電力企業信息網絡安全管理策略研究

周劍輝

隨著信息網絡安全要求越來越高，相應的管理要求不斷提升，本文針對目前企業信息網絡安全管理的現狀，提出了相應的管理提升策略。

安全;信息網絡;策略;

電力企業關系著國民經濟與生產發展，是重要的支柱型骨干企業，同時電力企業的地域涉及面較廣，業務應用類型相對復雜，網絡構造相互交錯，企業的生產和經營等應用體系互相纏繞。就電力企業來說，計算機網絡以及信息體系是企業常規運轉關鍵，是否安全、穩定、可靠的運行使電力體系穩定性受到一定的影響，且還能夠使當地的經濟發展能夠有序發展，為企業的計算機網絡以及信息體系完美運行贏取憑證，是企業需要重視的問題。

目前局綜合數據網與市局交聯是光纖雙通道，信息機房兩臺核心交換機可自主切換互為備用，核心交換機取用的是UPS電源，保障核心交換機不間斷供電;各供電所建立了雙通道（即局自建光纖通道，租用電信光纖作備用通道），可由切換使用，平時由市局信息中心網絡平臺負責監控通道的正常，確保辦公網絡的正常使用。

嚴格執計算機終端安全管理規定要求，接入公司綜合數據網的計算機終端必須符合公司綜合數據網準入控制和終端安全管理策略。落實終端接入內網前都加AD域，安裝PKI、防病毒、北信源、準入等措施，收回管理員權限，禁用“Server”、“Remote Desktop Services”服務。終端安全措施應用率100%，確保終端使用人員無法私自安裝卸載軟件，確保使用人員必須使用PKI證書進行身份認證登錄，確保非單位加密的移動介質存儲無法使用，確保不滿足公司防病毒、補丁等相關安全策略的計算機終端不得接入公司綜合數據網。

成立網絡安全與信息化領導小組，由局長擔任組長，各部門負責人為成員，領導小組設辦公室，領導小組局全面負責網絡安全和信息化工作，辦公室信息科技專責和信息運維班負責安全管理和監督責任。依照“誰主管誰負責、誰建設誰負責、誰運行誰負責、誰使用誰負責”原則，明確各部門負責人為第一責任人，并組織全員由上到下簽訂安全網絡責任書，層層落實網絡安全責任。

1）對各個部門所進行的保密工作進行管理，嚴格控制員工工作職權，貫徹各項保密協議，監督基層單位執行力度，加大對保密工作的思想政治工作，進行隨機的保密工作檢查。

2）重視信息安全，對計算機聯網的控制要嚴格，嚴禁將企業內部資料上傳上網，不能通過公共計算機傳遞涉密資料。不得在公共計算機上進行國家涉密信息和企業涉密資料的處理、存儲、傳輸。不能在普通的移動通訊設備上談論涉密事由，對于他人違反保密規定的行為要及時制止。不得在傳真機上發送企業或國家涉密資料。加密機或者其他設備的密鑰要有專人掌管，使用要經過層層審批登記。

3）存放和傳輸國家或企業機密文件的電腦不能與公共網絡相連，要實現物理隔離。國家秘密信息如對外的合作審批、與境外合作國家進行秘密信息交換等，都不能在互聯網計算機內進行存儲處理和傳輸。

4）對于發布到網上的信息，堅決制定誰主管誰負責原則，向某網站提供或者發布機密信息，必須經過多級主管部門的核查與審批，要向網絡安全與信息化領導小組報告網絡安全狀況。

5）對于已經建立起電子公告牌、電子聊天室、網絡新聞板塊的企業單位要對所建立網上平臺進行監管，任何單位以及員工不能在網上平臺發布國家或企業的機密資料。用戶在使用其他網上交流工具時，也不能進行國家秘密資料的傳遞?；ヂ摼W平臺以及使用互聯網的用戶要將保密教育作為常態培訓來抓。互聯單位和接入單位、接入單位和使用者都需要簽訂使用協議，明確自身的法律職責與義務，不能向任何人泄露國家或企業秘密信息。

要實現對網絡信息策略的安全風險進行管理就必須對網絡設備進行安全漏洞分析和檢測，利用防火墻、交換機、服務器等網絡掃描器終端數據防泄漏系統的核心力量進行網絡安全的探測和防護。終端數據防泄漏系統能夠給出檢測到詳細的描述、地理位置及有缺陷的信息。終端數據防泄漏系統及時的提醒安全管理員網絡漏洞，其實就是模擬了黑客攻擊的手段，對于這種及時的提醒可以讓管理員及時的找到網絡設備中存在的不足和及時發現外來入侵的問題，從而能及時的完善安全策略，在一定程度上降低了信息被盜取和丟失的風險。

終端數據防泄漏系統提供的默認策略方案具有一定的針對性、科學性，它是專門針對特定的系統類型、操作系統以及系統用途的提出來的方案。策略是在掃描期間進行漏洞和缺陷測試和檢查的一個集合。終端數據防泄漏系統的掃描是根據一定策略來進行的。用戶可以根據默認的策略模式選擇或者制定自己的策略方案，這種策略允許管理員進行及時的偵測和管理安全風險的信息，網絡的時時變化和現實的問題及時的采取并進行相應地調整措施。

1）規則實施：UDP 或 TCP 的端口、對內、對外的不同應用形式和防火墻所對應的意向地址以及源地址是根據詳細統計該局網絡信息系統所得來的結論。進行實施新的配置模式必須要進行新的排序，那么這個數據就要根據不同應用系統的網絡訪問頻繁率進數據的總結和分析對比，然后將一些常用的規則放在前面來增強防火墻的工作的效率。針對每一個不同服務器的用戶端口、開啟的服務的防火墻 DMZ 區域規則都進行了嚴謹細化的探測，對不使用的端口還實行全面的禁止政策。

2）規則啟用計劃：對于一些特殊應用的系統的網絡訪問策略需要在特定時間區域內被啟用、關閉。這個系統可以保存7天以內的本地數據不會消失，所以具有一定的存儲容量。該局部署的電壓無功監測系統、遠程集中抄表系統，可以對數據的保存放心，同時二者在各自的相關終端內都有屬于自身的儲存驅動器，其并且服務端數據在獲取需時求不要求數據的實時性。常規情況下晚上 21： 00至凌晨05：00時間段內是用戶的休息時間區域屬于夜間的低流量段，在這個時間段可以進行系統內部的防火墻的設置或者是更新，然后被再次啟用，幾乎不會給用戶帶來要打的影響。凌晨06：00至晚上19：00時間段內屬于工作的時間段，在這個時間里進行電費剩余提示、手機短信提醒模塊與催繳模塊會減少擾民的情況出現。

3）日志監控：防火墻日志的監控屬于主動的安全和計算機網絡信息保護方法。信息網絡系統的大小和位置有限。基本上可以根據網絡事件的規模找到和分析最重要和最寶貴的信息，而不是采取一系列廣泛的措施。

4）設備管理：為了達到防止遠程修改防火墻設置的問題出現，首先要關閉防火墻的遠程訪問的功能，然后對于防火墻設置中要開啟外網區域防pink功能。為了避免防火墻的內置Web服務器成為被外網攻擊目標的安全隱患，首先要閉防火墻的Web管理功能，其次是在防火墻的管理功能設置更改一定要通過本地Console口進行更改從而達到保障安全的目的。

為加強信息和網絡安全運行，制定了《局網絡與信息安全應急預案》，并組織開展了以模擬供電所光纖網絡中斷事件桌面演練。

結合網絡攻防演習期間，組織各單位綜合業務人員進行了網絡信息安全培訓，宣貫了網絡安全知識和基本技能，提高了員工對網絡安全的認識。

本文提出了相應的管理提升策略，整體提升了信息網絡安全管理水平。