基层单位信息安全与保密管理的研究与应用
2017-12-25秦明波
◆秦明波 成 龙 黄 赟
(1.国网嘉善县供电公司 浙江 314100;2.国网浙江嘉兴供电公司 浙江 314000)
基层单位信息安全与保密管理的研究与应用
◆秦明波1成 龙1黄 赟2
(1.国网嘉善县供电公司 浙江 314100;2.国网浙江嘉兴供电公司 浙江 314000)
电网信息安全和保密工作为电网安全的重要组成部分,是电网信息化持续推进的基本保障。结合当前形势与公司现状,不断进行安全管理与保密工作的研究与实践,从组织机构、规章制度、人员教育、技术管理等方面形成安全管理体系,实现信息安全监测全方位、信息安全防护全覆盖、信息安全管控全过程、信息安全督查无死角和信息安全保密不泄露。
信息安全;管理;电力信息化
0 引言
伴随着基层单位信息化的飞速发展,网络衍生出的应用层出不穷,网络信息安全的防御范围也在不断地延伸,如何形成一套全面、高效的安全管理体系,使信息安全得到全方位的保护,确保重要信息不泄密,已成为当前基层单位最迫切需要解决的问题。
1 基层单位信息安全与保密管理的现状及目标
目前在基层单位桌面终端、采集终端、视频监控终端等应用和接入需求越来越广泛,各类接入终端数量庞大,其形式多样化、部署分散、终端用户信息安全意识参差不齐的现状已成为基层单位信息安全与保密管理体系的薄弱环节。
针对基层单位信息安全和保密工作风险点多面广的特点,着力解决基层单位信息安全保密责任与制度落实、接入设备准入流程、信息资产全生命周期管理,安全防护措施执行等方面存在的问题和薄弱环节,从查漏补缺、被动防御向整体掌控、主动防御转变,进一步规范安全管控,实施信息安全管理提升,实现“全员、全过程、全方位”信息安全管理目标。
2 基层单位信息安全与保密管理体系建设
传统的信息安全与保密管理防护分散不成体系,我们迫切需要全面、高效的一体化管理体系建设,为公司的生产经营业务发展提可靠的保障。
2.1 组织机构建设,充分发挥人员作用
针对基层单位人员分布面广、信息安全管理过程纷繁复杂、涉及部门层面空间多样化、保密意识和氛围等实际情况,在每个部门安排兼职安全员,形成了一支信息安全与保密管控的队伍,负责协助管理部门、班组内部信息设备,落实信息安全与保密各项管理措施。
我们建立三级信息安全组织机构如图1所示。由公司总经理亲自担任信息安全领导小组组长,对信息安全全面负责。充分发挥各层级人员的作用,形成纵深、有效的安全管理组织机构。
建章立制、明确职责,通过一系列规章制度、管理规定与工作单的制定,规范信息安全工作。基层单位编制完成《信息安全协议》,《外来人员现场信息安全专用教育卡》、《外来人员使用公司信息网工作单》、《信息设备管理办法》等,并将制度考核纳入绩效考核实现闭环管理,取得显著成效。
全面落实信息安全责任,各部门单位及其员工的年度安全责任目标中都包含了信息安全与保密责任指标。每年组织全员开展“保密四书”(保密工作责任书、涉密人员保证书、涉密人员离岗保密承诺书、保密承诺书)的签署工作。通过切实扎实的工作,员工对于信息安全与保密的理解上升到了一个新的高度。
图1 三级信息安全组织机构图
2.2 制度建设,规范信息安全与保密工作
2.3 全员教育,形成人人知安全、人人懂保密
目前所面临的大多数信息安全威胁都来自于企业内部员工有意识或无意识的行为,电力企业信息终端用户又呈现信息安全意识参差不齐的现象,因此信息安全不应只是公司专业人员关心的事情,还应当广泛发动全体员工参与。提升全体员工的信息安全意识才是保障安全的最关键因素。多方式宣传,创新形式,全方位营造安全氛围,普及安全保密教育,做到全民动员,共筑安全。
(1)加强信息安全与保密宣传
通过在公司网站中设置违规外联专栏及信息安全警示语悬浮窗口、在公共场所、会议室、培训中心张贴防违规外联宣传画与台签、定期将信息安全知识通过手机短信如图2所示,展板宣传如图3所示等多方位宣传方式,做到时时提醒,层层宣贯,将信息安全重要性传达到每一个员工的心中。
(2)加强外部人员信息安全与保密管控
对待外来工作人员也同样不能放松要求,要进行信息安全教育,并且严禁单独进入机房等重要区域,因工作需要确需进出机房等重要区域,相关负责人员应根据操作内容,填写相应的申请单,整个工作过程需由相关班组工作人员陪同进行,严禁从事非业务范围内的其它任何操作,保证安全管理覆盖到每个落点。
2.4 系统运维,规范运维管理
信息系统的上线必须经过信息管理部门与保密部门的审批,提交完整资料,并公司保密委审核同意,经第三方安全测评通过后,方可上线。对确认不再使用的信息系统,及时备份业务数据,调整安全策略,将设备进行及时停役,避免了资源闲置和安全隐患。
图2 信息安全短信
图3 宣传展示画
信息运维工作坚持运行与安全原则,注重规范化与标准化,严格执行两票制度,通过全省统一信息服务管理系统(ITSM)进行流转。明确运维人员职责、工作内容与工作要求,制定一套标准运维管理机制确保全公司信息系统稳定、可靠、安全运行。
2.5 技术防护,实现信息安全可控
(1)设备准入和管控
强化信息内网设备的安全准入。对所有接入公司网络的系统、终端和设备实施全面准入管控。内外部人员使用信息网都必须填写入网申请单。使用省公司统一出口的信息外网需要按照省公司信息外网管理规定由相关职能部门和公司领导审批,并签署上网安全协议。使用IP-MAC地址绑定技术在技术上限制非法接入。
(2)物理隔离管控
开展防违规外联硬件接口装置的研究。通过对公司违规外联案例研究发现70%的案例都是由于USB接口连接手机、3G网卡造成的,为避免这种情况发生。通过两种方式降低安全事件发生,一种是通过将电脑USB插口安装防误塞装置如图4所示,将不用的USB插口封掉的方法来人为隔离主机USB接口。主机前面常用USB口使用带手柄的USB塞,利于插拔。后面不用的USB口使用不带手柄的 USB塞并且在无特殊情况下禁止拔出。另一种是在电脑主机前端 USB口插入一个接口设备,类似读卡器外型,通过对这个接口设备芯片硬件编程和处理,使得这个接口设备只能识别U盘这类存储设备,屏蔽其他所有设备,这两种措施都是从物理上隔绝外部网络从而保护信息内网安全。
图4 USB插口防误塞及警示标签
(3)保密敏感词检测拦截
对内外网文件实时检测扫描,对于没有按照要求进行加密处理的文件,通过技术手段分析,发现涉密敏感词或者关键字内容,进行前端拦截,防止敏感信息外泄。同时对发现敏感文件发送事情进行穿透性分析,明确责任原因,落实考核责任,举一反三,督促闭环整改。
3 结论
综上所述,通过研究信息安全各要素间的联系并结合公司实情开展切实扎实地信息安全与保密管理工作,不断进行安全管理创新与技术实践,建立一套全面、高效的一体化信息安全与保密管理体系,公司信息安全与保密水平有了飞跃的提升,实现全维度立体式无盲点信息安全管理目标。
[1]陈騉.电力企业信息安全保障体系建设探讨[J].科学之友,2013.