管理與技術并重的信息安全綜合治理

◆王皓然

管理與技術并重的信息安全綜合治理

◆王皓然

（貴州電網有限責任公司信息中心 貴州 550002）

對于管理與技術并重信息安全的綜合治理，本文首先是分析了目前電力行業常見的信息安全的問題，然后分析了已有的各個方面的信息安全管理實踐，最后提出了當下如何綜合性治理信息安全工作的思路。

管理；技術；信息安全；綜合治理

0 前言

眾所周知，當前在信息技術應用和推廣當中存在最為廣泛并且普遍的問題就是信息安全的問題。如今飛速發展和應用廣泛應用的信息技術，由于信息安全管理人員工作不到位又或信息安全體制建設不夠全面而引發的安全事件層出不窮。如何有效的預防和治理新形式下的信息安全問題已然成為當前信息安全管理人員的重要挑戰。

隨著電力行業信息化建設的穩步發展，中國南方電網公司下屬的貴州電網有限責任公司在國家相關政策和中國南方電網公司的指導下，圍繞公司信息安全管理體系完成了貴州電網有限責任公司信息安全管理制度的制定、修編和落實工作。但隨著信息安全工作的深入開展，如全省信息安全檢查、信息系統一體化風險評估、信息系統入網安全測試發現,日常安全管理中還是存在管理制度落實不到位或者技術規范落實不到位的情況發生。在信息安全問題日益嚴峻的今天,如何在新形勢、新環境、新挑戰下完成信息安全保障工作是每一個信息安全管理人員需要面臨的問題。

1 產生信息安全風險的來源

1.1 關于信息安全風險的根源性問題

每個事情的發生覺得不是單向的，而是眾多東西作用與合力的結果，比如說事故的意外發生、自然災害的出現以及泄露的信息和對信息的不當使用。但是主要的還是技術和管理機制的缺陷才導致了安全的風險。其實這種風險在一定程度上都可以規避，主要還是在細節上。

我們從技術方面進行分析，主要是缺陷性的技術和不正當使用技術。但是不斷發展和進步的技術也有著各種各樣的問題，這些問題持續性的存在并發展著，在不斷克服舊問題的時候又會產生新的問題。在應用技術的時候應該充分的認識這些問題，并且正確的使用技術，要不然就很容易引起風險性的問題，從而發生一系列的安全風險。

而信息技術安全問題則是一直存在的，技術風險是并沒有永久性根除性解決方式，我們雖然無法找到一勞永逸的解決方式，但是我們可以不斷的進化這些解決方式，從而更好的解決問題。

不夠健全的管理體制是管理方面重要的風險來源。這些包括很多方面，或者是架構組織的問題，或者是分工職責的問題。沒有落實的管理要求，也就出現在了執行上，所以應該好好的執行這些問題，才能夠保證安全。

1.2 關于信息安全風險的類別性問題

電力行業中的信息技術和產品的應用規模已經相當的龐大，能夠將信息技術廣泛的應用則是一個很好的方式。對于電力行業的信息安全風險則是主要體現在以下幾個方面。首先是生產安全風險，對于部分電力系統來說，系統的可持續運行顯得非常重要，需要有所保障，而不間斷的服務也是如此。其次則是信息安全風險的問題，面臨的風險不僅有敏感的信息，也有安全保護重要交易所面臨的風險，具有保密性，可以訪問性并且可以防止抵賴性的重要交易，以及加密、電子簽名還有身份認證的問題等等。

當然，這些風險僅僅是主要風險，其它的風險也不可忽視，例如外包的風險，也是一個很重要的考慮方面作為信息安全管理中的問題。集中性的外包是否可靠，以及一個外包公司應該具有的運營性問題，我們都不能忽視這些問題，因為越是細節就越是會出現問題。

1.3 安全信息管理需要考題的其它問題

管理和技術是信息安全管理中兩者都需要兼顧的方面，兩者都起到相輔相成的作用。首先是對于信息的安全管理，需要具備合理的法規和合理的進行，并且作為指導思想應該圍繞著整個信息安全區開展。對于落實信息安全的規章制度能夠及時的提出、修改并且落實下去，不斷的完善并且進行信息管理。第三則是安全可以控制，它不僅作為一種國家戰略存在，也是企業的一種安全所需，所以安全策略必須是有效可以實施的。

2 電力方面的信息安全管理實踐

信息技術一直是電網行業非常重要的一個內容，在公司“十二五”期間，完成了公司網絡重要節點的相關安全設備如入侵防御（IPS）、應用防火墻（WAF）、防病毒網關的部署和建設工作；通過信息安全工作的深入開展，各類業務系統的安全問題逐漸暴露出來如SQL注入、XSS跨站腳本攻擊、未授權訪問等等，面對日益繁多的安全問題，貴州電網從實際出發，結合已有的安全手段和技術力量，基本完成了信息系統的安全保障工作。盡管這樣，我們還是無法忽視現階段電力系統面臨的嚴峻的安全問題；“居安思危”、“危機意識”、“時刻準備著”才是一個合格的信息安全管理人員應用的態度和意識。

縱觀信息安全行業的發展趨勢，結合已有的安全工作經驗，加強內部信息安全管理制度落實、強化員工信息安全防范意識、常態化開展信息安全巡檢工作是目前增強企業內部網絡安全防護能力行之有效的方式和方法。但說到如何將管理與技術有效的結合起來，綜合治理當前企業遇到的各類信息安全問題依然是眼下很長一段時間作為信息安全管理人員的首要任務。

3 綜合性治理信息安全工作

3.1 綜合性的治理信息安全

兼顧住管理與技術，并有擁有較硬的思路:兩手抓兩手。這些都是很重要的信息安全工作。而綜合管理信息安全和綜合運用信息安全技術都是綜合治理主要表現的兩個方面。

首先是綜合管理信息安全。信息科技部門以及風險管理部分還有稽查檢查部門都是信息安全管理涉及的一個個部門，這些部門有著各自的職責，并且它們的管理應該具有獨立性。想要有效的將風險降低就應該讓各部門之間顯得獨立但是又具有合作性，這樣才能更好的管理各個信息部門。比較好的方式是將聯席會議建立起來，聯合工作組也是一個比較好的方式，這樣就能更好的溝通信息并且將工作做以更好的總結和改善。當然信息部門也要建立一個加好的合作機制，將工作研討與交流放在固定的時間內進行，這樣就能夠更好的改進工作。

其次則是綜合運用的信息安全技術。良好的運用信息安全技作為一種重要的手段能夠跟更好的提高信息安全的保障能力。不過更加復雜和多樣的金融服務導致后后來的信息技術安全也有其它的特點，例如多樣化。不同的信息安全保障手段和不同的手段間的不同特點都需要一定的應用和保障。所以說，按照統一的信息安全策略進行綜合的使用是信息安全技術的良好手段。

3.2 關于信息安全工作的運用的重要方針

信息安全工作的首先應該具有能合理實施性的基本方針，而主要體現在以下幾個方面。首先是依據法律并且符合規范，核心是國家的法律，而依據則是政策法規，抓手是內控制度，基礎又是標準規范。其次是綜合治理，應該兼得技術和管理，達到相輔相成的結果。第三是對于落實的狠狠掌控，制度的建設和落實需要重要制度的掌握，而技術的體系設計與實施也很重要。最后則是可以控制的安全范疇，應該很好的結合引進吸收和自主研發，并且更好的結合起來外購產品與國產化。

具有方法性的做好信息安全工作非常重要，而其中體現在一下四個方面。首先是管理，落實是管理的重點，將風險意識有所強化，并且將規章條例嚴格執行，從而采取不同角度的多方位管理。其次則是技術，將技術有所保障，有效的規范這些行為，并且達到安全可以控制的方面，采用更多的手段進行整治，能夠看到一定的前瞻性。第三則體現在技術方面，能夠將此分類分級，針對不同的信息安全等級與要求能夠進行不同實施性質的安全措施。最后一點是策略，應該制定具有可行性和合理性的方針政策。綜合評估一些時間、成本和利益與代價方面的東西，能夠選擇較為合適的并且實施下去。

4 結束語

“三分技術，七分管理”，做好信息安全工作的前提就是強烈的安全意識，沒有基本的安全意識，一切就都是空談。通過不斷的實踐和例子，可以明顯的看出缺乏安全意識就會導致很多安全問題的產生，也就會產生眾多的安全問題。而本文談到的綜合性治理信息安全工作，綜合性的治理信息安全和關于信息安全工作的運用的重要方針。安全工作需要努力，否則一切就是空談。

[1]陳榮卓.“草根”法律服務組織:屬性變遷與進路選擇[D].華中師范大學，2008.

[2]張化冰.互聯網內容規制的比較研究[D].中國社會科學院研究生院，2011.

[3]李鷹.行政主導型社會治理模式之邏輯與路徑[D].武漢大學，2012.

[4]閆辰.現代國家治理視野下中國執政黨決策機制的變革與優化[D].吉林大學，2015.

[5]胡鞍鋼，王亞華.如何看待黃河斷流與流域水治理——黃河水利委員會調研報告[A].國情報告第五卷2002年（上）[C]，2012.

[6]趙大鵬.中國智慧城市建設問題研究[D].吉林大學，201 3.