石蓉霞
中国电建集团透平科技有限公司 四川省成都市 430074
摘要:当今社会是一个信息化时代,信息安全保护越来越受到人们的关注和重视。本文首先就信息安全等级进行了探讨,然后分析了电建企业信息安全等级保护的方式,并提出了电建企业信息系统安全等级保护的措施,以供参考。
关键词:电建企业;信息安全;信息系统;等级保护
1、引言
随着我国信息化应用的深入发展,信息技术和设备在各行各业中都得到了广泛应用。当前,借助信息化手段打造的智能化电网正在我国电建企业中发展壮大,电建企业已经基本上实现了信息化和自动化,而信息安全问题在信息化应用过程中也日趋突出。如果电建企业核心业务系统发生信息安全事件,势必会对电力系统的稳定运行造成影响,一旦电力系统瘫痪,就会给国家造成不可估量的经济损失,以及负面的社会影响。所以电建企业必须加强信息安全管理,国家层面及行业内部均出台了相关的信息安全管理要求,其目的都是确保各类重要信息系统的安全稳定运行。
2、信息安全保护等级划分
依据国家相关标准以及电建企业内部的相关规定可以知道决定信息系统的安全保护等级的主要有两个基本要素:一方面是信息系统被受到恶意侵害以后,公民、法人以及其他个体组织、社会秩序、公共利益、国家安全等所受到的损失的范围大小。通常情况下是社会和国家受到的损失范围越大,安全等级也越高。另一方面是信息系统受到侵害以后对公民、法人以及其他组织、社会秩序、公共利益、国家安全等所造成的损害程度大小。一般损害程度有三种:一般损害、严重损害和特别严重损害。所受到的损害程度越深等级就越高。依据定级的轻重程度要求,安全保护可以分成以下五个等级:
第一级:是指客户端的信息系统自主保护受到侵害。
这种侵害在一定程度上会给客户端用户带来一定的伤害和经济损失,但是不会影响到国家的安全稳定,集体利益以及电建企业本身也不会受到较大的经济损失。
第二级:是指信息系统审计保护级别受到侵害,
这种侵害有可能会对客户端当事人以及所在的组织、单位等造成较大的人身伤害或者较大程度的经济损失,同时对集体的利益和社会的稳定也会产生的影响,但是对国家利益不会造成影响。
第三极:是指安全标记的保护级别的信息系统遭受到侵害,
这种侵害会对某些组织、单位等集体利益以及整个社会的安全稳定造成较大程度的损害和经济损失,并且这种等级有着和系统审计保护级相类似的全部信息的安全保护功能。
第四级:是指结构化安全保护等级的信息系统受到侵害,
这种情况可能会给人民群众以及相关集体组织的利益带来较大程度的负面影响,同时,还会影响到国家的安全稳定。
第五级:是指访问验证保护等级的信息系统受到侵害,
这种侵害将会严重影响到国家的经济利益和社会的安全稳定,给国家造成非常恶劣的负面影响。
3电建企业内信息安全等级保护的方式
3.1物理层的安全保护
物理层的安全保护主要是指对电力系统的运行环境进行的安全管理保护和控制。对主机房的所有设备的运行环境进行系统的规范的安全管理和控制。
利用先进的科学技术和仪器设备对电建企业的重要信息系统进行不间断电源、防尘、防震、防火、防盗、防雷、防静电、温湿度控制、电磁屏蔽防护、数据备份及防泄露等方面的防护,保证电建企业的所有信息系统的安全可靠运行。因此,物理层的安全保护目的就是为电建企业的信息系统设备保持一个安全可靠的运行环境。
3.2主机的安全保护
主机的安全保护是指应用先进的科学技术对主机的运行进行安全的管理和配置。主要包括对主机运行过程中的操作系统、应用数据库、中间应用附件以及其他应用系统的安全运行进行配置管理。具体要求主要有身份鉴别、访问控制、安全审计、安全标记、剩余信息保护、入侵防范、恶意代码防范、可信路径、资源控制等安全配置要求。主机作为承载信息系统的主体,也是信息系统安全保护的主体。
3.3网络层的安全保护
网络层的安全保护主要是指对网络系统的所有设备包括网络通信设备进行安全方面的管理。其主要方法是通过对网络的组成结构、通信设施、访问控制、安全审计、入侵范围、边界安全管理、恶意代码防范、网络设备安全配置等安全管理审查项目进行规范的全面的审查。以确保网络层的信息系统的安全运行。
4电力信息系统等级保护策略
4.1信息系统分级统一保护措施
电建企业的信息系统是一个拥有多种功能和业务种类的庞大系统。电力信息系统的各种分支业务系统大部分都是属于第二级和第三级的安全级别,按照国家安全等级保护的相关规定,不同等级的安全保护其要求和保护策略以保护强度都是有所差别的,因此,电建企业的所有信息系统在进行构建的过程中就要按照国家相关等级划分标准对信息系统进行等级保护的合理划分。然后依据电力信息系统的等级划分情况采取科学合理的等级保护措施。通常情况下是将同等级的电力信息系统归纳的同一个安全管理区域进行统一范围的管理和保护,确保电力信息系统的各个子系统都能够得到科学、全面、合理的保护和控制。
4.2信息安全定期检查及应急演练
信息安全定期检查不仅仅是指上级单位对电建企业的安全检查,而且还包括信息系统的运营单位对系统的安全检查。依据电力信息系统安全等级的不同对其进行安全检查的评估,及时发现信息系统安全管理中的不合理问题或者不安全隐患,并及时采取科学有效的措施进行整改。对信息系统的安全配置进行及时的管理控制和更新,增强信息系统的安全性能,提高信息系统的安全防范能力。同时对于不同等级的信息系统定期地制定科学合理的安全管控应急演练计划,模拟电力信息系统发生信息安全事故时的各种问题,制定科学的应急预案,通过实际演练确定应急预案的可靠性,同时提高工作人员以及管理人员对信息系统安全事故的应急管控能力,以最大限度地降低由于信息安全事故造成的各种负面影响和损失。
4.3建立健全信息安全保障体系
“没有规矩不成方圆”。要确保电建企业信息系统得到更加科学化、先进化、合理化的等级保护,就必须建立健全一套科学合理的安全等级保护保障体系。从工作人员的总体素质、管理人员的管理水平和能力以及科学先进的技术优势等三个方面对电建企业的信息系统安全进行管理和防控。通过对工作人员总体素质的严格要求、管理人员管理水平和技能的提升以及积极引进先进的科学技术等实现对电建企业信息系统安全等级保护的规范化、科学化、标准化以及常态化的管理和防控,实现对电力信息系统的安全属性、设备运行、软件的功能应用以及服务质量和效率的动态等级保护。
5结语
综上所述,电建企业信息系统的安全性关系着整个电力系统的正常运行和广大民众的安全用电问题,同时也和用电企业的经济利益以及国家的经济利益息息相关,随着信息化进程的加快和科学技术的不断进步,信息系统的安全性和稳定性不然需要得到更大的保护和提升,这就需要科技人员的不懈努力和电建企业相关人员的鼎力支持,才能够真正解决电建企业信息系统的安全等级保护问题。
参考文献:
[1]吴秋玫,丁东,车勇波,杨鸥.电建企业信息系统等级保护措施探讨[J].网络安全技术与应用.2016(02).
[2]孙凡.电力信息系统安全的等级保护实施[J].山东工业技术.2014(24).