范使用。1)用戶口令管理:杜絕各類信息系統(tǒng)、桌面計算機、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等用戶訪問賬號和口令為空或相同。嚴禁使用默認口令及弱口令,口令要足夠強?。ㄩL度不得少于8位,由字符和數(shù)字或特殊字符組成),2)投運或上線系統(tǒng)缺省賬戶口令管理:應用軟件、系統(tǒng)正式投運或上線后,應指定專人進行管理,刪除或者禁用不使用的系統(tǒng)缺省賬戶、測試賬號,杜絕弱口令。
2.2 3指的是通過廣泛宣傳、扎實推進、互動交流三種方法,提高全員網(wǎng)絡安全意識,培育良好網(wǎng)絡安全氛圍。
1、廣泛宣傳,培養(yǎng)員工居安思危的危機意識。公司通過廣泛宣傳網(wǎng)絡安全和信息化知識,培養(yǎng)居安思危的安全危機意識;通過扎實推進,減少網(wǎng)絡安全違規(guī)行為發(fā)生;通過互動交流全員參與,形成良好的網(wǎng)絡信息安全氛圍。公司通過內(nèi)部網(wǎng)站、電子顯示屏、宣傳展板、答卷等形式,對違反網(wǎng)絡安全的事件和危害進行廣泛宣傳。2、扎實推進網(wǎng)絡安全工作,杜絕違規(guī)行為發(fā)生。信通中心通過天珣、貝信源等桌面監(jiān)控系統(tǒng),實時監(jiān)控終端電腦運行狀態(tài),內(nèi)網(wǎng)終端殺毒軟件安裝率和注冊率等。各部門員工在工作中遇到的各類信息安全問題,均可以撥打維修服務電話給予解答和輔導,使員工的安全思想逐步從“要我安全”向“我要安全”轉(zhuǎn)變,切實杜絕違規(guī)行為發(fā)生。3、互動交流,形成“我要安全”的良好氛圍。我們結(jié)合工作,對在系統(tǒng)中發(fā)現(xiàn)有違規(guī)行為的IP地址,查明當事責任人,組織培訓。通過對安規(guī)學習,并結(jié)合生產(chǎn)工作中的實例,生動、細致的講解,使當事人充分意識到網(wǎng)絡信息安全違規(guī)的危害,有效彌補了這部分人員信息安全知識不足的短板為了培育優(yōu)良的信息安全氛圍。
三、評估與改進
1、專業(yè)管理的評估方法。公司在終端管理過程中,開展月、季、年信息安全分析,統(tǒng)計分析安全事件發(fā)生的原因、次數(shù)情況,安全指標的升降的原因。逐步杜絕安全事件的發(fā)生,同業(yè)對標中,信息安全指標得到持續(xù)提升。
2、今后的改進方向或?qū)Σ摺?)加大信息安全意識教育和人才培養(yǎng),進一步宣傳信息安全防護知識、防護措施和安全操作技能。把握國內(nèi)外最新信息安全動向,與安全專控隊伍開展研討、交流、協(xié)作與測評。培養(yǎng)信息安全專家,不斷提升各級從事信息安全保障人員的防護技能,營造信息安全的良好氛圍,實現(xiàn)各環(huán)節(jié)信息安全風險管控。2)加強對安全事件分析,完善準入系統(tǒng),提高終端用戶網(wǎng)絡信息安全意識:加大對用戶登錄分析,指導信息網(wǎng)絡優(yōu)化調(diào)整,提升基礎管理水平;研究終端弱口令檢測功能,完善地址轉(zhuǎn)換功能,進一步提高終端安全性和注冊率,把信息安全隱患消滅在萌芽中。