ccidnet????

出版日期:2005-02-21 总期号:648 本年期号:06

本期导读
新闻评论
眼  界
封面故事
调  查
案  例
管 理
行  业
采购与实施
产  业
 安全,供电的第一目标

安氏互联网安全系统(中国)有限公司技术经理 李本

  近年来,国家在基础行业尤其是电力行业投入很大。随着国民经济的发展,各行各业对用电的需求也日益增长,在部分地区用电紧缺的矛盾日益突出。

  如何加强电力系统的建设,提高发电和用电的管理水平,是影响到国计民生的大事,是电力系统要解决的最大问题。

  为了发展的需要,电力系统被划分为多个发电企业和输配电企业,并引入了市场竞争机制,电力自动化(信息)系统承担着支持企业正常运转的重要使命。

  保证信息系统的安全性,提高企业竞争力,是电力系统信息建设中要研究的重要课题。

  安全的经典定义是要保证系统的CIA三性(C-保密性,I-完整性,A-可用性),信息安全的需求和信息系统在企业所承担的使命有紧密的关系,对于电力企业,安全的需求主要体现在可用性和完整性两个方面。

  

  管理与技术并重

  

  根据对电力行业的调查,电力行业对保证输、发、配电的生产安全有极其严格、细致和全面的规章制度,在涉及这些生产过程的操作与管理流程、方法上也有着明确的定义。从领导到普通员工,都有很强的安全意识。

  从安全生产的层面上说,管理层对安全的重视程度、电力员工的安全意识、安全策略以及执行情况都处于一个比较高的水平。

  由于信息技术的高速发展,电力行业的信息化水平日益提高,传统的自动化生产模式正逐步向信息化生产模式转变。

  将原有基于自动化管理模式下的安全管理制度、流程尽快过渡到信息化管理模式下的管理制度、流程;加大培训力度,提高全员的信息安全技术水平;借鉴其他行业信息安全建设的经验教训,取长补短;遵循国际标准,制订适合电力行业的管理规章制度与标准;采用成熟技术,实现对信息系统安全风险的完全可知可控,是解决电力企业信息安全问题的几个要点。

  关于安全生产管理体系与信息安全管理体系的融合与过渡的问题,可参考BSI7799标准。关于安全技术的培训(安全管理技术、安全专业技术等),可以联合专门的培训机构,自上而下地进行全面信息安全培训工作,最终建立起电力行业自己的信息安全培训体系。



        图 电力安全建设的各个阶段  

可用性与完整性为主

能否保证充足、稳定、高质量的电力供应,是国家、民众评价电力行业的一个重要标准,电力供应直接影响到国民经济的发展甚至国家的稳定。

电力行业的一个重要使命是保证可靠的电力供应,1978年中国台湾全岛大停电和2003年美国西部大停电,充分暴露了电力企业以保机组、保设备、保电网为主的安全建设的问题。

电力企业的最高安全策略应该是保供电为主,以保电网、保装备为辅。

电力行业的信息系统建设,尤其是在生产控制系统的建设和运行管理中,防止误操作,防止有悖于最高安全策略的生产控制指令的下达,是电力系统安全工作的重心。

目前电力行业进行“二次系统”的安全保护,有助于解决以上问题。

电力信息安全的建设步骤

根据其他行业的建设经验,电力行业的信息安全建设可按照如图所示的三阶段进行,每一阶段都具有不同的目标和实施内容,这样便于指导具体的操作。

风险评估在安全体系建设的各个阶段中,为每一个阶段的成果进行评估,以及对下一个阶段的目标和范围进行评估。

短期目标主要涉及基础技术体系的建立。中期目标不但涉及到管理体系的建立和完善,更主要的是要建立安全管理中心(soc),使安全管理和安全技术两个层面有机地结合起来,成为一个动态的生命组织。长期目标是在完善的安全管理体系建立之后,通过国际相关标准的认证,成为一个有据可依的可评估的安全管理体系。

链接

信息安全体系建设的误区

信息安全产品能解决全部问题

有人认为,安全建设过程只是个项目建设的过程,只要制订合理的策略,选择优秀的设计方案,配置先进的产品,与高水平的厂商合作就可以完成信息安全建设,就可以解决信息安全存在的问题。

这种理解从某种意义上阻碍了企业信息安全水平的提高,经常会出现这样的情况:布置了防毒产品而病毒依旧泛滥,布置了访问控制设备而非法访问还时有发生,采用了先进的口令解决方案但口令依然不安全……

必须要有一个完整的信息安全体系来保证企业的信息安全,再好的产品再先进的技术都只是个工具,只有严密的管理制度,合理、高效、精确的安全策略,训练有素的操作人员,才能保证信息安全体系发挥其作用,真正起到保驾护航的作用。

信息安全应该年年讲,月月讲,天天讲,信息安全体系的运行应该纳入到日常的管理与生产流程中。

安全评估找出的问题越少越好

目前,电力行业正在开展大规模的安全评估工作,很多技术人员和相关领导出于各种各样的考虑,认为对本部门(系统)的安全评估找出的问题越少越好。这种理解会严重阻碍信息安全建设的进行。

从根本上说,信息安全的目标是识别和控制风险,不能准确地识别风险,何来控制风险。所以说,安全评估找出的问题越多,对安全建设越有利,也是安全评估成功的标志。

信息安全只是it部门的事情

谈到信息安全建设,很多人会直接联想到计算机,网络,数据库等,认为信息安全是信息部门该做的事情,与本人,本部门无关。

实际上,信息安全与人、组织、管理技术、工作流程、企业形象、法律都有着直接的关系。信息安全体系的建设是从物理层面到应用层面、从防火防盗到防毒防黑等全方位、全范围的建设过程。